Windows-Sicherheit · BitLocker

BitLocker ohne TPM in Windows aktivieren
Windows 10 · Windows 11 · Startschlüssel

Eine praktische Anleitung zum Aktivieren der BitLocker-Laufwerkverschlüsselung auf einem Windows-PC ohne kompatibles TPM-Modul, inklusive erforderlicher Gruppenrichtlinie, Startauthentifizierungsoptionen, Sicherung des Wiederherstellungsschlüssels und Fehlerbehebung.

⏱ 12 Min. Lesezeit 🔐 BitLocker 🪟 Windows 10 🪟 Windows 11 🧩 Kein TPM 💾 USB-Startschlüssel
Überblick

So funktioniert BitLocker ohne TPM-Modul in Windows

BitLocker verwendet normalerweise ein kompatibles Trusted Platform Module (TPM), um das Betriebssystemlaufwerk zu schützen und den Verschlüsselungsschlüssel nur dann freizugeben, wenn die Startumgebung vertrauenswürdig wirkt. Auf einem Computer ohne nutzbares TPM kann BitLocker das Windows-Laufwerk trotzdem verschlüsseln, muss dafür aber einen anderen Startschutz verwenden.

Praktisch bedeutet BitLocker ohne TPM, dass Windows eine Pre-Boot-Authentifizierung verlangt. Je nach Windows-Edition und Hardware kann dies ein Startkennwort oder ein USB-Stick mit BitLocker-Startschlüssel sein. Das Laufwerk bleibt verschlüsselt, aber der Computer kann es nicht unbemerkt entsperren, bevor Windows startet.

ℹ️
Wichtiges Konzept

Ohne TPM besitzt BitLocker nicht dieselbe hardwaregestützte Prüfung der Startintegrität. Der Schutz verschlüsselt das Laufwerk weiterhin, aber die Start-Anmeldedaten werden deutlich wichtiger.

🔐

Daten werden verschlüsselt

Dateien auf dem Systemlaufwerk sind geschützt, wenn der PC ausgeschaltet, verloren, gestohlen oder aus dem Computer entfernt wird.

⌨️

Starteingabe ist erforderlich

Sie müssen vor dem Windows-Start ein Startkennwort eingeben oder einen USB-Stick mit dem Startschlüssel einstecken.

🧩

Richtlinie muss geändert werden

Windows blockiert diese Einrichtung, bis die Richtlinie BitLocker ohne kompatibles TPM zulassen aktiviert ist.

Vor dem Start

Voraussetzungen zum Aktivieren von BitLocker ohne TPM in Windows 11 oder Windows 10

Bevor Sie BitLocker-Einstellungen ändern, prüfen Sie, ob der Computer und die Windows-Edition diese Konfiguration unterstützen. Das ist besonders wichtig bei älteren PCs, selbstgebauten Systemen, virtuellen Maschinen und Laptops, bei denen TPM im BIOS oder UEFI deaktiviert wurde.

Voraussetzung Warum es wichtig ist Was Sie prüfen sollten
Windows-Edition Die vollständige BitLocker-Laufwerkverschlüsselung ist in Windows Pro, Enterprise, Education und einigen Business-Editionen verfügbar. Öffnen Sie winver oder EinstellungenSystemInfo.
Administratorkonto Das Ändern der BitLocker-Richtlinie und das Verschlüsseln des Systemlaufwerks erfordern erhöhte Berechtigungen. Verwenden Sie ein Konto, das Windows Terminal, PowerShell oder die Eingabeaufforderung als Administrator öffnen kann.
Speicherort für den Wiederherstellungsschlüssel Wenn das Startkennwort oder der USB-Schlüssel verloren geht, ist der Wiederherstellungsschlüssel möglicherweise der einzige Weg, das Laufwerk zu entsperren. Bereiten Sie ein Microsoft-Konto, einen Ausdruck, ein externes Laufwerk oder einen sicheren Eintrag im Passwortmanager vor.
USB-Unterstützung beim Start Wenn Sie einen USB-Startschlüssel verwenden, muss die Firmware den USB-Stick lesen können, bevor Windows startet. Stellen Sie sicher, dass USB-Speicher im BIOS-/UEFI-Startmodus funktioniert, und führen Sie die BitLocker-Systemprüfung aus.
Sicherung wichtiger Dateien Die Verschlüsselung betrifft das gesamte Systemlaufwerk, und ein Fehler mit Schlüsseln kann Sie aussperren. Sichern Sie persönliche Dateien, bevor Sie BitLocker auf dem Betriebssystemlaufwerk aktivieren.
⚠️
Nicht überspringen

Speichern Sie niemals die einzige Kopie des Wiederherstellungsschlüssels auf demselben verschlüsselten Windows-Laufwerk. Wenn das Laufwerk gesperrt wird, ist auch diese Kopie nicht erreichbar.

Schritt 01

So prüfen Sie, ob Ihr Windows-PC ein TPM-Modul hat

Prüfen Sie zuerst, ob TPM wirklich fehlt oder nur deaktiviert ist. Viele moderne PCs besitzen TPM 2.0 in der Firmware, es kann aber im BIOS/UEFI ausgeschaltet sein oder anders heißen, zum Beispiel Intel PTT oder AMD fTPM.

TPM mit tpm.msc prüfen

  1. Drücken Sie Win + R.
  2. Geben Sie tpm.msc ein und drücken Sie Enter.
  3. Sehen Sie sich den Bereich Status an.
  4. Wenn dort Das TPM ist einsatzbereit steht, hat Ihr PC ein funktionierendes TPM.
  5. Wenn angezeigt wird, dass kein kompatibles TPM gefunden wurde, fahren Sie mit der BitLocker-Einrichtung ohne TPM fort oder prüfen Sie zuerst BIOS/UEFI.

TPM mit PowerShell prüfen

Get-Tpm

Wenn TpmPresent den Wert False hat, erkennt Windows derzeit kein TPM. Wenn TpmPresent True ist, aber TpmReady False, ist das Modul vorhanden, muss aber möglicherweise aktiviert, initialisiert oder repariert werden.

Bessere Option, wenn verfügbar

Wenn Ihr Computer ein TPM besitzt, es aber deaktiviert ist, ist das Aktivieren von TPM im BIOS/UEFI normalerweise besser als BitLocker ohne TPM zu verwenden. TPM-basiertes BitLocker kann komfortabler entsperren und einen stärkeren Schutz des Startzustands bieten.

Schritt 02

Die Gruppenrichtlinie „BitLocker ohne kompatibles TPM zulassen“ aktivieren

Standardmäßig kann Windows den Fehler Dieses Gerät kann kein Trusted Platform Module verwenden anzeigen, wenn Sie versuchen, das Betriebssystemlaufwerk zu verschlüsseln. Um BitLocker ohne TPM zuzulassen, ändern Sie zuerst eine Einstellung in der lokalen Gruppenrichtlinie.

Computerkonfiguration Administrative Vorlagen Windows-Komponenten BitLocker-Laufwerkverschlüsselung Betriebssystemlaufwerke
  1. Drücken Sie Win + R, geben Sie gpedit.msc ein und drücken Sie Enter.
  2. Gehen Sie zu ComputerkonfigurationAdministrative VorlagenWindows-KomponentenBitLocker-LaufwerkverschlüsselungBetriebssystemlaufwerke.
  3. Doppelklicken Sie auf Zusätzliche Authentifizierung beim Start anfordern.
  4. Wählen Sie Aktiviert.
  5. Aktivieren Sie BitLocker ohne kompatibles TPM zulassen (erfordert ein Kennwort oder einen Startschlüssel auf einem USB-Flashlaufwerk).
  6. Lassen Sie die TPM-bezogenen Optionen unverändert, außer Sie konfigurieren BitLocker auch für Computer mit TPM.
  7. Klicken Sie auf Übernehmen und dann auf OK.

Richtlinie aktualisieren erzwingen

Sie können Windows neu starten oder diesen Befehl in einer erhöhten Eingabeaufforderung ausführen: 

gpupdate /force
💡
Richtlinienname zum Merken

Die entscheidende Einstellung heißt Zusätzliche Authentifizierung beim Start anfordern. Das Kontrollkästchen in dieser Richtlinie erlaubt BitLocker auf einem Betriebssystemlaufwerk ohne kompatibles TPM.

Schritt 03

BitLocker ohne TPM nach der Richtlinienänderung einschalten

Nachdem die Richtlinie aktiviert wurde, starten Sie BitLocker über die Systemsteuerung. Diese Methode ist für die meisten Benutzer sicherer, weil Windows den Einrichtungsassistenten anzeigt, fragt, wo der Wiederherstellungsschlüssel gespeichert werden soll, und vor Beginn der Verschlüsselung eine Systemprüfung ausführen kann.

BitLocker-Laufwerkverschlüsselung öffnen

  1. Drücken Sie Win + R.
  2. Geben Sie control /name Microsoft.BitLockerDriveEncryption ein und drücken Sie Enter.
  3. Suchen Sie das Betriebssystemlaufwerk, normalerweise C:.
  4. Klicken Sie auf BitLocker aktivieren.
  5. Wählen Sie die vom Assistenten angebotene Startmethode: Kennwort oder USB-Startschlüssel.
  6. Speichern Sie den Wiederherstellungsschlüssel außerhalb des verschlüsselten Systemlaufwerks.
  7. Wählen Sie Nur verwendeten Speicherplatz verschlüsseln für einen neuen PC oder Gesamtes Laufwerk verschlüsseln für einen PC, der bereits persönliche Daten enthielt.
  8. Wählen Sie den neueren Verschlüsselungsmodus für interne Windows-10/11-Systemlaufwerke, sofern keine Kompatibilität mit älteren Windows-Versionen benötigt wird.
  9. Führen Sie die BitLocker-Systemprüfung aus, wenn sie angeboten wird, und starten Sie den PC anschließend neu.
⚠️
Systemprüfung ausführen

Die BitLocker-Systemprüfung stellt sicher, dass die gewählte Startmethode funktioniert, bevor Windows den verschlüsselten Startprozess vollständig übernimmt. Das ist besonders wichtig, wenn ein USB-Startschlüssel verwendet wird.

Startschutz

BitLocker ohne TPM: Startkennwort oder USB-Startschlüssel

Wenn kein TPM verfügbar ist, wird der Startschutz zum praktischen Schlüssel für das verschlüsselte Systemlaufwerk. Wählen Sie eine Option, die Sie bei jedem Start des Computers zuverlässig verwenden können.

Option Funktionsweise Vorteile Risiken
Startkennwort Sie geben ein Kennwort ein, bevor Windows startet. Kein USB-Stick erforderlich. Einfacher für Laptops und unterwegs. Ein schwaches Kennwort reduziert die Sicherheit. Vergessene Kennwörter erfordern den Wiederherstellungsschlüssel.
USB-Startschlüssel Windows liest vor dem Start eine spezielle Schlüsseldatei von einem USB-Stick. Keine Kennworteingabe beim Start. Nützlich für feste Desktop-PCs in kontrollierten Umgebungen. Der USB-Stick kann verloren gehen, kopiert, beschädigt oder im PC stecken gelassen werden.
Wiederherstellungsschlüssel Ein 48-stelliger Notfallschlüssel entsperrt das Laufwerk, wenn der normale Startschutz fehlschlägt. Wichtige Rückfalloption, wenn die Startauthentifizierung fehlschlägt. Wenn er verloren geht, sind verschlüsselte Daten möglicherweise nicht wiederherstellbar.

Empfohlen

  • Verwenden Sie ein langes Startkennwort, wenn der Assistent kennwortbasierte Startauthentifizierung anbietet.
  • Verwenden Sie einen dedizierten USB-Stick, wenn Sie einen Startschlüssel wählen.
  • Bewahren Sie mindestens eine Kopie des Wiederherstellungsschlüssels offline auf.
  • Testen Sie den ersten Neustart, bevor Sie sich auf die Konfiguration verlassen.

Vermeiden

  • Speichern Sie den Wiederherstellungsschlüssel nicht nur auf C:.
  • Lassen Sie einen USB-Startschlüssel nicht dauerhaft in einem Laptop stecken.
  • Verwenden Sie keine kurzen, offensichtlichen, wiederverwendeten oder geteilten Kennwörter.
  • Ändern Sie BIOS-Starteinstellungen nicht direkt nach dem Aktivieren der Verschlüsselung, außer Sie haben den Wiederherstellungsschlüssel.
Wiederherstellung

BitLocker-Wiederherstellungsschlüssel vor der Verschlüsselung sichern

Der Wiederherstellungsschlüssel ist Ihre Notfallzugriffsmethode. Wenn Windows das Startkennwort oder den Startschlüssel nicht verwenden kann, fordert es möglicherweise den 48-stelligen Wiederherstellungsschlüssel an, bevor das Laufwerk entsperrt wird.

Sichere Orte für den Wiederherstellungsschlüssel

Unsichere Orte für den Wiederherstellungsschlüssel

🚫
Keine Umgehung

Wenn BitLocker korrekt konfiguriert ist und Sie sowohl den normalen Startschutz als auch den Wiederherstellungsschlüssel verlieren, kann Windows die Verschlüsselung nicht einfach umgehen. Sie können Windows möglicherweise neu installieren, aber die verschlüsselten Dateien auf dem gesperrten Volume lassen sich ohne gültigen Schutz nicht wiederherstellen.

Befehle

Nützliche Befehle für BitLocker ohne TPM

Diese Befehle helfen beim Prüfen des Status, beim Anzeigen der Schutzvorrichtungen und beim Überwachen der Verschlüsselung. Führen Sie Eingabeaufforderung, PowerShell oder Windows Terminal als Administrator aus.

BitLocker-Status prüfen

manage-bde -status C:

BitLocker-Schutzvorrichtungen für das Systemlaufwerk anzeigen

manage-bde -protectors -get C:

BitLocker mit PowerShell prüfen

Get-BitLockerVolume -MountPoint "C:"

BitLocker-Applet der Systemsteuerung öffnen

control /name Microsoft.BitLockerDriveEncryption

Gruppenrichtlinie aktualisieren

gpupdate /force

Wenn Sie Skripte für die BitLocker-Bereitstellung verwenden, testen Sie sie zuerst auf einem nicht kritischen Computer. Startschutz, Speicherung des Wiederherstellungsschlüssels, Firmware-Verhalten und Unterschiede zwischen Windows-Editionen können das Ergebnis verändern.

Hinweise zur Edition

Was tun, wenn gpedit.msc in Windows fehlt?

Wenn gpedit.msc fehlt, prüfen Sie zuerst Ihre Windows-Edition. Windows-Home-Editionen enthalten normalerweise keinen Editor für lokale Gruppenrichtlinien und bieten auch nicht die vollständige BitLocker-Verwaltung, die in Pro, Enterprise und Education verwendet wird. Einige Windows-Home-Geräte unterstützen Geräteverschlüsselung, aber das ist nicht dasselbe wie die manuelle Konfiguration von vollständigem BitLocker ohne TPM.

Windows-Edition BitLocker-Einrichtung ohne TPM Empfohlene Aktion
Windows Pro Unterstützt über lokale Gruppenrichtlinie und BitLocker-Laufwerkverschlüsselung. Verwenden Sie gpedit.msc, aktivieren Sie die Richtlinie für die Startauthentifizierung und starten Sie anschließend BitLocker.
Windows Enterprise / Education Unterstützt und häufig durch IT-Richtlinie, Intune oder Active Directory verwaltet. Fragen Sie Ihren Administrator, bevor Sie Startschutzvorrichtungen ändern.
Windows Home Die vollständige BitLocker-Konfiguration ist normalerweise nicht verfügbar. Verwenden Sie Geräteverschlüsselung, wenn sie unterstützt wird, oder wechseln Sie zu Pro, wenn Sie vollständige BitLocker-Verwaltung benötigen.
ℹ️
Registry-Änderungen

Es gibt BitLocker-Richtlinienänderungen über die Registry, aber die lokale Gruppenrichtlinie ist klarer, sicherer und leichter zu prüfen. Für die meisten Heimanwender bedeutet ein fehlendes gpedit.msc meist, dass die Windows-Edition den gewünschten BitLocker-Ablauf nicht unterstützt.

Lösungen

Probleme mit BitLocker ohne TPM in Windows beheben

Die häufigsten Probleme entstehen durch nicht angewendete Richtlinien, eine nicht unterstützte Windows-Edition, Firmware, die den USB-Startschlüssel nicht lesen kann, oder Fehler bei der Sicherung des Wiederherstellungsschlüssels.

Problem Wahrscheinliche Ursache Lösung
Dieses Gerät kann kein Trusted Platform Module verwenden Die erforderliche Richtlinie ist deaktiviert oder wurde noch nicht aktualisiert. Aktivieren Sie Zusätzliche Authentifizierung beim Start anfordern, setzen Sie das Kontrollkästchen ohne TPM und führen Sie dann gpupdate /force aus oder starten Sie neu.
BitLocker-Option fehlt Windows Home, fehlende Administratorrechte oder deaktivierte BitLocker-Funktion auf einem verwalteten PC. Prüfen Sie die Windows-Edition mit winver und öffnen Sie die Systemsteuerung als Administrator.
USB-Startschlüssel wird vor dem Start nicht erkannt Die Firmware kann den USB-Stick nicht lesen, USB-Startunterstützung ist deaktiviert oder der Anschluss ist im Pre-Boot-Modus nicht verfügbar. Versuchen Sie einen anderen USB-Anschluss, aktivieren Sie USB-Unterstützung im BIOS/UEFI, verwenden Sie einen einfachen FAT32-USB-Stick und führen Sie die BitLocker-Systemprüfung aus.
Wiederherstellungsschlüssel-Abfrage erscheint nach BIOS-Änderungen Die Startkonfiguration wurde nach der Verschlüsselung geändert. Geben Sie den Wiederherstellungsschlüssel ein, prüfen Sie die Startreihenfolge und setzen Sie BitLocker vor künftigen Firmware-Updates aus.
Kennwort oder Schlüssel funktioniert bei einem Start, bei einem anderen aber nicht Tastaturlayout, Pre-Boot-Tastaturunterstützung, beschädigter USB-Schlüssel oder geänderter Startpfad. Verwenden Sie einfache Zeichen für Startkennwörter, testen Sie eine andere Tastatur oder einen anderen USB-Anschluss und halten Sie eine Kopie des Wiederherstellungsschlüssels bereit.

Sicherer Wartungstipp

Vor BIOS-Updates, Änderungen der Startreihenfolge, Datenträgerklonen, Partitionsarbeiten oder größeren Firmware-Änderungen sollten Sie BitLocker vorübergehend aussetzen und nach Abschluss der Wartung wieder aktivieren. 

manage-bde -protectors -disable C:
manage-bde -protectors -enable C:
FAQ

FAQ zu BitLocker ohne TPM

Q Kann ich BitLocker ohne TPM in Windows 11 aktivieren?
Ja, auf Editionen mit vollständiger BitLocker-Verwaltung können Sie die Richtlinie aktivieren, die BitLocker ohne kompatibles TPM erlaubt, und anschließend ein Startkennwort oder einen USB-Startschlüssel verwenden.
Q Ist BitLocker ohne TPM so sicher wie BitLocker mit TPM?
Es verschlüsselt das Laufwerk weiterhin, bietet aber nicht dieselben TPM-gestützten Prüfungen der Startintegrität. Die Sicherheit hängt stark vom Startkennwort oder USB-Startschlüssel und von der sicheren Aufbewahrung des Wiederherstellungsschlüssels ab.
Q Brauche ich einen USB-Stick für BitLocker ohne TPM?
Nicht immer. Manche Konfigurationen erlauben ein Startkennwort. Wenn Sie einen USB-Startschlüssel wählen, muss der USB-Stick bei jedem Computerstart verfügbar und vor dem Windows-Start lesbar sein.
Q Warum sagt Windows nach der Richtlinienänderung weiterhin, dass TPM erforderlich ist?
Die Richtlinie wurde möglicherweise noch nicht aktualisiert, die falsche Richtlinie wurde bearbeitet, das Kontrollkästchen wurde nicht aktiviert oder BitLocker wird durch eine Organisationsrichtlinie gesteuert. Führen Sie gpupdate /force aus, starten Sie neu und prüfen Sie den Richtlinienpfad unter Betriebssystemlaufwerke.
Q Kann Windows Home BitLocker ohne TPM aktivieren?
Windows Home enthält in der Regel keine vollständigen BitLocker-Laufwerkverschlüsselungs-Steuerelemente. Einige Windows-Home-Geräte unterstützen Geräteverschlüsselung, aber das ist eine andere Funktion und hängt normalerweise von moderner Hardware-Sicherheitsunterstützung ab.
Q Was soll ich tun, wenn ich den USB-Startschlüssel verliere?
Verwenden Sie den 48-stelligen BitLocker-Wiederherstellungsschlüssel, um das Laufwerk zu entsperren, und erstellen Sie anschließend einen neuen Startschutz. Wenn Sie auch den Wiederherstellungsschlüssel verloren haben, sind die verschlüsselten Daten möglicherweise nicht wiederherstellbar.

🔐 Zusammenfassung: BitLocker ohne TPM sorgfältig aktivieren

Um BitLocker ohne TPM-Modul zu aktivieren, öffnen Sie zuerst gpedit.msc, aktivieren Sie Zusätzliche Authentifizierung beim Start anfordern und setzen Sie BitLocker ohne kompatibles TPM zulassen. Danach aktivieren Sie BitLocker über die Systemsteuerung und wählen die vom Assistenten angebotene Startmethode.

Die wichtigste Sicherheitsregel ist einfach: Sichern Sie den Wiederherstellungsschlüssel, bevor die Verschlüsselung beginnt, und bewahren Sie ihn außerhalb des verschlüsselten Windows-Laufwerks auf. Ohne TPM werden Ihr Startkennwort oder USB-Startschlüssel entscheidend, und der Wiederherstellungsschlüssel ist Ihre Notfallzugriffsmethode, falls die Startauthentifizierung fehlschlägt.