Vorbereiten Ihrer Organisation auf BitLocker: Planung und Richtlinien

Gilt für

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höher

In diesem Thema, das sich an IT-Experten richtet, wird erläutert, wie Sie Ihre BitLocker-Bereitstellung planen können.

Wenn Sie Ihre BitLocker-Bereitstellungsstrategie entwerfen, definieren Sie die entsprechenden Richtlinien und Konfigurationsanforderungen basierend auf den Geschäftsanforderungen Ihrer Organisation. Die folgenden Abschnitte helfen Ihnen beim Sammeln von Informationen. Verwenden Sie diese Informationen, um Bei der Entscheidungsfindung bei der Bereitstellung und Verwaltung von BitLocker-Systemen zu helfen.

Überwachen Ihrer Umgebung

Um Ihre BitLocker-Bereitstellung zu planen, sollten Sie ihre aktuelle Umgebung verstehen. Führen Sie eine informelle Überwachung durch, um Ihre aktuellen Richtlinien, Verfahren und Hardwareumgebungen zu definieren. Überprüfen Sie ihre vorhandenen Sicherheitsrichtlinien für datenträgerverschlüsselungssoftware. Wenn Ihre Organisation keine Datenträgerverschlüsselungssoftware verwendet, gibt es keine dieser Richtlinien. Wenn Sie Datenträgerverschlüsselungssoftware verwenden, müssen Sie möglicherweise die Richtlinien Ihrer Organisation ändern, um die BitLocker-Features zu verwenden.

Beantworten Sie die folgenden Fragen, um die aktuellen Datenträgerverschlüsselungsrichtlinien Ihrer Organisation zu dokumentieren:

  1. Gibt es Richtlinien, um zu bestimmen, welche Computer BitLocker und welche Computer BitLocker nicht verwenden?
  2. Welche Richtlinien gibt es zur Steuerung des Wiederherstellungskennworts und des Wiederherstellungsschlüsselspeichers?
  3. Welche Richtlinien gelten für die Überprüfung der Benutzeridentitäten, die die BitLocker-Wiederherstellung ausführen müssen?
  4. Welche Richtlinien gibt es, um zu steuern, wer in der Organisation Zugriff auf Wiederherstellungsdaten hat?
  5. Welche Richtlinien gibt es, um die Außerbetriebnahme oder Deaktivierung von Computern zu steuern?

Verschlüsselungsschlüssel und Authentifizierung

BitLocker trägt dazu bei, nicht autorisierten Zugriff auf Daten auf verloren gegangenen oder gestohlenen Computern zu verhindern:

  • Verschlüsseln des gesamten Windows Betriebssystemvolumes auf der Festplatte.
  • Überprüfen der Integrität des Startvorgangs.

Das Trusted Platform Module (TPM) ist eine Hardwarekomponente, die von den Computerherstellern auf vielen neueren Computern installiert wird. Es funktioniert mit BitLocker, um Benutzerdaten zu schützen. Stellen Sie außerdem sicher, dass ein Computer nicht manipuliert wurde, während das System offline war.

BitLocker kann außerdem den normalen Startvorgang sperren, bis der Benutzer eine persönliche Identifikationsnummer (PIN) angibt oder ein Usb-Wechselgerät wie z. B. ein Flashlaufwerk einfügt, das einen Startschlüssel enthält. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung. Sie stellen außerdem sicher, dass der Computer erst dann im Ruhezustand gestartet oder fortgesetzt wird, wenn die richtige PIN oder der richtige Startschlüssel angezeigt wird.

Auf Computern ohne TPM-Version 1.2 oder höher können Sie BitLocker weiterhin verwenden, um das Windows Betriebssystemvolume zu verschlüsseln. Diese Implementierung erfordert jedoch, dass der Benutzer einen USB-Startschlüssel einfügt, um den Computer zu starten oder im Ruhezustand fortzusetzen. Es bietet nicht die Systemintegritätsüberprüfung vor dem Start, die BitLocker bei der Arbeit mit einem TPM bietet.

BitLocker-Schlüsselschutzvorrichtungen

Schlüsselschutz Beschreibung
TPM Ein Hardwaregerät, das zum Einrichten eines sicheren Vertrauensstamms verwendet wird. BitLocker unterstützt nur TPM Version 1.2 oder höher.
PIN Eine vom Benutzer eingegebene numerische Schlüsselschutzvorrichtung, die nur zusätzlich zum TPM verwendet werden kann.
Erweiterte PIN Eine vom Benutzer eingegebene alphanumerische Schlüsselschutzvorrichtung, die nur zusätzlich zum TPM verwendet werden kann.
Startschlüssel Ein Verschlüsselungsschlüssel, der auf den meisten Wechselmedien gespeichert werden kann. Diese Schlüsselschutzvorrichtung kann allein auf Nicht-TPM-Computern oder mit einem TPM verwendet werden, um zusätzliche Sicherheit zu gewährleisten.
Wiederherstellungskennwort Eine 48-stellige Nummer, die verwendet wird, um ein Volume zu entsperren, wenn es sich im Wiederherstellungsmodus befindet. Zahlen können häufig auf einer normalen Tastatur eingegeben werden. Wenn die Nummern auf der normalen Tastatur nicht reagieren, können Sie die Funktionstasten (F1-F10) immer verwenden, um die Nummern einzugeben.
Wiederherstellungsschlüssel Ein auf Wechselmedien gespeicherter Verschlüsselungsschlüssel, der zum Wiederherstellen von Daten verwendet werden kann, die auf einem BitLocker-Volume verschlüsselt sind.

BitLocker-Authentifizierungsmethoden

Authentifizierungsmethode Erfordert Eine Benutzerinteraktion Beschreibung
Nur TPM Nein TPM überprüft Komponenten für den frühen Start.
TPM + PIN Ja TPM überprüft Komponenten für den frühen Start. Der Benutzer muss die richtige PIN eingeben, bevor der Startvorgang fortgesetzt werden kann und bevor das Laufwerk entsperrt werden kann. Das TPM wird gesperrt, wenn die falsche PIN wiederholt eingegeben wird, um die PIN vor Brute-Force-Angriffen zu schützen. Die Anzahl der wiederholten Versuche, die eine Sperrung auslösen, ist variabel.
TPM + Netzwerkschlüssel Nein Das TPM überprüft frühzeitige Startkomponenten erfolgreich, und vom WDS-Server wurde ein gültiger verschlüsselter Netzwerkschlüssel bereitgestellt. Diese Authentifizierungsmethode ermöglicht die automatische Entsperrung von Betriebssystemvolumes beim Systemneustart, während die mehrstufige Authentifizierung beibehalten wird.
TPM + Startschlüssel Ja Das TPM überprüft frühzeitige Startkomponenten erfolgreich, und ein USB-Speicherstick mit dem Startschlüssel wurde eingefügt.
Nur Startschlüssel Ja Der Benutzer wird zur Eingabe des USB-Speichersticks mit dem Wiederherstellungsschlüssel und/oder Startschlüssel aufgefordert und startet dann den Computer neu.

Unterstützen Sie Computer ohne TPM Version 1.2 oder höher?

Ermitteln Sie, ob Sie Computer unterstützen, die nicht über TPM-Version 1.2 oder höher verfügen. Wenn Sie BitLocker auf diesem Computertyp unterstützen, muss ein Benutzer einen USB-Startschlüssel verwenden, um das System zu starten. Dieser Startschlüssel erfordert zusätzliche Supportprozesse, die der mehrstufigen Authentifizierung ähneln.

Welche Bereiche Ihrer Organisation benötigen ein grundlegendes Maß an Datenschutz?

Die NUR-TPM-Authentifizierungsmethode bietet die transparenteste Benutzeroberfläche für Organisationen, die ein grundlegendes Maß an Datenschutz benötigen, um Sicherheitsrichtlinien zu erfüllen. Sie hat die niedrigsten Gesamtbetriebskosten. TPM-only ist möglicherweise auch für Computer geeignet, die unbeaufsichtigt sind oder unbeaufsichtigt neu gestartet werden müssen.

Die NUR-TPM-Authentifizierungsmethode bietet jedoch die niedrigste Datenschutzebene. Diese Authentifizierungsmethode schützt vor Angriffen, die Komponenten für den frühen Start ändern. Das Schutzniveau kann jedoch von potenziellen Schwachstellen in der Hardware oder in den Komponenten für den frühen Start beeinflusst werden. Die mehrstufigen Authentifizierungsmethoden von BitLocker erhöhen den Datenschutz insgesamt erheblich.

Welche Bereiche Ihrer Organisation benötigen ein sichereres Maß an Datenschutz?

Wenn Benutzercomputer mit streng vertraulichen Daten vorhanden sind, stellen Sie BitLocker mit mehrstufiger Authentifizierung auf diesen Systemen bereit. Wenn der Benutzer eine PIN eingeben muss, erhöht sich der Schutzgrad für das System erheblich. Sie können die BitLocker-Netzwerkentsperrung auch verwenden, damit diese Computer automatisch entsperrt werden können, wenn sie mit einem vertrauenswürdigen verkabelten Netzwerk verbunden sind, das den Netzwerkentsperrungsschlüssel bereitstellen kann.

Welche mehrstufige Authentifizierungsmethode bevorzugt Ihre Organisation?

Die Schutzunterschiede, die von mehrstufigen Authentifizierungsmethoden bereitgestellt werden, können nicht einfach quantifiziert werden. Berücksichtigen Sie die Auswirkungen jeder Authentifizierungsmethode auf den Helpdesk-Support, die Benutzerschulung, die Benutzerproduktivität und alle automatisierten Systemverwaltungsprozesse.

TPM-Hardwarekonfigurationen

Ermitteln Sie in Ihrem Bereitstellungsplan, welche TPM-basierten Hardwareplattformen unterstützt werden. Dokumentieren Sie die Hardwaremodelle eines OEM Ihrer Wahl, damit deren Konfigurationen getestet und unterstützt werden können. TPM-Hardware erfordert besondere Berücksichtigung bei allen Aspekten der Planung und Bereitstellung.

TPM 1.2-Zustände und Initialisierung

Für TPM 1.2 gibt es mehrere mögliche Zustände. Windows initialisiert das TPM automatisch, wodurch es in einen aktivierten, aktivierten und eigenen Zustand versetzt wird. Dieser Zustand ist der Zustand, den BitLocker benötigt, bevor es das TPM verwenden kann.

Unterstützungsschlüssel

Damit ein TPM von BitLocker verwendet werden kann, muss es einen Unterstützungsschlüssel enthalten, bei dem es sich um ein RSA-Schlüsselpaar handelt. Die private Hälfte des Schlüsselpaars befindet sich im TPM und wird außerhalb des TPM niemals angezeigt oder kann nicht darauf zugegriffen werden. Wenn das TPM nicht über einen Unterstützungsschlüssel verfügt, erz erzrückt BitLocker, dass das TPM im Rahmen des BitLocker-Setups automatisch einen generiert.

Ein Unterstützungsschlüssel kann an verschiedenen Punkten im TPM-Lebenszyklus erstellt werden, muss jedoch nur einmal für die Lebensdauer des TPM erstellt werden. Wenn kein Unterstützungsschlüssel für das TPM vorhanden ist, muss er erstellt werden, bevor der TPM-Besitz übernommen werden kann.

Weitere Informationen zum TPM und der TCG finden Sie in der Trusted Computing Group: Trusted Platform Module (TPM) Specifications ( https://go.microsoft.com/fwlink/p/?linkid=69584 ).

Hardwarekonfigurationen, die kein TPM sind

Geräte, die kein TPM enthalten, können weiterhin durch Laufwerkverschlüsselung geschützt werden. Windows To Go-Arbeitsbereiche können bitLocker mithilfe eines Startkennworts geschützt werden, und PCs ohne TPM können einen Startschlüssel verwenden.

Verwenden Sie die folgenden Fragen, um Probleme zu identifizieren, die sich auf Ihre Bereitstellung in einer Nicht-TPM-Konfiguration auswirken können:

  • Gibt es Regeln für die Kennwortkomplexität?
  • Verfügen Sie über ein Budget für USB-Speichersticks für jeden dieser Computer?
  • Unterstützen Ihre vorhandenen Nicht-TPM-Geräte USB-Geräte zum Startzeitpunkt?

Testen Sie Ihre einzelnen Hardwareplattformen mit der BitLocker-Systemüberprüfungsoption, während Sie BitLocker aktivieren. Die Systemüberprüfung stellt sicher, dass BitLocker die Wiederherstellungsinformationen von einem USB-Gerät und Verschlüsselungsschlüssel korrekt lesen kann, bevor das Volume verschlüsselt wird. CD- und DVD-Laufwerke können nicht als Blockspeichergerät fungieren und nicht zum Speichern des BitLocker-Wiederherstellungsmaterials verwendet werden.

Überlegungen zur Datenträgerkonfiguration

Um ordnungsgemäß zu funktionieren, erfordert BitLocker eine bestimmte Datenträgerkonfiguration. BitLocker erfordert zwei Partitionen, die die folgenden Anforderungen erfüllen:

  • Die Betriebssystempartition enthält das Betriebssystem und die zugehörigen Supportdateien. Sie muss mit dem NTFS-Dateisystem formatiert sein.
  • Die Systempartition (oder Startpartition) enthält die Dateien, die zum Laden Windows erforderlich sind, nachdem die BIOS- oder UEFI-Firmware die Systemhardware vorbereitet hat. BitLocker ist für diese Partition nicht aktiviert. Damit BitLocker funktioniert, darf die Systempartition nicht verschlüsselt werden und muss sich auf einer anderen Partition als das Betriebssystem befinden. Auf UEFI-Plattformen muss die Systempartition mit dem FAT 32-Dateisystem formatiert sein. Auf BIOS-Plattformen muss die Systempartition mit dem NTFS-Dateisystem formatiert sein. Sie sollte mindestens 350 MB groß sein.

Windows Setup konfiguriert automatisch die Datenträgerlaufwerke Ihres Computers, um die BitLocker-Verschlüsselung zu unterstützen.

Windows Wiederherstellungsumgebung (Windows RE) ist eine erweiterbare Wiederherstellungsplattform, die auf Windows Pre-Installation Environment (Windows PE) basiert. Wenn der Computer nicht gestartet werden kann, wechselt Windows automatisch in diese Umgebung, und das Systemstartreparaturtool in Windows RE automatisiert die Diagnose und Reparatur eines nicht startbaren Windows Installation. Windows RE enthält auch die Treiber und Tools, die zum Entsperren eines durch BitLocker geschützten Volumes durch Bereitstellen eines Wiederherstellungsschlüssels oder wiederherstellungskennworts erforderlich sind. Um Windows RE mit BitLocker zu verwenden, muss sich das Windows RE Startimage auf einem Volume befinden, das nicht durch BitLocker geschützt ist.

Windows RE können auch von anderen Startmedien als der lokalen Festplatte verwendet werden. Wenn Sie Windows RE nicht auf der lokalen Festplatte von BitLocker-fähigen Computern installieren, können Sie verschiedene Startmethoden verwenden. Sie können beispielsweise Windows Bereitstellungsdienste, CD-ROM oder USB-Speicherstick für die Wiederherstellung verwenden.

BitLocker-Bereitstellung

In Windows Vista und Windows 7 wurde BitLocker nach der Installation für System- und Datenvolumes bereitgestellt. Es wurde die manage-bde Befehlszeilenschnittstelle oder die Benutzeroberfläche der Systemsteuerung verwendet. Bei neueren Betriebssystemen kann BitLocker bereitgestellt werden, bevor das Betriebssystem installiert wird. Für die Vorabbereitstellung muss der Computer über ein TPM verfügen.

Um den BitLocker-Status eines bestimmten Volumes zu überprüfen, können Administratoren den Laufwerkstatus im BitLocker-Systemsteuerungs-Applet oder Windows Explorer anzeigen. Der Status "Warten auf Aktivierung" mit einem gelben Ausrufezeichen bedeutet, dass das Laufwerk für BitLocker vorab bereitgestellt wurde. Dieser Status zeigt an, dass beim Verschlüsseln des Volumes nur eine unverschlüsselte Schutzvorrichtung verwendet wurde. In diesem Fall ist das Volume nicht geschützt und muss dem Volume einen sicheren Schlüssel hinzufügen, bevor das Laufwerk als vollständig geschützt betrachtet wird. Administratoren können die Systemsteuerungsoptionen, manage-bde das Tool oder WMI-APIs verwenden, um eine entsprechende Schlüsselschutzvorrichtung hinzuzufügen. Der Volumestatus wird aktualisiert.

Bei Verwendung der Systemsteuerungsoptionen können Administratoren BitLocker aktivieren und die Schritte im Assistenten ausführen, um einem Datenvolume eine Schutzvorrichtung hinzuzufügen, z. B. eine PIN für ein Betriebssystemvolume (oder ein Kennwort, wenn kein TPM vorhanden ist), oder einen Kennwort- oder Smartcardschutz. Anschließend wird das Laufwerksicherheitsfenster angezeigt, bevor der Volumestatus geändert wird.

Administratoren können BitLocker vor der Betriebssystembereitstellung über die Windows Pre-Installation Environment (WinPE) aktivieren. Dieser Schritt erfolgt mit einer zufällig generierten unverschlüsselten Schlüsselschutzvorrichtung, die auf das formatierte Volume angewendet wird. Es verschlüsselt das Volume, bevor der Windows Setupprozess ausgeführt wird. Wenn die Verschlüsselung die Option "Nur verwendeten Speicherplatz" verwendet, dauert dieser Schritt nur wenige Sekunden. Und es wird in die regulären Bereitstellungsprozesse integriert.

Verschlüsselungsoption „Nur verwendeten Speicherplatz verschlüsseln“

Der BitLocker-Setup-Assistent bietet Administratoren die Möglichkeit, die Methode "Nur verwendeter Speicherplatz" oder "Vollständige Verschlüsselung" auszuwählen, wenn BitLocker für ein Volume aktiviert wird. Administratoren können die neue BitLocker-Gruppenrichtlinieneinstellung verwenden, um entweder "Nur verwendeten Speicherplatz" oder "Vollständige Datenträgerverschlüsselung" zu erzwingen.

Beim Starten des BitLocker-Setup-Assistenten werden Eingabeaufforderungen für die zu verwendende Authentifizierungsmethode angezeigt (Kennwort und Smartcard sind für Datenvolumes verfügbar). Nachdem die Methode ausgewählt und der Wiederherstellungsschlüssel gespeichert wurde, werden Sie aufgefordert, den Laufwerkverschlüsselungstyp auszuwählen. Wählen Sie "Nur verwendeten Speicherplatz" oder "Verschlüsselung des vollständigen Laufwerks" aus.

Wenn nur verwendeter Speicherplatz verwendet wird, wird nur der Teil des Laufwerks verschlüsselt, der Daten enthält. Nicht genutzter Speicherplatz bleibt unverschlüsselt. Dieses Verhalten bewirkt, dass der Verschlüsselungsprozess viel schneller erfolgt, insbesondere bei neuen PCs und Datenlaufwerken. Wenn BitLocker mit dieser Methode aktiviert ist, wird der verwendete Teil des Laufwerks verschlüsselt, wenn Dem Laufwerk Daten hinzugefügt werden. Es werden also nie unverschlüsselte Daten auf dem Laufwerk gespeichert.

Bei der Verschlüsselung des vollständigen Laufwerks wird das gesamte Laufwerk verschlüsselt, unabhängig davon, ob daten auf dem Laufwerk gespeichert werden oder nicht. Diese Option ist nützlich für Laufwerke, die umfunktioniert wurden und Datenrückkäufe aus der vorherigen Verwendung enthalten können.

Überlegungen zu Active Directory Domain Services

BitLocker lässt sich in Active Directory Domain Services (AD DS) integrieren, um eine zentrale Schlüsselverwaltung bereitzustellen. Standardmäßig werden keine Wiederherstellungsinformationen in Active Directory gesichert. Administratoren können die folgende Gruppenrichtlinieneinstellung für jeden Laufwerktyp konfigurieren, um die Sicherung von BitLocker-Wiederherstellungsinformationen zu aktivieren:

Computerkonfiguration\Administrative Vorlagen\Windows Komponenten\BitLocker-Laufwerkverschlüsselung\Laufwerktyp\Auswählen, wie bitLocker-geschützte Laufwerke wiederhergestellt werden können.

Standardmäßig haben nur Domänenadministratoren Zugriff auf BitLocker-Wiederherstellungsinformationen, aber der Zugriff kann an andere delegiert werden.

Die folgenden Wiederherstellungsdaten werden für jedes Computerobjekt gespeichert:

  • Wiederherstellungskennwort

    Ein 48-stelliges Wiederherstellungskennwort, das zum Wiederherstellen eines BitLocker-geschützten Volumes verwendet wird. Benutzer geben dieses Kennwort ein, um ein Volume zu entsperren, wenn BitLocker in den Wiederherstellungsmodus wechselt.

  • Wichtige Paketdaten

    Mit diesem Schlüsselpaket und dem Wiederherstellungskennwort können Sie Teile eines BitLocker-geschützten Volumes entschlüsseln, wenn der Datenträger schwer beschädigt ist. Jedes Schlüsselpaket funktioniert nur mit dem Volume, auf dem es erstellt wurde, das durch die entsprechende Volume-ID identifiziert werden kann.

FIPS-Unterstützung für wiederherstellungskennwortschutz

Die in Windows Server 2012 R2 und Windows 8.1 eingeführte Funktionalität ermöglicht BitLocker, im FIPS-Modus voll funktionsfähig zu sein.

Hinweis

Der United States Federal Information Processing Standard (FIPS) definiert Sicherheits- und Interoperabilitätsanforderungen für Computersysteme, die von der US-Regierung verwendet werden. Der FIPS 140-Standard definiert genehmigte kryptografische Algorithmen. Der FIPS 140-Standard legt auch Anforderungen für die Schlüsselgenerierung und die Schlüsselverwaltung fest. Das National Institute of Standards and Technology (NIST) verwendet das Kryptografiemodulvalidierungsprogramm (Cryptographic Module Validation Program, CMVP), um zu bestimmen, ob eine bestimmte Implementierung eines kryptografischen Algorithmus mit dem FIPS 140-Standard kompatibel ist. Eine Implementierung eines kryptografischen Algorithmus gilt nur dann als FIPS 140-kompatibel, wenn sie übermittelt wurde und die NIST-Überprüfung bestanden hat. Ein Algorithmus, der nicht übermittelt wurde, kann nicht als FIPS-kompatibel betrachtet werden, auch wenn die Implementierung identische Daten als validierte Implementierung desselben Algorithmus erzeugt.

Vor diesen unterstützten Versionen von Windows verhinderte BitLocker, als sich Windows im FIPS-Modus befand, die Erstellung oder Verwendung von Wiederherstellungspasswörtern und zwingt den Benutzer stattdessen, Wiederherstellungsschlüssel zu verwenden. Weitere Informationen zu diesen Problemen finden Sie im Supportartikel kb947249.

Aber auf Computern, auf denen diese unterstützten Systeme mit aktiviertem BitLocker ausgeführt werden:

  • FIPS-kompatible Wiederherstellungskennwortschutzvorrichtungen können erstellt werden, wenn sich Windows im FIPS-Modus befindet. Diese Schutzkomponenten verwenden den FIPS 140 NIST SP800-132-Algorithmus.
  • Wiederherstellungs-Kennwörter, die im FIPS-Modus auf Windows 8.1 erstellt wurden, können von Wiederherstellungswörtern unterschieden werden, die auf anderen Systemen erstellt wurden.
  • Die Wiederherstellungsentsperrung mithilfe der FIPS-kompatiblen algorithmusbasierten Wiederherstellungskennwortschutzvorrichtung funktioniert in allen Fällen, die derzeit für Wiederherstellungskennwörter funktionieren.
  • Wenn FIPS-kompatible Wiederherstellungswörter Volumes entsperren, wird das Volume entsperrt, um Lese-/Schreibzugriff auch im FIPS-Modus zu ermöglichen.
  • FIPS-kompatible Wiederherstellungskennwortschutzvorrichtungen können in AD eine Weile im FIPS-Modus exportiert und gespeichert werden.

Die BitLocker-Gruppenrichtlinieneinstellungen für Wiederherstellungspasswörter funktionieren für alle Windows Versionen, die BitLocker unterstützen, unabhängig davon, ob sie sich im FIPs-Modus befinden oder nicht.

Auf Windows Server 2012 R2 und Windows 8.1 und älter können Sie keine Wiederherstellungs-Kennwörter verwenden, die auf einem System im FIPS-Modus generiert wurden. Auf Windows Server 2012 R2 und Windows 8.1 erstellte Wiederherstellungswörter sind inkompatibel mit BitLocker auf Betriebssystemen, die älter als Windows Server 2012 R2 und Windows 8.1 sind. Daher sollten stattdessen Wiederherstellungsschlüssel verwendet werden.

Weitere Informationen