BitLocker-Wiederherstellungsschlüssel auslesen

Wenn Dienstleister dennoch Hilfe anbieten, bedeutet das deshalb nicht, dass die Verschlüsselung umgangen wird. In der Praxis beschränken sich die Möglichkeiten auf zwei Maßnahmen:

1. Auffinden eines bereits irgendwo hinterlegten Wiederherstellungsschlüssels z. B. im Microsoft-Konto, in Azure Entra ID, in einem Passwortmanager oder in einer lokalen Sicherung.
2. Neuinstallation des Systems inklusive Löschen aller BitLocker-Partitionen und anschließender Wiederherstellung der Daten aus Cloud- oder Offline-Backups (falls vorhanden).

Der technische Hintergrund: Verschlüsselung auf Systemebene

BitLocker arbeitet auf Blockebene. Das bedeutet: Nicht nur einzelne Dateien, sondern das gesamte Laufwerk wird verschlüsselt. Die Verschlüsselung erfolgt symmetrisch, mit einem AES-Schlüssel – typischerweise 128 oder 256 Bit stark. Dieser Schlüssel wiederum wird durch ein weiteres Geheimnis gesichert: den sogenannten Wiederherstellungsschlüssel.

Das TPM – warum Ihre Festplatte „verheiratet“ ist

Sobald BitLocker aktiviert wird, speichert das System die Schlüsselinformationen im TPM (Trusted Platform Module) Ihres Geräts. Das TPM ist ein spezieller Sicherheitschip auf dem Mainboard, der hardwarebasiert Informationen schützt.

Die Folge: Die verschlüsselte Festplatte ist mit genau diesem Computer „verheiratet“. Wird die SSD ausgebaut und in ein anderes Gerät gesteckt, ist sie unlesbar. Wird von einem externen Medium wie einem Live-System gebootet, blockiert BitLocker den Zugriff. Ein Diebstahl bringt Angreifern also keine verwertbaren Daten – was die Sicherheit deutlich erhöht.

Wann BitLocker automatisch aktiviert wird

Die Geräteverschlüsselung tritt häufig automatisch in Kraft, wenn:

• Windows 10 oder Windows 11 auf einem unterstützten Gerät installiert ist
• Ein Microsoft-Konto (statt eines rein lokalen Kontos) verwendet wird
• Das Gerät die Anforderungen für moderne Standby-Funktionalität erfüllt
• Ein TPM-Modul (Version 1.2 oder 2.0) vorhanden ist

Viele Nutzer bemerken die Aktivierung nicht – bis sie durch ein Ereignis zur Eingabe des Wiederherstellungsschlüssels aufgefordert werden.

1. Im Microsoft-Konto (für Privatnutzer)

Wenn Sie ein Gerät mit Microsoft-Konto eingerichtet haben, wurde der Schlüssel bei Aktivierung häufig automatisch im Benutzerkonto gespeichert.

So rufen Sie ihn auf:

• Besuchen Sie https://account.microsoft.com/devices/recoverykey
• Melden Sie sich mit dem Microsoft-Konto an, mit dem das Gerät verknüpft ist
• Dort erscheinen alle gespeicherten Wiederherstellungsschlüssel mit Gerätename und Upload-Datum

Hinweis: Falls das Gerät nie mit dem Onlinekonto synchronisiert wurde oder zwischenzeitlich das Betriebssystem neu aufgesetzt wurde, kann dieser Eintrag fehlen.

2. In der Azure Entra ID (ehemals Azure Active Directory)

In Unternehmensumgebungen wird der Wiederherstellungsschlüssel oft zentral verwaltet – über Azure Entra ID.

Admin-Zugriff erforderlich:

• Öffnen Sie das Azure-Portal: https://entra.microsoft.com
• Navigieren Sie zu „Benutzer“ → [Benutzername] → „Geräte“
• Dort sehen Sie die mit dem Benutzerkonto verknüpften Geräte
• Unter „BitLocker-Schlüssel anzeigen“ finden Sie den zugehörigen Recovery-Key

Keine Hintertür, kein Standardpasswort, keine Spezialsoftware

Es existiert keine Methode, ein vollständig verschlüsseltes BitLocker-Laufwerk ohne einen gültigen Wiederherstellungsmechanismus zu entschlüsseln. BitLocker sieht technisch weder Hintertüren noch Standardpasswörter vor, und auch professionelle Datenrettungsunternehmen können die eigentliche Verschlüsselung nicht umgehen. Die Schutzfunktion basiert auf einer stark abgesicherten AES-Verschlüsselung, deren Schlüssel – insbesondere der Volume Master Key – ausschließlich über dafür vorgesehene sogenannte Protectors freigegeben werden kann. Ohne einen dieser gültigen Protectors gibt es keinen technischen Weg, den Schlüssel herzuleiten oder die Verschlüsselung zu umgehen.

Auch forensische Werkzeuge können nur in Szenarien eingesetzt werden, die für normale Anwender weder erreichbar noch realistisch sind. Diese Methoden setzen nahezu immer voraus, dass ein Angreifer kurzfristig physischen Zugriff auf ein bereits entsperrtes oder noch nicht vollständig heruntergefahrenes System erhält – beispielsweise um Schlüsselreste aus dem Arbeitsspeicher auszulesen oder spezielle Hardware-Schnittstellen unter Laborbedingungen auszunutzen. Solche Voraussetzungen bestehen im Alltag typischer Heimanwender oder Bürogeräte jedoch nicht. Ein vollständig ausgeschaltetes, gesperrtes BitLocker-System enthält keinerlei verwertbare Schlüssel im Arbeitsspeicher, und die TPM-gebundenen Schutzfunktionen greifen in vollem Umfang. Fehlt in dieser Situation der Wiederherstellungsschlüssel und steht kein anderer Protector zur Verfügung, bieten auch forensische Tools keine Möglichkeit, das Volume zu entschlüsseln.

Klartext: Liegt der Wiederherstellungsschlüssel nicht vor und stehen auch keine anderen aktiven Protectors mehr zur Verfügung (z. B. TPM-Bindung, Pre-Boot-PIN, Startschlüssel oder Passwort), lässt sich ein BitLocker-Volume nicht mehr öffnen. Weder Manipulationen an der Registry noch Änderungen am BIOS, das Zurücksetzen von Passwörtern oder die Installation eines anderen Betriebssystems können den Schutzmechanismus aushebeln. Das System lässt sich zwar neu installieren, aber die verschlüsselten Daten bleiben ohne den benötigten Schlüssel dauerhaft unzugänglich.

Was tun, wenn kein Zugriff mehr möglich ist?

Falls der Schlüssel tatsächlich nicht auffindbar ist, bleibt Ihnen nur ein Ausweg:

• Führen Sie eine vollständige Neuinstallation von Windows durch.
• Löschen Sie bei der Einrichtung alle Partitionen und erstellen Sie neue.
• Alle Daten auf dem Laufwerk gehen dabei unwiderruflich verloren.

Diese drastische Maßnahme kann nur dann vermieden werden, wenn der Schlüssel rechtzeitig vor Eintritt der Entschlüsselungsanforderung gesichert wurde.

1. Wo genau finde ich meinen BitLocker-Wiederherstellungsschlüssel?

Der Wiederherstellungsschlüssel befindet sich immer an den Orten, an denen Windows ihn bei der Aktivierung automatisch oder manuell abgelegt hat. Typische Speicherorte sind:

• Im Microsoft-Konto unter https://account.microsoft.com/devices/recoverykey, wenn Sie sich beim Gerät mit einem Microsoft-Konto angemeldet haben.
• In Azure Entra ID (ehemals Azure AD), falls das Gerät Teil einer Organisation ist.
• Über manage-bde -protectors -get C: oder Get-BitLockerVolume in einer administrativen Eingabeaufforderung.
• In einem Passwortmanager oder als Ausdruck, den Sie bei Einrichtung gespeichert haben.

2. Mein PC fragt plötzlich nach dem BitLocker-Key – warum?

BitLocker fordert den Wiederherstellungsschlüssel an, sobald das Trusted Platform Module (TPM) erkennt, dass sich der Hardware- oder Bootzustand verändert hat. Das ist ein Schutzmechanismus und kein Fehler. Häufige Auslöser sind:

• Ein BIOS-/UEFI-Update oder ein Zurücksetzen der Firmware.
• Der Austausch von Mainboard, TPM, SSD oder CPU.
• Änderungen der Bootreihenfolge oder am Bootloader (z. B. durch Tools oder Dual-Boot).
• Beschädigte Bootdateien oder ein abgebrochener Systemstart.
• Starten des Systems über ein externes Betriebssystem oder Wiederherstellungsmedium.

In fast allen Fällen ist das Laufwerk selbst nicht beschädigt – aber das TPM erkennt den Zustand nicht mehr als vertrauenswürdig und verlangt daher den Schlüssel.

3. Kann man den BitLocker-Key zurücksetzen?

Ein verlorener bestehender Wiederherstellungsschlüssel kann nicht nachträglich neu ausgestellt oder „zurückgesetzt“ werden – BitLocker bietet keinen Mechanismus, einen einmal generierten Schlüssel ohne Zugriff auf das bereits entschlüsselte Volume auszutauschen. Was jedoch möglich ist: Sobald das Laufwerk noch entsperrt werden kann (z. B. über TPM, PIN oder ein gespeichertes Passwort), lässt sich BitLocker jederzeit deaktivieren und sofort wieder aktivieren. Dabei wird das Volume neu verschlüsselt und es entsteht automatisch ein vollständig neuer Wiederherstellungsschlüssel. Eine Neuinstallation von Windows ist dafür nicht erforderlich.

Wichtig ist die Unterscheidung:

• Wenn das Volume noch entsperrt werden kann:
  • BitLocker deaktivieren → Schutz wird entfernt
  • BitLocker erneut aktivieren → neuer Recovery-Key wird erzeugt
    → das ist der korrekte Weg, einen verlorenen Key zu ersetzen
• Wenn das Volume nicht mehr entsperrt werden kann (Recovery-Abfrage erscheint):
  • Es existiert keine Möglichkeit, ohne den alten Schlüssel auf die Daten zuzugreifen
  • In diesem Fall kann der Schlüssel nicht ersetzt werden, weil das Volume unzugänglich bleibt
  • Nur Löschen/Neuverschlüsseln oder Neuinstallation sind möglich

Damit gilt: Ein Recovery-Key lässt sich nur dann erneuern, wenn das Volume vorher bereits entsperrt ist. Ist das nicht der Fall, bleibt es beim ursprünglichen Schutzmechanismus.

4. Gibt es Tools, die BitLocker knacken können?

Die kurze Antwort ist: Es ist praktisch unmöglich, die BitLocker-Verschlüsselung selbst zu brechen. BitLocker nutzt starke kryptografische Standards (AES-256 oder AES-128 im XTS-Modus). Ohne Kenntnis des Volume Master Key (VMK) kann niemand die verschlüsselten Daten entschlüsseln – auch spezialisierte Tools oder Datenrettungsdienste können hier nichts ausrichten.

Die differenzierte Antwort lautet jedoch: Obwohl die Verschlüsselung nicht gebrochen werden kann, können Angriffe und Tools existieren, die unter ganz bestimmten Voraussetzungen den VMK zur Entschlüsselung erlangen können.

• Arbeitsspeicher (RAM): Dieser Angriffspfad nutzt aus, dass der Volume Master Key nach der Entsperrung eines BitLocker-Laufwerks für kurze Zeit im Klartext im Arbeitsspeicher abgelegt wird. Verfahren wie der sogenannte Kaltstartangriff oder der Zugriff über Geräte mit direktem Speicherzugriff können diesen Schlüssel auslesen, insbesondere wenn das System nur im Standby- oder Ruhezustand war. Schutzmaßnahmen bestehen darin, das Gerät bei Nichtbenutzung vollständig herunterzufahren, eine Pre-Boot-PIN in Kombination mit einem Trusted Platform Module zu verwenden und Schnittstellen für direkten Speicherzugriff zu deaktivieren, sofern dies möglich ist.
• Passwort: Dieser Angriffspfad betrifft BitLocker-Laufwerke, die ausschließlich über ein vom Anwender gesetztes Passwort geschützt sind, wie es häufig bei externen Datenträgern der Fall ist. Angreifer können versuchen, dieses Passwort durch systematische Versuche oder Wörterbuchverfahren zu erraten. Das Risiko lässt sich erheblich reduzieren, indem ein sehr langes und komplexes Passwort gewählt wird oder – wenn es sich um ein Systemlaufwerk handelt – ein Schutzmechanismus genutzt wird, der ein Trusted Platform Module mit einer zusätzlichen Pre-Boot-PIN kombiniert und so automatisierte Erratungsversuche wirksam unterbindet.

Sowohl der Arbeitsspeicher-basierte Angriffsvektor als auch der Passwortangriffsvektor spielen im Alltag von Heimanwendern und in dem häufigsten praktischen Szenario, nämlich dass das eigene BitLocker-geschützte System gesperrt ist und der Wiederherstellungsschlüssel nicht mehr bekannt ist, faktisch keine Rolle. In dieser Situation liegt das Gerät fast immer vollständig ausgeschaltet vor, sodass kein Schlüsselmaterial mehr im Arbeitsspeicher vorhanden ist und damit sämtliche speicherbasierten Angriffe ausgeschlossen sind.

Gleichzeitig verhindert die kryptografische Architektur von BitLocker, dass das Passwort erraten werden kann, sofern ein TPM, eine Pre-Boot-PIN oder ein ausreichend komplexer Schlüssel verwendet wurde. Für den realen Heimanwender bedeutet dies: Wenn der Wiederherstellungsschlüssel verloren ist und keine anderen Protectoren verfügbar sind, existiert unabhängig von theoretischen Angriffspfaden keine praktikable Möglichkeit, das Laufwerk zu entsperren.

5. Was ist der Unterschied zwischen Geräteverschlüsselung und BitLocker?

Geräteverschlüsselung ist die vereinfachte Variante, die auf vielen Windows-Home-Systemen automatisch aktiv wird. Sie basiert technologisch vollständig auf BitLocker – inklusive TPM-Bindung, Wiederherstellungsschlüssel und Integritätsprüfungen –, bietet jedoch weniger Verwaltungsfunktionen. BitLocker (Pro, Enterprise, Education) ermöglicht dagegen detaillierte Konfigurationen, zusätzliche Schutzmechanismen wie Pre-Boot-PINs und umfassende Unternehmensverwaltung.

6. Was ist ein TPM und warum ist es entscheidend?

Ein Trusted Platform Module ist ein Sicherheitschip, der kryptografische Schlüssel geschützt speichert und den Startvorgang auf Manipulation überprüft. Für BitLocker ist es entscheidend, weil es sicherstellt, dass der Volume Master Key nur auf dem ursprünglichen Gerät und nur bei unverändertem Bootzustand freigegeben wird. Dadurch sind Diebstahl und Hardwaremanipulation praktisch wirkungslos.

7. Wie kann ich prüfen, ob mein Gerät ein TPM hat?

Am schnellsten über PowerShell:

Get-WmiObject -Namespace "Root\CIMv2\Security\MicrosoftTpm" -Class Win32_Tpm

Wenn ein TPM vorhanden ist, zeigt der Befehl Modell, Version und Aktivierungsstatus an. Alternativ können Sie tpm.msc ausführen.

8. Kann ich BitLocker auf Geräten ohne TPM nutzen?

Ja, das ist möglich – aber nur nach Aktivierung der passenden Gruppenrichtlinie („BitLocker ohne kompatibles TPM zulassen“). Die Authentifizierung erfolgt dann per Startkennwort oder USB-Startschlüssel. Der Sicherheitsschutz ist damit nicht TPM-gleichwertig, aber funktional nutzbar.

9. Mein BitLocker ist aktiv – wie kann ich den Schlüssel exportieren?

Über PowerShell können Sie alle Schutzmechanismen eines Laufwerks anzeigen lassen:

(Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"}

Exportieren Sie den 48-stelligen Wiederherstellungsschlüssel anschließend in einen Passwortmanager oder drucken Sie ihn aus. Wichtig ist: niemals nur lokal auf dem Gerät speichern.

10. Kann ich den BitLocker-Key auf einem anderen Gerät verwenden?

Ja – allerdings nur zur Entsperrung des verschlüsselten Laufwerks. Der Schlüssel ist nicht an ein bestimmtes Windows-Profil, sondern ausschließlich an das verschlüsselte Volume gebunden. Sie können die Festplatte daher an ein anderes Gerät anschließen und dort entsperren, sofern der Schlüssel korrekt eingegeben wird.

11. Ich habe mehrere Festplatten – sind alle verschlüsselt?

Nein. Nur das Systemlaufwerk wird automatisch verschlüsselt, wenn Geräteverschlüsselung oder BitLocker aktiv ist. Zusätzliche interne oder externe Laufwerke müssen immer manuell aktiviert werden. Mit manage-bde -status können Sie den Verschlüsselungsstatus aller Laufwerke prüfen.

12. Mein Laptop ist gebraucht – BitLocker ist aktiv, aber ich habe keinen Key. Was tun?

Ohne gültigen Wiederherstellungsschlüssel lässt sich das Volume technisch nicht entsperren. In diesem Fall bleibt nur eine vollständige Neuinstallation von Windows mit Löschen aller vorhandenen BitLocker-Partitionen. Daten können ohne Schlüssel nicht wiederhergestellt werden.

13. Kann ich BitLocker deaktivieren?

Ja – solange Sie Zugriff auf das entschlüsselte Volume haben. Die Entschlüsselung erfolgt über:

manage-bde -off C:

Die Dauer hängt von Laufwerkstyp und Datenmenge ab.

14. Wie lange dauert das Entschlüsseln?

SSD-Volumes werden oft innerhalb weniger Minuten entschlüsselt, weil nur der belegte Speicher bearbeitet wird. HDDs oder vollständig gefüllte Laufwerke können je nach Größe mehrere Stunden benötigen.

15. Wird BitLocker auch auf USB-Sticks angewendet?

Nein, nicht automatisch. USB-Sticks und externe Datenträger müssen manuell mit „BitLocker To Go“ verschlüsselt werden. Der Schutzmechanismus entspricht jedoch technisch dem eines internen Laufwerks.

16. Kann ich den Wiederherstellungsschlüssel in der Cloud sichern?

Automatisch wird er in der Cloud gespeichert, wenn Sie ein Microsoft-Konto oder Azure Entra ID nutzen. Ein manuelles Hochladen in Cloudspeicher ist möglich, sollte aber nur verschlüsselt erfolgen, da der Wiederherstellungsschlüssel den vollständigen Schutz des Laufwerks aufhebt.

17. Wie kann ich BitLocker in Unternehmen verwalten?

Unternehmen nutzen üblicherweise Gruppenrichtlinien, Intune, Endpoint Configuration Manager oder eine Kombination dieser Systeme. Wiederherstellungsschlüssel werden zentral in Azure Entra ID oder in Active Directory hinterlegt, damit sie nicht lokal verloren gehen.

18. Was passiert, wenn jemand meine SSD stiehlt?

Ohne Wiederherstellungsschlüssel oder Zugriff auf das ursprüngliche TPM ist eine Entschlüsselung nicht möglich. Die Daten bleiben geschützt – auch bei forensischen Analysen. Der Diebstahl eines BitLocker-verschlüsselten Laufwerks führt daher nicht zu einem Datenverlust im Sinne von Vertraulichkeit.

19. Ich habe den Schlüssel nur auf Papier – wie prüfe ich, ob er korrekt ist?

Am einfachsten testen Sie ihn, indem Sie einen USB-Stick mit BitLocker To Go verschlüsseln und den gedruckten Schlüssel bei der Entsperrung eingeben. Eine falsche Ziffer führt sofort zu einer Ablehnung.

20. Kann ich BitLocker auf einem Mac oder Linux entschlüsseln?

Systemlaufwerke können nur unter Windows vollständig entsperrt werden. Unter Linux existieren zwar Tools wie „dislocker“, diese können jedoch nur Daten von externen BitLocker-Volumes lesen – und auch nur dann, wenn der Wiederherstellungsschlüssel bekannt ist. Eine Umgehung des Schutzes ist weder unter macOS noch unter Linux möglich.

Schlüsselarchitektur und kryptografische Grundlagen

BitLocker verwendet eine verschachtelte Schlüsselhierarchie. Die eigentliche Datenverschlüsselung erfolgt durch den Full Volume Encryption Key (FVEK). Dieser wird durch den Volume Master Key (VMK) geschützt. Der VMK wiederum wird durch sogenannte Protectors freigegeben, die bei jedem Entsperrvorgang überprüft werden.

Für klassische Heimanwender, die vor einem „gesperrten“ Computer sitzen, sind die folgenden zwei Protectors relevant:

• TPM-Schutz als Hauptprotector: Auf Systemlaufwerken bindet das Trusted Platform Module (TPM) den VMK an definierte PCR-Werte (Platform Configuration Registers), die den exakten Hardware- und Bootzustand abbilden. Nur wenn diese Werte stimmen, gibt das TPM den VMK frei. Offline-Angriffe auf ein ausgeschaltetes TPM-geschütztes Systemlaufwerk sind daher wirkungslos.
• Wiederherstellungsschlüssel (als Fallback): Der Wiederherstellungsschlüssel ermöglicht die Freigabe des VMK, indem BitLocker aus ihm einen Key Encryption Key ableitet, mit dem die spezifische, verschlüsselte VMK-Kopie entschlüsselt wird; ist die Integritätsprüfung erfolgreich, wird der VMK freigegeben und das Volume geöffnet. Der 48-stellige numerische Schlüssel ist jedoch aufgrund der reinen Länge kryptografisch so komplex, dass Brute-Force-Angriffe selbst mit spezialisierten Hardwareclustern nicht realistisch möglich sind. Ein 48-stelliger BitLocker-Wiederherstellungsschlüssel besitzt effektiv 128 Bit Entropie, also rund 3,4 × 10³⁸ mögliche Kombinationen. Selbst wenn ein extrem leistungsfähiges GPU-Cluster theoretische eine Billion Versuche pro Sekunde (10¹²/s) testen könnte, würde ein vollständiger Durchlauf rechnerisch ungefähr zehn Trillionen Jahre dauern.

BitLocker-VMK-Protektoren im Überblick:

Die engen Ausnahmen: Wo forensische Werkzeuge überhaupt ansetzen können

Spezialisierte forensische Werkzeuge können die BitLocker-Verschlüsselung selbst nicht brechen. Stattdessen arbeiten sie in Nischenfällen, in denen BitLocker temporär geschwächt ist – etwa durch menschliche Fehler, schwache Passwörter oder durch flüchtige Schlüsselreste im RAM. Diese Tools basieren nicht auf Kryptobruch, sondern auf Analyse von Zuständen, in denen BitLocker selbst kurzzeitig nicht in maximaler Schutzwirkung arbeitet.

Ergänzend existieren Tools, die beschädigte BitLocker-Metadaten analysieren und versuchen, Strukturinformationen zu rekonstruieren. Diese Werkzeuge können in seltenen Fällen ein teilweise defektes Volume wiederherstellen, haben jedoch nichts mit dem Umgehen der Kryptografie zu tun und funktionieren nur bei sehr spezifischen, eng abgegrenzten Fehlerbildern.

Wichtige Hintergrundinfos zu forensischen BitLocker-Entschlüsselungstools

Teure BitLocker-Entschlüsselungs- bzw. Analysewerkzeuge werden häufig missverstanden. Sie können die Verschlüsselung selbst nicht aushebeln. Ihr Preis spiegelt den Entwicklungsaufwand für RAM-Forensik, Metadaten-Rekonstruktion, Analyse proprietärer Strukturen, Bus-Mitschnitt-Hardware und Seitenkanaltechniken wider. Die Kryptografie selbst bleibt davon unberührt.

Die Schutzmechanismen von BitLocker bleiben in allen regulären Szenarien intakt:

• Der Volume Master Key bleibt kryptografisch sicher an die TPM-Hardware des Systems gebunden.
• Der Wiederherstellungsschlüssel ist mathematisch nicht knackbar.
• Ein vollständig ausgeschaltetes, TPM-geschütztes Laufwerk bietet kein verwertbares Angriffsziel, solange keine gültigen Schlüssel vorliegen.

Erfolgreiche Angriffe mit derartiger Forensik-Software erfordern fast immer entweder ein schwaches Benutzerpasswort (bei BitLocker To Go) oder physischen Zugriff auf ein aktives oder schlafendes System, bei dem Schlüsselmaterial noch im RAM vorhanden ist. Gegen reine Offline-Angriffe auf ein verschlüsseltes Laufwerk ohne Schlüssel bleibt BitLocker effektiv unangreifbar.

Ein entscheidender praktischer Punkt ist, dass viele der in der Theorie existierenden Angriffspfade sofort entfallen, sobald ein Dienstleister anbietet, einen verschlüsselten Datenträger per Post einzuschicken.

In solchen Fällen liegt das Gerät zwangsläufig vollständig ausgeschaltet vor, ohne laufendes Betriebssystem und ohne flüchtige Schlüsselreste im Arbeitsspeicher. Damit sind alle Methoden ausgeschlossen, die einen eingeschalteten oder nur teilweise heruntergefahrenen Rechner voraussetzen – insbesondere Angriffe über Arbeitsspeicherreste, Zugriffe auf temporär im RAM befindliche Schlüssel, sogenannte Kaltstartangriffe oder alle Verfahren, die auf die Pre-Boot-Interaktion mit dem Trusted Platform Module angewiesen sind. Auch Schutzmechanismen wie Pre-Boot-PINs oder USB-Startschlüssel können ohne physische Benutzereingabe nicht überwunden werden.

Ein Dienstleister (Forensiker), der lediglich ein ausgebautes Laufwerk erhält, sieht ausschließlich die vollständig verschlüsselte Datenstruktur und hat keinerlei Möglichkeit, die für die Entschlüsselung erforderlichen Schlüssel oder Schlüsselableitungen aus dem Systemkontext zu gewinnen. Ab diesem Moment bleiben ausschließlich die Protektoren relevant, die direkt am verschlüsselten Laufwerk ansetzen – und genau diese sind bei korrekter Konfiguration ohne Schlüssel nicht angreifbar.