Bitlocker: Datenverlust nach Windows-Neuinstallation?

[Pharos]

Hallo zusammen,

Ich benötige dringend Unterstützung, komme selbst nicht mehr weiter. Mir fehlt leider das Wissen, um einschätzen zu können, ob das Kind schon im Brunnen ist. Folgende Situation:

Ich habe zwei SSD. Diese sind partitioniert in C: und D:. Auf C: liegt die WIndows-Installation. Auf D: alles andere. Beide SSD sind vollständig mit Bitlocker verschlüsselt. Dabei habe ich einfach nur Bitlocker aktiviert und in dem Moment kein Passwort eingegeben. Das scheint also über den TPM-Chip stattzufinden.

Jetzt habe ich auf Laufwerk C: komplett alle Partitionen gelöscht, formatiert und Windows 11 installiert. Vorher war noch Windows 10 im Einsatz.

Allerdings verlangt Windows 11 jetzt ein Passwort zum Entsperren von Laufwerk D:. Mir ist kein Passwort bekannt. Habe zwar die Start-PIN für das Windows 10 System aktiviert, aber das sollte doch keine Auswirkung auf D: haben, oder? Und die PIN funktioniert auch nicht bei der Passwortabfrage von BitLocker unter Windows 11.

Ich bin mir zu 99% sicher, dass ich kein separates Passwort bei Bitlocker für D: gesetzt habe. Kann man das überhaupt, wenn es nicht das Startlaufwerk ist? Musste jedenfalls nie etwas eingeben zum Einbinden und die Verschlüsselung lief über TPM.

Der Wiederherstellungschlüssel ist nicht vorhanden. MS Account wurde nicht genutzt, lokales Konto, kein Backup.

Habe ich über meinen TPM Chip eine Möglichkeit, das Laufwerk zu entsperren? Sollte ich nochmal Windows 10 installieren?

Habe etwas laienhaft rumprobiert. manage-bde -protectors -get D: gibt mir Kennwort (ID), numerisches Kennwort (ID), und zwei externe Schlüssel aus. Was bedeutet das?

Es sind wichtige Daten auf dem Laufwerk. Unabhängig vom Ergebnis: Dass ich - diplomatisch ausgedrückt - ziemlich fahrlässig gehandelt habe, ist mir bewusst. Bitte reitet nicht zu viel darauf herum.

Für jegliche Hilfe bin ich dankbar.

 

[nutrix]

Verloren, keine Chance, weil Du die Ursprungspartition mit Infos, die noch irgendwie hätte Informationen enthalten können, gelöscht hast. Du kannst die Daten darauf abschreiben, sie sind nicht mehr wieder herstellbar.

 

[BlubbsDE]

Allerdings verlangt Windows 11 jetzt ein Passwort zum Entsperren von Laufwerk D:. Mir ist kein Passwort bekannt.

Dann hast Du nicht so richtig gelesen, als Du die Bitlocker Verschlüsselung eingerichtet hast. Und den Assistenten nicht beachtet. Der zwingt Dich dazu, den Recovery Key auszudrucken oder zu speichern. Wenn Du das nicht gemacht hast, dann kommst Du an die Daten nicht mehr dran.

 

[kartoffelpü]

TPM + Bitlocker funktioniert nur mit der OS-Disk, wenn ich mich richtig erinnere. Also müsstest du bei Einrichtung den Recoverykey gespeichert/gedruckt haben oder mindestens in der Eingabeaufforderung gehabt haben.

Wenn du davon nichts mehr hast, wirst du nicht mehr ran kommen.

 

[Skudrinka]

Es sind wichtige Daten auf dem Laufwerk.

Dann das Backup einspielen..


Ich weiß ich weiß, die ewige Leier.
Aber wenn Daten wichtig sind, hat man mindestens 2 Kopien von denen.
Denn auch ein Datenträger kann von jetzt auf gleich einfach so ausfallen und bei SSDs ist da nichts mehr mit Datenrettung.

 

[BFF]

Habe zwar die Start-PIN für das Windows 10 System aktiviert, aber das sollte doch keine Auswirkung auf D: haben, oder?

Doch. Das Passwort oder PIN fuer C: macht im OS auch das D: auf.

Aber ganz eigentlich haettest Du bei der Verschluesselung Recovery-Keys abspeichern/drucken sollen.
Sind die nicht da ist alles auf den Datentraegern nicht mehr zugaenglich.

 

[nutrix]

Dann das Backup einspielen..

Er hat keines, daher bringt es rein gar nichts, das nochmal zu erwähnen.

Was ich nicht verstehe: Sobald man Bitlocker einsetzt, wird gleich darauf hingewiesen, den Recoverykey zu Drucken und zu sichern. Warum ignoriert man so etwas?

 

[Pharos]

Wow... Danke für die zahlreichen Antowrten. Das Backupkonzept für die Zukunft steht schon.

Verstehe nur halb wie das mit TPM läuft. der Key müsste doch auf meinem "TPM-Chip" gespeichert sein, dachte ich?

Bitlocker fragt jedenfalls tatsächlich ein Passwort ab. Optional den nicht vorhandenen Wiederherstellungsschlüssel. Aber eben nur optional.

Wir der Schlüssel für Bitlocker nciht auf dem TPM Chip gespeichert?

 

[BlubbsDE]

Was ich nicht verstehe: Sobald man Bitlocker einsetzt, wird eindringlich darauf hingewiesen, den Recoverykey zu Drucken und zu sichern. Warum ignoriert man so etwas?

Noch mehr. Man kann den Assistenten nicht erfolgreich beenden, wenn man eines der beiden Dinge nicht gemacht hat.

 

[Marco01_809]

Wenn du BitLocker mit TPM nutzt dann ist der Key ausschließlich in dem TPM gespeichert. Und diese Sicherheitschips sind nicht gerade nutzerfreundlich und transparent. Allerlei Änderungen am System, Hardware und BIOS können dazu führen dass der TPM den Rechner nicht mehr wiedererkennt und den Key nicht mehr herausgibt. Spätestens wenn du das Betriebssystem wechselst, also einen völlig anderen Bootloader installierst ist vorbei.

Ja, der Key ist auf dem TPM gespeichert. Aber das TPM kann überschrieben werden - vermutlich passiert das während einer Windows-Installation. Davon ab gibt der TPM den Key aber sowieso nur raus wenn das System noch das "gleiche" ist, d.h. BIOS, Secure Boot Einstellungen, Bootloader-Hash u.s.w. stimmen überein.
Aber die genauen Kriterien sind schwer zu finden und nachzuvollziehen. Ausführlicher habe ich dazu mal hier geschrieben.

Daher würde ich mich NIE auf den TPM verlassen. Mindestens den Recovery Key gut aufheben. Ich persönliche habe BitLocker per Gruppenrichtlinien gar verboten den TPM zu nutzen und habe stattdessen ein langes Passwort.

 

[BlubbsDE]

Verstehe nur halb wie das mit TPM läuft. der Key müsste doch auf meinem "TPM-CHip" gespeichert sein, dachte ich?

Nein. Wenn sich Dinge ändern, Du zb Windows neu installiert dann funktioniert das nicht mehr. Und Du brauchst den Recovery Key. Der immer gesetzt wird. Und den Du ignorierst hast.

 

[nutrix]

Verstehe nur halb wie das mit TPM läuft. der Key müsste doch auf meinem "TPM-Chip" gespeichert sein, dachte ich?
:
Wir der Schlüssel für Bitlocker nciht auf dem TPM Chip gespeichert?

TPM hilft lediglich, einen sicheren Schlüssel zu erzeugen, mehr nicht. Er speichert gar nichts. Es ist ein vertrauenswürdiger Verschlüsselungshelfer, der kaum kompromittiert werden kann (außer man hat direkt Zugang zum System selbst).

Der Schlüssel wird von Microsoft bzw. Windows oder Linux dann selbst gespeichert.

 

[Pharos]

Bootloader-Hash

Das ist wahrscheinlich der Knackpunkt. Aber müsste eine Neuinstallation von Windows 10 dann nicht genau denselben Bootloader Hash ergeben, bei selber Hardware und Konfig. und ist tatsächlich hat tatsächloich jede Windowsinstallation einen eindeutigen Hash, der im TPM überschrieben wird?

 

[Skudrinka]

Deine Daten sind verloren.
Das wirst du akzeptieren müssen.

Aber müsste eine Neuinstallation von Windows 10 dann nicht genau denselben Bootloader Hash ergeben

Wo würde dann die Sicherheit bleiben?
So funktioniert das nicht.

 

[Pharos]

Und Du brauchst den Recovery Key. Der immer gesetzt wird. Und den Du ignorierst hast.

Nicht ignoriert... Auf dem Laufwerk selbst gespeichert. Gut... Ich glaube, ich habe es kapiert. Gehe mir die Hände bügeln.

Besten Dank für die Antworten

 

[BlubbsDE]

Aber müsste eine Neuinstallation von Windows 10 dann nicht genau denselben Bootloader Hash ergeben, bei selber Hardware und Konfig.

Nein, nein, nein. Oft reicht zB schon ein Bios Update aus was Bitlocker dazu veranlasst, den Recovery Key haben zu wollen.

Deine Nachfragen bringen nichts. Die Daten sind weg. Du hast Schutzmaßnahmen dagegen gekonnt komplett ignoriert.

 

[Skudrinka]

Auf dem Laufwerk selbst gespeichert.

Das ist doof

 

[BFF]

Nein. Die Installation ist neu und wuerde einen neuen Hash weil u.U. Datum/Zeit der Erstellung eine Rolle spielen. @Pharos

Anyway.
Finde Dich damit ab das Du ohne die Recoverys nicht an das ran kommst was da mal auf den Datentraegern war.

 

[Pharos]

Nein. Die Installation ist neu und wuerde einen neuen Hash weil u.U. Datum/Zeit der Erstellung eine Rolle spielen. @Pharos

Das ergibt Sinn, hat meinem Verständnis geholfen. Zumindest das kann ich in dem Zuge ja noch etwas schärfen. Unabhängig von Maßnahmen für die Zukunft.

 

[Marco01_809]

Das ist wahrscheinlich der Knackpunkt. Aber müsste eine Neuinstallation von Windows 10 dann nicht genau denselben Bootloader Hash ergeben, bei selber Hardware und Konfig.

Halte ich für aussichtslos. Hier stößt mein Wissen über TPM und BitLocker auch an seine Grenzen. In dem TPM wird nicht für jede Festplatte gezielt ein Key aufbewahrt. Der TPM liefert lediglich den Storage Root Key (SRK) aus dem die echten Keys für die BitLocker-Volumes abgeleitet werden. Wie der SRK zustande kommt (bzw. ob man den gleichen SRK wieder kriegen kann wenn alle PCRs wieder stimmen) bin ich überfragt.