BitLocker To Go: USB-Laufwerk lässt sich nicht verschlüsseln

Wenn man ein Wechsel­laufwerk mit BitLocker To Go ver­schlüsseln möchte, dann kommt es manch­mal vor, dass in dessen Kontext­menü der Befehl zum Starten des BitLocker-Assi­stenten fehlt. Ver­sucht man statt­dessen sein Glück mit manage-bde oder Power­Shell, dann kassiert man dort eine Fehler­meldung.

Wenn sich ein Laufwerk nicht mit BitLocker verschlüsseln lässt, dann kann es sein, dass dieses die Voraus­setzungen nicht erfüllt. Daher sollte man zuerst prüfen, ob dort die Kompri­mierung aktiviert ist und die Cluster-Größe des Dateisystems 4KB überschreitet. Beides wären Hindernisse für BitLocker.

Aber auch wenn diese Bedingungen gegeben sind, kann es passieren, dass der Befehl zum Start des BitLocker-Assistenten im Kontext­menü des Laufwerks fehlt und die System­steuerung unter System und Sicherheit => BitLocker-Laufwerk­verschlüsselung den USB-Stick nicht erkennt.

In diesem Fall kann man versuchen, die Verschlüsselung über PowerShell oder das Kommandozeilen-Tool manage-dbe in Gang zu bringen. Aber bereits die Abfrage des Status mit

Get-BitLockerVolume -MountPoint <Laufwerkskennung>

wird in der Regel zu folgendem Fehler führen:

Get-Win32EncryptableVolumeInternal: l: besitzt kein zugeordnetes BitLocker-Volume. In C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psm1:344 Zeichen:35 + ... bleVolume = Get-Win32EncryptableVolumeInternal -MountPoint $MountPoin ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (:) [Write-Error], COMException + FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Get-Win32EncryptableVolumeInternal

Der äquivalente Befehl

manage-bde -status <Laufwerkskennung>

provoziert folgende Meldung:

FEHLER: Das Volume "M:" konnte nicht von BitLocker geöffnet werden. Möglicherweise ist das Volume nicht vorhanden, oder es handelt sich nicht um ein gültiges BitLocker-Volume.

Das gleiche Ergebnis erhält man, wenn man versucht, das Laufwerk von der Kommando­zeile zu verschlüsseln, etwa mit Enable-BitLocker.

Diverse Tipps im TechNet und anderen Foren empfehlen in dieser Situation, den Datenträger völlig zu löschen (etwa mit diskpart), eine neue primäre Partition anzulegen und zu formatieren. Dabei soll es angeblich helfen, wenn man statt der schnellen eine vollständige Formatierung durchführt. In der Praxis wird man damit jedoch selten Erfolg haben.

Verschiedene Berichte zeigen aber, dass dieses Problem nur auf vereinzelten Rechnern auftritt. Auch in meinem Fall war das so. Diese Tatsache kann man sich zunutze machen und BitLocker To Go für den Wechsel­datenträger auf einem anderen PC aktivieren.

Allerdings muss man den verschlüsselten Datenträger dann nicht zusammen mit dem Passwort an den Benutzer weitergeben. Vielmehr kann man das Laufwerk anschließend einfach formatieren. Auf dem Rechner, der noch zuvor das Verschlüsseln verweigert hat, steht nun der Befehl BitLocker aktivieren zur Verfügung.

Falls auf dem externen Speichermedium Daten enthalten sind, müsste man sie natürlich vorher sichern und nach dem Formatieren wieder wiederherstellen.