Geräteverschlüsselung unter Win 10 Home & Win Nutzerpasswort

1. Zu welchem Zeitpunkt ist denn die Festplatte genau entschlüsselt? Bereits nach dem TPM Check, oder erst nach der Eingabe meines Windows-Passworts?

Die Festplatte wird gar nicht "entschlüsselt". Die Verschlüsselung bleibt ständig aktiv. Es wird nur der Schlüssel genutzt, um "aufzuschließen". Der Schlüssel ist dabei das TPM. Also sobald das System bootet, ist die verschlüsselte Partition aufgeschlossen. Einen Unterschied zwischen System und Daten macht Windows da nicht, es wir die Partition an sich aufgeschlossen. 

Ab dem Zeitpunkt des Boots hängt also die Sicherheit des Systems an deinem Windows Anmeldepasswort. Solange das niemand überwindet, kommt auch niemand an die Daten.

Sinnvoll dazu ist ein Passwort fürs BIOS-Setup und dort die Einstellung, dass nur von der HDD (BIOS) bzw. nur der Windows Boot Manager (UEFI) gestartet wird. Bei den typischen Homeuser Geräten sorgt aber meist ein Entfernen der BIOS Batterie auch zum Verlust dieser Einstellungen. Aus genau dem Grund ist ein zusätzliches BIOS-Power-On-Passwort auch meist nicht sinnvoll. 

Ich hab zu wenig mit Home-Systemen zu tun. Bei Pro ist das möglich, die Einstellungen der Verschlüsselung zu ändern, indem man halt entschlüsselt und dann mit neuen Einstellungen wieder verschlüsselt. Der normale Bösewicht dürfte aber an 128-bit AES schon verzweifeln.

Die Geräteverschlüsselung unter Windows 10 entspricht technisch Bitlocker, nur die Einrichtung ist abgespeckt.

Damit das System booten kann, muss die Bootpartition natürlich "aufgeschlossen" werden. Dies passiert anhand des Schlüssels im TPM.

Hallo,

zu 1. Du musst unterscheiden zwischen dem System (das wird beim Booten per TPM-Schlüssel entschlüsselt -> extra Startpartition) und den Nutzerdaten - letztere werden erst bei der korrekten Anmeldung entschlüsselt.

Bitlocker ist aber nur eine Verschlüsselungsmöglichkeit. Viele SSD enthalten zusätzlich noch eine interne Verschlüsselung (die man in der Regel im BIOS/UEFI einschalten muss). Diese hilft gegen den Datendiebstahl, wenn die SSD ausgebaut wird.

Nicht nur bei Diebstahl, auch an Staatsgrenzen gilt: Prinzipiell kann man, wenn man physischen Zugang zum Gerät hat, damit alles anstellen. Es ist nur eine Frage der Kenntnisse und Werkzeuge (also des Aufwandes) des ausführenden. Hier sollte man zusätzlich das Starten des Gerätes durch ein BIOS/UEFI-Passwort sperren - aber Achtung! Hat man das Passwort vergessen, kann man den Rechner auch nicht starten! Auch sollte man - gerade bei Auslandsreisen - peinlich darauf achten, welche Daten überhaupt während der Reise auf dem Rechner sind und auch die zusätzlichen, von manchen Geräten [Surface!] gebotenen Möglichkeiten zur Abschaltung von Kontaktmöglichkeiten [USB-Ports, Audio-Ports, Kamera, Netzwerk etc.) nutzen.

Bei Gerätediebstählen geht es meist nicht um die Daten, sondern um das Gerät an sich - dieses wird meist einfach neu aufgesetzt, wenn man das nicht durch ein BIOS/UEFI-Kennwort verhindert hat...

zu 2. Nein, bei Windows HOME ist die Verschlüsselung vorgegeben und lässt sich nicht ändern.

Viele Grüße

Holger Schulz

Vielen Dank, Ingo! Sehr hilfreich - die Information findet man online sonst nicht so klar!

1. Zu welchem Zeitpunkt ist denn die Festplatte genau entschlüsselt? Bereits nach dem TPM Check, oder erst nach der Eingabe meines Windows-Passworts?

Ich möchte verstehen, inwiefern sich ein möglicher Villian mit physischem Zugang zum System (z.b. durch Diebstahl) Zugang zu meinen Daten verschaffen kann.

2. Lässt sich die Verschlüsselung unter home von 128bit auf 265 AES umstellen?

Vielen Dank schon einmal!

VG

Frederic