In der BitLocker Falle?!

Heute mittag erreichte mich ein Hilferuf eines verzweifelten Windows 10 Nutzers, der bis vor kurzem gar nicht wusste, dass er BitLocker nutzt…

Hallo Herr Andreas Schuster,

durch ein Problem mit meinem Surface bin ich auf Ihre Seite im Internet gestoßen. Da Sie auf dieser Seite über den Bitlocker berichten, möchte ich Sie um ein Rat fragen.

Ich habe folgendes Problem:

Mein ca. 2 Jahre altes Surface Pro (mit Windows 10) ist neulich während des Betriebes ohne Vorwarnung abgestürzt und es kam der Bluescreen.
Nach dem erzwungenen Neustart kam direkt das blaue Fenster (BitLocker) mit der Aufforderung den Wiederherstellungsschlüssel einzugeben.
Mein Laufwerk C wo auch Windows drauf installiert ist, wird vom BitLocker komplett gesperrt. Ich komme nicht drauf.

Da ich bis dahin von BitLocker nichts gewusst habe, musste ich mich ein paar Tage im Netz informieren.

Ich habe diesen BitLocker nie selber eingerichtet und musste zu meinem Bedauern feststellen, dass ich auch diesen (24stelligen) Schlüssel niemals abgespeichert hatte. In meinem Microsoft Konto gibt es leider auch keine Sicherung dieses Schlüssels. Das ist ärgerlich, denn ohne diesen Schlüssel komme ich nicht mehr an meine Daten.

Die Microsoft Hotline konnte mir auch nicht weiter helfen, außer der letzten Möglichkeit das System neu aufsetzen. Dann würden aber meine ganzen Daten verloren gehen.

Vielleicht habe Sie einen Rat für mich oder ein Trick, wie ich doch noch an meine Daten kommen kann? Eventuell gibt es Fachleute/Experten, die das machen könnten.

Ich würde mich freuen, wenn Sie mir antworten.

Mit freundlichen Grüßen
*Name entfernt*

Die BitLocker Konfiguration prüfen

Dazu muss man wissen, dass die Microsoft BitLocker Verschlüsselung allzu oft als „transparente“ Verschlüsselung aktiviert ist und viele Benutzer gar nicht darüber Bescheid wissen, dass eine Verschlüsselung aktiv ist. Man kann das aber ganz leicht prüfen, indem man im Explorer amLaufwerk C: mit der rechten Maustaste das Context-Menü öffnet und dann auf „BitLocker verwalten“ klickt.

BitLocker Konfiguration überprüfen und Einstellungen verwalten

Genau in dieser Systemeinstellung kann man sich jederzeit den Wiederherstellungsschlüssel sichern, den man benötigt, wenn es Probleme auf dem System gibt. Meine Empfehlung ist den Wiederherstellungsschlüssel auszudrucken und beispielsweise bei der Geräterechnung auszubewahren. So gehts:

Das hilft natürlich einem Hilfesuchendem nicht mehr, der sich nicht mehr erfolgreich am System anmelden kann, weil z.B.

  • Das Gerät nicht mehr korrekt bootet (fehlgeschlagenes Windows Update, Gerätetreiber, andere Bluescreens, defekte Hardware, etc.)
  • Man das Windows Kennwort vergessen hat und es sich nicht um ein zentral verwaltetes Firmennetzwerk mit Active Directory handelt

Microsoft hat eine sehr aktuell gepflegte Seite für die Suche nach einem verlorenen Wiederherstellungsschlüssel, hier der Link.

BitLocker deaktivieren oder entschlüsseln

Sollten auch die Microsoft Tipps nicht erfolgreich sein, kann man noch in seiner Cloud oder auf seinen externen Speichermedien (externe Festplatten, USB Sticks) nach der folgenden Datei suchen:
BitLocker-Wiederherstellungsschlüssel ** ** ** **-****-****-****-************.TXT
Wobei die Sterne „*“ jeweils ein Hex-Wert 0-9 bzw A-F sind.

Das steht in der Datei selbst:

Wiederherstellungsschlüssel für die BitLocker-Laufwerkverschlüsselung

Um zu überprüfen, ob es sich um den richtigen Wiederherstellungsschlüssel handelt, vergleichen Sie den Beginn des folgenden Bezeichners mit dem auf dem PC angezeigten Bezeichnerwert.

Bezeichner:

********-****-****-****-************

Falls der obige Bezeichner mit dem auf dem PC angezeigten Bezeichner übereinstimmt, sollten Sie den folgenden Schlüssel zum Entsperren des Laufwerks verwenden.

Wiederherstellungsschlüssel:

******- ****** – ****** – ****** – ****** – ****** – ****** – ******

Falls der obige Bezeichner nicht mit dem auf dem PC angezeigten Bezeichner übereinstimmt, handelt es sich nicht um den richtigen Schlüssel zum Entsperren des Laufwerks.

Versuchen Sie es mit einem anderen Wiederherstellungsschlüssel, oder suchen Sie unter „http://go.microsoft.com/fwlink/?LinkID=260589“ nach weiteren Informationen.

Sollte die Suche nach dem BitLocker Recovery Schlüssel nicht glücken, ist der einzige Schritt den installierten BitLocker zu hacken.

Um 22€ BitLocker selbst mit einem FPGA hacken

In allen Windows Versionen nutzt BitLocker für den wichtigsten Schlüssel den Volume Encryption Key (VEK) einen Krypto-Chip am Motherboard, den TPM-Chip. Genau da kann man angreifen, denn seit wenigen Wochen gibt es einen neuen BitLocker/TPM Hack von Denis Andzakovic unter dem folgenden Link: TPM-sniffing

Es handelt sich um einen programmierbaren FPGA mit der Bezeichnung ICE40 Eval Board. Denis Andzakovic hat sich die Mühe gemacht für diesen günstigen FPGA eine Firmware von Alexander Couzens anzupassen und diese auf Github zu stellen.

Um den Volume Master Key aus dem BitLocker auszulesen, muss man das programmierte FPGA mit dem TPM-Chip des Clients verbinden (zumeinst anlöten) und dann den den Client starten. BitLocker sendet einige Daten an den TPM-Chip und dieser antwortet mit dem Volume Encryption Key (VEK) den man mitprotokolliert. Dann den Client mit Linux booten oder die Festplatte an ein Linux-System anschliessen und die verschlüsselte C: Partition mit den im Hack beschrieben Tools über den VEK entschlüsseln. Kling einfach, ist es auch!

TPM Beispiel: ein Infineon SLB9665TT20
TPM Beispiel: ein Infineon SLB9665TT20

Den ICE40 FPGA habe ich mir bereits bei Mouser (
https://www.mouser.at/ProductDetail/Lattice/ICE40HX1K-STICK-EVN) um knapp 22€ in Deutschland bestellt. In ein paar Tagen werde ich dann den Hack ausprobieren.

BitLocker ohne eine Pre-Boot-Authentisierung wie Passwort, PIN oder Smartcard kann man heute in wenigen Stunden mit einem finanziellen Aufwand von nur 22€ hacken. Wenn man also wirklich wichtige Daten schützen möchte, dann aktiviert die TPM Pin oder besorgt Euch eine Verschlüsselung mit Pre-Boot-Authentisierung!

39 Gedanken zu „In der BitLocker Falle?!“

  1. Bad news their legal counsel took the same position I had taken. Deploying BitLocker in this way didn’t enable them to claim compliance with a requirement they had to encrypt their laptop drives.

  2. Moin,

    ich habe ein ähnliches Problem. Mein Surface hat den Geist aufgegeben. Die Festplatte habe ich nun ausgebaut. Beim Versuch auf die Platte zuzugreifen, werde ich natürlich nach dem Bit-Locker Schlüssel gefragt. Auf diesen konnte ich in meinem Microsoft-Konto zugreifen. Die angezeigte Schlüssel-ID stimmt auch überein, ich bekomme mit dem Schlüssel aber dennoch keinen Zugriff auf das Laufwerk. Der Microsoft-Support hält sich leider sehr in Grenzen. Haben Sie eine Ahnung, was ich noch machen kann?

    Viele Grüße
    Daniel Kunze

    1. Hallo Daniel,

      wenn Du einen 48-stelligen Recovery Key findest, sollte das eigentlich sehr einfach funktionieren mit dem Datenrecovery.
      Welchen Fehler bekommst Du bei der Eingabe des Recovery-Keys?

      Sichere Grüße, Andreas

  3. Hallo,

    wenn ich meine ehemals im Notebook eingebaute Festplatte also an einem anderen Gerät entschlüsseln will, hilft nur dieser Wiederherstellungsschlüssel bzw. ein Hack, für den ich natürlich zu doof bin? Was, wenn das Notebook kein TPM hatte bzw. dieses via Richtlinie nicht zugelassen wurde? Kann man dann die Festplatte mit dem einfachen Bitlocker-Passwort entschlüsseln?

    Vielen Dank1

    1. Hallo Julia,

      Sorry für die Verzögerung bei der Freigabe und der Antwort.
      Bei der Nutzung von TPM ist die verschlüsselte Festplatte bzw. SSD immer direkt mit dem Gerät verbunden und kann nur mit dem Wiederherstellungsschlüssel auf einem anderen Gerät geöffnet werden. Wenn Du den Wiederherstellungsschlüssel nicht hast hilft ggfls. der Hack auf dem Gerät mit dem TPM, dieser ist aber nur für sehr versierte IT-Spezialisten empfehlenswert.
      Wenn Du statt der TPM Nutzung ein BitLocker Passwort konfiguriert, dann gibt es keine Gerätebindung und das erleichtert auch den Wechsel von Geräten.
      Größeren Unternehmen empfehle ich ein zentrales BitLocker Management mit einer sicheren Pre-Boot-Authentisierung, z.B. Secure Disk for BitLocker.
      Die Lösung ist ab 50 Clients lizensierbar.

      Sichere Grüße, Andreas

  4. Moin, ich habe ebenfalls ein sehr ähnliches Problem. gestern, als ich mein surface go einschalten wollte bekam ich eine Fehlermeldung und es ist mir unmöglich ins Windows zu kommen (vermutlich durch ein fehlgeschlagenes Windows Update o.ä.). Den Recovery-Key habe ich ebenfalls nicht, da ich nicht wusste das Bitlocker aktiviert war/ist. Die Daten auf dem Gerät sind allerdings nicht wirklich wichtig, da alle Daten in der Cloud gespeichert sind. gibt es eine Möglichkeit die Festplatte zu formatieren um Bitlocker zu deaktivieren? Wie gesagt die Daten sind egal.
    Viele Grüße
    Timothy Lehnich

    1. Hallo Timothy,

      vorbildlich, dass Du alle Deine wichtigen Daten in der Cloud gespeichert hast! Dies ist übrigens der primäre Ratschlag den ich in als Verschlüsselungsexperte immer wieder aussprechen muss. Ein Fehler bei der Verschlüsselung z.B. durch TPM oder Motherboarddefekt, defekte Festplatte/SSD, Verlust, Diebstahl, Ransomware, Malware, Benutzerfehler … es gibt dutzende Gründe wie man seine wertvollen Daten verlieren kann. Und was hilft bei allen diesen Fällen? Genau, ein Backup!

      Ja natürlich, einfach Windows neu installieren und dann unter Windows im Exporer auf das C: Laufwerk klicken, mit der rechten Maustaste das Context Menü öffnen und unter der Einstellung „BitLocker verwalten“ siehst Du dann den Verschlüsselungsstatus deines C: Laufwerkes.

      Private Nutzen können natürlich auch ohne Festplattenverschlüsselung / BitLocker arbeiten, für Firmen sieht das aufgrund der DSGVO jedoch anders aus. Hier ist eine Verschlüsselung die dem Stand der Technik entspricht erforderlich.

      Sichere Grüße, Andreas

  5. Hallo Andreas,

    wie ist denn der Hack mit ICE40 Stick ausgegangen. Konntest du damit den gültigen Bitlocker Key tatsächlich protokollieren?

    VG Patrick

    1. Hallo Patrick,

      selbstverständlich hat der Hack funktioniert. In der Zwischenzeit ist das eine gängige Methode von PenTestern ihren Kunden zu beweisen, dass die BitLocker Verschlüsselung und Pre-Boot Authentisierung einfacn unsicher ist. Am einfachsten ist der Hack bei einem PC Motherboard mit einem gesteckten TPM Header, z.B. der TPM Header von ASUS https://www.asus.com/Motherboard-Accessories/TPM-M-R2-0/ . Bei einem solchen gesteckten TPM Chip braucht man kein spezielles Werkzeug um die Daten abzugreifen, sondern man nutzt ganz normale Klemmen aus der Mikroelektronik. Dann bootest Du den PC und gleichzeitig liest man über die serielle Schnittstelle des ICE40 die Rohdaten des BitLocker Schlüssels aus. Mit einem einfachen Linux Tool kann man den Schlüssel dann in den richtigen BitLockerschlüssel konvertieren. Ein befreundetes Unternehmen die BDO in Linz hat sogar eine Routine geschrieben, wie man daraus den achso geheimen BitLocker Recovery Key errechnen kann.
      Wenn Du man einen vorkonfigurierten ICE40 Stick für den Hack benötigst, dann ich Dir den gerne borgen.

      Sichere Grüße, Andreas

  6. Hallo,

    mein Lenovo ThinkPad ist leider abgestürzt (Arbeitsspeicher und CPU mussten ausgetauscht werden). Nachdem ich die Daten sichern wollte, verlangte es einen Bitlocker-Key.

    Die letzte Datensicherung (nur die Dateien, ohne Wiederherstellungsschlüssel) liegt 6 Wochen zurück. In der Zwischenzeit kamen einige wichtige Dateien hinzu.

    Wie hoch schätzen Sie die Chancen ein, dass ich mit einem FPGA (das Programm für 22€ s.o.) nochmal an die Daten rankomme?

    Gibt es irgendwelche andere Möglichkeiten?

    Ich habe sämtliche Möglichkeiten ausprobiert, aber nichts hat funktioniert.

    Viele Grüße,
    Stefan

    1. Hallo Stefan,

      der Hack mit dem FPGA funktioniert aktuell nur, wenn der Rechner noch bootet und dann in der Windows Anmeldung stehenbleibt oder es nach der BitLocker Verschlüsselung zu einem Windows BlueScreen kommt und Du deshalb nicht an die Daten kommst.
      In Deinem Fall lädt der TPM ja den BitLockerschlüssel nicht mehr korrekt und daher kannst Du den Schlüssel auch nicht mit dem FPGA mitlesen.
      Ich veröffentliche gleich noch einen Artikel zum Thema wo der Wiederherstellungsschlüssel noch überall sein kann, eventuell hast Du damit Glück.
      Was leider nicht funktioniert ist eine Brute-Force-Attacke auf den BitLocker Schlüssel. Hierzu müsste man mit den gängigen Cracking-Tools wie John the Ripper oder hashcat den AES-128 oder AES-256 Schlüssel knacken und dass funktioniert aufgrund der Länge des AES Schlüssels nicht.

      Schau Dir bitte den weiteren Artikel an.

      Sichere Grüße, Andreas

  7. Hier die Frage von Johann aus Deutschland die mich per Email erreicht hat:

    Herzlichen Dank für das Telefonat heute. Wie besprochen, fordert mein Laptop plötzlich einen Bitlocker-Schlüssel den ich leider nicht habe. Sie hätten gemeint, das ich diesen im Office 365 Konto finde. Wo finde ich diesen hier genau?
    Für eine Antwort wäre ich Ihnen sehr dankbar.

    1. Hallo Johann,

      normalerweise findest Du den Wiederherstellungsschlüsselt dort:

      https://account.microsoft.com/ -> Geräte (https://account.microsoft.com/devices/) -> Dein Gerät anklicken -> weiter unten BitLocker-Datenschutz „Wiederherstellungsschlüssel verwalten“

      Dort unter dem Link (https://account.microsoft.com/devices/recoverykey ) siehst Du die Wiederherstellungsschlüssel für Deine Geräte.
      Wenn es aber keinen gibt, dann wurde Dein Client ursprünglich mit einem anderen Konto verbunden oder die Person die den BitLocker aktiviert hat, hat den Schlüssel ausgedruckt oder azf einebn USB Speicher gespeichert. Vielleicht lag Deinem DELL Notebook ein Zettel mit dem BitLocker Schlüssel vor.
      So sollte eine BitLocker Recovery-Datei aussehen (normale Textdatei):

      Datei: „BitLocker-Wiederherstellungsschlüssel 1678930C-F4C7-491C-A4CD-************.TXT“

      Wiederherstellungsschlüssel für die BitLocker-Laufwerkverschlüsselung

      Um zu überprüfen, ob es sich um den richtigen Wiederherstellungsschlüssel handelt, vergleichen Sie den Beginn des folgenden Bezeichners mit dem auf dem PC angezeigten Bezeichnerwert.

      Bezeichner:

      1678930C-F4C7-491C-A4CD-************

      Falls der obige Bezeichner mit dem auf dem PC angezeigten Bezeichner übereinstimmt, sollten Sie den folgenden Schlüssel zum Entsperren des Laufwerks verwenden.

      Wiederherstellungsschlüssel:

      093313-669262-216535-538175-358083-******-******-******

      Falls der obige Bezeichner nicht mit dem auf dem PC angezeigten Bezeichner übereinstimmt, handelt es sich nicht um den richtigen Schlüssel zum Entsperren des Laufwerks.
      Versuchen Sie es mit einem anderen Wiederherstellungsschlüssel, oder suchen Sie unter „https://go.microsoft.com/fwlink/?LinkID=260589“ nach weiteren Informationen.

      Hacken eines BitLocker Schlüssel ist nur möglich, wenn Dein Rechner noch über den BitLocker hinaus bootet und dann z.B. einen BlueScreen unter Windows hat.
      Es gibt Möglichkeiten vom TPM Chip den Schlüssel mitzulesen. Das funktioniert aber nicht mehr, wenn er gleich nach dem Recovery Key fragt.

      Sichere Grüße, Andreas

      1. Hier die Antwort von Johann:

        Hallo Andreas,

        Herzlichen Dank für Ihre Antwort.
        ich habe das Problem lösen können.
        Ich habe im BIOS unter Security das PTT (was das auch immer ist?) aktiviert und der Computer ist danach wieder ohne Eingabe des Schlüssels hochgefahren. Ist anscheinend ein DELL Problem das nach einem Update auftaucht. Ich habe jetzt den Wiederherstellungsschlüssel gesichert damit mir das nicht mehr passiert.

        Liebe Grüße
        Johann

  8. Hallo Andreas!
    Mein Dell Notebook Inspiron 15 5579 2-in-1 hat aus heiterem Himmel laut gepiept und es ging nichts mehr. Der Dell support assist sagt: Ihre Festplatte läuft außerhalb der normalen Parameter und sollte ersetzt werden. Für dieses System gilt kein Hardwareservice mehr.
    Ich habe das Notebook in einen nahe gelegenen PC_Laden gebracht. Die benötigen den BitLocker. Ich wusste nicht, dass dieser überhaupt existiert. Auf meinem Microsoft-Konto war kein Wiederherstellungsschlüssel hinterlegt. Nach langem Suchen habe ich auf dem Microsoft meines Mannes den Wiederherstellungsschlüssel gefunden. Ich dachte kurz, meine Welt ist gerettet. Leider ist der Schlüssel falsch … es steht dort merkwürdigerweise derselbe Schlüssel wie für den Rechner meines Mannes.
    Ich bin absoluter Analphabet was solche Themen angeht (kann nur das Office-Paket bedienen) und habe dummerweise kein Backup gemacht. Ich kenne auch sonst niemanden, den ich dazu befragen kann. Durch Zufall bin ich auf Deine Seite gestoßen … daher jetzt meine Frage: könnte man irgendwie noch die Daten retten? Oder ist tatsächlich Hopfen und Malz verloren???
    Über eine Rückmeldung würde ich mich sehr freuen!
    Viele Grüße, Steffi

    1. Hallo Steffi,
      ein ähnliches Phänomen hatte ich kürzlich gesehen, aber da wurde der BitLocker erst kürzlich aktiviert.
      In dem Fall waren die Daten gar nicht verschlüsselt und der IT Admin konnte die Daten mit einem Recovery Tool lesen indem er die Festplatte/SSD auf einem anderen PC angesteckt und geladen hat. In Deinem Fall wird das eher nicht helfen, weil der Rechner höchstwahrscheinlich schon verschlüsselt ist.
      Der Recovery Key ändert sich nicht, außer man ändert diesen mit einem Tool oder man entschlüsselt die DIsk und verschlüsselt diese neu.
      Welche Meldung bekommst Du wenn Du den Recovery Key eingibst?

      Sichere Grüße, Andreas

  9. Hallo,

    habe folgendes Problem: Habe meine 2. Festplatte mit Bitlocker verschlüsselt und habe den 48 stelligen Code nicht aufgeschrieben. Der PC lässt sich starten, da das BS auf der Hauptplatte ist. Funktioniert die Methode auch in diesem Fall oder gibt es noch andere Möglichkeiten die 2. Festplatte zu entschlüsseln?

    Danke für Info.

    BG

    1. Hallo Christof,
      deine Frage verstehe ich nicht exakt. Handelt es sich um eine externe Festplatte die Du mit dem BitLocker to Go verschlüsselt hast (mit einem Passwort) oder um eine weitere Datenpartition deiner primären Festplatte?
      Starte doch die CMD.exe als Administrator und starte dann das Programm:
      manage-bde.exe -status D:
      Vorausgesetzt natürlich die Platte hat den Laufwerksbuchstaben D:
      Welchen Status meldet das Programm?

      Sichere Grüße, Andreas

      1. Hallo Andreas,

        ich befürchte, dass du die Antwort im nachfolgenden Kommentar schon gegeben hast?

        Es handelt sich um eine interne 2. Festplatte. Betriebssystem befindet sich auf 1. Festplatte und dort gibt es kein Problem.

        Meldung ist:
        BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362,
        Größe: Unbekannt GB
        BitLocker-Version: 2.0
        Konvertierungsstatus: Unbekannt
        Verschlüsselt (Prozent): Unbekannt %
        Verschlüsselungsmethode: XTS-AES 128
        Schutzstatus: Unbekannt
        Sperrungsstatus: Gesperrt
        ID-Feld: Unbekannt
        Automatische Entsperrung: Deaktiviert
        Schlüsselschutzvorrichtungen:
        Numerisches Kennwort
        Externer Schlüssel

        Da die Platte nicht zuerst gestartet wird etc. wohl hoffnungslos?

        Beste Grüße
        Christof

          1. Hallo Andreas, hast du schon ein Update / Info von deinem Kollegen bzgl. der internen Festplatte, ob da noch etwas zu machen ist? Danke für Info! BG Christof

          2. Hallo Christof,

            dem ist leider auch nichts zusätzlich eingefallen.

            Weiter unten hat ein weiterer Nutzer ebenfalls das selbe Problem mit einer externen Festplatte.
            Hier kann ich nur meinen Ratschlag den Du auch unten findest wiederholen:

            Wenn das Microsoft Betriebssystem auf deinem Notebook ein Problem hat das Laufwerk zu öffnen, probiere es zuerst auf einem anderen Win 10 Client mit 2004 Update und wenn das nicht klappt würde ich es mal auf einem Linux System probieren, entweder so https://www.heise.de/security/meldung/Linux-Verschluesselungswerkzeug-Cryptsetup-unterstuetzt-nun-BitLocker-4656526.html oder mit Dislocker https://www.linuxuprising.com/2019/04/how-to-mount-bitlocker-encrypted.html

            Sichere Grüße, Andreas

          3. Hallo Andreas,

            ok, trotzdem danke für die Rückmeldung!
            Die Links mit Linux etc. hatte ich mir schon angeschaut, aber da ich keinen Schlüssel habe etc. wird es so nicht gehen.

            Finde es super, dass du dir hier die Zeit nimmst und die ganzen Fragen beantwortest!

            BG! Christof

  10. Hallo zusammen,

    der neue HP ENVY Laptop meiner Verlobten ist seit dem neuen Windows 10 Update (2004) durch den BitLocker gesperrt. Da wir bei der Installation Anfang des Jahres (sehr wahrscheinlich) nur einen lokalen Offline-Account angelegt haben, ist nirgends ein Wiederherstellungsschlüssel auffindbar (weder auf der Microsoft-Seite/Cloud noch auf USB-Stick/Papier)

    Sie benötigt die Daten dringend für ihre Examensarbeit – leider haben wir nicht an Datensicherung auf einer externen Festplatte gedacht.

    Ich habe diese Seite zum BitLocker-Hack gelesen und habe Hoffnung, dass uns hier jemand kompetentes weiter helfen kann.
    Leider kann ich jedoch nicht löten. Gibt es eine andere Möglichkeit der Datenrettung unter Umgehung von BitLocker? Weder HP noch Microsoft konnten mir in stundenlangen Telefonaten helfen – dabei haben wir nie bewusst einer BitLocker-Verschlüsselung zugestimmt!!!

    Vielen Dank im Voraus!

    Henry

    1. Hallo Henry,

      leider bekomme ich solche Fehlermeldungen fast täglich zu lesen, ohne Backup der Daten und ohne einen BitLocker Recovery Schlüssel kann man da leider nichts mehr machen.
      Der Fehler liegt anscheinend bei den Herstellern der Notebooks die die Geräte verschlüsselt ausliefern und darauf hoffen, dass die Nutzer das irgendwie herausfinden und den selbstständig über den Explorer -> C: -> BitLocker verwalten -> Wiederherstellungsschlüssel sichern.
      Dann hast Du die Option diesen Wiederherstellungsschlüssel zu sichern:
      – In Clouddomänenkonto speichern
      – Aus USB-Speicherstick speichern
      – In Datei speichern
      – Wiederherstellungsschlüssel drucken

      Wenn die armen Benutzer das aber nicht wissen, erinnert das Windows Betriebssystem diese nicht und erst bei einer Störung wie in Deinem Fall durch das Windows 10 2004 Update tritt ein Fehler auf.
      Der Hack mit dem ICE40 FPGA funktioniert nur wenn der Laptop noch bootet und erst im Betriebssystem ein Fehler auftritt, oder man das Windows Passwort nicht mehr weiß. In der Regel wird auch nicht gelötet sondern mit sehr kleinen Elektronikklammern die Pins vom TPM Chip abgegriffen und mit einem kleinen Tool der Schüssel mitgelesen.
      In Deinem Fall hilft das aber leider nicht.
      Kürzlich habe ich auch andere Experten um Hilfe gegeben, welchen Hack man noch nutzen kann. Leider auch hier keine Möglichkeit die nicht viele Jahrtausende benötigen würde indem man den AES Schlüssel des BitLockers pe Brute-Force Attacke versucht zu errechnen.
      Wie gesagt: Schuld ist m.E. der Notebook Hersteller der mit BitLocker verschlüsselt ausliefert und die Kunden davor nicht warnt…

      Sichere Grüße, Andreas

  11. Hallo ,
    ich habe auch meine externe Festplatte mit dem Bitlocker Verschlüsselt.
    Jetzt nimmt er das Kennwort und den Wiederherstellungsschlüssel nicht mehr an .Kann man mit dem Tool M3 Bitlocker Recovery ,wenn man den Wiederherstellungsschlüssel hat alles wieder herstellen ?Gibt es dazu Erfahrungen

    1. Hallo Markus,

      das Tool M3 Bitlocker Recovery verspricht unmögliche Dinge bei einem BitLocker Fehler, oder doch nicht? Zum einen erfordert es „M3 Bitlocker Recovery is a recovery tool to recover lost files from Bitlocker drive after providing password or 48-digit recovery key“ – Wenn das Passwort oder der Recovery Key funktioniert, braucht man das Tool ja nicht!

      Auf der anderen Seite bietet das Tool keine Rettung, wenn im Header in dem BitLocker wichtige Daten abspeichert ein Fehler vorliegt, siehe „Sometimes, the area on the disk which holds BitLocker metadata was severely damaged or overwritten. In this situation, the lost data cannot be decrypted even if you have the correct password and recovery key.“ – Korrekt übersetzt bedeutet, dass M3 Bitlocker Recovery KANN BEI EINEM FEHLER NICHT HELFEN!

      Besonders vorsichtig sollten alle Interessenten sein wenn eine Webseite KEIN IMPRESSUM HAT und KEINE FIRMA ERKENNBAR IST!
      Eine Whois Abfrage der Domaine bringt zum Vorschein, dass der Domaininhaber sich bestmöglich TARNEN MÖCHTE, jedoch findet man die Stadt und das Land des Domaininhabers: Chongqing in China.

      Also, bitte FALLT NICHT AUF DIE FAKE SEITE HEREIN! Hier handelt es sich zu 99,9% um eine Betrugsseite, wo man versucht Hilfesuchenden eine nichtfunktionierende Software um 179$ zzgl Chinesischer Mehrschweinchensteuer herauszulocken. BITTE GLAUBT DER ANGEBLICHEN „MONEY BACK GUARANTEE“ NICHT. Einmal bezahlt ist das Geld sicherlich auf der bösen Seite der Macht!

      Also FINGER WEG!

      Sichere Grüße, Andreas

  12. Gibt es eine Möglichkeit die Daten noch zu entschlüsseln ?
    Der Wiederherstellungsschlüssel ist korrekt , aber er wird vom System nicht angenommen und das Passwort auch nicht .

    LG Markus

  13. Hallo Andreas,
    er zeigt folgendes an unter CMD.
    Größe:unbekannt
    Bitlocker-ver.:2.0
    konvertierungsst.:unbekannt
    verschlüsselt (prozent):unbekannt
    verschlüssel Methode :AES 128
    schutzstatus:unbekannt
    sperrsta.Gesperrt
    ID.Feld :unbekannt
    Automatische entsperrung :deaktiviert
    Schlüsselschutzvorrichtung :Kennwort _numerisches

    LG Markus

    1. Das sieht bei mor ganz gleich aus:
      C:\WINDOWS\system32>manage-bde.exe -status f:
      BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362
      Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

      Volume „F:“ [Die Bezeichnung ist unbekannt.]
      [Datenvolume]

      Größe: Unbekannt GB
      BitLocker-Version: 2.0
      Konvertierungsstatus: Unbekannt
      Verschlüsselt (Prozent): Unbekannt %
      Verschlüsselungsmethode: XTS-AES 128
      Schutzstatus: Unbekannt
      Sperrungsstatus: Gesperrt
      ID-Feld: Unbekannt
      Automatische Entsperrung: Deaktiviert
      Schlüsselschutzvorrichtungen:
      Kennwort
      Numerisches Kennwort

      Wenn das Microsoft Betriebssystem auf deinem Notebook ein Problem hat das Laufwerk zu öffnen, probiere es zuerst auf einem anderen Win 10 Client mit 2004 Update und wenn das nicht klappt würde ich es mal auf einem Linux System probieren, entweder so https://www.heise.de/security/meldung/Linux-Verschluesselungswerkzeug-Cryptsetup-unterstuetzt-nun-BitLocker-4656526.html oder mit Dislocker https://www.linuxuprising.com/2019/04/how-to-mount-bitlocker-encrypted.html

      Viel Erfolg und wenn Du Erfolg hast, bitte teile Deine Erfahrung hier im Artikel.

      Sichere Grüß, Andreas

  14. Guten Tag Herr Schuster,

    ich bin über Google auf Ihre Seite gestoßen und möchte Ihnen kurz mein Problem schildern, vielleicht können Sie mir ja weiterhelfen.
    Nach einem (fehlerhaften?) Windows-Update meines Dell Laptops kommt der Fehler:

    File: BCD
    Error code: 0x0000098

    Im UEFI ist der Windows Bootmanager als Boot-Option eingetragen, mit dem Pfad:

    EFI*Microsoft*Boot*bootmgfw.efi

    Ich kann dort weitere Bootoptionen hinzufügen, unter den Verzeichnissen:
    Microsoft, Boot oder dell. Dort sind dann jeweils weitere boot***.efi-Dateien zu finden, die aber alle zum gleichen, oben genannten Fehler führen.
    Einzig eine .efi-Datei im Ordner Dell funktioniert, daraufhin startet der PC eine Selbstdiagnose, die aber fehlerfrei ausgeführt wird.

    Dann habe ich versucht mit bootrec /RebuildBcd die Boot-Konfiguration wiederherzustellen. Das schlägt aber fehl, weil keine Windows Installationen identifiziert werden können. Bei sämtlichen Versuchen wird mir der Zugriff verweigert oder ich bekomme die Meldung, dass das Volume schreibgeschützt ist. attributes volume clear readonly hat hier leider keine Abhilfe geschaffen.

    Der Laptop scheint mit Bitlocker verschlüsselt zu sein, obwohl ich nie einen entsprechenden Schutz aktiviert habe (daher habe ich auch keinen Schlüssel, auch im Microsoft-Konto ist nichts hinterlegt). Wenn ich von einem Windows 10 Stick starte, kann ich weder das System Wiederherstellen, noch zur vorherigen Windows-Version zurückkehren. Es kommen immer Fehler. Die Starthilfe kann das Problem ebenso nicht lösen. Die Eingabeaufforderung fordert einen Wiederherstellungsschlüssel, den ich nicht habe. Wenn ich das Laufwerk überspringe und über manage-bde -status den Bitlockerstatus abfrage, kommt folgendes:

    Volume C
    Größe: Unbekannt GB
    BitLocker-Version 2.0
    Konvertierungsstatus: Unbekannt
    Verschlüsselt (Prozent): Unbekannt %
    Verschlüsselungsmethode: XTS-AES 128
    Schutzstatus: Unbekannt
    Sperrungsstatus: Gesperrt
    ID-Feld: Unbekannt
    Automatische Entsperrung: Deaktiviert
    Schlüsselschutzvorrichtungen:
    Numerisches Kennwort
    TPM

    Nun, der Laptop besitzt kein TPM, sondern PTT. Dieses kann ich im UEFI aktivieren bzw. deaktivieren, macht aber keinen Unterschied (Option war zu Beginn deaktiviert).

    Haben Sie noch irgendwelche Ideen, wie ich an meine Daten komme? Oder ist der letzte Ausweg die Neuinstallation von Windows, mit vorheriger Neupartitionierung und -formatierung?

    Viele Grüße
    David

    1. Hallo David,

      der BCD Fehler ist wie Du sicher schon weißt kein BitLocker Fehler sondern anderer Fehler im Boot-Prozess. Hier habe ich einen Link gefunden wo Tipps gegeben werden wie man den Boot-Record fixen kann: https://neosmart.net/wiki/0xc0000098/

      Leider haben wir in Deinem Fall wieder einmal einen verschlüsselten Notebook wo Du als Besitzer gar nicht weißt, dass dieser Notebook verschlüsselt ist. Die „manage-bde -status“ Ausgabe sagt übrigens, dass Du ein „Numerisches Kennwort“ = der Recovery Key und den TPM (in Deinem Fall der günstigere PTT ist aber technisch kompatibel zu einem TPM 2.0) auf dem C-Laufwerk konfiguriert hast.
      Ich sehe gut Chancen, dass Du selbst oder mit Hilfe von einem Spezialisten den Boot-Record fixen kannst. Siehe speziell den Fix #3 in dem o.a. Link.

      Hier mal ein Tipp für alle die wichtige Daten gespeichert haben und ein paar Dinge versuchen möchten!
      Eine Festplatte oder SSD kann man mit einem Linux System sehr einfach mit dem Befehl „dd“ komplett 1:1 in eine Datei kopieren.
      Hierbei werden alle Sektoren übernommen und ihr konnt dann was ausprobieren und später wieder den Originalzustand auf die Disk zurückschreiben. Natürlich benötigt ihr ein Linux, dass von einem USB-Stick bootet, hier gibt es ganz viele Distributionen und dann benötigt ihr eine externe Disk die natürlich größer ist als die Platte/SSD die Ihr sichern wollt.

      Dir David, rate ich genau das bevor Du mit dem „bootrec /rebuildbcd“ probierst den Boot-Record neu zu erstellen.

      Den ganzen Aufwand musst Du natürlich nur machen, wenn Du wichtige Daten auf der C: Platte gespeichert hast und davon kein Backup z.B. in der Cloud hast. In Deiner Frage kommt genau das nicht exakt raus. Bei allen anderen Kommentare geht es immer nur um die Daten, nicht darum, ein System neu aufzusetzen. Ich denke, dass ist wahrscheinlich auch Dein Problem, oder?

      Schreibe bitte hier in dem Artikel, wenn Du Dein Problem lösen konntest.

      Sichere Grüße, Andreas

      1. Hallo Andreas!

        Danke für die ausführliche Rückmeldung.
        Die verlinkte Seite ist mir bekannt, wie ich bereits geschrieben habe, hab ich schon versucht mit bootrec /rebuildbcd die Boot-Konfiguration wiederherzustellen. Das schlägt aber fehl, weil keine Windows-Installationen identifiziert werden können. Bei sämtlichen Vorgängen wird mir der Zugriff verweigert oder ich bekomme die Meldung, dass das Volume schreibgeschützt ist. Auf C:\ kann ich logischerweise auch nicht zugreifen, hier bekomme ich über cmd die Meldung:

        „Dieses Laufwerk ist durch die BitLocker-Laufwerkverschlüsselung gesperrt. Das Laufwerk muss mithilfe der Systemsteuerung entsperrt werden.“

        Versuche ich chkdsk c:\ bekomme ich die Meldung, dass der Typ des Dateisystems RAW ist, und chkdsk für RAW-Laufwerke nicht verfügbar ist.
        Auf mich macht das Ganze den Eindruck, dass die komplette Platte verschlüsselt ist, und nichtmal Windows noch irgendwelche Windows-Installationen finden kann, ohne dass ich die Platte mit dem Bitlocker-Schlüssel wieder entschlüssel.
        Ich würde mittlerweile sogar so weit gehen und sagen, dass der BCD-Fehler nur ein Folgefehler aufgrund der Verschlüsselung ist.

        Leider sind sehr wichtige Daten auf dem Laptop, und diese sind nur teilweise und in älterer Form gesichert. Mir geht es also ebenfalls um die Daten, das System neu aufzusetzen wäre kein Problem für mich, ist aber erstmal nicht mein Ziel.

        Hast du noch den ein oder anderen Rat? Sonst muss die Festplatte in den Schrank, bis es vielleicht irgendwann eine Möglichkeit gibt an die Daten ran zu kommen.

        Viele Grüße
        David

  15. Hallo,
    ich habe ebenfalls ein Problem mit BitLocker.
    Hab meine externe Festplatte verschlüsselt.
    An meinem neuen Laptop werd ich immer nach dem Wiederherstellungsschlüssel gefragt. Den ich aber nicht habe.
    Wie bring ich mit Bitlocker dazu nach dem Passwort zum entsperren zu fragen? Das kenne ich nämlich

  16. Hallo Andreas,

    ich habe von einer Bekannten ein Netbook leider mit dem BitLocker. Leider hat sie den Key nicht und sie hatte es wohl über ein UniKonto verwendet welches aber nicht mehr existent ist was kann man nun machen um wenigstens das netbook wieder zu verwenden? Denn es wird nicht einmal zugelassen ein neues Windows zu installieren. Bin schon seit Wochen im Internet am stöbern aber bislang vollkommen erfolglos.

    manage-bde

    Größe: Unbekannt GB
    BitLocker-Version: 2.0
    Konvertierungsstatus: Unbekannt
    Verschlüsselt (Prozent): Unbekannt %
    Verschlüsselungsmethode: AES 128
    Schutzstatus: Unbekannt
    Sperrungsstatus: Gesperrt
    ID-Feld: Unbekannt
    Automatische Entsperrung: Deaktiviert
    Schlüsselschutzvorrichtungen:
    Kennwort
    Numerisches Kennwort
    TMP

    1. Hallo Reinhard!

      Sorry für die urlaubsverzögerte Antwort.

      Der BitLocker verhindert meiner Erfahrung nach keine Neuinstallation eines Betriebssystems.
      Es gibt dutzende Boot-Sticks, Boot-CDs oder auch Linux Live-CDs mit dem Du die Partitionen eines PCs/Notebooks löschen kannst.
      Dann kannst Du sofort mit einem Windows Installationsmedium (direkt von Microsoft, siehe https://www.microsoft.com/de-de/software-download/windows10 ) Windows neu installieren.
      Der BitLocker setzt sich nicht im BIOS oder UEFI fest, also kein Problem.

      Sichere Grüße, Andreas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.