BitLocker
BitLocker ist eine proprietäre Festplatten- und Volumenverschlüsselungslösung von Microsoft, die seit 2006 in bestimmten Editionen des...
BitLocker
BitLocker ist eine proprietäre Festplatten- und Volumenverschlüsselungslösung von Microsoft, die seit 2006 in bestimmten Editionen des Windows-Betriebssystems integriert ist. Die Software nutzt den Advanced Encryption Standard (AES) mit 128-Bit oder 256-Bit Schlüssellänge und schützt Daten vor unbefugtem Zugriff bei Verlust, Diebstahl oder unsachgemäßer Entsorgung von Geräten. BitLocker ist heute eines der am weitesten verbreiteten Full-Disk-Encryption-Tools in Unternehmensumgebungen.
Überblick
| Eigenschaft | Details |
|---|---|
| Typ | Full-Disk-Encryption-Software |
| Entwickler | Microsoft Corporation |
| Erstveröffentlichung | 2006 (mit Windows Vista) |
| Aktuelle Plattform | Windows 10/11 (Pro, Enterprise, Education) |
| Lizenz | Proprietär (in Windows-Lizenz enthalten) |
| Verschlüsselung | AES-128, AES-256 (XTS- oder CBC-Modus) |
| Website | learn.microsoft.com/bitlocker |
Produkte und Funktionen
BitLocker Drive Encryption
Die Hauptkomponente von BitLocker verschlüsselt komplette Festplattenpartitionen inklusive des Betriebssystem-Volumes. Die Verschlüsselung erfolgt transparent im Hintergrund und erfordert keine Benutzerinteraktion im laufenden Betrieb.
Kernfunktionen:
- Vollständige Laufwerksverschlüsselung mit AES-XTS (empfohlen) oder AES-CBC
- Integration mit Trusted Platform Module (TPM) für hardwaregestützten Schlüsselschutz
- Pre-Boot-Authentifizierung via PIN, USB-Schlüssel oder Passwort
- 48-stelliger Wiederherstellungsschlüssel für Notfallzugriff
- Unterstützung für verschlüsselte Hibernation-Dateien
BitLocker To Go
Seit Windows 7 ermöglicht BitLocker To Go die Verschlüsselung von Wechseldatenträgern wie USB-Sticks und externen Festplatten. Für Windows XP und Vista stellte Microsoft einen separaten BitLocker To Go Reader bereit.
Device Encryption
Eine vereinfachte Variante für Consumer-Geräte, die automatisch aktiviert wird, wenn das Gerät bestimmte Hardwareanforderungen erfüllt. Ab Windows 11 24H2 wird Device Encryption standardmäßig bei Neuinstallationen aktiviert.
Geschichte und Entwicklung
Ursprünge (2004–2006)
BitLocker entstand als Teil von Microsofts Next-Generation Secure Computing Base (NGSCB)-Architektur. Das Projekt trug zunächst den Codenamen „Cornerstone” und wurde kurz vor der Veröffentlichung als „Secure Startup” bezeichnet.
Windows Vista (2006)
Mit Windows Vista Ultimate und Enterprise wurde BitLocker erstmals der Öffentlichkeit zugänglich gemacht. Die initiale Version konnte ausschließlich das Betriebssystem-Volume verschlüsseln. Mit Service Pack 1 wurde die Verschlüsselung zusätzlicher Volumes ermöglicht.
Windows 7 (2009)
Die Einführung von BitLocker To Go ermöglichte erstmals die Verschlüsselung von Wechseldatenträgern. Die Mindestgröße für verschlüsselbare Volumes wurde von 1,5 GB auf deutlich kleinere Größen reduziert.
Windows 8/Server 2012 (2012)
Microsoft integrierte die Encrypted Hard Drive-Spezifikation, die Hardware-beschleunigte Verschlüsselung durch Self-Encrypting Drives (SED) ermöglicht. Zusätzlich wurde PowerShell-Management eingeführt.
Windows 10/11 (2015–heute)
Kontinuierliche Verbesserungen bei der Integration, Verwaltbarkeit und Compliance. Die Verwaltung über Microsoft Intune und SCCM wurde ausgebaut.
Windows 11 24H2 (2024)
Microsoft aktiviert BitLocker automatisch bei Neuinstallationen – auch in der Home-Edition. Die Hardware-Anforderungen wurden reduziert (HSTI und Modern Standby nicht mehr erforderlich). Mit dem September-2025-Update kommt Hardware-beschleunigte BitLocker-Verschlüsselung, die kryptografische Operationen auf dedizierte Hardware-Engines auslagert und bis zu 70% weniger CPU-Last verursacht.
Team und Führung
BitLocker wird vom Windows Security Team bei Microsoft entwickelt und gepflegt. Bekannte Teammitglieder sind:
- Tony – Program Manager für System Integrity im Windows Security Team
- Xian – Program Manager im System Integrity Team
- Manoj Sehgal – Senior Support Engineer in der Windows-Gruppe
- Niels Ferguson – Kryptografie-Experte, der öffentlich gegen Backdoors in BitLocker Position bezogen hat
Eigentümer
BitLocker ist ein integraler Bestandteil von Microsoft Windows und wird vollständig von der Microsoft Corporation entwickelt und vertrieben. Es ist keine separate Lizenzierung erforderlich; die Software ist in den folgenden Windows-Editionen enthalten:
- Windows Vista Ultimate/Enterprise
- Windows 7 Ultimate/Enterprise
- Windows 8/8.1 Pro/Enterprise
- Windows 10/11 Pro/Enterprise/Education
- Windows Server (2008 und neuer)
Sicherheitsaspekte
Bekannte Schwachstellen
| CVE | Jahr | Beschreibung |
|---|---|---|
| CVE-2023-21563 (Bitpixie) | 2022 | PXE Soft-Reboot-Fehler ermöglicht Downgrade-Angriff |
| CVE-2024-38058 | 2024 | Security Feature Bypass (Fix wegen Firmware-Problemen deaktiviert) |
| CVE-2025-21210 (CrashXTS) | 2025 | Kryptografischer Angriff auf Hibernation-Dateien |
| CVE-2025-21213 | 2025 | Secure Boot Bypass über bootmgr |
TPM-Sniffing
Externe TPM-Module (discrete TPM) sind anfällig für Sniffing-Angriffe über die SPI-Schnittstelle. Ein Raspberry Pi Pico kann den BitLocker-Schlüssel in unter 43 Sekunden auslesen. Firmware-TPM (fTPM), das in der CPU integriert ist, ist gegen diese Angriffe geschützt.
Empfohlene Schutzmaßnahmen
- Pre-Boot-Authentifizierung mit PIN aktivieren
- fTPM anstelle von externem TPM verwenden
- Regelmäßige Sicherheitsupdates installieren
- Physischen Zugang zu Geräten einschränken
Compliance und Enterprise-Einsatz
BitLocker unterstützt Unternehmen bei der Einhaltung regulatorischer Anforderungen:
| Standard | Erfüllung mit BitLocker |
|---|---|
| HIPAA | AES-256 erfüllt Verschlüsselungsanforderungen für ruhende Daten |
| GDPR | Mit AES-256 und Key-Management GDPR-konform |
| PCI DSS | Eingeschränkt (TPM-only ohne PIN ist nicht konform) |
| FIPS 140-2 | Ja, mit entsprechender Konfiguration |
| SOC 2 | Unterstützt Verschlüsselungskontrollen |
Enterprise-Management
- Microsoft Intune – Cloud-basierte BitLocker-Verwaltung
- SCCM/MECM – On-Premises-Management mit Reporting
- Azure AD/Entra ID – Automatische Schlüsselhinterlegung
- Group Policy – Zentrale Richtliniensteuerung
Konkurrenz
Open-Source-Alternativen
| Produkt | Plattform | Besonderheiten |
|---|---|---|
| VeraCrypt | Windows, macOS, Linux | Container-Verschlüsselung, Hidden Volumes |
| LUKS/dm-crypt | Linux | Standard-FDE für Linux, bis zu 8 Schlüssel-Slots |
Proprietäre Alternativen
| Produkt | Hersteller | Plattform |
|---|---|---|
| FileVault 2 | Apple | macOS |
| Symantec Encryption | Broadcom | Windows, macOS |
| Sophos SafeGuard | Sophos | Windows, macOS |
| McAfee Drive Encryption | Trellix | Windows |
| Kaspersky Endpoint | Kaspersky | Windows |
Vergleich
| Merkmal | BitLocker | VeraCrypt | FileVault 2 | LUKS |
|---|---|---|---|---|
| Open Source | Nein | Ja | Nein | Ja |
| Container-Verschlüsselung | Nein | Ja | Nein | Ja |
| Hidden Volumes | Nein | Ja | Nein | Nein |
| Cross-Platform | Nein | Ja | Nein | Nein |
| TPM-Integration | Ja | Indirekt | Ja | Ja |
| Kosten | In Windows enthalten | Kostenlos | In macOS enthalten | Kostenlos |
Quellen
- BitLocker Overview – Microsoft Learn
- BitLocker – Wikipedia (EN)
- BitLocker FAQ – Microsoft Learn
- Was ist BitLocker? – Security Insider
- Was ist BitLocker? – heise online
- Windows 11 24H2: BitLocker wird zum Standard – WinFuture
- 38C3: BitLocker über Schwachstellen ausgehebelt – Born’s Blog
- BitLocker vs Other Encryption Tools – BitTruster
- BitLocker and HIPAA Compliance – M3 Data Recovery
- Comparison of disk encryption software – Wikipedia
Kommentare werden geladen...