Bitlocker Go ist eine wichtige Schutzfunktion in Windows: Sie verschlüsselt externe Festplatten, USB-Sticks und Speicherkarten, sodass wir diese beruhigt mit uns herumtragen können. Denn selbst wenn wir sie verlieren sollten, fallen die dort gespeicherten Daten nicht in fremde Hände, weil sie ohne das Passwort nicht zugänglich sind.
Heute geht es in diesem Beitrag um eine Komfort-Funktion: Bitlocker-Laufwerke müssen bei jedem Anstöpseln mittels Passwort entsperrt werden. Bei Medien, die häufig eingesetzt werden, wird das schnell lästig. Oder es führt dazu, dass automatische Abläufe wie Datensicherungen nicht stattfinden können. Darum gibt es die Möglichkeit, die Laufwerke automatisch zu entsperren. Die wiederum funktioniert nicht immer – und für den Fall, dass Windows ein Bitlocker-Go-Laufwerk nicht automatisch entsperrt, obwohl das so eingerichtet ist, habe ich hier in diesem Beitrag eine Lösung.
Die Risiken und Nebenwirkungen
Doch bevor wir dazu kommen, noch vier grundsätzliche Tipps, wie wir Bitlocker einrichten und verwenden:
Erstens sollten Laufwerke nicht verschlüsselt werden, wenn sie mit anderen Systemen als Windows benutzt werden. Die unterstützen Bitlocker nicht, bzw. nur mit Zusatzsoftware. Es gibt Bitlocker Anywhere für Mac und Linux für zwanzig US-Dollar. (Ausprobiert habe ich die bislang nicht.)
Zweitens kann Bitlocker nur mit den Pro-, Enterprise- und Education-Editionen von Windows 10 und 11 eingerichtet werden. Das Lesen ist allerdings auch mit der Home-Version möglich. Darum können Datenträger, die mit einer Pro-Version verschlüsselt worden sind, dann auch via Home benutzt werden. Es gibt das erwähnte Bitlocker Anywhere auch für Windows, womit sich die Home-Versionen nachrüsten lassen. Und mit Veracrypt gibt es auch eine offene Alternative für Windows, den Mac und Linux.
Drittens: Wie verwendet man es? Am einfachsten, indem wir bei der Windows-Suche (⊞s) Bitlocker eintippen und die Fundstelle Bitlocker verwalten anklicken. Wir landen in der alten Systemsteuerung, wo wir die Verschlüsselung fürs Systemlaufwerk und für die angeschlossenen Wechseldatenträger aktivieren. Während des Einrichtens können wir entweder ein Kennwort oder eine Smartcard zum Entsperren eingeben.
Und viertens: Wir können Bitlocker auch für virtuelle Laufwerke verwenden, in denen geheime Daten extra verschlüsselt gespeichert werden sollten. Das erkläre ich im Beitrag Ein sicheres Datenversteck.
Schnell und komfortabel entsperren
Wenn wir ein Bitlocker-verschlüsseltes Laufwerk anhängen, erscheint ein Dialog zum Entschlüsseln. Hier haben wir unter Weitere Optionen die Möglichkeit, die Option Auf diesem PC automatisch entsperren einzuschalten: Sie sorgt dafür, dass das Laufwerk ohne Eingabe des Passworts zur Verfügung steht.
Wie eingangs erwähnt, hat das allerdings bei einigen Laufwerken bei meinem Computer nicht mehr funktioniert: Egal, wie oft ich das Passwort eingegeben und die Option zum automatischen Entsperren auch angekreuzt habe; ich musste dennoch jedes Mal das Passwort eintragen. Nervig!
Als gestandener Windows-Nutzer beschleicht uns an dieser Stelle die Vermutung, dass sich dieses Problem via Registry lösen lassen sollte. Das ist eine Datenbank, in der Windows alles abspeichert – und unser Verdacht ist richtig, dass dort auch die Schlüssel zum automatischen Entsperren gespeichert sind.
Und die gute Nachricht ist: Es ist tatsächlich so. Und es hilft, die dort gespeicherten Schlüssel zu löschen. Daraufhin werden sie beim nächsten Entsperren mit Passworteingabe neu angelegt, woraufhin die automatische Entsperrung funktioniert – warum auch immer dort nicht mehr aktuelle Informationen gespeichert waren.
Probleme mit der Entsperrung beheben
Also, wir verwenden die Windows-Suche mit der Eingabe Regedit, um den Registrierungs-Editor zu starten. Dann begeben wir uns zum Ast Computer\Hkey_current_user\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock. Hier finden wir für jedes automatisch zu entsperrende Laufwerk einen Eintrag in geschweiften Klammern, der z.B. {a341c652-…} lautet. Da sich nicht ermitteln lässt, welcher Eintrag für welches Laufwerk steht, kommen wir nicht umhin, alle Einträge unterhalb des Asts FveAutoUnlock zu löschen. Das bringt es mit sich, dass wir für alle Laufwerke die Passwörter neu eingeben müssen – woraufhin es aber auch wieder für alle klappt.
Übrigens scheint mir dieser Weg über die Registry die einzige Methode zu sein, um die automatische Entsperrung zu beenden, was aus Sicherheitsgründen natürlich sinnvoll sein kann.
Bitlocker: Ihre mobile Festplatte hat sie beim letzten Rastplatz vergessen. Doch eine Gefahr für die Daten ist das nicht, weil sie verschlüsselt ist (Nathan Dumlao, Unsplash-Lizenz).