Microsoft modernisiert die Laufwerksverschlüsselung in Windows 11. Ab Frühjahr 2026 soll BitLocker auf neuen Geräten nicht mehr allein auf die CPU angewiesen sein, sondern Kryptofunktionen direkt an spezialisierte Hardware auslagern können. Der Konzern verspricht dadurch nicht nur deutlich bessere Leistung, sondern auch ein höheres Sicherheitsniveau bei der Schlüsselverwaltung.
Hardware statt CPU: BitLocker nutzt künftig dedizierte Kryptoeinheiten
BitLocker gehörte lange zu den Funktionen, die im Hintergrund zuverlässig arbeiten, jedoch spürbar CPU-Ressourcen beanspruchen können. Besonders bei initialen Verschlüsslungen wird dies deutlich. Genau hier setzt Microsoft an: Neue SoCs und CPUs sollen die Berechnungen künftig übernehmen, statt sie durch die allgemeine Systemlast zu jagen.
Damit rückt Windows in eine ähnliche Richtung wie mobile Plattformen, bei denen Sicherheitsfunktionen seit Jahren auf gesonderten Einheiten laufen. Für Unternehmen und Privatanwender hat dies durchaus Vorteile, denn Verschlüsselung wird schneller, ohne dass der Rechner unter hoher Last leidet.
Schlüssel direkt im Silizium: Mehr Schutz vor Speicherangriffen
Neben der Performance soll auch die Sicherheit profitieren. BitLocker-Schlüssel werden künftig hardwareseitig isoliert, was klassische Angriffswege deutlich erschwert. Während heute bestimmte Attacken auf Arbeitsspeicher oder CPU-Caches theoretisch dazu genutzt werden könnten, an Schlüsselfragmente zu gelangen, wird dieser Zugang durch die neue Architektur blockiert.
Nach Angaben von Microsoft werden die Schlüssel nicht mehr im allgemeinen Speicherbereich gehalten. Vielmehr werden die Schlüssel auf dedizierten Sicherheitsblöcken gespeichert.
Unternehmen profitieren besonders
In Unternehmensumgebungen, in denen große Stückzahlen neuer Geräte eingerichtet werden, kann die Veränderung messbare Auswirkungen haben. BitLocker benötigt beim Initialisieren und beim Re-Keying viel Rechenzeit. Wenn diese Aufgaben künftig über Hardware laufen, lassen sich Rollouts schneller abschließen, und Wartungsfenster werden kürzer.
Gleichzeitig sinkt die Systemlast während automatischer Verschlüsselung – was vor allem bei Notebooks relevant ist, deren Leistung unter parallelen Aufgaben bislang stärker litt.
Nur für neue Geräte ab 2026
Die Funktion wird nicht per Update nachgereicht, sondern setzt neue Hardware voraus. Microsoft kündigt den Start für Geräte an, die ab Frühjahr 2026 erhältlich sein werden. Hersteller sollen entsprechende SoCs bereits einplanen, sodass erste Modelle zeitnah erscheinen. Für bestehende Systeme ändert sich hingegen nichts. BitLocker bleibt dort weiterhin softwarebasiert und nutzt standardmäßig die CPU.
Ein Schritt in Richtung moderne Kryptografie
Mit der Einführung hardwarebeschleunigter Verschlüsselung bereitet Microsoft die Plattform darauf vor, künftig auch Post-Quantum-Mechanismen effizienter abbilden zu können. Da einige dieser Verfahren deutlich höhere Rechenlast verursachen, ist die Verschiebung kryptografischer Vorgänge auf spezialisierte Hardware ein logischer Schritt.
- Weitere Informationen dazu in diesem Beitrag
Wäre cool, wenn das alle Laptops, Tablets, Mainboards bekommen.
Na ich hoffe nicht auf Zwang, denn bei mir war dieses Feature noch nie an. Möchte ich auch nicht.
Da bei mir nur noch SSD`s ( NVME = C, SSD Spiele = D, und SSD E = Ablage ) verbaut sind, brauche ich kein Programm, welches für zusätzlichen verschleiss sorgt. Mal ganz abgesehen brauche ich kein Programm, welches jedes Bit und Byte prüft, meinen PC so langsam macht, das er so langsam wie ein Einkerner läuft, und das alles für nichts. Nutze kein fTPM oder Secureboot, obwohl vorhanden. Habe ESET, als Vollversion, das reicht. Mehr will und brauche ich nicht MS.
Schön für Dich, andere wollen aber vielleicht was anderes 🥱
Damit Microsoft noch mehr Kontrolle bekommt aber CachyOS sei dank brauch ich mir diese Datenkrake nicht mehr antun.
gepostet mit der Deskmodder.de-App für Android
„gepostet mit der Deskmodder.de-App für Android“
…aber Android bzw. die Smartphone-Hersteller sammeln gar nix, ne?!
Ob da wieder jemand Bullshit Bingo gespielt hat?
Die neue Hardware hört sich nach einer Art von „TPM 3.x“ an (ist letztendlich auch nur ein Security Chip ähnlich eines fTPM, egal wie man ihn nun he nach Hersteller genau nennt), der die Performanceproblematik von TPM 2.0 angeht (Erzeugung von Hashes sicherer als in Software über die CPU, aber langsamer).
Post-Quantum-Verschlüsselung ist totaler Blödsinn. Es gibt ja nicht einmal eine funktionierende und allgemein verfügbare Verschlüsselung mittels Quanten-Computern (ich kann den Youtube Kanal von Sabine Hossenfelder empfehlen) und jetzt schwafelt man sogar von Post Quantum…
Dann kommt noch das Thema Agenten unter Windows hinzu. Schon klar, Windows beglückt uns künftig von eigenmächtig im Hintergrund agierender KI-Agenten mit Internetzugang, die im Voraus erkennen sollen, was der User eventuell als nächstes tun will. Gerade Unternehmen haben darauf schon lange gewartet…
Natürlich ist das auch alles völlig sicher und über Regeln steuerbar („Agent workspace is a separate and contained, policy-controlled, and auditable environment where agents can interact with software much like humans do […]“)
„Verschlüsselung wird schneller, ohne dass der Rechner unter hoher Last leidet.“
Dafür leiden dann – schon wieder – weltweit die Geldbeutel und auch die Umwelt leidet weiter …
Nur gut, dass ich mein Leben bereits weitestgehend gelebt habe und mir die sogenannte „Zukunft“ so ziemlich egal sein kann !!!
@HarryS
Das zum Thema Selbsterkenntnis. Dann lass auch die Beiträge hier. Unnötigen Smalltalk braucht keiner. Und somit würde sich auch mein Beitrag erledigen, wenn hier nicht soviel unnötiger Kram geblubbert würde und das von mehr wie 30 bekannten Usern.
„…und das von mehr wie 30 bekannten Usern.“
Es heißt nicht „wie“, sondern „als“.
Genau so viel: „wie“, mehr oder weniger „als“.
Da hast Du deinen sinnvollen Beitrag und schon wieder eine Bildungslücke weniger.
Sinnvoll genug ?
Glaube die 5-10cent Fallen nicht auf wenn das den mal jeder Rechner standartmässig hat.
Wir wissen doch, dass dir vieles so oder so nicht auffällt. Brauchst uns das nicht regelmäßig mitzuteilen.
Das ist eine sehr gute Idee, aber warum nicht gleich dasselbe mit dem Windows-Defender und ihn stets überall und jederzeit mitlaufen lassen?
Defender ist leider nicht mehr so empfehlenswert.
Der Grund für eine langsame Erstverschlüsselung oder „Re-Keying“ liegt nicht an einer zu schwachen CPU, sondern daran, dass bei SSDs die Schreibgeschwindigkeit nach ein paar geschriebenen Gigabyte massiv abnimmt, da der SLC-Cache voll ist und erst einmal auf die TLC- oder QLC-Speicherblöcke übertragen werden muss.
Wenn Microsoft das jetzt mit irgendeinem „Post-Quantum“ Schutz begründen will, dann haben sie offensichtlich auch von ganz normaler Festplattenverschlüsselung schon nichts verstanden.
Und nicht nur das. Keine Ahnung warum man sowas schreibt.
Geschwindigkeit ist nun das allerletzte was NL auf mobiler Hardware limitiert. Selbst mit SATA SSDs nicht.
Ich würde den Laien mal empfehlen den Taskmanager zu öffnen und manage-bde c: -off einzutippen. Da ist nach Sekunden alles erledigt.
Für Hardware ist das Ganze kein Thema.
Für VDI ist es ein großes Thema, wenn auf OS Ebene und nicht auf Hypervisor- oder Storageebene verschlüsselt wird.
Das VDI Hosts von MS Entwicklung profitieren wäre mir neu, außer vielleicht Azure based VDI.
Wir tauschen gerade mehr als 3000 Notebooks mit W11, noch mal 4500 Desktops und über 10.000 VDI Desktops. Bitlocker ist eine Randerscheinung.
Am längsten dauern die Windows Updates auf frischem Windows.
Die Kommentare sind einfach unglaublich. So viel Klugscheißerei. Da braucht man sich auch nicht über die wirtschaftlichen Umstände zu wundern. Unbelehrbar.
1. Es handelt es sich um einen dedizierten Kryptoprozessor, der im Gegensatz zu einem TPM nicht nur Schlüssel aufbewahrt, einige einfache Operationen (z.B SHA hashes oder RSA signaturen) durchführt und Zufallszahlen generiert, sondern übernimmt den eigentlichen Verschlüsselungsprozess. Und ja, der Performancezuwachs ist trotz AES-NI bedeutend – vor allem wenn es um zufällige Lese- und Schreiboperationen geht. AES-NI ist ein Befehlserweiterungsatz und kein dedizierter Kryptoprozessor. Bessere Latenz und besserer Zufallsdurchsatz.
2. Ob mit oder ohne TPM, aktuell befinden sich im Bitlocker.Betrieb Schlüssel im Arbeitsspeicher was ziemlich unsicher ist. Eine Enklave verhindert oder erschwert das Abgreifen von Schlüsseln.
3. Wie beim TPM, Schutz gegen Brute-Force mit einer deutlich höheren Widerstandsfähigkeit. Dies liegt daran, dass es sich nicht um einen dedizierten externen Chip im relativ großen Fertigungsprozess handelt bzw. nicht als emulierter TPM (fTPM) in den Prozessor integriert ist.
Apple handhabt das übrigens genauso und es hat sich herausgestellt, dass durch FileVault geschützte Geräte bisher keiner knacken konnte. Es gibt keinen Grund sich darüber zu beklagen. Wer nicht mag, kann Bitlocker immer noch mit einem einzigen Passwort nutzen. Hauptsache meckern.
Jede bessere SSD und HDD kann in Hardware schon ewig verschlüsseln und das ohne Leistungseinbußen locker aus der Hüfte heraus. Genau da soll man bitte ansetzen und nicht bei der CPU! MS Softwarelösung war die dümmste Umsetzung!