Warnung vor Bitlocker und Datenverlust

[qiller]

Hallo,

Ich möchte das Thema hier nochmal aufgreifen und explizit vor Bitlocker warnen. Wenn man hier im Forum einfach mal nach "Bitlocker" sucht, findet man mittlerweile wirklich viele Threads drüber. Windows 11 aktiviert teilweise automatisch Bitlocker! Primär hab ich dieses Problem in den Home Editionen gesehen. Ob das auch ein größeres Problem bei den Pro Editionen ist, kann ich noch nicht abschließend sagen.

Solange jeder Zugriff auf sein MS Online Konto hat o. einfach nur lokale Konten verwendet, ist das Thema nicht allzu gravierend, was den Datenverlust angeht. Man kann den Bitlocker-Wiederherstellungsschlüssel seiner verschlüsselten Partitionen aus seinem MS Konto extrahieren und die Laufwerke somit auch an anderen Rechnern (die nicht mit dem Ursprungs TPM Daten ausgestattet sind) entsperren.

Der Datenverlust tritt ein, wenn folgende Gegenheiten zusammen kommen:

• MS Online Konto für die Windows Anmeldung verwendet -> führt zur automatischen Scharfschaltung von Bitlocker (ohne MS Online Konto ist Bitlocker zwar häufig aktiviert, aber nicht scharfgeschalten)
• kein Zugriff mehr auf die TPM-Hardware (z.B. durch Hardwaretausch, UEFI-Update), dessen dort gespeicherte Schlüssel die automatische, ursprüngliche Bitlocker-Entschlüsselung veranlasste
• kein Zugriff mehr auf das MS Online Konto (PW/2FA vergessen/nicht verfügbar, Sperrung wegen Nichtnutzung/AGB Zuwiderhandlung etc.), um die Bitlocker-Wiederherstellungsschlüssel auslesen zu können
• keine manuelle Aufzeichnung der Bitlocker-Wiederherstellungsschlüssel (Ausdruck, handschriftliche Aufzeichnung, digitale Speicherung auf bitlocker-unabhängigem Speichermedium)

Bitlocker verschlüsselt übrigens auch Partitionen auf externen Laufwerken automatisch! (kein Witz, selber heute gesehen)

Spoiler: Anekdote

Ich hatte heute wieder einen Kunden vor mir stehen, der sich über Bitlocker wunderte (wusste gar nicht, was das ist). Bei ihm war Windows 11 Home installiert und die Geräteverschlüsselung aka Bitlocker automatisch aktiv. Durch die Verknüpfung mit dem MS Online Konto wude Bitlocker auch scharf geschalten. Er hatte bei der Neuinstallation von Windows 11 auch seine externen SSD-Laufwerke angeschlossen gelassen und es kam, wie es kommen musste: Es wurden nicht nur die Partitionen des internen Laufwerks verschlüsselt, sondern auch die Partitionen seines externen SSD-Laufwerks.

Daher nochmal der ausdrückliche Hinweis: Nach der Windows 11 Installation den Geräteverschlüsselungs- bzw. Bitlockerstatus zu überprüfen (Systemsteuerung->Geräteverschlüsselung bzw. manage-bde -status) und entweder die Wiederherstellungsschlüssel aufzuschreiben bzw. aus dem MS Konto auszulesen, oder, wenn eine Verschlüsselung nicht notwendig ist, Bitlocker manuell zu deaktivieren. Heise hat bzgl. Bitlocker auch eine informative FAQ zusammengestellt.

Edit: Vergessen noch auf folgenden aktuelleren Fall hinzuweisen, auch wenn dort die Umstände etwas spezieller waren.

Edit2: Und auch noch vergessen zu erwähnen: Backup, Backup, Backup!

Edit3: Hinweis zur Verschlüsselung von externen Datenträgern erstmal durchgestrichen, da nicht 100%ig klar ist, wie und wann es genau zur Bitlocker-Verschlüsselung des externen Laufwerkes kam (will hier auch keine Panik verbreiten). Tatsache ist aber, dass die Partitionen einer externen, per USB angeschlossenen SSD mit Bitlocker verschlüsselt wurde, ohne dass der Nutzer wusste, was Bitlocker ist, noch wie man es einsetzt oder konfiguriert.

 

[CoMo]

Dürfte jedem, der hier mitliest, zur Genüge bekannt sein. Wer hier mitiest, ist kein potentiell Betroffener. Wer den Thread über eine Suchmaschine findet, hat auch nichts davon, denn wer eine Suchmaschine zu dem Thema bemüht, für den ist es bereits zu spät.

 

[gimmix]

Selbst bei einer Freundin durchgemacht. Dass auch externe Laufwerke automatisch verschlüsselt werden, war mir allerdings neu.
Ich rate allen, die bei Windows bleiben wollen oder müssen, bei Neuinstallation vorher im BIOS SecureBoot auszuschalten und bei der Installation start ms-cxh:localonly einzugeben - solange das noch geht. Bei der 25H2 geht es noch, nächstes Jahr wirds damit vermutlich zu Ende sein.

 

[BFF]

Bitlocker verschlüsselt übrigens auch Partitionen auf externen Laufwerken automatisch!

Das ist mir noch nie unter gekommen.
Auch nicht wenn das externe Laufwerk NTFS formatiert war. 🤷‍♂️

 

[Questionmark]

Ma muss lediglich bei der Home Edition die Verschlüsselung deaktivieren, die insbesondere bei Notebooks teilweise automatisch aktiviert wird, Secureboot kann ruhig aktiv bleiben. Bei der pro Version passiert das übrigens nicht. Ob man sich nun unbedingt mit einem MS Konto anmelden möchte, naja...

 

[nutrix]

In Windows 11 Home gibt es keinen Bitlocker, es gibt die abgespeckte Variante names Geräteverschlüsselung.

 

[Schwabe66]

Ist Bitlocker nicht Windows X Pro only oder hat M$ das geändert?

 

[Sensei21]

Bitlocker verschlüsselt übrigens auch Partitionen auf externen Laufwerken automatisch! (kein Witz, selber heute gesehen)

das soll doch wohl ein Witz sein, oder ?

aber eigentlich genial, dass auch die Backups verschlüsselt sind (wenn man denn explizit die Verschlüsselung aktiviert).

Wie das ganze jedoch implizit aktiviert ist - ist eine Unterschämtheit - Bevormundung !

 

[coxon]

Bei meinen Installationen ist es default auf aus.
Hat schon mehr als 1x für Frust gesorgt.

Danke für die Tips.

 

[Wolfgang.R-357:]

Wenn man daran denkt, dass auch Microsoft hin und wieder Fehler passieren (eigentlich eine Untertreibung), wo man sich dann nicht anmelden kann, ist Bitlocker eine zusätzlich Attraktion die einem den Tag versaut -_-
Ich musste schon mal einen Rechner neu aufsetzen deswegen, zum Glück nur ein 0815 Zweitrechner der nicht wichtig war, aber das war dennoch nervig.
Ich rate jedem es auszuschalten, es nervt und schadet mehr als es nützen könnte.

 

[yxcvb]

Du schreibst da ziemlichen Unsinn.

Bitlocker gibt es nur bei pro und höher, nicht bei Home, dementsprechend kann es bei Home auch keine Probleme geben

Verlust bei UEFI-Update? Klar, wenn man zu blöd ist, die Warnhinweise des BIOS zu lesen, wenn man ein Update macht. Andererseits kann man auch auf die vorherige Version zurückgehen und alles ist wie immer

Wenn Bitlocker aktiviert ist, ist es auch scharfgeschaltet, nicht wie du schreibst nicht scharfgeschalten (ich weiß, das Wort ist falsch geschrieben, aber es ist deine Schreibweise)

(PW/2FA vergessen/nicht verfügbar, - tut mir leid, aber wie heißt es so schön: Kein Backup, kein Mitleid.

Ich glaube, du machst auf einer Mücke einen Elefanten, und viele leichtgläubige fallen darauf rein

 

[Arboster]

Bitlockerverschlüsselung macht schon Sinn, z. B. im Unternehmensumfeld.
Dann aber auch richtig, mit Passworteingabe oder Bitlockerstick beim Booten.

Aber wie oft lesen wir hier, dass Privatleute irgend was verschlüsselten und dann waren die Daten weg?
Also ich kann jedem nur gut raten sich das zu überlegen.

 

[qiller]

Wer den Thread über eine Suchmaschine findet, hat auch nichts davon, denn wer eine Suchmaschine zu dem Thema bemüht, für den ist es bereits zu spät.

Da wirst du zwar leider recht haben, ich möchte diese Info aber trotzdem weiter verbreiten. Vlt. kann ein Betroffener auch jemanden anderen davor warnen, in diese Falle zu tappen. Das Thema ist ja jetzt mit dem vermehrten Umstieg auf Windows 11 akuter geworden.

Ergänzung (26. November 2025)

Bitlocker gibt es nur bei pro und höher, nicht bei Home, dementsprechend kann es bei Home auch keine Probleme geben

Es ist vollkommen egal, wie MS es nennt, es ist dieselbe Technik, die dahinter steckt. Unter Windows Pro heißt es Bitlocker, unter Home halt Geräteverschlüsselung, so what.

Btw. hab ich den Punkt "Geräteverschlüsselung" auch schon bei Pro Installationen gesehen, also so genau scheint selbst Microsoft die Begrifflichkeit nicht zu nehmen.

 

[BFF]

folgenden aktuelleren Fall hinzuweisen, auch wenn dort die Umstände etwas spezieller waren.

So speziell das man sich keine Codes/Passwoerter aufbewahrt hatte plus halt auch die Aktualitaet der Mailkonten schleifen liess.

Anyway.

Der Fall aus Deiner Anekdote. Wie war die externe SSD formatiert?

 

[qiller]

Der Fall aus Deiner Anekdote.

Das ist eine externe SSD von nem Kunden gewesen, die 4 Partitionen waren wohl mit NTFS formatiert (ich durfte aber nicht reingucken, also ka was da an Daten drin war^^). Die war angeschlossen an einem MSI OEM-PC (frisch vom MM gekauft). Der Kunde hatte Windows 11 nochmal neu installiert, weil er die Partitionierung ändern wollte, und dabei die externe SSD angeschlossen gelassen. Die Recovery-Keys der Partitionen der externen SSD in seinem MS Online Konto wurde auch genau an dem Tag hochgeladen, als er das Windows 11 installierte.

 

[Baltimore]

Was hier zum Teil für ein Unsinn verbreitet wird, verschlägt einem schon den Atem!

Wenn man Pech hat, dann werden einem auch noch alle virtuellen Laufwerke verschlüsselt. Ich kriege keine Schweißausbrüche wenn das passiert, aber ich habe eine Woche damit verbracht, das Problem zu lösen.

 

[HasleRuegsau]

Hatte bereits vor 10 Jahren Probleme mit Bitlocker, plötzlich konnte kein Login mehr durchgeführt werden und die abgespeicherten Keys funktionierten nicht.... seither meide ich diesen Schrott, der 99.9% der Zeit eh keinen Nutzen bringt.

Aktuell bin ich mac User und setze gerade einen CachyOS Server und zusätzlich Gaming-Desktop auf. Windows wird bei mir bald nur noch ne Randnotiz sein.

 

[BFF]

die 4 Partitionen waren wohl mit NTFS formatiert (ich durfte aber nicht reingucken, also ka was da an Daten drin war^^).

OK. Das werde ich dann mal der Tage ausprobieren. Interessiert mich halt.
Also auf ein Notebook ein W11 Home per MCT und MS Account drauf und dabei eine externe SSD im NTFS Format angesteckt lassen.

 

[will-lee]

Ist der Bitlocker-Recovery Key nicht im MS-Konto hinterlegt, wenn man sich bei Installation damit anmeldet? Meine, ich hätte so einen Punkt vor längerer Zeit mal gesehen.

Ah ok, zumindest nicht, wenn man keinerlei Synchronisierung nutzt oder Ortungsfeatures.

 

[Samurai76]

Der Kunde hatte Windows 11 nochmal neu installiert, weil er die Partitionierung ändern wollte, und dabei die externe SSD angeschlossen gelassen.

Und genau in dem Moment hat er seine Daten verloren. Man lässt KEINE Datenlaufwerke angeschlossen. Bei keiner BS-Installation. Weil genau das dann passiert. Einfache Frage bei der Installation: Laufwerke verschlüsseln Ja/Nein. Man klickt drauf und zack ist auch eine externe ohne Wissen 'geschützt'.