Die Laufwerkverschlüsselung BitLocker, die in Windows Pro und Enterprise integriert ist, nutzt standardmäßig eine Schlüssellänge von 128 Bit. Ihr könnt die Sicherheit eurer Daten deutlich erhöhen, wenn ihr den AES-Schlüssel auf 256 Bit verlängert – eine Maßnahme, die angesichts steigender Rechenpower und neuer Angriffsmethoden immer wichtiger wird.
Warum 256-Bit-Verschlüsselung heute relevanter ist denn je
Aktuell gelten sowohl 128-Bit- als auch 256-Bit-Schlüssel als praktisch unknackbar. Doch die Entwicklung von Quantencomputern und speziellen KI-Systemen für Kryptografie-Angriffe macht längere Schlüssel zur Zukunftssicherung. Der US-Geheimdienst nutzt bereits seit Jahren 256-Bit-Schlüssel für als „Top-Secret“ eingestufte Dokumente. Die NSA empfiehlt sogar, bereits jetzt auf quantum-resistente Verschlüsselung umzustellen.
Mit der zunehmenden Verbreitung von Cloud-Computing und Remote-Work sind verschlüsselte Laufwerke wichtiger geworden. BitLocker schützt nicht nur vor physischem Diebstahl, sondern auch vor Datenabfluss bei verlorenen oder gestohlenen Geräten. Microsoft hat die Technologie kontinuierlich weiterentwickelt und bietet mittlerweile auch Hardware-basierte Sicherheitsfeatures.
So stellt ihr BitLocker auf 256-Bit um
Die Umstellung erfolgt über die Gruppenrichtlinien. Drückt [Windows] + [R], gebt gpedit.msc ein und klickt auf „OK“. Falls gpedit.msc nicht verfügbar ist (bei Windows Home-Editionen), könnt ihr es über PowerShell-Befehle oder Registry-Änderungen aktivieren.
Navigiert links zum Bereich „Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, BitLocker-Laufwerkverschlüsselung“. Bei neueren Windows-Versionen findet ihr hier zusätzliche Optionen für verschiedene Laufwerkstypen (Betriebssystem-Laufwerke, Festplattenlaufwerke, Wechseldatenträger).
Doppelklickt auf „Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen“. In Windows 11 und aktuellen Windows 10-Versionen seht ihr hier auch XTS-AES-Optionen, die zusätzliche Sicherheit bieten.
Markiert oben „Aktiviert“ und wählt in der Auswahlliste „AES-256-Bit“ oder noch besser „XTS-AES 256“ aus, falls verfügbar. XTS-AES bietet verbesserten Schutz gegen bestimmte Angriffsmuster. Klickt auf „OK“, damit Windows neue BitLocker-Laufwerke mit der stärkeren Verschlüsselung sichert.
Alternative Konfiguration über PowerShell
Für fortgeschrittene Nutzer bietet PowerShell mehr Flexibilität. Mit dem Befehl manage-bde -protectors -get C: könnt ihr die aktuelle Verschlüsselungsmethode prüfen. Der Befehl manage-bde -changekey C: -newkeyprotector ermöglicht das Hinzufügen neuer Schlüssel-Protektoren.
Bereits verschlüsselte Laufwerke umstellen
Wichtig: Die Gruppenrichtlinien-Änderung betrifft nur neue BitLocker-Verschlüsselungen. Bereits verschlüsselte Partitionen behalten ihre ursprüngliche Schlüssellänge. Um diese umzustellen, müsst ihr die Verschlüsselung erst deaktivieren und dann mit den neuen Einstellungen wieder aktivieren.
Deaktiviert BitLocker über die Systemsteuerung oder mit manage-bde -off C:. Wartet die vollständige Entschlüsselung ab (kann je nach Laufwerksgröße Stunden dauern) und aktiviert BitLocker anschließend neu. Dabei greift dann automatisch die 256-Bit-Konfiguration.
Moderne Hardware-Integration
Aktuelle Systeme mit TPM 2.0-Chips bieten zusätzliche Sicherheitsebenen. BitLocker kann diese Hardware-Sicherheitsmodule nutzen, um Schlüssel noch besser zu schützen. Bei Systemen mit UEFI Secure Boot und modernen CPUs arbeitet BitLocker seamlos mit Device Encryption zusammen.
Für Unternehmen bietet Microsoft zusätzlich BitLocker Administration and Monitoring (MBAM), das zentrale Verwaltung und Recovery-Optionen ermöglicht. Cloud-basierte Verwaltung über Microsoft Intune wird ebenfalls immer wichtiger.
Performance-Auswirkungen minimal
Moderne CPUs mit AES-Beschleunigung (AES-NI) verarbeiten 256-Bit-Verschlüsselung fast ohne Performance-Einbußen. Bei aktueller Hardware ist der Unterschied zwischen 128-Bit und 256-Bit praktisch nicht messbar. SSDs mit Hardware-Verschlüsselung profitieren sogar von der stärkeren Konfiguration.
Fazit: Höhere Sicherheit ohne Nachteile
Die Umstellung auf 256-Bit-Verschlüsselung ist eine einfache Maßnahme für deutlich erhöhte Datensicherheit. Angesichts steigender Bedrohungen und längerer Datenaufbewahrungszeiten solltet ihr diese Konfiguration standardmäßig nutzen. Der Aufwand ist minimal, der Sicherheitsgewinn erheblich.
Zuletzt aktualisiert am 18.04.2026
