BitLocker mit USB-Key entsperren auf Notebooks ohne TPM


    Tags: , , ,

    Teaser BitlockerOb ein sich im Notebook ein TPM befindet, hängt oft davon ab, ob der Hersteller es in die Home- oder Business-Klasse eingeordnet hat. In vielen Eigen­schaften unterscheiden die Modelle oft nicht oder nur unwesentlich – eine 64-Bit-Windows-taug­liche Aus­stat­tung mit HDMI-Ausgang, 4 oder mehr GB RAM, reichlich Speicher­platz und SSD-Fest­platten gibt es in jedem Elek­tronik-Fach­markt.

    Ob dies nun von Microsoft und dem CTO so empfohlen wird oder nicht – nicht alle Mit­arbeiter halten sich an Empfeh­lungen be­ziehungs­weise müssen dies zwingend, und so kann sich jeder Adminis­trator mit der For­de­rung kon­fron­tiert sehen, ein Notebook ohne TPM für eine anstehende Dienst­reise zu verschlüsseln.

    USB statt TPM

    Ohne USB-Systemstartschlüssel geht es nicht weiterTechnisch ist das kein großes Problem, da man BitLocker auch mit einem USB-Schlüssel statt des TPM betreiben kann. Von der Handhabung her riecht diese Praxis aber nach Ärger und lässt Anrufe erahnen, die morgens um 2 Uhr erfolgen und zum Inhalt haben, wie man denn das Notebook wieder starten könne, auch wenn der USB-Schlüssel verloren oder nicht mehr lesbar sei.

    Retten lässt sich der Inhalt seiner Festplatte nur, wenn irgendwo – ausgedruckt oder als Datei, Windows bietet bei der BitLocker-Einrichtung beide Varianten an – der Wieder­her­stellungs­schlüssel (Recovery Key) gespeichert ist.

    BitLocker-Recovery: PC mittels Wieder­her­stellungs­schlüssel starten

    Das Eingeben des Wiederherstellungsschlüssels ist eine mühsame ProzedurBleibt der Rechner in der Schwarz/Weißen Vor-Boot-Phase stehen und beschwert sich, dass kein System­start­schlüssel gefunden werden konnte, kann man nach Druck auf ‹Esc› jeweils einen anderen USB-Datenträger ausprobieren, falls es sich lediglich um eine Verwechslung handelte.

    Hilft das alles nichts, muss nach einem Druck auf die Eingabetaste der 48stellige Wieder­her­stellungs­schlüssel eingegeben werden, in 8 Blöcken zu jeweils 6 Ziffern. Es handelt sich aus­schließ­lich um Dezimal­ziffern, so dass die Prozedur auch per Telefon­diktat durchführbar sein sollte.

    Entgegen den Angaben im Recovery-Bildschirm ist es auf den meisten Geräten nicht notwendig, die F-Tasten für die Eingabe zu verwenden, die normalen Ziffern­tasten tun es auch. Nach Eingabe der letzten Zahl startet Windows automatisch, wenn alles richtig war.

    Neuen BitLocker-Schlüssel selbst erstellen

    Nach der Wiederherstellung sollte man den Startschlüssel auf eine neuen USB-Key kopieren, um wieder normal starten zu könnenWenn ein BitLocker-verschlüs­seltes Laufwerk per Recovery-Key zugänglich gemacht wurde, befindet es sich danach in keinem speziellen Modus, sondern verhält sich, als ob der Standard-Schlüssel eingesetzt worden wäre. Demzufolge kann man zunächst ganz normal arbeiten und muss bis zum nächsten Systemstart keine peinlichen Fragen seines Systems erdulden.

    Dann allerdings schon – verzögern lässt sich dieser Zeitpunkt, indem das Notebook nur noch auf Standby geschickt wird, statt es auszuschalten. Hier wird beim Aufwecken nur das Windows-An­melde­pass­wort verlangt. Der Ruhezustand (Hibernate) anstelle von Standby hilft übrigens nicht, um die Akku­lauf­zeit zu verlängern, hier wird beim Wecken der BitLocker-Schlüssel verlangt.

    Ein neuer BitLocker-Schlüssel, um solche Workarounds zu vermeiden, ist schnell erstellt: Per Klick mit der rechten Maustaste auf das verschlüsselte Laufwerk im Explorer gelangt man zum Menüpunkt „BitLocker verwalten“. Hier wählt man „Systemstartschlüssel kopieren“, speichert ihn auf einen beliebigen USB-Datenträger ab und kann BitLocker wieder normal benutzen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Andreas Kroschel

    Andreas Kroschel ist Buchautor und Verfasser von Fachartikeln zu Hardware, Windows und Linux sowie IT-Sicherheit. Er arbeitete als Redakteur unter anderem für BYTE Deutschland und die PC-Welt.

    Verwandte Beiträge

    Weitere Links

    2 Kommentare

    Ja,schön wäre es,mit dem USB Stick zu starten,was bei meinem 8.1 leider nicht mehr geht.Ich habe den Key auf meinen sämtlichen Sticks gespeichert,auch die Gruppenrichtlinien überprüft,ich muß jetzt jedes mal den Key eingeben.

    Habe es wie in der Anleitung gemacht. Also bei mir geht es ohne Probleme.