Verschlüsselung ist ein wichtiges Thema in der IT-Sicherheit und schützt die eigenen Daten vor unerlaubtem Zugriff. Zudem ist sie an der WWU Münster für dienstliche Mobilgeräte und mobile Datenträger bald obligatorisch. Für von der IVV5 verwaltete Windows-Rechner (Arbeitsplatzrechner und Laptops) mit TPM-Modul wird die Laufwerkverschlüsselung seit dem 01.10.2019 (Laptop) bzw. 15.11.2019 (Desktop) im Rahmen der Rechnerinstallation aktiviert. Der Schlüssel wird sicher gemeinsam mit dem Rechnerobjekt im Active Directory der IVV5 gespeichert, welcher nur von wenigen Personen nach einer Mehrfaktorauthentifizierung gelesen werden kann. Diese Anleitung richtet sich an Nutzer*innen, deren Rechner vor den genannten Daten installiert wurden oder über kein TPM-Modul verfügen. Es wird beschrieben, wie man unter IVV5-verwalteten Rechnern oder eigenverwalteten Windows-Rechnern die Laufwerkverschlüsselung mittels BitLocker einrichtet. Des Weiteren wird beschrieben, wie man BitLocker auf Wechseldatenträgern für IVV5- oder eigenverwaltete Windows-Geräte einrichtet.

Um C und D zu verschlüsseln muss zunächst das Softwarecenter gestartet werden.

Im Softwarecenter muss man dann auf den Eintrag „Bitlocker einrichten“ bzw. „Bitlocker einrichten (ohne TPM)“ klicken. Exemplarisch wird hier das Vorgehen bei „Bitlocker einrichten“ gezeigt. Das Vorgehen bei „Bitlocker einrichten (ohne TPM) ist allerdings gleich.
Wenn „Bitlocker einrichten (ohne TPM)“ angezeigt wird, benötigen Sie einen USB-Stick. Dieser wird für die Abspeicherung des Startschlüssels verwendet, da kein Trusted Platform Module in Ihrem Laptop vorhanden ist. Für die Abspeicherung des Startschlüssels wird der erste erkannte USB-Stick verwendet. Der Startschlüssel wird dabei als versteckte .bek-Datei auf dem USB-Stick abgelegt. Es werden dabei keine Daten gelöscht! Nach der Verschlüsselung muss für das Starten des Laptops der USB-Stick mit dem Startschlüssel eingesteckt sein. Der Startschlüssel kann nachträglich auch auf andere USB-Sticks kopiert werden. Wenden Sie sich in diesem Fall bitte an die IVV5.
Danach öffnet sich eine neue Seite. Falls kein Eintrag gefunden werden kann wenden Sie sich bitte an die IVV5.

Hier nun auf „Installieren“ klicken. Der Verschlüsselungsvorgang startet sofort. Sie können allerdings ganz normal weiterarbeiten bis der Vorgang abgeschlossen ist. Es ist hinterher auch kein Neustart vonnöten.

Die Verschlüsselungsdauer ist u.a. abhängig von der Größe des verwendeten Laufwerks. Bitte während der Verschlüsselung die Netzwerkverbindung aufrecht erhalten.

• Als erstes sucht man in der Windows-Suchleiste nach der „Systemsteuerung“ und öffnet diese.

• Im Fenster der Systemsteuerung navigiert man jetzt zu „System und Sicherheit“.

• Dann den Menüpunkt „Bitlocker-Laufwerkverschlüsselung“ auswählen.

• In den Bitlocker-Einstellungen klickt man nun auf „Bitlocker aktivieren“.

• Falls Sie diese Fehlermeldung nicht erhalten, machen Sie bitte mit Schritt 11 weiter.
• Diese Fehlermeldung taucht auf, da Ihr Gerät nicht über ein TPM-Modul verfügt, was höhere Sicherheit gewährleistet.

• Um die Fehlermeldung umgehen zu können, suchen Sie in der Windows-Suchleiste nach „Ausführen“ und öffnen Sie diese App.

* Geben Sie im Ausführen-Dialog „gpedit.msc“ ein und klicken Sie anschließend auf OK.

• Im Editor für lokale Gruppenrichtlinien navigieren Sie zu „Computerkonfiguration“ → „Administrative Vorlagen“ → „Windows-Komponenten“ → „Bitlocker-Laufwerkverschlüsselung“ → „Betriebssystemlaufwerke“.
• Klicken Sie nun auf den Eintrag „Zusätzliche Authentifizierung beim Start anfordern“.

• „Aktivieren“ Sie die Gruppenrichtlinie.
• Setzen Sie das Häkchen bei „Bitlocker ohne kompatibles TPM zulassen“.
• Wählen Sie bei TPM-Start konfigurieren „TPM nicht zulassen“ aus.

• Führen Sie nun wieder Schritt 4 durch, wodurch anschließend folgendes Fenster erscheint:

• Ohne ein TPM-Modul muss ein Passwort eingegeben oder ein USB-Stick beim Starten des Geräts eingesteckt werden. Wählen Sie Ihre bevorzugte Methode.
• Anschließend werden Sie entweder um die Eingabe eines Passwortes gebeten oder um das Auswählen eines USB-Sticks.

• Hier wählen Sie Ihre favorisierte Methode, wie der Wiederherstellungsschlüssel gesichert werden soll.

Achtung: Verlieren Sie den Schlüssel nicht; Ohne diesen kann Ihr Gerät unbrauchbar werden, falls Sie es nicht anderweitig entsperren können.

• Wählen Sie hier Gesamte Laufwerk verschlüsseln aus. Die Verschlüsselung arbeitet im Hintergrund, sodass die Zeitdauer eigentlich irrelevant ist. Sie können ganz normal weiterarbeiten.

• Wählen Sie im nächsten Fenster am besten die neue Verschlüsselungsmethode aus.

• Falls das Kästchen bei „Bitlocker-Systemüberprüfung ausführen“ noch nicht ausgewählt ist, wählen Sie es bitte aus.
• Wenn Sie jetzt auf Weiter klicken startet die Verschlüsselung und Ihr Gerät wird neugestartet.

Ihr Rechner ist nun mit BitLocker verschlüsselt.

Mit Bitlocker To Go kann man Wechseldatenträger, wie USB-Sticks und -Festplatten, verschlüsseln und mit einem Kennwort schützen. Das Speichermedium muss im Format NTFS, FAT32, FAT oder exFAT formatiert sein!
Falls Sie Ihre USB-Wechseldatenträger verschlüsseln und dazu plattformübergreifend (Windows, Linux, macOS) nutzen wollen empfiehlt sich die Nutzung von VeraCrypt, das im Softwarecenter verfügbar ist.

Zunächst muss die „BitLocker-Laufwerkverschlüsselung“ gestartet werden. Im unteren Bereich des Fensters werden alle Wechseldatenträger unter „Wechseldatenträger - BitLocker To Go“ angezeigt. Dort klickt man hinter dem zu verschlüsselnden Datenträger auf „BitLocker aktivieren“. In dem aufkommenden Fenster markiert man die Option „Kennwort zum Entsperren des Laufwerks verwenden“ und legt dann ein Passwort fest. Nachfolgend kann man sich den Wiederherstellungsschlüssel ausdrucken lassen oder in einer Datei an einem sicheren Ort speichern (z.B. in einem verschlüsselten Cryptomator-Container auf dem H-Laufwerk). Mit diesem Schlüssel kann man den Datenträger entsperren, auch wenn man das Passwort vergessen hat. Man kann den gesamten oder nur den verwendeten Speicherplatz verschlüsseln lassen. Ersteres ist bei bereits in Benutzung befindlichen Wechseldatenträgern zu empfehlen. Für neue Wechseldatenträger reicht es, wenn man nur den verwendeten Speicherplatz verschlüsselt. Mit dem Klick auf „Verschlüsselung starten“ wird die Verschlüsselung des Datenträgers gestartet. Die Dauer des Vorgangs richtet sich nach der zu verschlüsselnden Datenmenge sowie der Geschwindigkeit des Datenträgers und des Computers.

Der Datenträger muss an den PC oder Laptop angeschlossen werden. Im Windows-Explorer einen Rechtsklick auf den zu entsperrenden Datenträger machen und dort die Option „Laufwerk entsperren“ auswählen. Anschließend wird man aufgefordert das Passwort einzugeben. Der Datenträger ist danach für die Verwendung entsperrt.

Hier noch einmal der Hinweis, dass Sie den Wiederherstellungsschlüssel außerhalb des Rechners sicher aufbewahren sollten.