Windows 11 Verschlüsselung bei neuem System - Bitlocker noch aktuell?

[Scanda]

Hallo,

ich plane mir im Laufe des Q1 2025 ein neues Windows 11 System anzuschaffen.
Nun überlege ich mir gerade schon im Voraus ob und wie ich mein neues System schützen möchte?
Ich würde gerne, den einfachen Zugriff bei Diebstahl meines Desktop-PCs durch Dritte verhindern.

Aktuell habe ich ein Windows 11 System. Beim Start des PCs wird ein Bitlocker Passwort abgefragt. Nachdem die Systemfestplatte entschlüsselt wurde, werden auch die beiden anderen Festplatten beim Systemstart entschlüsselt.

Nun bin ich kein Experte was das ganze Thema Sicherheit und Verschlüsselung angeht.

Ist der Bitlocker (Passworteingabe vor Laden von Windows) noch so Stand der Dinge?
Was gibt es für Alternativen?

 

[BFF]

Fuer was willst Du Alternativen? Fuer Bitlocker oder die Pin/Passwort-Eingabe fuer das Entsperren vom Bitlocker?

 

[Scanda]

Für beides:

• Gibt es eine "komfortablere" Methode um Bitlocker zu entsperren?
• Gibt es Alternativen zum Bitlocker allgemein?

 

[andy_m4]

Nachdem jetzt gerade beim 38C3 erst ein Windows 11 Bitlocker bypass demonstriert wurde, finde ich es ganz witzig, das jemand fragt, wie man sein Win11-System mit Bitlocker schützen kann.

noch so Stand der Dinge?

Stand der Dinge ist, das man für sicherheitsrelevante Sachen kein Windows nimmt.

 

[gaym0r]

Stand der Dinge ist, das man für sicherheitsrelevante Sachen kein Windows nimmt.

Willst du das auch irgendwie begründen? Dass Bitlocker ohne Pre-Boot PIN unsicher ist, weiß man schon seit ewigen Jahren.

 

[DocWindows]

Ist der Bitlocker (Passworteingabe vor Laden von Windows) noch so Stand der Dinge?
Was gibt es für Alternativen?

Bei Verschlüsselungen generell soll man ja mindestens auf 2 Komponenten setzen.
Etwas das man weiß und etwas das man hat.

Bei mir sieht es so aus, dass ich einen Yubikey mit einem Teil des Passworts zur Entsperrung des Startvolumes habe und einen anderen Teil des Passworts, den ich mir merke. Beides muss vor dem Boot vorhanden sein.

Bitlocker erlaubt es aber verschiedene Maßnahmen zu einem „Key Protector“ zusammenzufassen.
Eine Übersicht gibt es hier
https://learn.microsoft.com/en-us/p...tlockerkeyprotector?view=windowsserver2025-ps
Im Absatz „Description“

 

[Nilson]

Bitlocker mit Pre-Boot Pin.
Komfortabler als eine ganzes Passwort, aber dank des Pins nicht für die Lücke von @andy_m4 anfällig. Zumindest geht das Szenario in dem Text vom "normalen" Modus aus, ohne extra Pin oder Passwort

In this mode, the harddrive is encrypted at rest but is automatically unsealed when a legit windows boots, meaning users don't need a separate decryption password.

Muss aber extra aktviert werden
https://ekiwi-blog.de/8363/bitlocker-pre-boot-bitlocker-pin-aktivieren/

 

[PC295]

Bitlocker ist nur sicher, wenn ein PIN bzw. Passwort verwendet wird.
Die erfolgreichen Angriffe auf die Verschlüsselung in der Vergangenheit betrafen TPM-only.

Sensible Daten kannst du auch in einen VeraCrypt-Container verschließen.

 

[Fluffypuff]

Kommt mir irgendwie bekannt vor, old news. Die Seite von @andy_m4 istz eine Zumutung.

Bitlocker + PIN ist die beste Wahl.

Bitlocker kann auch Container verschlüsseln, vergessen viele. Da benötigt man kein VC.

 

[mibbio]

Muss aber extra aktviert werden
https://ekiwi-blog.de/8363/bitlocker-pre-boot-bitlocker-pin-aktivieren/

Geht das in der Home Edition überhaupt oder braucht man dafür mindestens Pro mit "vollwertigem" Bitlocker? Denn die Home Edition nutzt Bitlocker ja nur in Form der "Geräteverschlüsselung", die man praktisch so gut wie gar nicht konfigurieren, sondern effektiv nur An oder Aus einstellen kann.

 

[BFF]

Stand der Dinge ist, das man für sicherheitsrelevante Sachen kein Windows nimmt.

Wer keinerlei Methode verwendet Bitlocker zu sichern ist selber Schuld.

• Gibt es eine "komfortablere" Methode um Bitlocker zu entsperren?
• Gibt es Alternativen zum Bitlocker allgemein?

SmartCard, USB-Key, per Kamera, Fingerprint?

Wir verwenden hier fuer ein paar wenige Geraete SecureDisk fuer Bitlocker zusammen mit UBI-Keys. Das ist aber nicht im Sinne von komfortabler sondern sicherer.

Alternativ kannst Du die zu schuetzenden Daten in einem Veracrypt Container unterbringen. Einen Weg an einem Passwort vorbei gibt es nicht. Weil wenn Du den Container automatisch entsperrst kannst Du es auch gleich sein lassen.

 

[Nilson]

Geht das in der Home Edition überhaupt oder braucht man dafür mindestens Pro mit "vollwertigem" Bitlocker?

Da hast du natürlich Recht, danke für die Ergänzung. Auch die Anpassung der Gruppenrichtlinien geht von Haus aus nur mit der Pro Version.

 

[Tornhoof]

Geht das in der Home Edition überhaupt

Afaik nein, in Win10 ging's definitiv nicht

 

[andy_m4]

Willst du das auch irgendwie begründen?

Naja. Windows fällt ja nun schon seit gefühlt ewig durch sicherheitsrelevante Probleme auf. Das ist ja nun wirklich nichts Neues. Und selbst bei Bugs die Microsoft bekannt sind kommt es vor, das die die weder zeitnah fixen noch ihre Kunden darüber informieren. Und das ist schlicht fahrlässiges Verhalten was sich auch nicht mehr damit entschuldigen lässt, das Fehler passieren können.
Vor allem weil Microsoft ja nicht mal ihre eigenen Systeme / Netze im Griff hat.

Wenn ich Windows so für den Hausgebrauch einsetze mag das ja noch ok sein. Aber eben nicht, wenns wirklich sicherheitsrelevant ist.

Wer keinerlei Methode verwendet Bitlocker zu sichern ist selber Schuld.

Klar. Kann man so sehen. Nur wenn ich Verschlüsselung einschalte, will ich natürlich auch, das es sicher ist (sonst brauche ich es ja nicht). Wenn ich dann noch an zusätzliche Dinge denken muss, dann ist das doch doof. Insbesondere da sich Bitlocker und Windows ja (auch) an unbedarfte Laien richtet. Von denen kann man nicht erwarten, das sie sowas im Blick verhalten. Für die gibt es nur "verschlüsselt = sicher" und "unverschlüsselt = unsicher". Und dementsprechend sollte die Funktionalität auch aufgezogen sein.

 

[Tornhoof]

Aber eben nicht, wenns wirklich sicherheitsrelevant ist.

Ich glaube du kannst das bei jedem IT System mit entsprechender Verbreitung wiederholen?

Windows ist nicht sicherer oder unsicherer als der Rest.

Was jedoch stimmt, ist dass Microsofts Politik zu dem Thema teilweise extrem zu Wünschen übrig lässt, gefühlt mehr als zb bei Apple

 

[mibbio]

Für die gibt es nur "verschlüsselt = sicher" und "unverschlüsselt = unsicher". Und dementsprechend sollte die Funktionalität auch aufgezogen sein.

Und besonders bei der Geräteverschlüsselung in der Home Edition sollte nicht die einfachste Konfiguration umgesetzt werden, sondern die möglichst sicherste. Denn gerade bei der Edition ist der Anteil der Nutzer, die sich damit nicht auskennen und/oder sich damit auch gar nicht beschäftigen wollen, am größten. Zumal man da auch gar keine Möglichkeit hat, die Verschlüsselung anders zu konfigurieren.

 

[BFF]

Wenn ich Windows so für den Hausgebrauch einsetze mag das ja noch ok sein. Aber eben nicht, wenns wirklich sicherheitsrelevant ist.

Wenn es relevant ist, benutzt man keine Home und Bitlocker wird eingerichtet.

Insbesondere da sich Bitlocker und Windows ja (auch) an unbedarfte Laien richtet.

Und was muss der Angreifer tun um etrwas zu tun? Exakt. Irgendwie vor der Kiste sitzen.
https://www.heise.de/news/38C3-BitL...-11-umgangen-ohne-PC-zu-oeffnen-10221690.html

"In diesem Modus ist die Festplatte im Ruhezustand verschlüsselt, wird aber automatisch entschlüsselt, wenn ein legales Windows gebootet wird. Lambertz zeigte bei seinem Talk live, wie ein voll aktualisiertes Windows 11 angegriffen werden kann. Dazu nutzte er Secure Boot, um zunächst einen veralteten Windows-Bootloader zu starten. Dieser "vergisst" unglücklicherweise im Wiederherstellungsmodus den Volume Master Key (VMK) im Arbeitsspeicher. Um darauf zugreifen zu können, startete der Hacker ein angepasstes Linux-System mit Secure Boot, das ihm Zugang zum Arbeitsspeicher verschaffte. Dort nutzte er wiederum eine Schwachstelle im Linux-Kernel, um die Speicherinhalte auszulesen und so den "vergessenen" VMK von BitLocker zu extrahieren. Dieses Vorgehen ermöglicht ihm, an die verschlüsselten Daten heranzukommen, ohne physischen Zugriff auf das Speichermedium."

Warum dauert es bis MS was "tut"? Weil auch die Bretthersteller gefragt sind.

"dass Microsoft die Problematik schon lange bekannt sei. Eine dauerhafte Lösung wäre, die Zertifikate für anfällige Bootloader zu widerrufen, doch der dafür reservierte Speicherplatz in der UEFI-Firmware ist begrenzt. Ab 2026 plant Microsoft, neue Secure-Boot-Zertifikate zu verteilen, was Mainboard-Hersteller zu UEFI-Updates zwingen würde."


Anyway.
Bitlocker adhoc als "unbrauchbar" darzustellen ist nicht unbedingt richtig.
Und wer sich mit Bitlocker absichern will benutzt keine Home sondern mindestens Pro.
Oder halt Veracrypt. Was aber auch, wie Bitlocker, in die Hose gehen kann.

 

[andy_m4]

Ich glaube du kannst das bei jedem IT System mit entsprechender Verbreitung wiederholen?

Das kann gut sein, das die Verbreitung (und damit die Attraktivität als Angriffsziel) eine signifikante Rolle spielt.
Aber die Gründe, warum eine Plattform unsicher ist, ist ja letztlich für die Bewertung der Sicherheit egal.

btw.: Microsoft selbst funkt ja eine Menge Daten zu sich. Also das, wovor ich mich mit Verschlüsselung eigentlich schützen will, untergräbt Windows an ganzen vielen Stellen.

Denn gerade bei der Edition ist der Anteil der Nutzer, die sich damit nicht auskennen und/oder sich damit auch gar nicht beschäftigen wollen, am größten.

Eben. Das war ja einer meiner Kritikpunkte.

Zumal man da auch gar keine Möglichkeit hat, die Verschlüsselung anders zu konfigurieren.

Genau. Das kommt noch oben drauf.

Und was muss der Angreifer tun um etrwas zu tun? Exakt. Irgendwie vor der Kiste sitzen.

Ähm ja. "Vor der Kiste sitzen" ist ja aber auch genau das Szenario, wovor mich Verschlüsselung schützen soll. Eine Verschlüsselung die mich nur schützt, wenn ich das Gerät bei mir hab und niemals aus der Hand gebe wäre ja irgendwie witzlos.

Warum dauert es bis MS was "tut"? Weil auch die Bretthersteller gefragt sind.

Ist doch auch völlig egal wer Schuld ist.

Bitlocker adhoc als "unbrauchbar" darzustellen ist nicht unbedingt richtig.

Kann man geteilter Meinung drüber sein.
Aber nehmen wir mal an, die Bitlocker-Verschlüsselung ist ok.

Wie schon gesagt: Verschlüsselung soll mich dagegen schützen, das das Gerät (oder von mir aus auch nur die Festplatte) weg kommt (Diebstahl, versehentlich liegen gelassen oder was auch immer). Das das passiert, kommt vergleichsweise selten vor.

Was dagegen täglich vor kommt ist, das man "Angriffen" aus dem Internet ausgesetzt ist. Die Gefahr das irgendeine Malware meine Daten raus trägt ist viel höher als das mein Laptop geklaut wird. Also muss das auch erst mal mit Priorität abgesichert sein (es sei denn, ich hab ein Inselsystem was niemals mit dem Internet in Kontakt kommt).

Und da ist man mit Windows schlecht aufgestellt. Erst mal das was Microsoft selber alles nach hause funkt. Dann muss man aufpassen, das man nicht in irgendwelche Microsoft-Cloud-Services versehentlich reinrutscht. Und dann halt oben drauf noch die Malwareproblematik die Windows nun schon seit Jahrzehnten(!) plagt wie kaum ein anderes System.

 

[BeBur]

Ist der Bitlocker (Passworteingabe vor Laden von Windows) noch so Stand der Dinge?

Ja, kannst du einfach nutzen.

Stand der Dinge ist, das man für sicherheitsrelevante Sachen kein Windows nimmt.

Ohne den Wahrheitsgehalt zu bewerten: Das ist topic derailing. Der TE hat seinen Usecase klar formulliert und für diesen ist Bitlocker hervorragend geeignet. Es gibt keinen Grund, hier jetzt irgendwelche Grundsatzdiskussionen zu starten.

 

[dms]

Die Seite von @andy_m4 istz eine Zumutung.

A) .. als Verlinker wird ja nicht die Seite von Jemanden du betreibst da ein Framing ...
zB "die Seite des CCC ist ja grausselig" hätte micht zB garnicht gettrigert und

B) wie bei allen Inhalten - manches ist eine Lesekompetenzübung - das ist ein Videostream mit Abstrakt - fehlen da die üblichen Youtube EInhörner.. "Grüße gehn raus an XYZ.."?

Blender, Schwurbler gibts so viele - lieber eine gefühlt "grusseliges" Seite - aber dafür Inhalt