Ratgeber Festplatten-Verschlüsselung

Wie Notebooks sicherer werden

Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Komplette Verschlüsselung mit Bitlocker und ohne TPM

Verschlüsselung ohne TPM.
Verschlüsselung ohne TPM.
Foto: Bär/Schlede

Tief verborgen im System hat Microsoft noch eine Möglichkeit vorgesehen, die es dem Anwender ermöglicht, ein komplettes System mittels Bitlocker zu schützen, ohne dass ihr Rechner dazu ein integriertes TPM benötigt. Auf den Windows-7-Systemen steht eine entsprechende Gruppenrichtlinie bereit, mit deren Hilfe diese Beschränkung umgangen werden kann. Dazu muss diese Gruppenrichtlinie zunächst einmal aktiviert werden:

  • Das erfordert als ersten Schritt den Aufruf des "Editors für lokale Gruppenrichtlinien" durch Eingabe von "gpedit.msc" unter Start/Ausführen.

  • Dann muss der Anwender im linken Konsolenfenster (siehe auch Bild 9) den folgenden Pfad auswählen: "Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Bitlocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke".

  • Dort findet sich dann die Richtlinie mit der Bezeichnung "Zusätzliche Authentifizierung beim Start anfordern".

  • Hat der Anwender diese Richtlinie durch Auswahl von "Aktiviert" in Gang gesetzt, kann er nun auch das Kästchen "Bitlocker ohne kompatibles TPM zulassen" auswählen (Bild 9).

  • Danach steht auch der Verschlüsselung des Systemlaufwerks nichts mehr im Wege. Diese Verschlüsselung kann dann je nach Größe der Partition und der Rechengeschwindigkeit der CPU mehrere Minuten oder auch bis zu einige Stunden dauern.

Ganz wichtig hierbei sind weitere Voraussetzungen: Wer sein Betriebssystem-Laufwerk mit Bitlocker auch ohne ein TPM schützen will braucht dazu ein USB-Laufwerk oder einen USB-Stick sowie ein Notebook, dessen BIOS die Möglichkeit anbietet, von einem solchen USB-Gerät zu booten. Zugleich muss das BIOS dazu in der Lage sein, bereits während des Systemstarts lesend auf das USB-Gerät zuzugreifen.

Das Medium mit dem Bitlocker-Schlüssel (dem sogenannten Systemstartschlüssel) muss während des Startvorgangs mit dem System verbunden sein. Nach dem Booten kann der Anwender dieses Medium dann wieder entfernen und ganz normal mit seinem Rechner arbeiten. Ein Start des Rechners ohne dieses Medium ist danach nicht mehr möglich!