Daten verschlüsseln aber richtig – Bitlocker Laufwerksverschlüsselung

Die Laufwerksverschlüsselung ist vor allem für mobile Endgeräte wie Laptops von großer Bedeutung – insbesondere, wenn das Gerät gestohlen wird. Wie schützenswert die darauf gespeicherten Daten sind, hängt immer vom individuellen Nutzungsverhalten ab. Viele Privatpersonen verzichten deshalb auf eine Verschlüsselung, weil sie den Wert ihrer Daten unterschätzen.

Dabei geht es nicht nur um offensichtliche Dinge wie E-Mails, Dokumente, Fotos oder Videos. Auf unseren Geräten befinden sich oft auch sensible Informationen wie Passwörter, gespeicherte Zugangsdaten und Cookies. Gelangen diese in falsche Hände, können Diebe nicht nur auf das Gerät selbst, sondern auch auf Online-Banking, E-Mail-Konten und andere wichtige Dienste zugreifen.

Die potenzielle Ausbeute bei einem Geräte-Diebstahl ist häufig deutlich größer als beim Verlust einer Geldbörse oder sogar eines Autos. Aus diesem Grund setzen viele Unternehmen standardmäßig auf BitLocker, um unbefugten Zugriff auf Firmendaten im Falle eines Diebstahls schnell und effektiv zu verhindern.

BitLocker verschlüsselt sämtliche Daten direkt auf dem physischen Laufwerk. Der Zugriff auf diese verschlüsselten Informationen ist nur möglich, wenn bestimmte Sicherheitsmechanismen erfüllt sind – zum Beispiel durch das Trusted Platform Module (TPM) oder ein spezielles Wiederherstellungskennwort.

Ohne diese Schutzmechanismen bleiben die Daten auf der Festplatte unlesbar und können weder im Klartext noch in Maschinensprache ausgelesen werden. Das macht es Unbefugten nahezu unmöglich, an Ihre sensiblen Informationen zu gelangen.

Wer tiefer in die technischen Details und Schutzmechanismen von BitLocker eintauchen möchte, findet umfassende Informationen direkt bei Microsoft:

BitLocker-Dokumentation bei Microsoft

Der größte Vorteil von BitLocker – der umfassende Schutz vor unbefugtem Zugriff – bringt auch einige Nachteile mit sich. Wird eine verschlüsselte Festplatte ausgebaut und in ein anderes Gerät eingesetzt, ist der Zugriff nur mit dem passenden Wiederherstellungsschlüssel möglich. Ohne diesen Schlüssel bleiben die Daten unzugänglich.

Auch für Backups und Datenrettung ergeben sich Einschränkungen: Viele Tools, wie etwa Acronis, können im Offline-Zustand keine logischen Kopien von verschlüsselten Daten anfertigen. Notfall-CDs oder Recovery-Tools müssen explizit mit BitLocker-verschlüsselten Laufwerken umgehen können, was nicht immer gewährleistet ist.

Der wichtigste Nachteil: Geht der BitLocker-Wiederherstellungsschlüssel verloren und existiert keine weitere Sicherung, sind die verschlüsselten Daten dauerhaft verloren. Ein Zugriff ist dann selbst für den Eigentümer nicht mehr möglich.

Viele klassische Backup-Programme wie das ältere Acronis True Image können nicht mit BitLocker-verschlüsselten Laufwerken umgehen. Sie erkennen nicht, warum bestimmte Bereiche der Festplatte unlesbar oder verschlüsselt sind, und scheitern deshalb beim Versuch, ein vollständiges Image zu erstellen.

Um dennoch ein Image eines BitLocker-verschlüsselten Systems zu erzeugen, muss das Laufwerk zuvor entsperrt werden. Erst dann können Programme wie Acronis oder andere Backup-Tools auf die Daten zugreifen und ein Abbild anfertigen. Acronis beschreibt in einem eigenen Artikel, wie die Software mit BitLocker zusammenarbeitet und welche Schritte notwendig sind, um trotzdem ein Image zu erstellen.

https://care.acronis.com/s/article/56619-Acronis-True-Image-compatibility-with-BitLocker?language=de

Der Zugriff auf verschlüsselte Partitionen ist also nur möglich, wenn das Laufwerk entschlüsselt ist oder das Backup-Tool explizit BitLocker unterstützt. Andernfalls bleibt die Partition für das Programm unzugänglich.

Um den Status der BitLocker-Verschlüsselung auf deinem System zu überprüfen, öffne die Eingabeaufforderung als Administrator und gib folgenden Befehl ein:

manage-bde -status

Alternativ kannst du auch ein bestimmtes Laufwerk überprüfen, indem du beispielsweise für das Laufwerk C den folgenden Befehl verwendest:

manage-bde -status C:

Anschließend werden detaillierte Informationen zur aktuellen BitLocker-Verschlüsselung angezeigt, darunter der Schutzstatus, die Verschlüsselungsmethode und der Fortschritt der Verschlüsselung.

Um die BitLocker-Verschlüsselung auf deiner Festplatte zu deaktivieren und das Laufwerk zu entschlüsseln, öffne die Eingabeaufforderung als Administrator und gib folgenden Befehl ein:

manage-bde -off C:

Damit startest du den Entschlüsselungsprozess für das Laufwerk C. Windows beginnt daraufhin automatisch, die Festplatte zu entschlüsseln. Der Fortschritt kann je nach Datenmenge und Geschwindigkeit des Laufwerks einige Zeit in Anspruch nehmen. Nach Abschluss ist das Laufwerk wieder unverschlüsselt und ohne BitLocker-Schutz zugänglich.

Um deinen BitLocker-Wiederherstellungsschlüssel anzuzeigen, öffne eine Eingabeaufforderung mit Administratorrechten und gib folgenden Befehl ein:

manage-bde -protectors -get C:

In der Ausgabe findest du den Wiederherstellungsschlüssel für das Laufwerk C. Falls kein Schlüssel angezeigt wird, prüfe die BitLocker-Konfiguration oder siehe in der nächsten Anleitung nach.

Wenn dir kein BitLocker-Wiederherstellungsschlüssel angezeigt wird, gibt es verschiedene mögliche Ursachen:

Hardware- oder Firmwareänderungen (z. B. Mainboardtausch, BIOS-Update) können dazu führen, dass BitLocker einen Schlüssel verlangt, der nicht vorhanden ist.

Der Schlüssel wurde bei der ersten Einrichtung nicht korrekt gespeichert oder konnte nicht gesichert werden.

Es gab Probleme beim Hochladen des Schlüssels in das Microsoft-Konto, Azure AD oder eine andere zentrale Verwaltung.

Lösungswege:

1. Prüfe alle Speicherorte:
   • Microsoft-Konto (online unter account.microsoft.com/devices/recoverykey)
   • Ausdrucke, USB-Sticks oder andere externe Sicherungen
   • Bei Firmenrechnern: IT-Abteilung oder Entra ID (Azure AD)
2. Trenne alle externen Geräte und starte den Rechner neu:
   Manchmal blockieren angeschlossene Geräte die Erkennung des Schlüssels5.
3. Wenn der Schlüssel nicht auffindbar ist:
   • Entschlüsseln & Wieder verschlüsseln.

Öffne die Eingabeaufforderung als Administrator und gib ein:

manage-bde -off C:

Damit wird die Festplatte entschlüsselt, sofern du noch Zugriff hast und BitLocker nicht bereits einen Schlüssel verlangt.

Wieder verschlüsseln: Nach erfolgreicher Entschlüsselung kannst du BitLocker erneut aktivieren. Achte darauf, den Wiederherstellungsschlüssel diesmal korrekt zu sichern, am besten im Microsoft-Konto und zusätzlich als Datei oder Ausdruck.

Letzter Ausweg:
Falls du keinen Zugriff mehr auf das System erhältst und der Schlüssel unwiederbringlich verloren ist, bleibt nur das Zurücksetzen des Geräts. Dabei werden jedoch alle Daten gelöscht.

AES (Advanced Encryption Standard) ist ein weit verbreiteter Verschlüsselungsalgorithmus, der Daten sicher und effizient verschlüsselt. Er bildet die Grundlage vieler moderner Verschlüsselungslösungen, darunter auch BitLocker.

XTS-AES ist ein spezieller Betriebsmodus von AES, der speziell für die Verschlüsselung von Datenträgern entwickelt wurde. Im XTS-Modus werden für jeden Datenblock zwei verschiedene AES-Schlüssel verwendet:

• Mit dem ersten Schlüssel wird der eigentliche Datenblock verschlüsselt.
• Mit dem zweiten Schlüssel wird die Position des Blocks auf dem Datenträger in die Verschlüsselung einbezogen.

Dadurch entsteht ein entscheidender Vorteil: Selbst wenn zwei identische Datenblöcke an unterschiedlichen Speicherstellen abgelegt werden, sehen sie nach der Verschlüsselung unterschiedlich aus. XTS-AES verhindert somit, dass sich wiederholende Muster im verschlüsselten Datenstrom erkennen lassen – das erhöht die Sicherheit erheblich und schützt besser vor sogenannten Blockmustern.

Kurz gesagt:

XTS-AES ist ein besonders sicherer Modus, der zusätzlich die Speicherposition in die Verschlüsselung einbezieht und so für noch besseren Datenschutz sorgt.

AES ist der Algorithmus selbst.

Ja, wenn du die 256-Bit-Methode (AES-256) statt der 128-Bit-Methode (AES-128) für die Verschlüsselung auswählst, kann dein Computer etwas langsamer werden. Der Grund dafür ist, dass AES-256 aufgrund der längeren Schlüssellänge mehr Rechenressourcen benötigt und mehr Verschlüsselungsrunden durchführt (14 Runden bei AES-256 gegenüber 10 Runden bei AES-128).

In der Praxis ist der Unterschied für die meisten Nutzer allerdings kaum spürbar, insbesondere auf modernen Computern. Die 128-Bit-Verschlüsselung ist bereits sehr sicher und bietet eine bessere Performance, während 256-Bit-Verschlüsselung ein höheres Sicherheitsniveau bietet, das vor allem für besonders sensible Daten oder in sicherheitskritischen Umgebungen empfohlen wird.

Schritt-für-Schritt-Anleitung unter Windows 11

Um deine Festplatte optimal zu schützen, empfiehlt sich die Verschlüsselung mit dem XTS-AES256-Algorithmus in Kombination mit dem TPM-Chip (Trusted Platform Module). So gehst du vor:

1. BitLocker mit XTS-AES256 und TPM aktivieren

Öffne die Eingabeaufforderung als Administrator und gib folgenden Befehl ein:

manage-bde -on C: -recoverypassword -encryptionmethod xts_aes256

Damit wird BitLocker mit der stärksten Verschlüsselungsmethode (XTS-AES256) aktiviert und der TPM-Chip für die Authentifizierung genutzt.

2. (Alternative) BitLocker zusätzlich mit einer PIN schützen

Wenn du noch eine zusätzliche Absicherung durch eine PIN wünschst, verwende diesen Befehl:

manage-bde -on C: -recoverypassword -encryptionmethod xts_aes256 -TPMAndPIN

Hinweis 1:

Damit die PIN-Option aktiviert werden kann, müssen eventuell bestimmte Gruppenrichtlinien aktiviert werden. Öffne dazu den Gruppenrichtlinien-Editor (gpedit.msc) und passe die Einstellungen unter

Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → BitLocker-Laufwerksverschlüsselung → Betriebssystemlaufwerke an.

Hinweis 2:

Die PIN-Abfrage erfolgt bei jedem Start des Computers. Dies gilt also für den normalen Startprozess als auch für den Hybernate Modus (auch „Ruhezustand“ genannt) . Die Nutzung des Schlafmodus am Endgerät fordert nicht zur erneuten Eingabe der PIN auf, nachdem sich das Gerät bei vollem Arbeitsspeicher lediglich in einem Schlafmodus – bereit zur sofortigen Reaktivierung – befindet. Der TPM-Chip im Computer bleibt während der gesamten Zeit aktiv. Deshalb benötigt ein Gerät im Schlafmodus auch mehr Strom/Akkukapazität als der Ruhezustand.

Unternehmen sollten dies bei der globalen Einstellung Ihrer Energieoptionen bedenken.

Hinweise und Unterschiede zu Windows 10:

TPM-Parameter:
Der explizite -TPM-Parameter ist unter Windows 11 nicht mehr notwendig. Windows 11 setzt TPM als Voraussetzung voraus und verwendet diesen automatisch, sofern der Chip vorhanden ist und das System regulär (ohne „tweaks“) installiert wurde.

Parameter FULL:
Der Befehl -full wird unter Windows 11 nicht mehr unterstützt. Um die Verschlüsselungsmethode oder den Verschlüsselungsumfang anzupassen, verwende entweder die Gruppenrichtlinien oder die grafische Oberfläche (GUI).

Ob dein BitLocker-Schlüssel automatisch in deinem Microsoft-Konto gespeichert wird, hängt davon ab, wie BitLocker aktiviert wurde und ob du mit einem Microsoft-Konto angemeldet bist. In vielen Fällen erfolgt die Sicherung beim Einrichten von BitLocker automatisch, manchmal ist jedoch ein manueller Schritt notwendig.

So prüfst du, ob dein Schlüssel im Microsoft-Konto gespeichert ist:

• Öffne die Windows-Sicherheit (Defender) und gehe zu „Gerätesicherheit“.

• Wähle „Verwalten der Geräteverschlüsselung“.
• Hier kannst du sehen, ob der Schlüssel bereits hochgeladen wurde.
• Alternativ kannst du online unter account.microsoft.com/devices/recoverykey prüfen, ob dein Schlüssel hinterlegt ist.

Manuelle Sicherung des BitLocker-Schlüssels:

Falls dein Schlüssel nicht automatisch gespeichert wurde oder ein Ausrufezeichen angezeigt wird, kannst du den Schlüssel manuell sichern:

1. Öffne die Systemsteuerung und gehe zu „BitLocker verwalten“.
2. Wähle beim entsprechenden Laufwerk die Option „Wiederherstellungsschlüssel sichern“ aus.

1. Wähle „Im Microsoft-Konto speichern“, um den Schlüssel online zu hinterlegen. Alternativ kannst du den Schlüssel auch auf einem USB-Stick, als Datei oder als Ausdruck sichern.

Hinweise für verschiedene Nutzergruppen:

• Firmenkunden: Für Unternehmen empfiehlt sich die Speicherung im Entra ID (früher Azure AD) Konto, damit die IT-Abteilung im Notfall Zugriff hat.
• Privatanwender und KMUs: Hier ist das Microsoft-Konto die einfachste und sicherste Lösung.
• Weitere Sicherungsmöglichkeiten: Du kannst den Schlüssel zusätzlich auf einem USB-Stick speichern, als Datei ablegen oder ausdrucken. Bewahre diese Sicherungen getrennt vom Gerät auf, um im Notfall darauf zugreifen zu können.

Wichtig:

Speichere den Wiederherstellungsschlüssel niemals ausschließlich auf dem verschlüsselten Gerät. Ohne Zugriff auf den Schlüssel sind deine Daten bei Problemen dauerhaft verloren.

Wenn du deinen BitLocker-Wiederherstellungsschlüssel nicht mehr findest, gibt es folgende Möglichkeiten:

1. Im Microsoft-Konto nachsehen:
   Rufe die Webseite account.microsoft.com/devices/recoverykey auf. Dort findest du alle Wiederherstellungsschlüssel, die mit deinem Microsoft-Konto verknüpft und online gespeichert wurden.
2. Andere Speicherorte prüfen:
   Falls der Schlüssel dort nicht hinterlegt ist, überprüfe, ob du ihn vielleicht an einem anderen Ort gesichert hast – zum Beispiel:
   • Auf einem USB-Stick
   • Als Ausdruck in deinen Unterlagen
   • In einer Datei auf einem anderen Gerät
   • Bei deiner IT-Abteilung (bei Firmenrechnern)

Wichtiger Hinweis:
Ist der Wiederherstellungsschlüssel weder online noch in deinen Unterlagen auffindbar, gibt es leider keine Möglichkeit, die verschlüsselten Daten wiederherzustellen. BitLocker ist so konzipiert, dass ohne Schlüssel kein Zugriff auf die Daten möglich ist – auch nicht für Microsoft oder den Gerätehersteller.

Deshalb der dringende Rat:

Notiere dir den Wiederherstellungsschlüssel immer sofort nach der Einrichtung, speichere ihn an einem sicheren Ort, drucke ihn aus oder exportiere ihn auf einen separaten USB-Stick. So bist du im Notfall bestens vorbereitet.

Die zentrale Bereitstellung und Verwaltung von BitLocker über Microsoft Active Directory ist möglich, erfolgt jedoch nicht vollständig automatisiert und erfordert einige manuelle Schritte in der Konfiguration.

Vorgehensweise und Best Practices

1. Gruppenrichtlinien vorbereiten:
   Erstelle zunächst die benötigten Gruppenrichtlinienobjekte (GPOs) in der Gruppenrichtlinienverwaltung. Navigiere dazu zu
   Computerkonfiguration → Richtlinien → Administrative Vorlagen → Windows-Komponenten → BitLocker-Laufwerksverschlüsselung.
2. Speicherung der Wiederherstellungsschlüssel in AD aktivieren:
   Aktiviere in den Richtlinien die Option, dass BitLocker-Wiederherstellungsschlüssel automatisch im Active Directory gespeichert werden. So können Administratoren im Bedarfsfall jederzeit auf die Schlüssel zugreifen.
3. BitLocker-Verschlüsselung ausrollen:
   Die Verschlüsselung kann per Gruppenrichtlinie über eine geplante Aufgabe oder ein Skript gestartet werden. Alternativ kann sie auch manuell oder über die grafische Oberfläche angestoßen werden.
   Es empfiehlt sich, die Verschlüsselung über eine einmalig geplante Aufgabe (per GPO) zu starten und über eine weitere Richtlinie regelmäßig zu prüfen, ob alle Geräte verschlüsselt sind. Bei Bedarf kann die Verschlüsselung erneut angestoßen werden.
4. Prüfung und Verwaltung:
   Mit Tools wie dem BitLocker Recovery Password Viewer können Administratoren die gespeicherten Schlüssel im Active Directory einfach einsehen und verwalten.

Hinweis zu bestehenden Systemen:
Nur Geräte, die nach Anwendung der aktualisierten Gruppenrichtlinien verschlüsselt wurden, speichern ihre Wiederherstellungsschlüssel automatisch im Active Directory. Für bereits verschlüsselte Geräte kann die Speicherung nachträglich mit dem Befehl

manage-bde -protectors -adbackup c: -id ‚{Schlüssel-ID}‘

erzwungen werden. Hierfür eignet sich wiederrum aus Erfahrung eine Gruppenrichtlinie und ein kleines PowerShell Script wie unter https://learn.microsoft.com/en-us/powershell/module/bitlocker/backup-bitlockerkeyprotector?view=windowsserver2025-ps beschrieben.

Von der vorhergehenden Lösung abgeleitet, kann ein sogenanntes Installationspaket erstellt werden, welches die Laufwerksverschlüsselung aktiviert. Das Intune Paket kann auf Endgeräte zugewiesen werden, wodurch die Verschlüsselung wie zuvor via Gruppenrichtlinie oder AZURE Richtlinie definiert umsetzt. Dies ist besonders sinnvoll, wenn eine Hybridbereitstellung der Endgeräte bereits erfolgt ist und BitLocker umgesetzt werden soll.

Eine vollständige Umsetzung kann hier eingesehen werden:

https://msendpointmgr.com/2019/10/31/silently-enable-bitlocker-for-hybrid-azure-ad-joined-devices-using-windows-autopilot/

Die automatische Verschlüsselung von Laufwerken lässt sich für Unternehmen besonders einfach und effektiv über Microsoft Intune und Azure-Richtlinien umsetzen. Dies geschieht über den Bereich Endgerätesicherheit (Endpoint Security) im Intune Admin Center.

Und so funktionierts:

• Richtlinienbasierte Steuerung:
  Über eine spezielle Richtlinie (Profil) im Bereich „Endpoint Security“ kannst du die BitLocker-Laufwerksverschlüsselung auf allen verwalteten Geräten erzwingen. Die Konfiguration erfolgt zentral und lässt sich flexibel an die Sicherheitsanforderungen des Unternehmens anpassen.
• Globale Zuweisung:
  Durch die Zuweisung der Richtlinie an alle Geräte – zum Beispiel im Rahmen einer Hybrid- oder Autopilot-Bereitstellung – wird die Verschlüsselung vollautomatisch auf allen Zielsystemen aktiviert. So werden alle Compliance-Anforderungen ohne manuellen Eingriff erfüllt.
• Automatisierte Sicherheit:
  Mit Intune kannst du festlegen, dass Geräte, die nicht verschlüsselt sind, automatisch vom Microsoft Tenant ausgeschlossen werden. Das erhöht die Sicherheit und vereinfacht das Management, da nur konforme Geräte Zugriff auf Unternehmensressourcen erhalten.
• Schlüsselrotation:
  Für noch mehr Sicherheit lässt sich die regelmäßige Rotation der BitLocker-Wiederherstellungsschlüssel aktivieren. So wird sichergestellt, dass kompromittierte Schlüssel schnell ersetzt werden.

Vorteile für Unternehmen

• Einfache Verwaltung:
  Die komplette Konfiguration und Überwachung erfolgt zentral über das Intune Admin Center.
• Automatische Compliance:
  Unternehmen erfüllen mit dieser Lösung viele regulatorische Anforderungen automatisch.
• Hohe Sicherheit:
  Durch die Kombination aus Verschlüsselung, Schlüsselrotation und Geräteausschluss wird ein hohes Sicherheitsniveau gewährleistet.

Weitere Informationen

Detaillierte Anleitungen und weiterführende Informationen findest du in der offiziellen Microsoft-Dokumentation unter Geräteverschlüsselung mit Intune und Azure

Wenn du BitLocker-Wiederherstellungsschlüssel regelmäßig erneuern (rotieren) und im Active Directory (AD) sichern möchtest, kannst du dies auch ohne Intune mit PowerShell erledigen. Das ist besonders sinnvoll, wenn du sicherstellen willst, dass bei Schlüsselverlust oder Mitarbeiterwechsel immer ein aktueller Schlüssel im AD hinterlegt ist.

Vorgehensweise

1. Alten Wiederherstellungsschlüssel entfernen
2. Neuen Wiederherstellungsschlüssel erzeugen
3. Neuen Schlüssel im Active Directory sichern
4. BitLocker-Schutz fortsetzen

PowerShell-Skript

# 1. Aktuelles BitLocker-Volume und den vorhandenen Recovery Key Protector ermitteln
$BLV = Get-BitLockerVolume -MountPoint „C:“
$KeyProt = $BLV.KeyProtector | Where-Object { $_.KeyProtectorType -eq „RecoveryPassword“ }
$KeyProt.KeyProtectorId

# 2. Alten Recovery Key Protector entfernen
Remove-BitLockerKeyProtector -MountPoint „C:“ -KeyProtectorId $KeyProt.KeyProtectorId

# 3. Neuen Recovery Key Protector hinzufügen
Add-BitLockerKeyProtector -MountPoint „C:“ -RecoveryPasswordProtector

# 4. Den neuen Recovery Key Protector ermitteln
$BLV = Get-BitLockerVolume -MountPoint „C:“
$KeyProt = $BLV.KeyProtector | Where-Object { $_.KeyProtectorType -eq „RecoveryPassword“ }
$KeyProt.KeyProtectorId

# 5. Den neuen Schlüssel im Active Directory sichern
Backup-BitLockerKeyProtector -MountPoint „C:“ -KeyProtectorId $KeyProt.KeyProtectorId

# 6. BitLocker-Schutz fortsetzen (falls pausiert)
Resume-BitLocker -MountPoint „C:“

Hinweise:

Automatisierung: Das Skript kann per Gruppenrichtlinie (GPO) als geplante Aufgabe auf mehreren Rechnern verteilt werden.

Rechte: Für diese Aktionen benötigst du lokale Administratorrechte auf dem Gerät.

Active Directory: Stelle sicher, dass das Gerät Mitglied der Domäne ist und die Gruppenrichtlinie zur Speicherung der Wiederherstellungsschlüssel im AD aktiviert ist.

Nein. Grundsätzlich ist eine VS-NfD-konforme Laufwerksverschlüsselung nicht mittels BitLocker zu bewerkstelligen. Sie kann lediglich unterstützend eingesetzt werden, wenn der VS-Geber diese Ausnahme genehmigt oder sonstige Ausnahmen die Nutzung von Alternativen ausschließen und anstatt dessen alternative Verfahren und Prozesse etabliert wurden.

Eine VS-NfD Konforme Laufwerksverschlüsselung basiert immer auf einem BSI Anforderungsprofil. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zulassung/VS-Anforderungsprofile/BSI-VS-AP-0008.pdf. Für VS Themen gibt es eine offizielle Zuslassungsliste des BSI https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/Liste-zugelassener-Produkte/liste-zugelassener-produkte_node.html. Es ist im Bezug mit VS Themen anzuraten die entsprechenden Produkte von Utimaco wie Full Disc Encryption, Lancrypt oder den GnuPG VS-Desktop für eine E-Mail und Dateiverschlüsselung zu nutzen.

Das BSI gibt Empfehlungen, wie BitLocker in Windows-Systemen sicherer konfiguriert werden kann (z. B. mit TPM+PIN und Pre-Boot-Authentisierung). Diese Empfehlungen richten sich jedoch an Systeme, die nicht für VS-NfD-Anforderungen eingesetzt werden, sondern an den allgemeinen Schutzbedarf. Die Empfehlungen bedeuten nicht, dass BitLocker damit VS-NfD-konform ist.
Es ist eine Konfigurationsempfehlung zur Härtung von Windows und dessen Einstellungen wie diese in Sicherheitssensitiven Bereichen besser eingesetzt werden können. Eine offizielle Empfehlungsliste für Windows 10 kann unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/Konfigurationsempfehlungen_zur_Haertung_von_Windows_10.pdf?__blob=publicationFile&v=3 eingesehen werden. Für Windows 11 gelten grundsätzlich die gleichen Empfehlungen, jedoch entsprechend auf Windows 11 und Zusatzprodukte adaptiert.