Beim Aktualisieren des BIOS oder des Betriebssystems kann es bei Windows-Geräten, die mit BitLocker verschlüsselt sind, zu Sicherheitswarnungen kommen, sodass der BitLocker-Wiederherstellungsschlüssel benötigt wird. Für Anwender, die den Schutz ihrer Daten ernst nehmen, ist es wichtig, dass die Verschlüsselung nach einem Update intakt bleibt und im Problemfall ein Wiederherstellungsschlüssel verfügbar ist. Ebenso entscheidend ist es, regelmäßig Sicherungen der eigenen Daten anzulegen, um im Notfall auf eine gesicherte Kopie zugreifen zu können.
Viele neuere Geräte werden bereits mit aktiviertem BitLocker ausgeliefert, oft ohne dass den Anwendern dies bewusst ist. Das kann dazu führen, dass sie im Falle eines Problems keinen Zugriff auf den notwendigen Wiederherstellungsschlüssel haben und dadurch den Zugriff auf ihre Daten verlieren. Bei Geräten, die mit einem Microsoft-Konto verknüpft sind, wird der Wiederherstellungsschlüssel häufig automatisch im Konto gespeichert. Es ist ratsam, dies zu überprüfen, um im Ernstfall auf den Schlüssel zugreifen zu können.
Um sicherzustellen, dass der vorhandene Schlüssel zur richtigen verschlüsselten Festplatte gehört, kann man das Windows-Tool: manage-bde verwenden. Mit dem Befehl:
manage-bde -status lässt sich der aktuelle Verschlüsselungsstatus einsehen. Noch detailliertere Informationen erhält man mit:
manage-bde -protectors -get <Laufwerksbuchstabe>:Dieser Befehl zeigt den Wiederherstellungsschlüssel-Identifikator, den man mit dem gespeicherten Schlüssel abgleichen sollte.
Möchte man den BitLocker-Wiederherstellungsschlüssel direkt als Textdatei speichern, kann man den folgenden PowerShell-Befehl verwenden:
$protector = (Get-BitLockerVolume -MountPoint "C:").KeyProtector; Out-File -FilePath "BitLocker Recovery Key $($protector[0].KeyProtectorId).txt" -InputObject $protectorDieser Befehl exportiert den Wiederherstellungsschlüssel für das Laufwerk C: in eine Textdatei.
Windows- und BIOS-Updates können BitLocker beeinflussen, da Änderungen an den Betriebssystemkomponenten oder an der Firmware, wie Secure Boot oder dem Trusted Platform Module (TPM), dazu führen können, dass BitLocker die Systemintegrität als gefährdet ansieht und den Wiederherstellungsschlüssel anfordert. BitLocker prüft bei jedem Systemstart die Integrität des Systemzustands. Änderungen an kritischen Komponenten wie dem TPM oder Secure Boot können BitLocker dazu veranlassen, den Wiederherstellungsschlüssel anzufordern, um die Sicherheit zu gewährleisten.
Für Unternehmen empfiehlt es sich, BitLocker-Wiederherstellungsschlüssel zentral über Active Directory oder Azure Active Directory zu verwalten, um sicherzustellen, dass alle Schlüssel gesichert und bei Bedarf abrufbar sind.
Um Probleme während eines BIOS- oder Firmware-Updates zu vermeiden, kann BitLocker vorübergehend in den Suspend-Modus versetzt werden. Dabei bleibt die Festplatte verschlüsselt, aber BitLocker wird für den nächsten Neustart ausgesetzt. Dies kann über den Befehl:
manage-bde -protectors -disable C: erreicht werden. Nach Abschluss des Updates wird BitLocker automatisch wieder aktiviert oder kann manuell mit dem Befehl:
manage-bde -protectors -enable C: reaktiviert werden.
Vor größeren Systemupdates sollte man daher auf jeden Fall die BitLocker-Konfiguration überprüfen und sicherstellen, dass man über den richtigen Wiederherstellungsschlüssel verfügt.
Siehe auch: Microsoft aktiviert BitLocker automatisch