BitLocker To Go ist die Lösung von Microsoft zur Verschlüsselung externer Speichermedien. Es ist das Pendant von BitLocker zur Verschlüsselung des kompletten Betriebssystems.
Im Gegensatz zum BitLocker für die Betriebssystemverschlüsselung, das den Pro-Versionen vorbehalten ist, können alle Windows-Versionen ab Windows 7 BitLocker To Go-Medien lesen und schreiben. Lediglich für die initiale Einrichtung der Verschlüsselung benötigt man eine Pro oder Enterprise-Version.
BitLocker To Go eignet sich für externe Festplatten, USB-Sticks, SD-Karten und andere gängige Medien. Als Dateisysteme sind die üblichen Windows-Dateisysteme möglich. Das heißt primär NTFS, exFAT, FAT32 und FAT16. Wegen den vielfältigen Limitierungen machen eigentlich nur NTFS und exFAT Sinn bei größeren externen Speichermedien.
Grundsätzlich lässt sich BitLocker wohl auch mit Linux lesen und schreiben, aber wirklich gut geeignet ist es nur in homogenen Windows-Landschaften. Wer betriebssystemübergreifende Verschlüsselungslösungen sucht, ist mit VeraCrypt besser bedient.
Speichermedium verschlüsseln
Die initiale Einrichtung als verschlüsseltes Laufwerk nimmt man – analog zum normalen BitLocker – in den herkömmlichen Systemeinstellungen vor. Unter BitLocker-Laufwerksverschlüsselung sollte die Option, einen Wechseldatenträger zu mit BitLocker To Go zu verschlüsseln angeboten werden.
Nach dem Klick auf Aktivieren kommt eine Abfrage des gewünschten Passworts. Wie immer gilt zu bedenken, dass eine Verschlüsselung nur so sicher ist wie das genutzte Kennwort.
Die Einrichtungsroutine bietet an, einen Wiederherstellungsschlüssel zu speichern. Hier sollte man keinesfalls “In Microsoft-Konto speichern”, weil man damit faktisch Microsoft einen Schlüssel ausliefert. Je nach Anforderung also entweder in Datei speichern oder den Wiederstellungsschlüssel drucken.
Sofern auf dem Stick noch nie (sensible) Daten gespeichert wurden, kann im folgenden Schritt die Vorauswahl bei “Nur verwendeten Speicherplatz verschlüsseln” belassen werden. Abwägen sollte man ebenso den Modus. Hat man ggf. vor, das Speichermedium auch an älteren Windows-Versionen zu nutzen, sollte man den kompatiblen Modus verwenden.
Für bereits mit BitLocker To Go gesicherte Medien bieten die Systemeinstellungen einige Optionen an.
Verwendung verschlüsselter Speichermedien
Die Benutzung verschlüsselter Speichermedien ist sehr einfach. Windows erkennt automatisch, ob ein Speichermedium mit BitLocker To Go verschlüsselt ist und markiert es mit einem entsprechenden Symbol.
Möchte man das Speichermedium öffnen, erfolgt automatisch eine Passwortabfrage. Danach kann man das mit BitLocker to Go geschützte Speichermedium normal benutzen.