Verständliche Anleitung: Festplatte unter Windows verschlüsseln

Verständliche Anleitung: Festplatte unter Windows verschlüsseln
© peterschreiber.media – stock.adobe.com

Wer online Daten eingibt und zu einem Onlinehändler oder einem Geschäftspartner sendet, dem ist klar, dass seine Informationen unter Umständen in Gefahr sind, gestohlen zu werden. Darum wird erst das Impressum überprüft, bevor man einen Kauf tätigt, es gibt regelmäßig neue Passwörter und man verwendet eine Firewall und Virenschutzprogramme. Diese Maßnahmen führen dazu, dass viele Nutzer sich im Netz recht sicher fühlen.

Datendiebstahl oder -verlust kann auch offline passieren

Woran viele Nutzer nicht denken: Daten können nicht nur online verloren gehen oder gestohlen werden, sondern ganz konkret auch offline vor Ort. Die ersten Hacker haben sich ihre benötigten Informationen aus den Mülleimern der Telefongesellschaft geholt, wo diese einfach hineingeworfen wurden. Heute wird mit Daten natürlich sensibler umgegangen. Doch ein Mitarbeiter, der in einem Café arbeitet, kann auch einfach durch das Abfilmen des Bildschirms oder der Tastatur ausspioniert werden.

Doch es muss nicht einmal um Betriebsspionage gehen. Ein Laptop oder eine externe Festplatte können auch verloren werden, bleiben versehentlich in der Bahn stehen oder werden mitsamt der Tasche gestohlen. Darum ist es so wichtig, dass alle Mitarbeiter regelmäßig zum Thema Sicherheit geschult werden. Wer seine Festplatte unter Windows verschlüsselt, geht bezüglich der Datensicherheit auf Nummer sicher. Denn selbst wenn der Rechner in falsche Hände gerät, sind die Daten dann immer noch geschützt. Unter Windows 10 Pro und Windows 10 Enterprise ist das Programm BitLocker integriert, mit dem das Verschlüsseln zum Kinderspiel wird. Wir erklären, wie das funktioniert und welche Festplatte geeignet ist.

Vor dem Verschlüsseln ein Back-up machen

Bevor Nutzer ihre Festplatte verschlüsseln, sollten sie ein vollständiges Back-up des Systems vornehmen. Auch wenn Bitlocker zu Windows gehört, kann bei den ersten Versuchen immer etwas schiefgehen. In einem solchen Fall kann man schnell alles rückgängig machen und ist kein unnötiges Risiko eingegangen.

Grundvoraussetzung: TPM-Chip

Der Rechner muss über einen TPM-Chip im Mainboard verfügen. Das Trusted Platform Module ist ein Mikrochip, der bestimmte Sicherheitsfunktionen ermöglicht. Er kann etwa für die Verschlüsselung von Daten verwendet werden, sodass diese sowohl vor Soft- als auch vor Hardwareangriffen geschützt sind. Im Vergleich zu anderen Verschlüsselungssystemen ist das TPM nicht an einen bestimmten Benutzer gebunden, sondern an ein System.

Ist kein solcher Chip vorhanden, dann muss BitLocker ohne TPM freigeschaltet werden. Ob das Gerät über einen TPM-Chip verfügt, wird folgendermaßen überprüft:

  1. Der „Geräte-Manager“ wird durch [Windows] + [X] ausgewählt
  2. Der Reiter „Sicherheitsgeräte“ wird angewählt. Ist ein TPM Chip vorhanden, findet sich diese Information direkt hier.
  3. Ist das nicht der Fall, geht der Nutzer auf diese Weise vor, um Bitlocker dennoch zu aktivieren:

Bitlocker ohne TPM Chip aktivieren: Voreinstellung

  1. Den Ausführen-Dialog mit [Windows] + [R] öffnen. Den Befehl: „gpedit.msc“ eingeben und mit OK den Editor für lokale Gruppenrichtlinien öffnen.
  2. Zuerst den Ordner „Administrative Vorlagen“ und anschließend den Ordner „Windows-Komponenten“ vergrößern.
  3. Im Ordner „Windows-Komponenten“ gibt es einen Ordner namens „BitLocker-Laufwerk-Verschlüsselung“. Mit einem Klick öffnen sich Unterordner, hier wird der Ordner namens „Betriebssystemlaufwerke“ angewählt.
  4. Dort ist ein Doppelklick erforderlich, und zwar bei „Zusätzliche Authentifizierung beim Start anfordern“. Diese Option muss aktiviert werden.
  5. Die Option: „BitLocker ohne kompatibles TPM zulassen“ wird aktiviert. Wichtig: Die Änderung muss abgespeichert werden.

Die Grundvoraussetzungen sind nun gegeben, um das Programm aktivieren und nutzen zu können.

BitLocker unter Windows 10 aktivieren

So funktioniert die Aktivierung:

  1. Das Windows-Suchfeld öffnen und durch den Suchbegriff „Bitlocker“ nach dem Programm suchen. Öffnen und dann „Bitlocker verwalten“ anwählen.
  2. Im nächsten Schritt wird das Programm via „Bitlocker aktivieren“ gestartet. Nach dem Klick auf „Weiter“ ist eventuell ein Neustart erforderlich.
  3. Wie soll das Laufwerk beim Start entsperrt werden? Die gängigste Variante ist die Eingabe eines Kennworts. Diese Option kann hier ausgewählt werden. Bei der Vergabe des Kennworts sollte auf Sicherheit geachtet werden. Das bedeutet, es sollte Groß- und Kleinschreibung, Ziffern und Sonderzeichen enthalten. Dieses Kennwort wird nun jedes Mal abgefragt, wenn Windows 10 gestartet wird. Es sollte natürlich notiert und an einem sicheren Ort aufbewahrt werden.
  4. Im nächsten Schritt kann ein Speicherort für den Wiederherstellungsschlüssel ausgewählt werden. Das ermöglicht auch für den Fall, dass das Passwort vergessen wird, den Zugriff auf das System. Gängige Methode ist die Speicherung in der Cloud.
  5. Wie viel Speicherplatz soll verschlüsselt werden? Die größte Sicherheit ist gewährleistet, wenn das gesamte Laufwerk verschlüsselt wird. Das verlangsamt den Rechner jedoch deutlich.
  6. Nutzer haben nun die Wahl zwischen dem neuen Verschlüsselungsmodus und dem älteren, der mit früheren Windows-Versionen kompatibel ist.
  7. Im letzten Schritt kann das Laufwerk gleich verschlüsselt werden. Zuvor sollte eine BitLocker-Systemüberprüfung angestoßen werden, um die Funktionalität zu testen.

Die Maßnahmen zum Datenschutz sollten dokumentiert werden

Alle Unternehmen haben in der einen oder anderen Form mit sensiblen Daten zu tun. Einerseits gibt es die eigenen Interna, die keinesfalls nach außen dringen sollen, andererseits die Daten von Kunden, Partnern und Lieferanten, die ebenfalls geheim sind und bleiben sollen. Die Novelle der Datenschutzgrundverordnung (DSGVO) konfrontiert Unternehmen seit einiger Zeit mit höheren Anforderungen, was den Schutz von Kundendaten betrifft.

Alle Maßnahmen, die zum Zweck des Datenschutzes ergriffen werden, sollten dokumentiert werden, um im Zweifelsfall nachweisen zu können, dass alles korrekt durchgeführt wurde. Zu diesem Zweck muss ein Verarbeitungsverzeichnis angelegt werden. Wichtig ist ebenfalls, eventuelle Datenpannen zu dokumentieren und entsprechende Maßnahmen einzuleiten. Natürlich muss auch das Personal geschult werden.