Freigeben über

Bitlocker USB-Key wird nicht zum Entsperren verwendet

DominikW 0 Zuverlässigkeitspunkte
2025-08-10T10:07:41.71+00:00

Hallo, ich verwende auf meinem HP Notebook Bitlocker. Großteils verwende ich es zuhause an einem USB-C Dock, manchmal aber auch portabel. Die reine Absicherung über das TPM + Windows-Anmeldung ist mir eigentlich etwas unsicher, weswegen ich TPM + PIN bevorzugen würde. Allerdings wäre es wünschenswert, wenn ich zuhause an meinem USB-C Dock nicht die PIN eingeben müsste. Eine Lösung für dieses Problems ist, zusätzlich einen USB-Key einzurichten und diesen an das Dock anzuschließen. Mit meinem alten Dell Notebook hat dies auch einwandfrei funktioniert. Leider mit meinem neuen HP Notebook nicht mehr. Selbst wenn ich den USB-Key direkt an das Notebook anschließen und neustarte, wird der USB-Key nicht gelesen (LED des Sticks blinkt nicht) und es erscheint die Abfrage der PIN. Breche ich dies durch mehrfaches Drücken von ESC ab, erscheint irgendwann die Option, nach USB-Keys suchen zu lassen. Wenn ich dies ausführe, wird der USB-Key auch tatsächlich gefunden und für korrekt befunden, allerdings Bitlocker nicht entsperrt, sondern nur ein Neustart angeboten und das Ganze beginnt von vorne. Ich habe schon verschiedene Dinge ausprobiert (NTFS und FAT32 auf USB-Stick, Partition nicht als aktiv markiert), aber nichts davon hat geholfen. Da es bei meinem alten Dell Notebook funktioniert hat, war meine Vermutung, dass es etwas mit dem BIOS meines Notebooks zu tun hat. Allerdings habe ich im BIOS keine Option gefunden, die es verhindern könnte, und da ja zumindest das explizite Suchen und Prüfen des USB-Keys im Windows PE Preboot Modus funktioniert, könnte das ein Hinweis sein, dass es nicht am BIOS, sondern doch an einer Windows Einstellung liegt. Im HP Forum habe ich das Problem auch schon gepostet, aber keine Reaktion darauf erhalten.

Windows für Zuhause | Windows 10 | Zugriff
0 Kommentare

7 Antworten

Sortieren nach: Am hilfreichsten
Am hilfreichsten Neueste Älteste
  1. Emmanuel Santana 36,805 Zuverlässigkeitspunkte Unabhängiger Berater
    2025-08-11T09:36:28.5966667+00:00

    Ich habe diese kurze Anleitung erstellt. Vielleicht funktioniert sie bei dir, vielleicht auch nicht, aber einen Versuch ist es wert. Was wir hier versuchen, ist, auf dem USB-Stick einen Ordner und eine Dummy-Datei zu erstellen, sodass er vom BIOS als EFI-Laufwerk erkannt wird. Dadurch könnte der Stick früher initialisiert und BitLocker automatisch entsperrt werden. Bitte folge diesen Schritten:

    1. Eingabeaufforderung als Administrator öffnen Dann nacheinander die folgenden Befehle ausführen:

    diskpart
list disk
select disk X           ← X durch die Nummer deines USB-Sticks ersetzen
clean
convert gpt
create partition primary
format fs=fat32 quick
assign
exit

    2. Ordnerstruktur und Dummy-.efi-Datei erstellen

    Ersetze X: mit deinem tatsächlichen USB-Laufwerksbuchstaben:

    md X:\EFI\Boot
echo dummy > X:\EFI\Boot\Bootx64.efi

    Das bewirkt:

    • Erstellt die Ordnerstruktur \EFI\Boot\
    • Legt eine kleine Dummy-Datei mit dem Namen Bootx64.efi an

    3. BitLocker-Startschlüssel auf dem USB-Stick speichern:

    manage-bde -protectors -add C: -startupkey X:\

    4. Überprüfen, ob es funktioniert hat:

    manage-bde -status C:

    Achte auf: External Key ... External Key File Name: X:... .BEK

    Das war’s. Mit etwas Glück erkennt das UEFI den Stick jetzt frühzeitig beim Start und BitLocker entsperrt sich automatisch, ganz ohne ESC.

    0 Kommentare
  2. Emmanuel Santana 36,805 Zuverlässigkeitspunkte Unabhängiger Berater
    2025-08-11T09:30:33.5766667+00:00

    Hallo. Ja, das Entfernen aller Schutzmechanismen mit manage-bde -protectors -delete und das anschließende Hinzufügen von TPM + StartupKey ist genau das, was ich meinte. Vorsicht ist berechtigt: Ohne funktionierenden Schutzmechanismus kann ein Absturz oder Neustart die Daten unzugänglich machen. Unbedingt vorher ein vollständiges Image-Backup erstellen und sicherstellen, dass der neue StartupKey aktiv ist, bevor man die alten löscht.

    Das eigentliche Problem ist aber nicht die Formatierung. Wenn BitLocker den Stick nach Drücken von ESC findet, ist er technisch in Ordnung. Das HP-BIOS initialisiert die USB-Ports einfach nicht früh genug, um den Stick automatisch zu erkennen. „USB Storage Boot“ ist nicht dasselbe wie „USB Key Preboot Support“. Manche HP-Geräte initialisieren USB-Geräte nur dann vor dem BitLocker-Start, wenn z. B. eine Tastatur am selben Port hängt. HP dokumentiert das nicht.

    Ein möglicher Trick: Richte den USB-Stick so ein, dass er wie ein UEFI-Boot-Medium aussieht. Verwende GPT + FAT32 und erstelle eine minimale Struktur mit /EFI/Boot/Bootx64.efi (eine Dummy-Datei reicht). Dadurch wird der Port beim Start vom BIOS gescannt – bei mir hat das auf einem EliteBook funktioniert, um ein anderes Betriebssystem zu booten, und es könnte auch hier helfen.

    0 Kommentare
  3. DominikW 0 Zuverlässigkeitspunkte
    2025-08-11T09:17:25.92+00:00

    Achso, haben Sie einen Tipp, wie der USB-Key zu erstellen ist, damit es garantiert nicht an der Formatierung oder dem Dateisystem scheitert?

    0 Kommentare
  4. DominikW 0 Zuverlässigkeitspunkte
    2025-08-11T09:15:43.86+00:00

    Hallo, ja, genau, es handelt sich um ein EliteBook. Schon einmal vielen Dank für Ihre Antwort. „USB Storage Boot“ war bereits die ganze Zeit aktiviert. Das merkwürdige ist, dass er den USB Key, wenn ich die PIN Abfrage mit ESC abbreche und nach USB Keys suchen lasse, auch findet und für korrekt befindet. Es kann aber natürlich sein, dass der USB Controller auch wirklich erst dann von Windows PE initiliasiert wird und dies zum Zeitpunkt der PIN Abfrage noch nicht der Fall ist.

    Dann werde ich wohl den zweiten Tipp noch einmal ausprobieren. Meinen Sie damit, mittels manage-bde -protectors alle BitLocker Schlüssel zu entfernen und dann wieder neu anzulegen? Die Sache ist natürlich nicht ganz ungefährlich, denn wenn alle Schlüssel entfernt sind, würde ein versehentlicher Neustart oder Bluescreen bedeuten, dass alle Daten weg sind. Ich hätte jetzt auch gedacht, dass man mittels manage-bde -protectors höchstens alle Schlüssel bis auf einen entfernen kann. Ich werde dies dann nach dem nächsten vollständigen Image-Backup ausprobieren.

    Wenn sich herausstellen sollte, dass es einfach nicht funktioniert, wird das nächste Notebook wohl kein HP mehr werden. Die Antwort vom HP-Support, dass diese Methode nicht vorgesehen ist, empfinde ich als äußerst unbefriedigend.

    0 Kommentare
  5. Emmanuel Santana 36,805 Zuverlässigkeitspunkte Unabhängiger Berater
    2025-08-10T13:45:13.59+00:00

    Hallo. Handelt es sich bei Ihrem Gerät zufällig um ein HP EliteBook? Ich frage, weil ich genau dieses Problem schon einmal hatte. HP hat mir damals gesagt, dass diese Methode auf ihren Geräten nicht vorgesehen ist. Meiner Erfahrung nach liegt es daran, dass die Preboot-Umgebung den USB-Speicher nicht früh genug initialisiert oder erkennt, damit BitLocker den automatischen Startschlüssel verwenden kann.

    Sie können Folgendes ausprobieren. Ich habe es bereits getan, und laut HP ist es praktisch nicht vorgesehen, aber versuchen können Sie es dennoch:

    • Im BIOS „USB Storage Boot“ bzw. „USB Key Preboot Support“ aktivieren (bei HP manchmal unter „Removable Media Boot“ oder „UEFI Boot Sources“ versteckt).
    • BitLocker aussetzen, alle Schlüssel-Schutzmechanismen entfernen und dann den TPM + Startup-Key-Schutz erneut hinzufügen, während das System im nativen UEFI-Modus mit aktiviertem Secure Boot gestartet ist. Dadurch wird die Registrierung im aktuellen Hardware-Kontext neu erstellt.

    Falls es nicht funktioniert, liegt es höchstwahrscheinlich an der Art, wie das HP-BIOS mit diesem Prozess umgeht. Bei einem anderen HP hat es bei mir funktioniert, dort lag es aber an der Art, wie der USB-Stick erstellt wurde, sodass er UEFI-kompatibel war.

    0 Kommentare

Ihre Antwort

Antworten können von Fragestellenden als „Angenommen“ und von Moderierenden als „Empfohlen“ gekennzeichnet werden, wodurch Benutzende wissen, dass diese Antwort das Problem des Fragestellenden gelöst hat.