USB-Stick als Boot-Schlüssel

Die mit Bitlocker verschlüsselte Systempartition lässt sich nur booten, wenn der Stick mit dem Boot-Schlüssel im PC steckt.

Wer Datendieben keine Chance geben will, sichert seine Systemfestplatte so, dass beim Systemstart eine Authentifizierung fällig ist. Die Versionen Windows 7 Ultimate und Enterprise haben mit Bitlocker bereits ein solches Tool integriert. Es verschlüsselt die Festplatte im PC mit 128 Bit AES. Bitlocker setzt eigentlich einen TPM-Chip auf dem Mainboard voraus. Viele PCs haben aber keinen solchen Chip. Kein Problem: So nutzen Sie Ihren USB-Stick als Boot-Schlüssel.

So geht’s: Damit sich der USB-Stick als Schlüssel verwenden lässt, nehmen Sie im Gruppenrichtlinieneditor (Gpedit) Anpassungen vor.

Schritt 1: Gpedit starten Sie mit [Windows R] und gpedit.msc. Navigieren Sie in der linken Fensterhälfte zum Schlüssel „Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Bitlocker-Laufwerkverschlüsselung, Betriebssystemlaufwerke“. In der rechten Fensterhälfte erscheinen die möglichen Optionen für diesen Schlüssel. Klicken Sie doppelt auf „Zusätzliche Authentifizierung beim Start anfordern“. Aktivieren Sie den Radio-Button bei „Aktiviert“ und kontrollieren Sie, ob bei „BitLocker ohne kompatibles TPM zulassen“ ein Häkchen gesetzt ist. Klicken Sie auf „OK“ und schließen Sie Gpedit.

Schritt 2: Verschlüsseln Sie nun das Systemlaufwerk mit Bitlocker. Rufen Sie dazu die Systemsteuerung auf. Klicken Sie in der Kategorienansicht auf „System und Sicherheit“ und danach auf „BitLocker-Laufwerkverschlüsselung“.

Schritt 3: Starten Sie den Assistenten für die Verschlüsselung mit „BitLocker aktivieren“. Nach kurzer Zeit erscheint das Bitlocker-Setup. Klicken Sie auf „Weiter“ und im folgenden Fenster ebenfalls auf „Weiter“. Der Assistent bereitet jetzt die Festplatte vor und fordert Sie danach auf, den PC neu zu starten. Nach dem Boot-Vorgang erscheint automatisch der Setup-Assistent von Bitlocker. Klicken Sie auf „Weiter“. Im Folgedialog klicken Sie auf „Bei jedem Start Systemstartschlüssel anfordern“. Verbinden Sie den Stick mit dem PC und wählen Sie ihn in der Liste aus. Sichern Sie den Schlüssel mit „Speichern“.

Schritt 4: Sie werden jetzt aufgefordert, einen Wiederherstellungsschlüssel zu sichern — für den Fall, dass der Stick mit dem Startschlüssel verloren oder kaputt gegangen ist. Am sichersten ist es, Sie drucken den Schlüssel aus und heften ihn zu Ihren wichtigen Dokumenten. So haben Sie ihn immer schnell zur Hand. Klicken Sie anschließend zweimal auf „Weiter“. Starten Sie den PC mit „Jetzt neu starten“ neu. Nach dem Boot-Vorgang startet die Verschlüsselung automatisch im Hintergrund.