Tags: Windows 7, Sicherheit, Mobile Computing, Verschlüsselung
Ob ein sich im Notebook ein TPM befindet, hängt oft davon ab, ob der Hersteller es in die Home- oder Business-Klasse eingeordnet hat. In vielen Eigenschaften unterscheiden die Modelle oft nicht oder nur unwesentlich – eine 64-Bit-Windows-taugliche Ausstattung mit HDMI-Ausgang, 4 oder mehr GB RAM, reichlich Speicherplatz und SSD-Festplatten gibt es in jedem Elektronik-Fachmarkt.
Ob dies nun von Microsoft und dem CTO so empfohlen wird oder nicht – nicht alle Mitarbeiter halten sich an Empfehlungen beziehungsweise müssen dies zwingend, und so kann sich jeder Administrator mit der Forderung konfrontiert sehen, ein Notebook ohne TPM für eine anstehende Dienstreise zu verschlüsseln.
USB statt TPM
Technisch ist das kein großes Problem, da man BitLocker auch mit einem USB-Schlüssel statt des TPM betreiben kann. Von der Handhabung her riecht diese Praxis aber nach Ärger und lässt Anrufe erahnen, die morgens um 2 Uhr erfolgen und zum Inhalt haben, wie man denn das Notebook wieder starten könne, auch wenn der USB-Schlüssel verloren oder nicht mehr lesbar sei.
Retten lässt sich der Inhalt seiner Festplatte nur, wenn irgendwo – ausgedruckt oder als Datei, Windows bietet bei der BitLocker-Einrichtung beide Varianten an – der Wiederherstellungsschlüssel (Recovery Key) gespeichert ist.
BitLocker-Recovery: PC mittels Wiederherstellungsschlüssel starten
Bleibt der Rechner in der Schwarz/Weißen Vor-Boot-Phase stehen und beschwert sich, dass kein Systemstartschlüssel gefunden werden konnte, kann man nach Druck auf ‹Esc› jeweils einen anderen USB-Datenträger ausprobieren, falls es sich lediglich um eine Verwechslung handelte.
Hilft das alles nichts, muss nach einem Druck auf die Eingabetaste der 48stellige Wiederherstellungsschlüssel eingegeben werden, in 8 Blöcken zu jeweils 6 Ziffern. Es handelt sich ausschließlich um Dezimalziffern, so dass die Prozedur auch per Telefondiktat durchführbar sein sollte.
Entgegen den Angaben im Recovery-Bildschirm ist es auf den meisten Geräten nicht notwendig, die F-Tasten für die Eingabe zu verwenden, die normalen Zifferntasten tun es auch. Nach Eingabe der letzten Zahl startet Windows automatisch, wenn alles richtig war.
Neuen BitLocker-Schlüssel selbst erstellen
Wenn ein BitLocker-verschlüsseltes Laufwerk per Recovery-Key zugänglich gemacht wurde, befindet es sich danach in keinem speziellen Modus, sondern verhält sich, als ob der Standard-Schlüssel eingesetzt worden wäre. Demzufolge kann man zunächst ganz normal arbeiten und muss bis zum nächsten Systemstart keine peinlichen Fragen seines Systems erdulden.
Dann allerdings schon – verzögern lässt sich dieser Zeitpunkt, indem das Notebook nur noch auf Standby geschickt wird, statt es auszuschalten. Hier wird beim Aufwecken nur das Windows-Anmeldepasswort verlangt. Der Ruhezustand (Hibernate) anstelle von Standby hilft übrigens nicht, um die Akkulaufzeit zu verlängern, hier wird beim Wecken der BitLocker-Schlüssel verlangt.
Ein neuer BitLocker-Schlüssel, um solche Workarounds zu vermeiden, ist schnell erstellt: Per Klick mit der rechten Maustaste auf das verschlüsselte Laufwerk im Explorer gelangt man zum Menüpunkt „BitLocker verwalten“. Hier wählt man „Systemstartschlüssel kopieren“, speichert ihn auf einen beliebigen USB-Datenträger ab und kann BitLocker wieder normal benutzen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Andreas Kroschel ist Buchautor und Verfasser von Fachartikeln zu Hardware, Windows und Linux sowie IT-Sicherheit. Er arbeitete als Redakteur unter anderem für BYTE Deutschland und die PC-Welt.
Verwandte Beiträge
Weitere Links
2 Kommentare
Ja,schön wäre es,mit dem USB Stick zu starten,was bei meinem 8.1 leider nicht mehr geht.Ich habe den Key auf meinen sämtlichen Sticks gespeichert,auch die Gruppenrichtlinien überprüft,ich muß jetzt jedes mal den Key eingeben.
Habe es wie in der Anleitung gemacht. Also bei mir geht es ohne Probleme.