In der BitLocker Falle?!

Heute mittag erreichte mich ein Hilferuf eines verzweifelten Windows 10 Nutzers, der bis vor kurzem gar nicht wusste, dass er BitLocker nutzt…

Hallo Herr Andreas Schuster,

durch ein Problem mit meinem Surface bin ich auf Ihre Seite im Internet gestoßen. Da Sie auf dieser Seite über den Bitlocker berichten, möchte ich Sie um ein Rat fragen.

Ich habe folgendes Problem:

Mein ca. 2 Jahre altes Surface Pro (mit Windows 10) ist neulich während des Betriebes ohne Vorwarnung abgestürzt und es kam der Bluescreen.
Nach dem erzwungenen Neustart kam direkt das blaue Fenster (BitLocker) mit der Aufforderung den Wiederherstellungsschlüssel einzugeben.
Mein Laufwerk C wo auch Windows drauf installiert ist, wird vom BitLocker komplett gesperrt. Ich komme nicht drauf.

Da ich bis dahin von BitLocker nichts gewusst habe, musste ich mich ein paar Tage im Netz informieren.

Ich habe diesen BitLocker nie selber eingerichtet und musste zu meinem Bedauern feststellen, dass ich auch diesen (24stelligen) Schlüssel niemals abgespeichert hatte. In meinem Microsoft Konto gibt es leider auch keine Sicherung dieses Schlüssels. Das ist ärgerlich, denn ohne diesen Schlüssel komme ich nicht mehr an meine Daten.

Die Microsoft Hotline konnte mir auch nicht weiter helfen, außer der letzten Möglichkeit das System neu aufsetzen. Dann würden aber meine ganzen Daten verloren gehen.

Vielleicht habe Sie einen Rat für mich oder ein Trick, wie ich doch noch an meine Daten kommen kann? Eventuell gibt es Fachleute/Experten, die das machen könnten.

Ich würde mich freuen, wenn Sie mir antworten.

Mit freundlichen Grüßen
*Name entfernt*

Die BitLocker Konfiguration prüfen

Dazu muss man wissen, dass die Microsoft BitLocker Verschlüsselung allzu oft als „transparente“ Verschlüsselung aktiviert ist und viele Benutzer gar nicht darüber Bescheid wissen, dass eine Verschlüsselung aktiv ist. Man kann das aber ganz leicht prüfen, indem man im Explorer amLaufwerk C: mit der rechten Maustaste das Context-Menü öffnet und dann auf „BitLocker verwalten“ klickt.

BitLocker Konfiguration überprüfen und Einstellungen verwalten

Genau in dieser Systemeinstellung kann man sich jederzeit den Wiederherstellungsschlüssel sichern, den man benötigt, wenn es Probleme auf dem System gibt. Meine Empfehlung ist den Wiederherstellungsschlüssel auszudrucken und beispielsweise bei der Geräterechnung auszubewahren. So gehts:

Das hilft natürlich einem Hilfesuchendem nicht mehr, der sich nicht mehr erfolgreich am System anmelden kann, weil z.B.

  • Das Gerät nicht mehr korrekt bootet (fehlgeschlagenes Windows Update, Gerätetreiber, andere Bluescreens, defekte Hardware, etc.)
  • Man das Windows Kennwort vergessen hat und es sich nicht um ein zentral verwaltetes Firmennetzwerk mit Active Directory handelt

Microsoft hat eine sehr aktuell gepflegte Seite für die Suche nach einem verlorenen Wiederherstellungsschlüssel, hier der Link.

BitLocker deaktivieren oder entschlüsseln

Sollten auch die Microsoft Tipps nicht erfolgreich sein, kann man noch in seiner Cloud oder auf seinen externen Speichermedien (externe Festplatten, USB Sticks) nach der folgenden Datei suchen:
BitLocker-Wiederherstellungsschlüssel ** ** ** **-****-****-****-************.TXT
Wobei die Sterne „*“ jeweils ein Hex-Wert 0-9 bzw A-F sind.

Das steht in der Datei selbst:

Wiederherstellungsschlüssel für die BitLocker-Laufwerkverschlüsselung

Um zu überprüfen, ob es sich um den richtigen Wiederherstellungsschlüssel handelt, vergleichen Sie den Beginn des folgenden Bezeichners mit dem auf dem PC angezeigten Bezeichnerwert.

Bezeichner:

********-****-****-****-************

Falls der obige Bezeichner mit dem auf dem PC angezeigten Bezeichner übereinstimmt, sollten Sie den folgenden Schlüssel zum Entsperren des Laufwerks verwenden.

Wiederherstellungsschlüssel:

******- ****** – ****** – ****** – ****** – ****** – ****** – ******

Falls der obige Bezeichner nicht mit dem auf dem PC angezeigten Bezeichner übereinstimmt, handelt es sich nicht um den richtigen Schlüssel zum Entsperren des Laufwerks.

Versuchen Sie es mit einem anderen Wiederherstellungsschlüssel, oder suchen Sie unter „http://go.microsoft.com/fwlink/?LinkID=260589“ nach weiteren Informationen.

Sollte die Suche nach dem BitLocker Recovery Schlüssel nicht glücken, ist der einzige Schritt den installierten BitLocker zu hacken.

Um 22€ BitLocker selbst mit einem FPGA hacken

In allen Windows Versionen nutzt BitLocker für den wichtigsten Schlüssel den Volume Encryption Key (VEK) einen Krypto-Chip am Motherboard, den TPM-Chip. Genau da kann man angreifen, denn seit wenigen Wochen gibt es einen neuen BitLocker/TPM Hack von Denis Andzakovic unter dem folgenden Link: TPM-sniffing

Es handelt sich um einen programmierbaren FPGA mit der Bezeichnung ICE40 Eval Board. Denis Andzakovic hat sich die Mühe gemacht für diesen günstigen FPGA eine Firmware von Alexander Couzens anzupassen und diese auf Github zu stellen.

Um den Volume Master Key aus dem BitLocker auszulesen, muss man das programmierte FPGA mit dem TPM-Chip des Clients verbinden (zumeinst anlöten) und dann den den Client starten. BitLocker sendet einige Daten an den TPM-Chip und dieser antwortet mit dem Volume Encryption Key (VEK) den man mitprotokolliert. Dann den Client mit Linux booten oder die Festplatte an ein Linux-System anschliessen und die verschlüsselte C: Partition mit den im Hack beschrieben Tools über den VEK entschlüsseln. Kling einfach, ist es auch!

TPM Beispiel: ein Infineon SLB9665TT20
TPM Beispiel: ein Infineon SLB9665TT20

Den ICE40 FPGA habe ich mir bereits bei Mouser (
https://www.mouser.at/ProductDetail/Lattice/ICE40HX1K-STICK-EVN) um knapp 22€ in Deutschland bestellt. In ein paar Tagen werde ich dann den Hack ausprobieren.

BitLocker ohne eine Pre-Boot-Authentisierung wie Passwort, PIN oder Smartcard kann man heute in wenigen Stunden mit einem finanziellen Aufwand von nur 22€ hacken. Wenn man also wirklich wichtige Daten schützen möchte, dann aktiviert die TPM Pin oder besorgt Euch eine Verschlüsselung mit Pre-Boot-Authentisierung!

59 Gedanken zu „In der BitLocker Falle?!“

  1. Bad news their legal counsel took the same position I had taken. Deploying BitLocker in this way didn’t enable them to claim compliance with a requirement they had to encrypt their laptop drives.

  2. Moin,

    ich habe ein ähnliches Problem. Mein Surface hat den Geist aufgegeben. Die Festplatte habe ich nun ausgebaut. Beim Versuch auf die Platte zuzugreifen, werde ich natürlich nach dem Bit-Locker Schlüssel gefragt. Auf diesen konnte ich in meinem Microsoft-Konto zugreifen. Die angezeigte Schlüssel-ID stimmt auch überein, ich bekomme mit dem Schlüssel aber dennoch keinen Zugriff auf das Laufwerk. Der Microsoft-Support hält sich leider sehr in Grenzen. Haben Sie eine Ahnung, was ich noch machen kann?

    Viele Grüße
    Daniel Kunze

    1. Hallo Daniel,

      wenn Du einen 48-stelligen Recovery Key findest, sollte das eigentlich sehr einfach funktionieren mit dem Datenrecovery.
      Welchen Fehler bekommst Du bei der Eingabe des Recovery-Keys?

      Sichere Grüße, Andreas

  3. Hallo,

    wenn ich meine ehemals im Notebook eingebaute Festplatte also an einem anderen Gerät entschlüsseln will, hilft nur dieser Wiederherstellungsschlüssel bzw. ein Hack, für den ich natürlich zu doof bin? Was, wenn das Notebook kein TPM hatte bzw. dieses via Richtlinie nicht zugelassen wurde? Kann man dann die Festplatte mit dem einfachen Bitlocker-Passwort entschlüsseln?

    Vielen Dank1

    1. Hallo Julia,

      Sorry für die Verzögerung bei der Freigabe und der Antwort.
      Bei der Nutzung von TPM ist die verschlüsselte Festplatte bzw. SSD immer direkt mit dem Gerät verbunden und kann nur mit dem Wiederherstellungsschlüssel auf einem anderen Gerät geöffnet werden. Wenn Du den Wiederherstellungsschlüssel nicht hast hilft ggfls. der Hack auf dem Gerät mit dem TPM, dieser ist aber nur für sehr versierte IT-Spezialisten empfehlenswert.
      Wenn Du statt der TPM Nutzung ein BitLocker Passwort konfiguriert, dann gibt es keine Gerätebindung und das erleichtert auch den Wechsel von Geräten.
      Größeren Unternehmen empfehle ich ein zentrales BitLocker Management mit einer sicheren Pre-Boot-Authentisierung, z.B. Secure Disk for BitLocker.
      Die Lösung ist ab 50 Clients lizensierbar.

      Sichere Grüße, Andreas

  4. Moin, ich habe ebenfalls ein sehr ähnliches Problem. gestern, als ich mein surface go einschalten wollte bekam ich eine Fehlermeldung und es ist mir unmöglich ins Windows zu kommen (vermutlich durch ein fehlgeschlagenes Windows Update o.ä.). Den Recovery-Key habe ich ebenfalls nicht, da ich nicht wusste das Bitlocker aktiviert war/ist. Die Daten auf dem Gerät sind allerdings nicht wirklich wichtig, da alle Daten in der Cloud gespeichert sind. gibt es eine Möglichkeit die Festplatte zu formatieren um Bitlocker zu deaktivieren? Wie gesagt die Daten sind egal.
    Viele Grüße
    Timothy Lehnich

    1. Hallo Timothy,

      vorbildlich, dass Du alle Deine wichtigen Daten in der Cloud gespeichert hast! Dies ist übrigens der primäre Ratschlag den ich in als Verschlüsselungsexperte immer wieder aussprechen muss. Ein Fehler bei der Verschlüsselung z.B. durch TPM oder Motherboarddefekt, defekte Festplatte/SSD, Verlust, Diebstahl, Ransomware, Malware, Benutzerfehler … es gibt dutzende Gründe wie man seine wertvollen Daten verlieren kann. Und was hilft bei allen diesen Fällen? Genau, ein Backup!

      Ja natürlich, einfach Windows neu installieren und dann unter Windows im Exporer auf das C: Laufwerk klicken, mit der rechten Maustaste das Context Menü öffnen und unter der Einstellung „BitLocker verwalten“ siehst Du dann den Verschlüsselungsstatus deines C: Laufwerkes.

      Private Nutzen können natürlich auch ohne Festplattenverschlüsselung / BitLocker arbeiten, für Firmen sieht das aufgrund der DSGVO jedoch anders aus. Hier ist eine Verschlüsselung die dem Stand der Technik entspricht erforderlich.

      Sichere Grüße, Andreas

  5. Hallo Andreas,

    wie ist denn der Hack mit ICE40 Stick ausgegangen. Konntest du damit den gültigen Bitlocker Key tatsächlich protokollieren?

    VG Patrick

    1. Hallo Patrick,

      selbstverständlich hat der Hack funktioniert. In der Zwischenzeit ist das eine gängige Methode von PenTestern ihren Kunden zu beweisen, dass die BitLocker Verschlüsselung und Pre-Boot Authentisierung einfacn unsicher ist. Am einfachsten ist der Hack bei einem PC Motherboard mit einem gesteckten TPM Header, z.B. der TPM Header von ASUS https://www.asus.com/Motherboard-Accessories/TPM-M-R2-0/ . Bei einem solchen gesteckten TPM Chip braucht man kein spezielles Werkzeug um die Daten abzugreifen, sondern man nutzt ganz normale Klemmen aus der Mikroelektronik. Dann bootest Du den PC und gleichzeitig liest man über die serielle Schnittstelle des ICE40 die Rohdaten des BitLocker Schlüssels aus. Mit einem einfachen Linux Tool kann man den Schlüssel dann in den richtigen BitLockerschlüssel konvertieren. Ein befreundetes Unternehmen die BDO in Linz hat sogar eine Routine geschrieben, wie man daraus den achso geheimen BitLocker Recovery Key errechnen kann.
      Wenn Du man einen vorkonfigurierten ICE40 Stick für den Hack benötigst, dann ich Dir den gerne borgen.

      Sichere Grüße, Andreas

  6. Hallo,

    mein Lenovo ThinkPad ist leider abgestürzt (Arbeitsspeicher und CPU mussten ausgetauscht werden). Nachdem ich die Daten sichern wollte, verlangte es einen Bitlocker-Key.

    Die letzte Datensicherung (nur die Dateien, ohne Wiederherstellungsschlüssel) liegt 6 Wochen zurück. In der Zwischenzeit kamen einige wichtige Dateien hinzu.

    Wie hoch schätzen Sie die Chancen ein, dass ich mit einem FPGA (das Programm für 22€ s.o.) nochmal an die Daten rankomme?

    Gibt es irgendwelche andere Möglichkeiten?

    Ich habe sämtliche Möglichkeiten ausprobiert, aber nichts hat funktioniert.

    Viele Grüße,
    Stefan

    1. Hallo Stefan,

      der Hack mit dem FPGA funktioniert aktuell nur, wenn der Rechner noch bootet und dann in der Windows Anmeldung stehenbleibt oder es nach der BitLocker Verschlüsselung zu einem Windows BlueScreen kommt und Du deshalb nicht an die Daten kommst.
      In Deinem Fall lädt der TPM ja den BitLockerschlüssel nicht mehr korrekt und daher kannst Du den Schlüssel auch nicht mit dem FPGA mitlesen.
      Ich veröffentliche gleich noch einen Artikel zum Thema wo der Wiederherstellungsschlüssel noch überall sein kann, eventuell hast Du damit Glück.
      Was leider nicht funktioniert ist eine Brute-Force-Attacke auf den BitLocker Schlüssel. Hierzu müsste man mit den gängigen Cracking-Tools wie John the Ripper oder hashcat den AES-128 oder AES-256 Schlüssel knacken und dass funktioniert aufgrund der Länge des AES Schlüssels nicht.

      Schau Dir bitte den weiteren Artikel an.

      Sichere Grüße, Andreas

  7. Hier die Frage von Johann aus Deutschland die mich per Email erreicht hat:

    Herzlichen Dank für das Telefonat heute. Wie besprochen, fordert mein Laptop plötzlich einen Bitlocker-Schlüssel den ich leider nicht habe. Sie hätten gemeint, das ich diesen im Office 365 Konto finde. Wo finde ich diesen hier genau?
    Für eine Antwort wäre ich Ihnen sehr dankbar.

    1. Hallo Johann,

      normalerweise findest Du den Wiederherstellungsschlüsselt dort:

      https://account.microsoft.com/ -> Geräte (https://account.microsoft.com/devices/) -> Dein Gerät anklicken -> weiter unten BitLocker-Datenschutz „Wiederherstellungsschlüssel verwalten“

      Dort unter dem Link (https://account.microsoft.com/devices/recoverykey ) siehst Du die Wiederherstellungsschlüssel für Deine Geräte.
      Wenn es aber keinen gibt, dann wurde Dein Client ursprünglich mit einem anderen Konto verbunden oder die Person die den BitLocker aktiviert hat, hat den Schlüssel ausgedruckt oder azf einebn USB Speicher gespeichert. Vielleicht lag Deinem DELL Notebook ein Zettel mit dem BitLocker Schlüssel vor.
      So sollte eine BitLocker Recovery-Datei aussehen (normale Textdatei):

      Datei: „BitLocker-Wiederherstellungsschlüssel 1678930C-F4C7-491C-A4CD-************.TXT“

      Wiederherstellungsschlüssel für die BitLocker-Laufwerkverschlüsselung

      Um zu überprüfen, ob es sich um den richtigen Wiederherstellungsschlüssel handelt, vergleichen Sie den Beginn des folgenden Bezeichners mit dem auf dem PC angezeigten Bezeichnerwert.

      Bezeichner:

      1678930C-F4C7-491C-A4CD-************

      Falls der obige Bezeichner mit dem auf dem PC angezeigten Bezeichner übereinstimmt, sollten Sie den folgenden Schlüssel zum Entsperren des Laufwerks verwenden.

      Wiederherstellungsschlüssel:

      093313-669262-216535-538175-358083-******-******-******

      Falls der obige Bezeichner nicht mit dem auf dem PC angezeigten Bezeichner übereinstimmt, handelt es sich nicht um den richtigen Schlüssel zum Entsperren des Laufwerks.
      Versuchen Sie es mit einem anderen Wiederherstellungsschlüssel, oder suchen Sie unter „https://go.microsoft.com/fwlink/?LinkID=260589“ nach weiteren Informationen.

      Hacken eines BitLocker Schlüssel ist nur möglich, wenn Dein Rechner noch über den BitLocker hinaus bootet und dann z.B. einen BlueScreen unter Windows hat.
      Es gibt Möglichkeiten vom TPM Chip den Schlüssel mitzulesen. Das funktioniert aber nicht mehr, wenn er gleich nach dem Recovery Key fragt.

      Sichere Grüße, Andreas

      1. Hier die Antwort von Johann:

        Hallo Andreas,

        Herzlichen Dank für Ihre Antwort.
        ich habe das Problem lösen können.
        Ich habe im BIOS unter Security das PTT (was das auch immer ist?) aktiviert und der Computer ist danach wieder ohne Eingabe des Schlüssels hochgefahren. Ist anscheinend ein DELL Problem das nach einem Update auftaucht. Ich habe jetzt den Wiederherstellungsschlüssel gesichert damit mir das nicht mehr passiert.

        Liebe Grüße
        Johann

  8. Hallo Andreas!
    Mein Dell Notebook Inspiron 15 5579 2-in-1 hat aus heiterem Himmel laut gepiept und es ging nichts mehr. Der Dell support assist sagt: Ihre Festplatte läuft außerhalb der normalen Parameter und sollte ersetzt werden. Für dieses System gilt kein Hardwareservice mehr.
    Ich habe das Notebook in einen nahe gelegenen PC_Laden gebracht. Die benötigen den BitLocker. Ich wusste nicht, dass dieser überhaupt existiert. Auf meinem Microsoft-Konto war kein Wiederherstellungsschlüssel hinterlegt. Nach langem Suchen habe ich auf dem Microsoft meines Mannes den Wiederherstellungsschlüssel gefunden. Ich dachte kurz, meine Welt ist gerettet. Leider ist der Schlüssel falsch … es steht dort merkwürdigerweise derselbe Schlüssel wie für den Rechner meines Mannes.
    Ich bin absoluter Analphabet was solche Themen angeht (kann nur das Office-Paket bedienen) und habe dummerweise kein Backup gemacht. Ich kenne auch sonst niemanden, den ich dazu befragen kann. Durch Zufall bin ich auf Deine Seite gestoßen … daher jetzt meine Frage: könnte man irgendwie noch die Daten retten? Oder ist tatsächlich Hopfen und Malz verloren???
    Über eine Rückmeldung würde ich mich sehr freuen!
    Viele Grüße, Steffi

    1. Hallo Steffi,
      ein ähnliches Phänomen hatte ich kürzlich gesehen, aber da wurde der BitLocker erst kürzlich aktiviert.
      In dem Fall waren die Daten gar nicht verschlüsselt und der IT Admin konnte die Daten mit einem Recovery Tool lesen indem er die Festplatte/SSD auf einem anderen PC angesteckt und geladen hat. In Deinem Fall wird das eher nicht helfen, weil der Rechner höchstwahrscheinlich schon verschlüsselt ist.
      Der Recovery Key ändert sich nicht, außer man ändert diesen mit einem Tool oder man entschlüsselt die DIsk und verschlüsselt diese neu.
      Welche Meldung bekommst Du wenn Du den Recovery Key eingibst?

      Sichere Grüße, Andreas

  9. Hallo,

    habe folgendes Problem: Habe meine 2. Festplatte mit Bitlocker verschlüsselt und habe den 48 stelligen Code nicht aufgeschrieben. Der PC lässt sich starten, da das BS auf der Hauptplatte ist. Funktioniert die Methode auch in diesem Fall oder gibt es noch andere Möglichkeiten die 2. Festplatte zu entschlüsseln?

    Danke für Info.

    BG

    1. Hallo Christof,
      deine Frage verstehe ich nicht exakt. Handelt es sich um eine externe Festplatte die Du mit dem BitLocker to Go verschlüsselt hast (mit einem Passwort) oder um eine weitere Datenpartition deiner primären Festplatte?
      Starte doch die CMD.exe als Administrator und starte dann das Programm:
      manage-bde.exe -status D:
      Vorausgesetzt natürlich die Platte hat den Laufwerksbuchstaben D:
      Welchen Status meldet das Programm?

      Sichere Grüße, Andreas

      1. Hallo Andreas,

        ich befürchte, dass du die Antwort im nachfolgenden Kommentar schon gegeben hast?

        Es handelt sich um eine interne 2. Festplatte. Betriebssystem befindet sich auf 1. Festplatte und dort gibt es kein Problem.

        Meldung ist:
        BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362,
        Größe: Unbekannt GB
        BitLocker-Version: 2.0
        Konvertierungsstatus: Unbekannt
        Verschlüsselt (Prozent): Unbekannt %
        Verschlüsselungsmethode: XTS-AES 128
        Schutzstatus: Unbekannt
        Sperrungsstatus: Gesperrt
        ID-Feld: Unbekannt
        Automatische Entsperrung: Deaktiviert
        Schlüsselschutzvorrichtungen:
        Numerisches Kennwort
        Externer Schlüssel

        Da die Platte nicht zuerst gestartet wird etc. wohl hoffnungslos?

        Beste Grüße
        Christof

          1. Hallo Andreas, hast du schon ein Update / Info von deinem Kollegen bzgl. der internen Festplatte, ob da noch etwas zu machen ist? Danke für Info! BG Christof

          2. Hallo Christof,

            dem ist leider auch nichts zusätzlich eingefallen.

            Weiter unten hat ein weiterer Nutzer ebenfalls das selbe Problem mit einer externen Festplatte.
            Hier kann ich nur meinen Ratschlag den Du auch unten findest wiederholen:

            Wenn das Microsoft Betriebssystem auf deinem Notebook ein Problem hat das Laufwerk zu öffnen, probiere es zuerst auf einem anderen Win 10 Client mit 2004 Update und wenn das nicht klappt würde ich es mal auf einem Linux System probieren, entweder so https://www.heise.de/security/meldung/Linux-Verschluesselungswerkzeug-Cryptsetup-unterstuetzt-nun-BitLocker-4656526.html oder mit Dislocker https://www.linuxuprising.com/2019/04/how-to-mount-bitlocker-encrypted.html

            Sichere Grüße, Andreas

          3. Hallo Andreas,

            ok, trotzdem danke für die Rückmeldung!
            Die Links mit Linux etc. hatte ich mir schon angeschaut, aber da ich keinen Schlüssel habe etc. wird es so nicht gehen.

            Finde es super, dass du dir hier die Zeit nimmst und die ganzen Fragen beantwortest!

            BG! Christof

  10. Hallo zusammen,

    der neue HP ENVY Laptop meiner Verlobten ist seit dem neuen Windows 10 Update (2004) durch den BitLocker gesperrt. Da wir bei der Installation Anfang des Jahres (sehr wahrscheinlich) nur einen lokalen Offline-Account angelegt haben, ist nirgends ein Wiederherstellungsschlüssel auffindbar (weder auf der Microsoft-Seite/Cloud noch auf USB-Stick/Papier)

    Sie benötigt die Daten dringend für ihre Examensarbeit – leider haben wir nicht an Datensicherung auf einer externen Festplatte gedacht.

    Ich habe diese Seite zum BitLocker-Hack gelesen und habe Hoffnung, dass uns hier jemand kompetentes weiter helfen kann.
    Leider kann ich jedoch nicht löten. Gibt es eine andere Möglichkeit der Datenrettung unter Umgehung von BitLocker? Weder HP noch Microsoft konnten mir in stundenlangen Telefonaten helfen – dabei haben wir nie bewusst einer BitLocker-Verschlüsselung zugestimmt!!!

    Vielen Dank im Voraus!

    Henry

    1. Hallo Henry,

      leider bekomme ich solche Fehlermeldungen fast täglich zu lesen, ohne Backup der Daten und ohne einen BitLocker Recovery Schlüssel kann man da leider nichts mehr machen.
      Der Fehler liegt anscheinend bei den Herstellern der Notebooks die die Geräte verschlüsselt ausliefern und darauf hoffen, dass die Nutzer das irgendwie herausfinden und den selbstständig über den Explorer -> C: -> BitLocker verwalten -> Wiederherstellungsschlüssel sichern.
      Dann hast Du die Option diesen Wiederherstellungsschlüssel zu sichern:
      – In Clouddomänenkonto speichern
      – Aus USB-Speicherstick speichern
      – In Datei speichern
      – Wiederherstellungsschlüssel drucken

      Wenn die armen Benutzer das aber nicht wissen, erinnert das Windows Betriebssystem diese nicht und erst bei einer Störung wie in Deinem Fall durch das Windows 10 2004 Update tritt ein Fehler auf.
      Der Hack mit dem ICE40 FPGA funktioniert nur wenn der Laptop noch bootet und erst im Betriebssystem ein Fehler auftritt, oder man das Windows Passwort nicht mehr weiß. In der Regel wird auch nicht gelötet sondern mit sehr kleinen Elektronikklammern die Pins vom TPM Chip abgegriffen und mit einem kleinen Tool der Schüssel mitgelesen.
      In Deinem Fall hilft das aber leider nicht.
      Kürzlich habe ich auch andere Experten um Hilfe gegeben, welchen Hack man noch nutzen kann. Leider auch hier keine Möglichkeit die nicht viele Jahrtausende benötigen würde indem man den AES Schlüssel des BitLockers pe Brute-Force Attacke versucht zu errechnen.
      Wie gesagt: Schuld ist m.E. der Notebook Hersteller der mit BitLocker verschlüsselt ausliefert und die Kunden davor nicht warnt…

      Sichere Grüße, Andreas

  11. Hallo ,
    ich habe auch meine externe Festplatte mit dem Bitlocker Verschlüsselt.
    Jetzt nimmt er das Kennwort und den Wiederherstellungsschlüssel nicht mehr an .Kann man mit dem Tool M3 Bitlocker Recovery ,wenn man den Wiederherstellungsschlüssel hat alles wieder herstellen ?Gibt es dazu Erfahrungen

    1. Hallo Markus,

      das Tool M3 Bitlocker Recovery verspricht unmögliche Dinge bei einem BitLocker Fehler, oder doch nicht? Zum einen erfordert es „M3 Bitlocker Recovery is a recovery tool to recover lost files from Bitlocker drive after providing password or 48-digit recovery key“ – Wenn das Passwort oder der Recovery Key funktioniert, braucht man das Tool ja nicht!

      Auf der anderen Seite bietet das Tool keine Rettung, wenn im Header in dem BitLocker wichtige Daten abspeichert ein Fehler vorliegt, siehe „Sometimes, the area on the disk which holds BitLocker metadata was severely damaged or overwritten. In this situation, the lost data cannot be decrypted even if you have the correct password and recovery key.“ – Korrekt übersetzt bedeutet, dass M3 Bitlocker Recovery KANN BEI EINEM FEHLER NICHT HELFEN!

      Besonders vorsichtig sollten alle Interessenten sein wenn eine Webseite KEIN IMPRESSUM HAT und KEINE FIRMA ERKENNBAR IST!
      Eine Whois Abfrage der Domaine bringt zum Vorschein, dass der Domaininhaber sich bestmöglich TARNEN MÖCHTE, jedoch findet man die Stadt und das Land des Domaininhabers: Chongqing in China.

      Also, bitte FALLT NICHT AUF DIE FAKE SEITE HEREIN! Hier handelt es sich zu 99,9% um eine Betrugsseite, wo man versucht Hilfesuchenden eine nichtfunktionierende Software um 179$ zzgl Chinesischer Mehrschweinchensteuer herauszulocken. BITTE GLAUBT DER ANGEBLICHEN „MONEY BACK GUARANTEE“ NICHT. Einmal bezahlt ist das Geld sicherlich auf der bösen Seite der Macht!

      Also FINGER WEG!

      Sichere Grüße, Andreas

      1. Hi Andreas,

        ich muss dir leider widersprechen, ich konnte mit dem genannten M3 Bitlocker Recovery Tool tatsächlich eine versehentlich gelöschte (schnell gelöscht „/clean“), mit Bitlocker verschlüsselte, Festplatte erfolgreich retten. Alle anderen mir bekannten und in diversen Foren vorgeschlagenen Methoden haben nicht geklappt. das M3 Tool hat das gelöschte Bitlocker Volume finden und mounten können, dann konnte ich daraus alle Daten auf eine weitere HDD sichern.
        Allerdings hatte ich sowohl den Recovery Key als auch das Passwort des Bitlocker Volumes vorliegen, ohne diese Infos ist das, wie du schon schreibst, sinnfrei mit dem Tool einen Erfolg erzielen zu können.

        Und ich muss dir recht geben, die Website sieht tatsächlich etwas dubios aus.

        Gruß Kai

  12. Gibt es eine Möglichkeit die Daten noch zu entschlüsseln ?
    Der Wiederherstellungsschlüssel ist korrekt , aber er wird vom System nicht angenommen und das Passwort auch nicht .

    LG Markus

    1. Starte doch die CMD.exe als Administrator und starte dann das Programm:
      manage-bde.exe -status D:
      Vorausgesetzt natürlich die Platte hat den Laufwerksbuchstaben D:
      Welchen Status meldet das Programm?

  13. Hallo Andreas,
    er zeigt folgendes an unter CMD.
    Größe:unbekannt
    Bitlocker-ver.:2.0
    konvertierungsst.:unbekannt
    verschlüsselt (prozent):unbekannt
    verschlüssel Methode :AES 128
    schutzstatus:unbekannt
    sperrsta.Gesperrt
    ID.Feld :unbekannt
    Automatische entsperrung :deaktiviert
    Schlüsselschutzvorrichtung :Kennwort _numerisches

    LG Markus

    1. Das sieht bei mor ganz gleich aus:
      C:\WINDOWS\system32>manage-bde.exe -status f:
      BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.18362
      Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

      Volume „F:“ [Die Bezeichnung ist unbekannt.]
      [Datenvolume]

      Größe: Unbekannt GB
      BitLocker-Version: 2.0
      Konvertierungsstatus: Unbekannt
      Verschlüsselt (Prozent): Unbekannt %
      Verschlüsselungsmethode: XTS-AES 128
      Schutzstatus: Unbekannt
      Sperrungsstatus: Gesperrt
      ID-Feld: Unbekannt
      Automatische Entsperrung: Deaktiviert
      Schlüsselschutzvorrichtungen:
      Kennwort
      Numerisches Kennwort

      Wenn das Microsoft Betriebssystem auf deinem Notebook ein Problem hat das Laufwerk zu öffnen, probiere es zuerst auf einem anderen Win 10 Client mit 2004 Update und wenn das nicht klappt würde ich es mal auf einem Linux System probieren, entweder so https://www.heise.de/security/meldung/Linux-Verschluesselungswerkzeug-Cryptsetup-unterstuetzt-nun-BitLocker-4656526.html oder mit Dislocker https://www.linuxuprising.com/2019/04/how-to-mount-bitlocker-encrypted.html

      Viel Erfolg und wenn Du Erfolg hast, bitte teile Deine Erfahrung hier im Artikel.

      Sichere Grüß, Andreas

  14. Guten Tag Herr Schuster,

    ich bin über Google auf Ihre Seite gestoßen und möchte Ihnen kurz mein Problem schildern, vielleicht können Sie mir ja weiterhelfen.
    Nach einem (fehlerhaften?) Windows-Update meines Dell Laptops kommt der Fehler:

    File: BCD
    Error code: 0x0000098

    Im UEFI ist der Windows Bootmanager als Boot-Option eingetragen, mit dem Pfad:

    EFI*Microsoft*Boot*bootmgfw.efi

    Ich kann dort weitere Bootoptionen hinzufügen, unter den Verzeichnissen:
    Microsoft, Boot oder dell. Dort sind dann jeweils weitere boot***.efi-Dateien zu finden, die aber alle zum gleichen, oben genannten Fehler führen.
    Einzig eine .efi-Datei im Ordner Dell funktioniert, daraufhin startet der PC eine Selbstdiagnose, die aber fehlerfrei ausgeführt wird.

    Dann habe ich versucht mit bootrec /RebuildBcd die Boot-Konfiguration wiederherzustellen. Das schlägt aber fehl, weil keine Windows Installationen identifiziert werden können. Bei sämtlichen Versuchen wird mir der Zugriff verweigert oder ich bekomme die Meldung, dass das Volume schreibgeschützt ist. attributes volume clear readonly hat hier leider keine Abhilfe geschaffen.

    Der Laptop scheint mit Bitlocker verschlüsselt zu sein, obwohl ich nie einen entsprechenden Schutz aktiviert habe (daher habe ich auch keinen Schlüssel, auch im Microsoft-Konto ist nichts hinterlegt). Wenn ich von einem Windows 10 Stick starte, kann ich weder das System Wiederherstellen, noch zur vorherigen Windows-Version zurückkehren. Es kommen immer Fehler. Die Starthilfe kann das Problem ebenso nicht lösen. Die Eingabeaufforderung fordert einen Wiederherstellungsschlüssel, den ich nicht habe. Wenn ich das Laufwerk überspringe und über manage-bde -status den Bitlockerstatus abfrage, kommt folgendes:

    Volume C
    Größe: Unbekannt GB
    BitLocker-Version 2.0
    Konvertierungsstatus: Unbekannt
    Verschlüsselt (Prozent): Unbekannt %
    Verschlüsselungsmethode: XTS-AES 128
    Schutzstatus: Unbekannt
    Sperrungsstatus: Gesperrt
    ID-Feld: Unbekannt
    Automatische Entsperrung: Deaktiviert
    Schlüsselschutzvorrichtungen:
    Numerisches Kennwort
    TPM

    Nun, der Laptop besitzt kein TPM, sondern PTT. Dieses kann ich im UEFI aktivieren bzw. deaktivieren, macht aber keinen Unterschied (Option war zu Beginn deaktiviert).

    Haben Sie noch irgendwelche Ideen, wie ich an meine Daten komme? Oder ist der letzte Ausweg die Neuinstallation von Windows, mit vorheriger Neupartitionierung und -formatierung?

    Viele Grüße
    David

    1. Hallo David,

      der BCD Fehler ist wie Du sicher schon weißt kein BitLocker Fehler sondern anderer Fehler im Boot-Prozess. Hier habe ich einen Link gefunden wo Tipps gegeben werden wie man den Boot-Record fixen kann: https://neosmart.net/wiki/0xc0000098/

      Leider haben wir in Deinem Fall wieder einmal einen verschlüsselten Notebook wo Du als Besitzer gar nicht weißt, dass dieser Notebook verschlüsselt ist. Die „manage-bde -status“ Ausgabe sagt übrigens, dass Du ein „Numerisches Kennwort“ = der Recovery Key und den TPM (in Deinem Fall der günstigere PTT ist aber technisch kompatibel zu einem TPM 2.0) auf dem C-Laufwerk konfiguriert hast.
      Ich sehe gut Chancen, dass Du selbst oder mit Hilfe von einem Spezialisten den Boot-Record fixen kannst. Siehe speziell den Fix #3 in dem o.a. Link.

      Hier mal ein Tipp für alle die wichtige Daten gespeichert haben und ein paar Dinge versuchen möchten!
      Eine Festplatte oder SSD kann man mit einem Linux System sehr einfach mit dem Befehl „dd“ komplett 1:1 in eine Datei kopieren.
      Hierbei werden alle Sektoren übernommen und ihr konnt dann was ausprobieren und später wieder den Originalzustand auf die Disk zurückschreiben. Natürlich benötigt ihr ein Linux, dass von einem USB-Stick bootet, hier gibt es ganz viele Distributionen und dann benötigt ihr eine externe Disk die natürlich größer ist als die Platte/SSD die Ihr sichern wollt.

      Dir David, rate ich genau das bevor Du mit dem „bootrec /rebuildbcd“ probierst den Boot-Record neu zu erstellen.

      Den ganzen Aufwand musst Du natürlich nur machen, wenn Du wichtige Daten auf der C: Platte gespeichert hast und davon kein Backup z.B. in der Cloud hast. In Deiner Frage kommt genau das nicht exakt raus. Bei allen anderen Kommentare geht es immer nur um die Daten, nicht darum, ein System neu aufzusetzen. Ich denke, dass ist wahrscheinlich auch Dein Problem, oder?

      Schreibe bitte hier in dem Artikel, wenn Du Dein Problem lösen konntest.

      Sichere Grüße, Andreas

      1. Hallo Andreas!

        Danke für die ausführliche Rückmeldung.
        Die verlinkte Seite ist mir bekannt, wie ich bereits geschrieben habe, hab ich schon versucht mit bootrec /rebuildbcd die Boot-Konfiguration wiederherzustellen. Das schlägt aber fehl, weil keine Windows-Installationen identifiziert werden können. Bei sämtlichen Vorgängen wird mir der Zugriff verweigert oder ich bekomme die Meldung, dass das Volume schreibgeschützt ist. Auf C:\ kann ich logischerweise auch nicht zugreifen, hier bekomme ich über cmd die Meldung:

        „Dieses Laufwerk ist durch die BitLocker-Laufwerkverschlüsselung gesperrt. Das Laufwerk muss mithilfe der Systemsteuerung entsperrt werden.“

        Versuche ich chkdsk c:\ bekomme ich die Meldung, dass der Typ des Dateisystems RAW ist, und chkdsk für RAW-Laufwerke nicht verfügbar ist.
        Auf mich macht das Ganze den Eindruck, dass die komplette Platte verschlüsselt ist, und nichtmal Windows noch irgendwelche Windows-Installationen finden kann, ohne dass ich die Platte mit dem Bitlocker-Schlüssel wieder entschlüssel.
        Ich würde mittlerweile sogar so weit gehen und sagen, dass der BCD-Fehler nur ein Folgefehler aufgrund der Verschlüsselung ist.

        Leider sind sehr wichtige Daten auf dem Laptop, und diese sind nur teilweise und in älterer Form gesichert. Mir geht es also ebenfalls um die Daten, das System neu aufzusetzen wäre kein Problem für mich, ist aber erstmal nicht mein Ziel.

        Hast du noch den ein oder anderen Rat? Sonst muss die Festplatte in den Schrank, bis es vielleicht irgendwann eine Möglichkeit gibt an die Daten ran zu kommen.

        Viele Grüße
        David

  15. Hallo,
    ich habe ebenfalls ein Problem mit BitLocker.
    Hab meine externe Festplatte verschlüsselt.
    An meinem neuen Laptop werd ich immer nach dem Wiederherstellungsschlüssel gefragt. Den ich aber nicht habe.
    Wie bring ich mit Bitlocker dazu nach dem Passwort zum entsperren zu fragen? Das kenne ich nämlich

    1. Hallo Max,

      in dem Artikel findest Du alle Vorschläge wo du nach dem Recovery Key suchen kannst.
      Viel Erfolg!

      Sichere Grüße, Andreas

  16. Hallo Andreas,

    ich habe von einer Bekannten ein Netbook leider mit dem BitLocker. Leider hat sie den Key nicht und sie hatte es wohl über ein UniKonto verwendet welches aber nicht mehr existent ist was kann man nun machen um wenigstens das netbook wieder zu verwenden? Denn es wird nicht einmal zugelassen ein neues Windows zu installieren. Bin schon seit Wochen im Internet am stöbern aber bislang vollkommen erfolglos.

    manage-bde

    Größe: Unbekannt GB
    BitLocker-Version: 2.0
    Konvertierungsstatus: Unbekannt
    Verschlüsselt (Prozent): Unbekannt %
    Verschlüsselungsmethode: AES 128
    Schutzstatus: Unbekannt
    Sperrungsstatus: Gesperrt
    ID-Feld: Unbekannt
    Automatische Entsperrung: Deaktiviert
    Schlüsselschutzvorrichtungen:
    Kennwort
    Numerisches Kennwort
    TMP

    1. Hallo Reinhard!

      Sorry für die urlaubsverzögerte Antwort.

      Der BitLocker verhindert meiner Erfahrung nach keine Neuinstallation eines Betriebssystems.
      Es gibt dutzende Boot-Sticks, Boot-CDs oder auch Linux Live-CDs mit dem Du die Partitionen eines PCs/Notebooks löschen kannst.
      Dann kannst Du sofort mit einem Windows Installationsmedium (direkt von Microsoft, siehe https://www.microsoft.com/de-de/software-download/windows10 ) Windows neu installieren.
      Der BitLocker setzt sich nicht im BIOS oder UEFI fest, also kein Problem.

      Sichere Grüße, Andreas

  17. Hallo,

    Habe einen neuen Lenovo L13 Yoga Laptop. Es musste der Akku ausgetauscht werden und jetzt verlangt er den Recovery id key, den ich leider nicht mehr habe. Hab alle Varianten von der Windows Support Seite ausprobiert.

    1. Hallo Stefan,

      das Kommentar ist leider bei mir untergegangen. Das ist Schade zu lesen, aber wenn Du alle Tipps aus dem Beitrag ausprobiert hast, dann habe ich auch keinen Rat mehr für Dich.
      Ich hoffe Du hattest ein Backup Deiner Daten oder Deine Daten in die Cloud gesynct.

      Sichere Grüße, Andreas

  18. Hallo,

    ich hatte ein etwas anderes Problem mit einem privat Gerät, welches wir jetzt nur durch Neuinstallation und kopieren der eigenen Dateien lösen konnten.
    (m.2 NVME aus defekten Surface Book ausgebaut, auf m.2 SATA geklont und in neues Gerät eingebaut. Es war nie Bitlocker aktiviert, aber beim versuch zu klonen, hieß es plötzlich es sei ein Bitlocker drauf. Einbau in Desktop-PC und booten von der NVME brachte gelbes Ausrufezeichen auf der Systempartition. Bitlocker Verwaltung -> nicht aktiviert. Also einmal sauber aktiviert und wieder deaktivert. Klonen hat geklappt, aber Systempartition war plötzlich RAW und nicht mehr NTFS…)

    Aufgrund dieses Problems bin ich auf Ihren Artikel gestoßen, welchen ich sehr interessant verfolgt habe.

    Nun stellt mir aber aus gewerblicher Sicht die Frage: Ist Bitlocker dadurch jetzt noch DSGVO-Konform???

    Würde mich sehr über eine Antwort freuen.

    Viele Grüße
    Klaus Rudolf

    1. Hallo Klaus,

      das klingt ja sehr abenteuerlich was Dir beim Klonen passiert ist aber ich kann das so einfach nicht nachvollziehen.

      Ich habe erst kürzlich wieder eine Beratung eines größeren Kunden mit BitLocker durchgeführt und eine sehr klare Meinung zum Thema DSGVO-konformität von Microsoft BitLocker.
      Die Angriffe auf eine funktionierende BitLocker Verschlüsselung ist aktuell mit einer Vielzahl an Angriffen möglich: Cold-Boot-Attacke, DMA-Angriffe, Thunderbold Attacke, TPM-Fail Attacke, TPM-Sniffing.
      Die Angriffe funktionieren alle weil der BitLocker ohne TPM-PIN seinen Schlüssel automatisch läd. Bei einer solchen großen Anzahl an Angriffsmöglichkeiten kann man wohl nicht von einer Verschlüsselung nach dem „Stand der Technik“ sprechen. Genau das ist aber im DSGVO Artikel 32 gefordert.
      Abhilfe zu der Schwäche kann ein Pre-Boot Schutz für den Microsoft BitLocker schaffen. Kleinen Unternehmen empfehle ich die Aktivierung der TPM-PIN bevor die BitLocker Verschlüsselung gestartet wird, größeren Unternehmen ein kommerzieller Pre-Boot Schutz wie die Lösung CryptoPro Secure Disk for BitLocker.

      Kurzum, BitLocker Verschlüsselung ohne Pre-Boot Schutz ist natürlich besser als ein unverschlüsselter Windows Client, aber reicht nicht für eine DSGVO Erfüllung zum Schutz personenbezogener Daten.

      Sichere Grüße, Andreas

  19. Hallo,
    wir haben bei uns in der Firma Laptop mit Bitlocker im Einsatz. Es wird ein Pin beim Booten verlangt. Jetzt habe ich als Admin das Problem, dass der Recover Key nicht auffindbar ist und das Laptop beim Starten beim Loginscreen einfriert. Es liegt wohl an einem Treiber Problem. Somit ist auch der Zugriff über das LAN nicht möglich, um als Admin ggf. Dateien noch zu sichern. Haben Sie eine Idee wie ich an die Daten komme, brauche hier dringend Hilfe? Das Windows ist mir egal.

    1. Hallo W.C.,

      na das klingt nicht aussichtlos, wenn mit dem Loginscreen der Windows Login Screen gemeint ist.
      In dem Fall hat der Client ja den BitLockerschlüssel schon erfolgreich geladen uind man kann je nach Notebookmodell mit einer Cold-Boot Attacke oder am einfachsten wahrscheinlich mit dem TPM-Sniffing Hack den BitLockerschlüssel auslesen.
      Hier ein Beitrag wo genau dieser Angriff erklärt wird: https://www.cpsd.at/bitlocker-hack-tpm-sniffing-videopraesentation/

      Wenn ich vermittelnd helfen kann, gerne!

      Sichere Grüße, Andreas

      1. Hallo Andreas,

        Ja der Loginscreen von Windows ist gemeint.
        Das Laptop ist ein Dell Latitude E6540.

        Habe die Platine jetzt bei Mouser bestellt. Ich benötige hier noch ggf. unterstützung beim Flashen. Bin hier nur bedingt bewandert. (3D Drucker Firmware flaschen). Habe Sie hier ggf. eine kurze Anleitung?

        Wie erkenne ich den Chip auf dem Mainboard? Haben die eine spezielle Bezeichnung?

        10000000 Dank vorab schon mal.

        1. Hallo W.C.,

          genau das ist der richtige Weg.
          Wenn Du da aber wenig Mikroelektronik Erfahrung hast würde ich eher vorschlagen ich bringe Dich mit einem sehr guten Mikroelektroniker und Kryptographen zusammen der dir weiterhelfen kann.
          Der TPM Chip müsste ein Atmel V41 TPM Chip sein nach TPM Spec 1.2. Meiner Recherche nach ist das aber ein BGA SMD Chip, also sehr schwer an die PINs ranzukommen.

          Sichere Grüße, Andreas

  20. Hallo Andreas,

    Mein HP-Laptop ließ sich nicht mehr laden, weshalb ich ihn zur Reparatur brachte. Dort wurde mir mitgeteilt, dass das Motherboard defekt ist und getauscht werden muss. Problem: Ich habe kein Backup von meinen Daten (dumm, ich weiß) und die Festplatten sind mit einem Bitlocker verschlüsselt, ohne dass ich davon wusste. Natürlich ist auch der Bitlocker nicht in meinem Microsoft-Konto hinterlegt. Somit komme ich nicht mehr an meine Daten, die für mich aber äußerst wichtig sind.

    Mein Onkel hatte die Idee, den Akku auszutauschen gegen einen, der geladen ist, um den Laptop hochfahren zu können und die Daten zu sichern. Leider greift nun doch der Bitlocker, da es anscheinend zu einer Tiefenentladung des Akkus kam. Das Motherboard ist aber noch das Originale mit originalem TPM-Modul. Ich hatte deinen Artikel gesehen „In der Bitlocker-Falle“ und hatte meinem Onkel vorgeschlagen, dieses Vorgehen auszuprobieren. Er meinte aber nun, dass er sich vorstellen kann, dass wegen der Tiefenentladung des Akkus eventuell das TPM „alles vergessen“ hat?

    Mit dem neuen Akku hat uns der PC die Wiederherstellungsschlüssel-ID angezeigt, aber natürlich nicht den Bitlocker selbst. Kann man mit der ID irgendwas anfangen und darüber an den Bitlocker kommen?

    Vielleicht kannst du mir einen Tipp geben, was man noch versuchen könnte?

    Viele Grüße und vielen Dank

    Lisa

    1. Hallo Lisa,

      Schade, dass auch Du in die BitLocker Falle gekommen bist. Leider häufen sich die Meldungen, dass Notebooks mit BitLocker verschlüsselt sind, jedoch die Benutzer dies gar nicht wissen.
      Beim kleinsten Fehler kommt dann die beschriebene Recovery Aufforderungen:

      BitLocker
      Geben Sie den Wiederherstellungsschlüssel ein, um den Computer wieder verwenden zu können (Tastaturlayout: Deutsch)

      In deinem Fall bin ich aber etwas verwundert, weil ein defekter Akku oder auch ein defektes Akku-Lademodul am Motherboard eigentlich keine Ausnahmeverletzung für den TPM auslöst.
      Der TPM kann durch einen leeren Akku nichts „vergessen“, der Schlüssel ist auch ohne Strom im TPM gespeichert. Der Prozess ist, dass beim Booten einige Systeminformationen geprüft werden und aus diesen mehrere Hash-Summen errechnet werden. Welche Systeminformationen hierfür verwendet werden lässt sich einstellen, in der Regel sind das aber die PCR 0,2,4,8,9,10,11 (Quelle: https://superuser.com/questions/1418324/which-tpm-pcrs-does-windows-seal-into-the-bitlocker-password).

      Nur wenn ALLE PCR Register richtig beschickt werden, dann gibt der TPM den BitLocker Schlüssel an das Windows Betriebssystem. (genauer gesagt, wird er aus den PCR Registern errechnet)

      Ich erkenne hier nicht, dass der Akku bei dieser Systemüberprüfung mit berechnet wird, d.h. wenn man den Akku ausbaut und nur mit Netzkabel den HP-Laptop betreibt sollte es keine BitLocker Wiederherstellungsmeldung geben. Auch nicht, wenn man einen geladenen Akko eines anderen Notebooks einbaut und dann bootet. Ich gehe davon aus, dass es einen anderen Grund für die Frage nach dem Wiederherstellungsschlüssel gibt.

      Hast Du wirklich alle Optionen untersucht wo dieser Wiederherstellungsschlüssel sein kann? Hast Du den vielleicht mal wo gespeichert oder ausgedruckt? War der Laptop neu oder hat vielleicht der Vorbesitzer diesen Wiederherstellungsschlüssel in seinem Microsoft Profil oder auf USB gespeichert?

      Ich hoffe Du schaffst es die Änderung rückgängig zu machen, damit dein Laptop wieder bootet, oft passiert das auch durch ein BIOS oder UEFI Update oder wenn Du den Laptop irgendwie veränderst, z.B. mehr RAM einbaust.

      Danke auch für Deinen wichtigen Hinweis in Deinem Beitrag

      Ich habe kein Backup vopn meinen Daten (dumm, ich weiß)

      Ich würde mich freuen wenn möglichst viele Personen das lesen. BITTE LIEBE LEUTE, macht von Euren wichtigen Daten, Fotos, Euren Diplomarbeiten, Euren Kundenlisten, Euren Buchhaltungsunterlagen, Eurer Email-Datenbank u.v.m. doch regelmäßig ein Backup.
      Dazu eignen sich USB-Sticks, externe Festplatten, aber natürlich auch NAS-Speicher oder die vielen heute angebotenen Cloud-Speicher.

      Sichere Grüße, Andreas

      1. Hallo Andreas,

        danke für deine Antwort.

        Weißt du etwas über die Wiederherstellungsschlüssel-ID? Das ist anscheinend nur ein 32-Zeichen-Code und nicht der Bitlocker selbst. Weißt du, ob man darüber irgendwie an den Bitlocker kommen kann oder ob der Microsoft Support irgendetwas damit anfangen können sollte?

        Leider ist mein Eindruck, dass du weit mehr über das ganze Thema weißt, als der Support von Microsoft. Theoretisch muss man aber doch damit irgendwas anfangen können, warum gibts den sonst?

        Viele Grüße
        Lisa

        1. Hallo Lisa,

          der Wiederherstellungsschlüssel ist ein 48-stelliger Code und ist einer der Protectoren die für die BitLocker Verschlüsselung konfiguriert sind.
          Du kannst Dir die Protektoren wie unterschiedliche Schlüssel vorstellen, die alle den BitLocker Schlüssel aufsperren können.
          Einer der Protektoren ist der TPM Protector, darüber startet der BitLocker wenn alles funktioniert. Sollte das nicht klappen kommt die Frage nach em Wiederherstellungsschlüssel, das ist eben eine weitere Methode um die BitLockerverschlüsselung zu starten.

          Wenn der TPM Weg nicht funktioniert (wie bei Dir) und Du leider den Wiederherstellungsschlüssel nicht gespeichert hast, dann gibt es in der Regel keinen weiteren Weg um die Verschlüsselung zu aktivieren.

          Sicher Grüße, Andreas

  21. Heute erreichte mich folgende Nachricht, die ich gerne auch hier im Beitrag beantworten möchte:

    „Wenn der Test Rechner mit der Bitlocker verschlüsselten Festplatte bootet, wird sofort nach dem Recovery Key gefragt.
    Ist es möglich den FGPA-Stick auf dem TPM-Chip anzulöten und sniffen? Brauch der Surface dafür Strom?
    Herzliche Grüße“

    Wenn sofort nach dem Recovery Key gefragt wird, dann ist der Schlüssel entweder im TPM Chip nicht mehr verfügbar oder die PCR Register die zur Freigabe des BitLocker Schlüssels erforderlich sind stimmen nicht mehr, z.B. durch geänderte Boot Umgebung, Hardwaretausch, Bios/UEFI Upgrade, etc.

    In Ihrem Fall funktioniert das TPM Sniffing nicht, schon gar nicht wenn Sie versuchen den TPM vom Motherboard auszulöten.

    Sichere Grüße, Andreas
    #gerneperDU

  22. Hi, echt super das alle Fragen geduldig beantwortet werden, als erstes mal.

    Ich habe folgendes Problem:

    Habe ein Dell Inspiron P69G auf dem win10 Home vorinstalliert ist. Nach einem Windows Blue Screen of Death wurde leider einfach das System neu aufgesetzt. Leider ist es nun nicht mehr möglich auf die zweite Partition der SSD HD zuzugreifen, folgender Status:

    C:\Windows\system32>manage-bde -status
    BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.19041
    Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

    Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung
    geschützt werden können:
    Volume „C:“ []
    [Betriebssystemvolume]

    Größe: 116,06 GB
    BitLocker-Version: 2.0
    Konvertierungsstatus: Verschlüsselung wird durchgeführt
    Verschlüsselt (Prozent): 92,7 %
    Verschlüsselungsmethode: XTS-AES 128
    Schutzstatus: Der Schutz ist deaktiviert.
    Sperrungsstatus: Entsperrt
    ID-Feld: Unbekannt
    Schlüsselschutzvorrichtungen:
    Numerisches Kennwort
    TPM

    Volume „D:“ [Die Bezeichnung ist unbekannt.]
    [Datenvolume]

    Größe: Unbekannt GB
    BitLocker-Version: 2.0
    Konvertierungsstatus: Unbekannt
    Verschlüsselt (Prozent): Unbekannt %
    Verschlüsselungsmethode: XTS-AES 128
    Schutzstatus: Unbekannt
    Sperrungsstatus: Gesperrt
    ID-Feld: Unbekannt
    Automatische Entsperrung: Deaktiviert
    Schlüsselschutzvorrichtungen:
    Externer Schlüssel
    Numerisches Kennwort

    Leider scheint dabei der Key aus dem TPM für die D: Partition verschwunden zu sein.

    Das Laptop hat einen TPM /PTT Chip eingebaut, wäre es auf diesem Laptop möglich mit dem ICE40HX1K-STICK-EVN den Key wiederherzustellen ? Was wäre dabei genau zu tun?

    Ich würde den besagten ICE40HX1K-STICK-EVN auch gerne kaufen.

    Vielen Dank im voraus, Radovan *Name gelöscht*

    1. Hallo Radovan,

      Vielen Dank für Dein Lob über den Blog!

      Zu Deinem Dell Inspiron P69G Problem: bei jeden Neuaufsetzen von Windows mit BitLocker Verschlüsselung wird der TPM Chip neu initialisiert und für die neue installierte Version von BitLocker verwendet. Dabei werden ältere Schlüssel komplett vernichtet.

      In Deinem Fall ist die D: Datenpartition noch mit einem alten BitLocker Schlüssel geschützt und die C: Partition funktioniert nach der Neuinstallation. Ich gehe mal davon aus, dass Du bei Klick auf die D: Partition aufgefordert wirst den Recovery Key einzugeben.

      Aber wo steckt der BitLocker Schlüssel der D: Partition?

      Das offenbart sich in den zwei Zeilen die unter „Schlüsselschutzvorrichtungen:“ stehen, in Deinem Fall
      1. Externer Schlüssel und
      2. Numerisches Kennwort

      Bei zusätzlichesn Datenpartition wie dein Laufwerk D: wird von BitLocker eine externe Schlüsseldatei verwendet, die in der Windows Registry gespeichert ist. Der Boot Prozess ist einfach, über den TPM (mit oder ohne PIN) wird die BitLocker Verschlüsselung vom C: Laufwerk aktiviert und das System startet. Damit kann die Registry gelesen werden, die in mehreren Dateien unter C:\Windows\System32 liegt, Details siehe Registry Speicherort (externer Link).

      Der weitere Schlüssel der das D: Laufwerk schützt ist ein numerisches Kennwort, dies ist die 48-stellige Zahlenkette die Windows als Notfallsmethode (=Recovery Key oder dt. Wiederherstellungsschlüssel) angelegt hat. Wenn man den BitLocker manuell installiert, durch Rechts-Klick auf das C: bzw. D: Laufwerk und „BitLocker verwalten“ bzw. „BitLocker aktivieren“ dann muss man den Wiederherstellungsschlüssel auf einen externen Speicher abspeichern oder ausdrucken.

      Bei neueren Geräten wird aber BitLocker gleich bei der Installation von Windows automatisch aktiviert. Das bescheuerte Windows Betriebssystem (dafür verantwortlich nicht natürlich ein paar Microsoft Entwickler) fordert dann aber niemals den Benutzer auf nachträglich den Wiederherstellungsschlüssel zu sichern oder auszudrucken. Eine Erinnerung alle 1/2 Jahre den Schlüssel zu prüfen oder noch ein Backup anzulegen würden 95% der BitLocker Problemfälle in meinem Verschlüsselungsblog lösen!

      In Deinem Fall Radovan hast Du vielleicht eine Chance, wenn der Wiederherstellungsschlüssel von Dir selbst abgespeichert wurde, oder dieser in Deinem Microsoft Online Account automatisch gespeichert wurde. Sollte es sich um einen Firmen-PC handeln, dann hat Dein Unternehmen diesen Wiederherstellungsschlüssel mit hoher Wahrscheinlichkeit auch in dem Active Directory Verzeichnisdienst gespeichert.
      Weitere Tipps wo Du nach dem Recovery Key suchen kannst findest Du genau hier in diesem Blog-Artikel.

      Auf Deine ursprüngliche Frage zurückkommend: Da der Schlüssel für die D: Partition niemals im TPM-Chip gespeichert war kannst Du den mit dem FPGA auch nicht aus dem TPM retten. Dazu kommt natürlich, dass der TPM neu initalisiert ist und die Betriebsparameter über die PCR-Register durch die Neuinstallation von Windows ganz neu gesetzt sind.

      Viel Erfolg bei der Suche nach dem Wiederherstellungsschlüssel!

      PS: Backup nicht vergessen, wenn man wichtige Daten hat, dann diese nicht nur auf der C: oder D: Partition eines mobilen Endgerätes speichern. Es gibt so günstige Cloud Speicher, oder auch größe USB-Sticke oder externe Disks eignen sich hervorragend für eine zusätzliche Sicherung. Speziell bei Backup-Medien die man sehr sicher daheim verwahren kann, empfehle ich auf die BitLocker Verschlüsselung zu verzichten oder ein Passwort zu vergeben dass man nicht vergessen kann.

      Sichere Grüße, Andreas

  23. Hallo Andreas

    Meine Situation ist folgende:

    Mein Notebook Lenovo ThinkPad E590 ist ca 1 Jahr alt
    Vor ca. 1,5 Monaten gab es Probleme mit den Microsoft Updates
    Nachdem ich das Problem nicht beheben konnte, versuchte ich den PC auf einen früheren Zeitpunkt zurückzusetzen
    Nach dem Neustart war meine D Partition gesperrt, C funktioniert weiterhin ohne Probleme und ist auch nicht verschlüsselt
    BitLocker Verschlüsselung nur auf D:
    Bitlocker verlangt von mir einen 48 stelligen Code den ich nicht habe
    Der Code wurde auch nicht ins Microsoft Konto hochgeladen

    Gibt es eine Möglichkeit meine Dateien zu retten

    Hoffe du kannst mir helfen

    Mfg Michi

    1. Hallo Michi,

      Dein Problem sieht sehr merkwürdig ist, ich hatte noch nicht oft gesehen, dass die C: Partition nicht verschlüsselt ist, jedoch die D: Partition schon.
      Hast Du eventuell den BitLocker für die D: Partition zwischen dem Erstellen des letzten Wiederherstellungspunktes und dem zurücksetzen auf den früheren Zeitpunkt manuell per Rechtsklick auf D: und „BitLocker aktivieren“ aktiviert?

      Kannst Du hier in dem Beitrag bitte die Ausgabe von dem Befehl manage-bde -status (starten in der Eingabeaufforderung cmd.exe als Administrator) posten.
      Besonders interessiert mich welcher Protector (Schlüsselschutzvorrichtung) aktiv ist, dann kann ich eventuell weiterhelfen wo Du den Schlüssel finden kannst.

      Sichere Grüße, Andreas

      1. Hallo Andreas,
        meines Wissens nach habe ich den Bitlocker nicht aktiviert- wenn dann nur durch einen blöden Zufall! Aber ich wurde nie aufgefordert den Key zu speichern oder auszudrucken

        C:\WINDOWS\system32>manage-bde -status
        BitLocker Drive Encryption: Configuration Tool version 10.0.19041
        Copyright (C) 2013 Microsoft Corporation. All rights reserved.

        Disk volumes that can be protected with
        BitLocker Drive Encryption:
        Volume C: []
        [OS Volume]

        Size: 146.29 GB
        BitLocker Version: None
        Conversion Status: Fully Decrypted
        Percentage Encrypted: 0.0%
        Encryption Method: None
        Protection Status: Protection Off
        Lock Status: Unlocked
        Identification Field: None
        Key Protectors: None Found

        Volume D: [Label Unknown]
        [Data Volume]

        Size: Unknown GB
        BitLocker Version: 2.0
        Conversion Status: Unknown
        Percentage Encrypted: Unknown%
        Encryption Method: XTS-AES 128
        Protection Status: Unknown
        Lock Status: Locked
        Identification Field: Unknown
        Automatic Unlock: Disabled
        Key Protectors:
        Numerical Password
        External Key

        Das zeigt mir CMD an mit dem Befehl

        Mfg Michi

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.