Werbung
Microsoft plant eine grundlegende Erweiterung des bisherigen BitLocker-Ansatzes. Die Verschlüsselung soll künftig nicht mehr ausschließlich per Software erfolgen, sondern direkt auf spezialisierter Hardware laufen. Damit kann Windows moderne SoCs und Prozessorarchitekturen nutzen, die über eigene kryptografische Einheiten verfügen. Die für BitLocker typischen Rechenoperationen werden dadurch nicht mehr vollständig vom Hauptprozessor ausgeführt, sondern an dedizierte Hardwaremodule ausgelagert. Dies soll die Gesamtleistung erhöhen und den Einfluss der Verschlüsselung auf Lese- und Schreibgeschwindigkeiten reduzieren.
Parallel dazu wird der Umgang mit kryptografischen Schlüsseln verändert. Auf kompatibler Hardware werden diese künftig auf Hardwareebene isoliert und dort in abgesicherter Form gespeichert. Die physische Trennung der Schlüssel vom Betriebssystem und vom Hauptspeicher soll das Risiko reduzieren, dass sie über CPU- oder Memory-Angriffe abgegriffen werden können. Damit unterscheidet sich das neue Verfahren technisch deutlich vom bisherigen BitLocker-Design, das vollständig softwarebasiert arbeitet und auf jedem Windows-System eingerichtet werden kann.
Für die neue Variante ist allerdings spezielle Hardware erforderlich. Geräte müssen über Chips verfügen, die Verschlüsselungsvorgänge direkt beschleunigen können und zugleich eine sichere Schlüsselverwaltung ermöglichen. Microsoft liefert bisher keine Details dazu, wie diese Anforderungen künftig in der Breite umgesetzt werden sollen. Vorgesehen ist jedoch, dass die neue BitLocker-Generation erst auf Geräten bereitgestellt wird, die ab 2026 erscheinen und entsprechende Hardwaremodule integriert haben.
Die Funktionsweise des bisherigen BitLocker bleibt im Kern unverändert: Daten werden beim Schreiben verschlüsselt und können nur mit den passenden Schlüsseln entschlüsselt werden. Wird ein Datenträger in ein anderes System eingesetzt, bleiben die gespeicherten Informationen ohne autorisierte Accounts unzugänglich. In der aktuellen Implementierung werden die Schlüssel in der Regel mit einem Microsoft-Konto verknüpft und in der Cloud gesichert, während die Ver- und Entschlüsselung lokal durch die CPU erfolgt.
Laut dem Unternehmen sollen die technischen Verbesserungen insbesondere Organisationen zugutekommen, die große Datenmengen verarbeiten oder erhöhte Sicherheitsanforderungen erfüllen müssen. Die Einführung ab Frühjahr 2026 soll sicherstellen, dass die dafür notwendigen Komponenten serienmäßig in neuen Windows-Geräten vorhanden sind.
