Bitlocker-Alarm nach BIOS-Update

Fall 11: Wenn Bitlocker plötzlich den Schlüssel will

Wer nach einer BIOS- oder Secure-Boot-Änderung plötzlich von Bitlocker nach einem Wiederherstellungsschlüssel gefragt wird, erlebt kein Rätsel, sondern ein vorgesehenes Verhalten. Das TPM misst beim Start eine Reihe von Systemparametern, darunter die Secure-Boot-Konfiguration, Firmware-Version, Bootreihenfolge und den Signaturstatus der Bootloader. Ändert sich einer dieser Werte, stimmen die im TPM gespeicherten Messdaten nicht mehr mit den bisherigen überein.

Quelle: Microsoft Nach Änderungen an Secure Boot oder BIOS fordert Bitlocker aus Sicherheitsgründen den Wiederherstellungsschlüssel an. Bitlocker geht in diesem Fall davon aus, dass das System manipuliert wurde und fordert den Schlüssel zur Verifikation an. Für die Praxis bedeutet das: Selbst ein harmloser Wechsel von "Other OS" auf "Windows UEFI Mode" oder ein neu geladenes Secure-Boot-Profil kann den Schutzmechanismus auslösen.

In der Praxis betrifft dieses Verhalten vor allem Laptops und OEM-Fertigsysteme, da diese häufig Firmware- oder EC-Updates direkt über Windows Update oder Hersteller-Tools erhalten. Dabei ändert sich die vom TPM erfasste Firmware-Signatur, was Bitlocker automatisch als Abweichung erkennt. Bei Desktop-PCs kommt das seltener vor, weil BIOS-Updates dort in der Regel manuell eingespielt werden und der Nutzer den Schutz vorher bewusst pausiert.

Wer häufig am BIOS arbeitet, sollte Bitlocker daher vorübergehend deaktivieren oder den Schutz anhalten, bevor Änderungen vorgenommen werden. Nach dem Neustart und der erfolgreichen Erkennung der neuen TPM-Werte lässt sich der Schutz wieder aktivieren. Andernfalls bleibt das System gesperrt. Nicht, weil etwas defekt ist, sondern weil es genau das tut, wofür es entwickelt wurde.

Spezialgelagerte Sonderfälle

Abseits der typischen Stolperfallen gibt es eine Reihe von Spezialfällen, die in der Praxis seltener auftreten, aber trotzdem ganze Systeme lahmlegen können. Dazu gehören alte Windows-Installationsmedien ohne aktuelle Signaturschlüssel. Wer eine ISO aus der Zeit von Windows 8 oder frühen Windows-10-Builds verwendet, riskiert, dass der enthaltene Bootloader inzwischen auf Microsofts Sperrliste steht. Das Installationsmedium startet dann schlicht nicht mehr. Ähnlich fatal ist eine gelöschte EFI-Systempartition (ESP). Ohne diese 100-300 MiB große Struktur weiß das UEFI nicht, wohin es booten soll.

In solchen Fällen hilft kein Rebuild-Tool mehr. Die Partition muss neu angelegt und Windows sauber installiert werden. Weitere Stolperfallen verstecken sich in der Firmware selbst: Die BIOS-Option "Other OS" schaltet Secure Boot zwar scheinbar ein, deaktiviert es aber faktisch. UEFI-Updates können Schlüssel zurücksetzen oder löschen, wodurch Windows plötzlich "Secure Boot off" meldet. Mit aktiviertem Fast Boot verschwinden zudem teilweise ganze Konfigurationsmenüs, was die Fehlersuche zusätzlich erschwert.

Welche Fehler sind Ihnen bereits in dieser Richtung begegnet? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Beachten Sie beim Kommentieren bitte die Forenregeln. Folgen Sie uns zudem für Neuigkeiten in der Hardware-Welt oder unsere exklusiven Inhalte gern auf Whatsapp und X. Unsere Video-Inhalte finden Sie bei Youtube, Instagram und Tiktok.

Artikel teilen

Battlefield 6 und Co.: 11 Probleme mit TPM 2.0 und Secure Boot Nach Secure Boot Bitlocker bleiben nur noch die seltenen, aber besonders tückischen Fälle: alte Installationen, gelöschte Partitionen oder fehlerhafte Firmware.

Per E-Mail versenden

31

1. Seite 1 Übersicht und was zu unterlassen ist
2. Seite 2 Secure Boot, CSM und GPT richtig reparieren
3. Seite 3 Wenn Secure Boot mehr blockiert als schützt
4. Seite 4 TPM und BIOS-Fallen: Funktionierende Systeme können scheitern
5. Seite 5 TPM-Fallen und OEM-Sperren
6. Seite 6 Bitlocker-Alarm nach BIOS-Update