Sicherer Stick: BitLocker to Go in Windows 7

Unter den vielen neuen Features von Windows 7 ist eines, das die IT-Sicherheit deutlich verbessern könnte: BitLocker to Go. Diese Funktion erlaubt es, USB-Sticks und andere Wechselmedien zu verschlüsseln. Verliert man so einen Stick, so kann ein Finder oder Dieb die Daten darauf nicht lesen.

Im Gegensatz zum “großen” BitLocker, das die Festplatten im System verschlüsselt, ist BitLocker to Go sehr schnell und auch durch “einfache” Benutzer einzurichten. Ein Trusted Platform Module (TPM) ist im Unterschied zu BitLocker nicht nötig. Die Verschlüsselung und der Zugriff sind durch ein Kennwort geschützt, alternativ lässt sich auch eine SmartCard dafür nutzen.

Im Folgenden eine kurze Anleitung – entgegen meinen normalen Gepflogenheiten mit einer Screenshot-Reihe.

Verschlüsseln

Das Ganze beginnt, indem man den zu verschlüsselnden Stick einstöpselt. Ich habe das mit einem normalen User-Account ohne Adminrechte getan. Ein Rechtsklick offenbart die gewünschte Funktion.

Nach Auswahl des Kommandos und einem kurz aufpoppenden Startfenster folgt die Angabe des Kennworts – alternativ eine SmartCard.

BitLocker erzeugt dann einen Wiederherstellungsschlüssel, falls man das Kennwort mal verbaseln sollte. Man muss diesen drucken oder speichern, sonst geht es nicht weiter.

Tja, und dann fragt das System: “Are you ready?”

Das Verschlüsseln selbst dauert leider eine Weile. Dies war ein 1-GB-Stick, der mehrere Minuten brauchte.

Zugriff

Irgendwann ist der Stick verschlüsselt. Windows 7 erkennt dies und zeigt es im Icon an:

Solange der Stick im Rechner bleibt, ist er entsperrt. Zieht man den Stick ab und stöpselt ihn neu ein, muss man ihn mit dem Kennwort wieder entsperren. Dabei kan n man angeben, dass er auf dem aktuellen Rechner automatisch entsperrt werden soll.

Schön und gut. Dass das mit Windows 7 geht, ist ja irgendwie klar. Aber was macht man, wenn man an einem Rechner mit Vista (oder noch schlimmer: XP) ist? Ganz einfach: BitLocker to Go speichert auf dem Stick eine kleine Applikation, die den Zugriff herstellt – allerdings nur lesend.

Achtung: Wie mir Jörg Schmidtke gerade mitteilt, funktioniert der Zugriff unter Vista und XP offenbar nur, wenn der Stick mit einer FAT-Variante formatiert ist. Auf NTFS-Partitionen, die mit BitLocker to Go verschlüsselt sind, kann man unter XP und Vista nicht zugreifen. Ob dies noch geändert wird, ist unklar – ich fürchte nicht. Wer also USB-Festplatten verschlüsseln möchte (die normalerweise mit NTFS formatiert sind), wird darauf nur mit Windows 7 zugreifen können!
(Update 21. Mai 2009)

So sieht das aus (man beachte das Legacy-System):

Startet man das kleine Programm, fragt es nach dem Kennwort:

Und dann kann man die Dateien kopieren:

Und der Rückweg

Natürlich kann man die Verschlüsselung auch wieder loswerden. Dazu muss man aber in Windows 7 über die Systemsteuerung gehen – der Explorer bietet die Option sicherheitshalber nicht an.

Das Entschlüsseln selbst ist recht unspektakulär – Adminrechte sind wieder nicht nötig. Dafür dauert es auch ähnlich lang wie schon das Verschlüsseln.

… und los:

… puh, fertig: