Warum überhaupt verschlüsseln?
Wer seinen Computer nur zuhause nutzt und ihn nie aus den Augen lässt, denkt vielleicht selten über Festplattenverschlüsselung nach. Dabei ist die entscheidende Frage nicht, ob jemand Böses ins Haus kommt – sondern was passiert, wenn der Laptop gestohlen wird, verloren geht oder zur Reparatur gegeben wird.
Ohne Verschlüsselung kann jeder, der physischen Zugriff auf das Gerät hat, mit einem einfachen Trick die Daten auslesen: Er startet von einem externen USB-Stick und liest die Festplatte wie einen normalen Datenträger. Das Windows-Passwort schützt dagegen nicht – es schützt nur den Zugang zum laufenden System, nicht die gespeicherten Daten.
Eine Festplattenverschlüsselung macht die gespeicherten Daten ohne den richtigen Schlüssel zu unlesbarem Datenmüll – selbst wenn jemand die Festplatte ausbaut und in einen anderen Rechner einbaut. Das ist der entscheidende Unterschied zwischen einem Passwort und echter Verschlüsselung.
Windows: BitLocker
BitLocker ist Microsofts eingebaute Lösung zur Festplattenverschlüsselung. Es verschlüsselt das gesamte Laufwerk und ist nahtlos in Windows integriert. Im laufenden Betrieb merkt man davon nichts – die Entschlüsselung passiert automatisch im Hintergrund.
Wie wird entsperrt?
In der Standardkonfiguration nutzt BitLocker den TPM-Chip. Beim Starten prüft das System, ob die Hardware unverändert ist, und gibt den Verschlüsselungsschlüssel dann automatisch frei – ohne dass der Nutzer ein extra Passwort eingeben muss. Das ist bequem, bringt aber eine Einschränkung mit sich: Wer den ganzen Rechner stiehlt und einschaltet, kommt bis zum Windows-Anmeldebildschirm, der nur durch das Windows-Passwort geschützt ist.
Wer mehr Sicherheit möchte, kann BitLocker so konfigurieren, dass beim Start zusätzlich eine PIN verlangt wird. Das ist deutlich sicherer, erfordert aber einen extra Schritt beim Einschalten.
Das TPM-Sniffing-Problem
Sicherheitsforscher haben gezeigt, dass BitLocker in der Standardkonfiguration (ohne PIN) unter bestimmten Bedingungen angreifbar ist: Wenn der TPM ein separater Chip auf dem Mainboard ist – nicht in der CPU integriert –, kommuniziert er beim Starten unverschlüsselt mit dem Prozessor. Diese Kommunikation kann mit einfacher Hardware abgehört und der Verschlüsselungsschlüssel dabei abgegriffen werden.
Der YouTuber und Sicherheitsforscher „stacksmashing" demonstrierte 2024, wie sich der BitLocker-Schlüssel mit einem Raspberry Pi Pico für wenige Euro in 42–43 Sekunden auslesen lässt. Tom's Hardware bestätigte anschließend, dass moderne Laptops mit separatem TPM-Chip – darunter ein Lenovo ThinkPad X1 Carbon der 11. Generation mit Windows 11 – ebenfalls anfällig sind. ESET veröffentlichte eine Analyse des Angriffs.
Wichtig: Dieser Angriff betrifft ausschließlich Geräte mit einem diskreten TPM-Chip auf dem Mainboard. Neuere Systeme, bei denen das TPM direkt in den Prozessor integriert ist (sogenanntes fTPM), sind gegen diesen spezifischen Angriff sicher – dort gibt es keine abhorchbare Verbindung zwischen TPM und CPU. Eine BitLocker-PIN schützt ebenfalls: Sie verhindert, dass der Schlüssel überhaupt freigegeben wird, bevor die PIN korrekt eingegeben wurde.
Auf dem 38C3-Kongress des Chaos Computer Clubs demonstrierte Sicherheitsforscher Thomas Lambertz im Dezember 2024 zudem, wie sich BitLocker auf aktuellen Windows-11-Systemen über eine Softwareschwachstelle (CVE-2023-21563) umgehen lässt – trotz aktivem Secure Boot. Microsoft hatte die Schwachstelle bereits 2022 gepatcht, aber ein sogenannter Downgrade-Angriff ermöglicht es, eine ältere, anfällige Version des Bootloaders einzuspielen.
Verfügbarkeit und Einschränkungen
BitLocker in vollem Umfang ist nur in Windows Pro, Enterprise und Education enthalten. Wer Windows 11 Home nutzt, bekommt eine eingeschränkte Variante namens „Geräteverschlüsselung", die automatisch aktiviert wird – aber nur, wenn man sich mit einem Microsoft-Konto anmeldet. Der Wiederherstellungsschlüssel landet dann automatisch bei Microsoft in der Cloud. Viele Nutzer wissen das nicht.
Ein weiteres Risiko: Verliert man den Zugang zum Microsoft-Konto und hat keinen lokalen Wiederherstellungsschlüssel gesichert, sind die eigenen Daten unwiederbringlich verloren. Das ist kein theoretisches Szenario – es passiert regelmäßig.
BitLocker ist außerdem proprietär und quellgeschlossen: Es lässt sich von außen nicht unabhängig prüfen, wie die Verschlüsselung intern genau funktioniert. Und BitLocker-Laufwerke können unter Linux oder macOS ohne Drittanbieter-Software nicht gelesen werden.
macOS: FileVault
FileVault ist Apples Lösung zur Festplattenverschlüsselung und seit macOS 10.7 (2011) in allen Mac-Versionen enthalten – kostenlos, vollständig, ohne Einschränkungen nach Edition. Auf neueren Macs mit Apple-Silicon-Prozessoren (M-Serie) ist die Verschlüsselung sogar bereits auf Hardware-Ebene aktiv, noch bevor FileVault bewusst eingeschaltet wird.
Wie wird entsperrt?
FileVault verknüpft die Entschlüsselung direkt mit dem Benutzerpasswort des Mac-Kontos. Das bedeutet: Beim Starten muss das Passwort eingegeben werden, bevor das System hochfährt. Das ist ein echter Unterschied zur BitLocker-Standardkonfiguration: Selbst wenn jemand den ganzen Mac stiehlt und einschaltet, kommt er ohne das Benutzerpasswort nicht weiter. Der Wiederherstellungsschlüssel kann lokal gespeichert oder bei Apple hinterlegt werden.
Apple Silicon: Besonders sicher
Auf Macs mit Apple-Silicon-Chip (M1, M2, M3, M4) übernimmt der sogenannte Secure Enclave-Chip die Schlüsselverwaltung auf Hardwareebene – derselbe Chip, der auch iPhones schützt. Die Verbindung zwischen Secure Enclave und CPU ist nicht von außen abgreifbar. Angriffe wie das TPM-Sniffing, das gegen BitLocker funktioniert, sind auf diesen Geräten nicht möglich.
Einschränkungen
Wer sein Passwort vergisst und keinen Wiederherstellungsschlüssel hat, verliert alle Daten – ohne Ausnahme. FileVault ist wie BitLocker proprietär und nicht öffentlich einsehbar. FileVault-Laufwerke können von Windows oder Linux nicht ohne Zusatzsoftware gelesen werden. Auf Apple-Silicon-Macs ist die Verschlüsselung so tief in die Hardware integriert, dass eine Datenwiederherstellung nach einem Hardware-Defekt faktisch unmöglich ist – wer kein Backup hat und die Hardware stirbt, verliert die Daten.
Linux: LUKS
LUKS (Linux Unified Key Setup) ist der Standard für Festplattenverschlüsselung unter Linux. Es ist kein Produkt eines einzelnen Unternehmens, sondern ein offener Standard der Linux-Community, dessen Quellcode vollständig öffentlich einsehbar ist. Alle großen Distributionen – Ubuntu, Fedora, Debian, Linux Mint und andere – nutzen LUKS.
Wie wird entsperrt?
In der Standardkonfiguration wird beim Starten ein Passwort abgefragt. Erst nach Eingabe des richtigen Passworts wird das Laufwerk entschlüsselt und das System fährt hoch. Es gibt keine automatische TPM-basierte Entschlüsselung ohne Passwort – zumindest nicht in der Standardinstallation. LUKS unterstützt außerdem bis zu acht verschiedene Schlüssel für dasselbe Laufwerk – praktisch für Szenarien mit mehreren Nutzern oder Backup-Schlüsseln.
Stärken
LUKS ist vollständig kostenlos und ohne Einschränkungen in allen Linux-Distributionen enthalten. Der offene Quellcode bedeutet, dass Sicherheitsforscher weltweit die Implementierung unabhängig prüfen können – ein grundsätzlicher Vertrauensvorteil gegenüber proprietären Lösungen. LUKS-Laufwerke können von jedem anderen Linux-System gelesen werden: Wenn das System nicht mehr bootet, kann man die Festplatte in einen anderen Linux-Rechner einbauen, entsperren und die Daten retten.
Einschränkungen
Nachträgliche Vollverschlüsselung ist mit LUKS praktisch nicht möglich: Wer LUKS nutzen möchte, muss das bei der Installation aktivieren. Der einzige gangbare Weg im Nachhinein ist: Daten sichern, System neu installieren mit aktivierter Verschlüsselung, Daten zurückspielen.
Ein spezifisches Problem: Das /boot-Verzeichnis, aus dem das System den initialen Bootloader lädt, ist traditionell nicht verschlüsselt – selbst wenn der Rest des Systems verschlüsselt ist. Das ermöglicht theoretisch einen sogenannten Evil-Maid-Angriff: Wer kurz physischen Zugriff auf den eingeschalteten Rechner hat, könnte den unverschlüsselten Bootloader manipulieren. Neuere Konfigurationen können auch /boot verschlüsseln, aber das ist kein Standard.
LUKS kennt keine zentralisierte Wiederherstellungsoption über einen Cloud-Dienst. Wer das Passwort vergisst und keinen Backup-Schlüssel gespeichert hat, verliert alle Daten – ohne Ausnahme.
Alternative: VeraCrypt
Neben den betriebssystemeigenen Lösungen gibt es mit VeraCrypt eine freie, quelloffene Alternative, die auf Windows, macOS und Linux läuft. VeraCrypt ermöglicht es, einzelne verschlüsselte Container (eine Art verschlüsselte Dateitresore), einzelne Partitionen oder ganze Systemlaufwerke zu verschlüsseln. Es ist die modernisierte Nachfolge des eingestellten TrueCrypt und in Sicherheitskreisen gut angesehen.
Der entscheidende Vorteil von VeraCrypt ist die Plattformunabhängigkeit: Ein mit VeraCrypt verschlüsselter Container kann auf allen drei Betriebssystemen geöffnet werden. Das macht es zur ersten Wahl, wenn Daten zwischen verschiedenen Systemen ausgetauscht werden sollen und dabei verschlüsselt bleiben müssen.
Vergleich auf einen Blick
| Windows BitLocker | macOS FileVault | Linux LUKS | |
|---|---|---|---|
| Verfügbarkeit | Pro/Enterprise (Home: eingeschränkt) | Alle Versionen, kostenlos | Alle Distributionen, kostenlos |
| Quelloffen | ❌ Nein | ❌ Nein | ✅ Ja |
| Einrichtung | Einfach (grafisch) | Sehr einfach (grafisch) | Einfach bei reiner Linux-Installation |
| Entsperrung (Standard) | Automatisch via TPM | Passwort beim Start | Passwort beim Start |
| Wiederherstellung | Microsoft-Konto oder USB-Stick | Lokaler Schlüssel oder Apple | Nur lokaler Schlüssel |
| Kompatibilität | Nur Windows nativ | Nur macOS nativ | Alle Linux-Systeme nativ |
| Nachträgliche Verschlüsselung | ✅ Ja, im laufenden Betrieb | ✅ Ja, im laufenden Betrieb | ❌ Nur bei Neuinstallation |
| TPM-Sniffing-Risiko | ⚠️ Bei diskretem TPM ohne PIN | ✅ Nicht möglich (Apple Silicon) | Gering (kein Standard-TPM) |
Fazit: Was passt zu wem?
Mac-Nutzer bekommen mit FileVault die benutzerfreundlichste und für den Normalnutzer sicherste Lösung – insbesondere auf Apple-Silicon-Geräten. Die vollständige Verfügbarkeit ohne Aufpreis und die enge Hardware-Software-Integration sind klare Pluspunkte.
Windows-Nutzer, die Wert auf vollständige Verschlüsselung legen, sollten Windows Pro einsetzen, BitLocker aktiv aktivieren, den Wiederherstellungsschlüssel lokal sichern – und eine BitLocker-PIN einrichten, um das TPM-Sniffing-Risiko zu minimieren. Wer Windows Home nutzt, sollte wissen, dass die automatische Geräteverschlüsselung den Wiederherstellungsschlüssel bei Microsoft speichert.
Linux-Nutzer bekommen mit LUKS die technisch transparenteste und flexibelste Lösung. Für eine reine Linux-Installation ist die Einrichtung heute einfach. Wer die Kontrolle über seine Daten ohne Abhängigkeit von einem Unternehmensserver behalten möchte, ist hier gut aufgehoben – muss aber selbst dafür sorgen, dass der Wiederherstellungsschlüssel sicher aufbewahrt wird.
Für alle gilt: Die beste Verschlüsselung nützt nichts ohne ein Backup. Verschlüsselung schützt vor unbefugtem Zugriff – nicht vor Datenverlust durch Hardware-Ausfall.
Quellen
- Borns IT-Blog: BitLocker über TPM binnen 42 Sekunden ermittelt (Feb. 2024)
- Tom's Hardware: BitLocker key sniffing on modern Windows 11 laptops (Feb. 2024)
- ESET: BitLocker in 43 Sekunden ausgehebelt (2024)
- SCRT Team Blog: TPM Sniffing auch mit BitLocker-PIN (Okt. 2024)
- Borns IT-Blog: 38C3 – BitLocker über CVE-2023-21563 umgangen (Dez. 2024)
Stand: 1. April 2026.