Die Wiederherstellung von Daten von einem mit BitLocker verschlüsselten Laufwerk ist nicht in jedem Fall dasselbe Problem. Ein vergessenes Kennwort, während der Wiederherstellungsschlüssel noch vorhanden ist, lässt sich in fünf Minuten beheben. Eine beschädigte Partitionszuordnungstabelle auf einem verschlüsselten Volume oder ein Systemlaufwerk, das nach einer Hardwareänderung die Bindung an das TPM verloren hat, ist eine völlig andere Situation: Das Volume ist weiterhin vorhanden, aber es zu finden und zu entsperren erfordert mehr als die Eingabe eines Kennworts in Windows. Dieser Leitfaden behandelt beide Fälle – für das Systemvolume (C:) und jedes weitere verschlüsselte Datenvolume (D:).

Inhalt
- Volumes statt Datenträger: Was BitLocker tatsächlich schützt
- Warum ein mit BitLocker verschlüsseltes Laufwerk unzugänglich wird
- Wo Sie Ihren BitLocker-Wiederherstellungsschlüssel finden
- Daten von einem BitLocker-verschlüsselten Laufwerk mit RS Partition Recovery wiederherstellen
- Warum Rohdaten-Scans auf einem gesperrten BitLocker-Volume nicht funktionieren
| Situation | Vorgehensweise | Schwierigkeitsgrad |
|---|---|---|
| Kennwort vergessen, aber der 48-stellige Wiederherstellungsschlüssel oder die BEK-Datei ist vorhanden | Das Laufwerk während der Wiederherstellung direkt mit dem Schlüssel entsperren | Niedrig |
| TPM entsperrt das Laufwerk nach einer Änderung von Mainboard/UEFI nicht | Den Wiederherstellungsschlüssel anstelle der automatischen TPM-Entsperrung verwenden | Mittel |
| Partitionszuordnungstabelle beschädigt, Volume wird als RAW oder nicht zugeordnet angezeigt | Die Wiederherstellungssoftware lokalisiert das Volume anhand der FVE-Signatur und nicht über die Partitionszuordnungstabelle | Hoch |
| Verschlüsselung oder Entschlüsselung wurde mitten im Vorgang unterbrochen | Das Volume ist teilweise verschlüsselt; mit dem Schlüssel entsperren und anschließend wie gewohnt scannen | Mittel |
| Wiederherstellungsschlüssel vollständig verloren, kein Backup vorhanden | Keine Möglichkeit zur Datenwiederherstellung – die Verschlüsselung erfüllt ihren Zweck | Nicht wiederherstellbar |
Volumes statt Datenträger: Was BitLocker tatsächlich schützt
BitLocker verschlüsselt ein Volume, nicht einen physischen Datenträger. Ein Datenträger kann mehrere Partitionen enthalten, und nur einige davon sind möglicherweise durch BitLocker geschützt — der Wiederherstellungsprozess hängt davon ab, mit welcher Partition Sie es zu tun haben und in welchem Zustand sie sich befindet.
Unter der Haube erzeugt BitLocker einen Full Volume Encryption Key (FVEK) und verschlüsselt jeden Sektor des Volumes mit AES im CBC- oder XTS-Modus; bei älteren Windows-Versionen kommt zusätzlich der Elephant Diffuser zum Einsatz. Der FVEK wird durch einen Volume Master Key (VMK) geschützt, und der VMK selbst ist durch einen oder mehrere sogenannte Schutzelemente abgesichert: TPM (Trusted Platform Module), PIN, Kennwort, Smartcard oder den 48-stelligen Wiederherstellungsschlüssel. Keines davon erfordert, den FVEK direkt zu kennen — ein funktionierender Protector genügt, um den VMK zu entschlüsseln und auf das Volume zuzugreifen. Welche Protectoren konfiguriert sind, können Sie auf einem laufenden System mit folgendem Befehl prüfen:
manage-bde -protectors -get C:

Das erklärt auch, warum eine beschädigte Partitionstabelle für die BitLocker-Datenwiederherstellung nicht zwangsläufig das Ende bedeutet.
Die FVE-Metadaten, die das Volume beschreiben, sind unabhängig von der Partitionstabelle — es handelt sich um eine separate Struktur mit eigener Signatur. Ist die Partitionstabelle verloren, wird das Volume in Windows als RAW oder nicht zugewiesener Speicherplatz angezeigt, die verschlüsselten Sektoren und der FVE-Header befinden sich jedoch weiterhin an derselben Stelle. Ein Tool, das nur die Partitionstabelle ausliest, meldet daher „keine Partitionen gefunden“. RS Partition Recovery durchsucht den Datenträger direkt auf Blockebene nach der FVE-Signatur, noch bevor ein Schlüssel eingegeben wird, und erkennt so das BitLocker-Volume auch dann, wenn die Partitionstabelle bereits nicht mehr vorhanden ist.
Führen Sie auf einem Volume, das als RAW oder nicht zugewiesener Speicherplatz angezeigt wird, keine Schnellformatierung und keine Datenträgerinitialisierung durch, wenn es möglicherweise BitLocker-geschützt ist. Beide Vorgänge können den Bereich der Partitionstabelle und die für die Lokalisierung des Volumes erforderlichen FVE-Metadaten überschreiben und eine noch wiederherstellbare Situation in einen irreparablen Datenverlust verwandeln.
Die verwendeten Protectoren unterscheiden sich in der Regel zwischen dem Systemvolume und einem Datenvolume, auch wenn das FVE-Metadatenformat für beide identisch ist:
- System-/Startvolume (C): typischerweise durch TPM geschützt, oft in Kombination mit einer PIN. Das TPM bindet den Schlüssel an das konkrete Mainboard und die Boot-Konfiguration; wird das Laufwerk in einen anderen Computer eingebaut, ist der TPM-Protector wirkungslos — Zugriff ist dann nur noch mit dem Wiederherstellungsschlüssel oder einem Kennwort möglich, sofern eines eingerichtet wurde.
- Datenvolume (D): verwendet häufig ein Kennwort, eine Smartcard oder die automatische Entsperrung (Auto-Unlock), bei der der VMK für D mit einem Schlüssel verschlüsselt wird, der auf dem Systemvolume gespeichert und selbst wiederum verschlüsselt ist; dieser Schlüssel wird nach dem Start von Windows auf dem ursprünglichen Computer automatisch freigegeben. Außerhalb dieses ursprünglichen Betriebssystems greift die automatische Entsperrung nicht, und D benötigt einen eigenen funktionierenden Protector — in der Regel einen separaten Wiederherstellungsschlüssel, der sich vom Schlüssel für C unterscheidet.
Darum kann derselbe Datenträger beim Start für C nach einem Wiederherstellungsschlüssel fragen und für D anschließend nur noch einen völlig anderen Schlüssel akzeptieren: Die beiden Volumes sind nicht zwangsläufig über denselben Mechanismus geschützt, auch wenn der Entschlüsselungsprozess selbst identisch ist, sobald ein gültiger Protector bereitgestellt wird.
Warum ein mit BitLocker verschlüsseltes Laufwerk unzugänglich wird
Ein fehlerhafter Schutzmechanismus ist nur eine von mehreren möglichen Ursachen. In der Praxis lassen sich Zugriffsprobleme einigen wiederkehrenden Mustern zuordnen:
- Ein Mainboard-Tausch, ein UEFI-/BIOS-Update oder eine Änderung der Secure-Boot-Konfiguration setzt den TPM-Status zurück, und das System fordert stattdessen den Wiederherstellungsschlüssel an.
- Die Verschlüsselung oder Entschlüsselung wird unterbrochen — etwa durch Stromausfall, erzwungenes Herunterfahren oder einen Absturz des
manage-bde-Prozesses — sodass das Volume nur teilweise verschlüsselt bleibt. - Die Festplatte wird in einen anderen Rechner eingebaut, für den keinerlei TPM-Bindung vorhanden ist; in diesem Fall funktionieren nur der Wiederherstellungsschlüssel oder das Kennwort.
- Die Partitionstabelle ist beschädigt oder überschrieben worden (Fehler im Datenträgerverwaltungstool, fehlgeschlagene Neuinstallation des Betriebssystems, versehentliche Neuaufteilung), und das Volume wird als RAW oder nicht zugeordnet angezeigt, obwohl es darunter weiterhin verschlüsselt und intakt ist.
- Der Domänencontroller mit dem Wiederherstellungsschlüssel ist nicht erreichbar, oder der Schlüssel wurde nie an einem Ort hinterlegt, auf den der aktuelle Benutzer zugreifen kann.
- Ein Laufwerk mit fehlerhaften Sektoren trifft den Bereich mit den FVE-Metadaten, sodass BitLocker seinen eigenen Header nicht mehr auslesen kann.
Schneller Weg, um vor allen weiteren Schritten den Status von Volume und Schutzhinweisen zu prüfen:
manage-bde -status C:
Dieser Befehl zeigt den Verschlüsselungsgrad, das Verschlüsselungsverfahren und den Sperrstatus an — hilfreich, um eine unterbrochene Verschlüsselung von einem tatsächlich beschädigten Volume zu unterscheiden, bevor ein Wiederherstellungsansatz gewählt wird.
Wo Sie Ihren BitLocker-Wiederherstellungsschlüssel finden
Bevor Sie davon ausgehen, dass die Daten verloren sind, sollten Sie die üblichen Speicherorte für den BitLocker-Wiederherstellungsschlüssel überprüfen:
- Ein Microsoft-Konto — wurde der PC damit eingerichtet, ist der Schlüssel häufig automatisch hochgeladen und unter account.microsoft.com/devices/recoverykey einsehbar.
- Eine ausgedruckte Kopie oder eine während der Einrichtung gespeicherte Textdatei, in der Regel mit der eindeutigen ID des Laufwerks benannt (z. B.
BitLocker Recovery Key XXXXXXXX-XXXX-...txt). - Azure AD / Entra ID für Geräte, die von Unternehmen oder Bildungseinrichtungen verwaltet werden — ein Administrator kann den Schlüssel anhand des Geräts oder der Key ID nachschlagen.
- Ein Domänenadministrator, wenn der Computer einer lokalen Active Directory-Domäne beigetreten ist, in der BitLocker-Schlüssel hinterlegt werden.
- Ein gespeicherter USB-Schlüssel, wenn das Volume so konfiguriert wurde, dass es mit einer Startschlüsseldatei (BEK) statt mit einem eingegebenen Kennwort entsperrt wird.
Wenn mehr als ein Schlüssel gefunden wird, ordnen Sie ihn anhand der Key ID zu — derselben ID, die auf dem Entsperrbildschirm angezeigt wird oder von RS Partition Recovery beim Erkennen des Volumes gemeldet wird, da jeder Schutzmechanismus an eine bestimmte VMK gebunden ist.
Daten von einem BitLocker-verschlüsselten Laufwerk mit RS Partition Recovery wiederherstellen
RS Partition Recovery erkennt ein BitLocker-Volume bereits beim ersten Festplattenscan, unabhängig davon, ob die Partitionstabelle intakt ist. Der Schlüssel, das Kennwort oder die BEK-Datei wird vor Beginn der Analyse abgefragt, nicht erst während des Vorgangs. Der Ablauf ist daher wie folgt:

Schließen Sie das Laufwerk an und starten Sie einen Scan. Das Programm erkennt das BitLocker-Volume anhand der FVE-Signatur, auch wenn die Partitionstabelle fehlt oder das Volume als RAW angezeigt wird.
Geben Sie bei Aufforderung ein Kennwort, den 48-stelligen Wiederherstellungsschlüssel oder eine oder mehrere .bek-Schlüsseldateien an. Bei unklarer Zuordnung können mehrere BEK-Dateien gleichzeitig hinzugefügt werden.

Ist der Schlüssel falsch, meldet das Programm den Entsperrfehler direkt. Es wechselt nicht zu einem blindem Scan der verschlüsselten Sektoren, als handle es sich um unverschlüsselte Daten.
Nach dem Entsperren wird das Volume während der Analyse „on the fly“ entschlüsselt, ähnlich wie der integrierte BitLocker-Treiber dies bei der normalen Nutzung unter Windows erledigt.

Prüfen Sie die wiederhergestellte Dateistruktur und speichern Sie die Ergebnisse auf ein anderes physisches Laufwerk als das Quelllaufwerk.
Ein teilweise verschlüsseltes Volume – also ein Volume, bei dem die Verschlüsselung oder Entschlüsselung mitten im Vorgang unterbrochen wurde – wird auf dieselbe Weise behandelt: Geben Sie den funktionierenden Schutzmechanismus an, und das Tool setzt die Analyse fort, ohne dass der Vorgang zuvor abgeschlossen oder zurückgesetzt werden muss.
Warum Rohdaten-Scans auf einem gesperrten BitLocker-Volume nicht funktionieren
Verschlüsselte Sektoren sind statistisch nicht von Zufallsdaten zu unterscheiden. Ein Wiederherstellungstool, das ein gesperrtes BitLocker-Volume anhand von Dateisignaturen durchsucht — etwa dem JPEG-Header, dem lokalen ZIP-Datei-Header und ähnlichen Mustern — trifft diese Bytefolgen im verschlüsselten Datenstrom gelegentlich rein zufällig. Das Ergebnis wirkt wie ein normaler Scan: eine Liste „wiederhergestellter“ .jpg-, .zip- oder .docx-Dateien. Keine davon lässt sich öffnen, weil dort nie eine echte Datei vorhanden war — die Übereinstimmung mit der Signatur war zufällig. Dies ist eine häufige Ursache für Verwirrung, wenn ein Tool BitLocker überhaupt nicht erkennt und das Volume lediglich als unstrukturierten Datenstrom behandelt.
Ein vergessenes BitLocker-Kennwort lässt sich nicht wie ein vergessenes Windows-Kennwort mit einem Hash-Cracking-Tool zurücksetzen. Windows-Anmeldekennwörter werden gegen einen gespeicherten Hash auf demselben Gerät geprüft; die BitLocker-Schutzmechanismen leiten einen Schlüssel ab, der direkt für die AES-Verschlüsselung verwendet wird — ohne vergleichbaren Abkürzungsweg. Der Zugriff ohne das ursprüngliche Kennwort ist nur mit dem Wiederherstellungsschlüssel oder, sofern eingerichtet, mit einer BEK-Datei möglich.
Häufig gestellte Fragen
manage-bde -resume C: dort weitermachen, wo es unterbrochen wurde. Scheitert das, oder geht es nur darum, die Dateien herauszuholen, funktioniert das Entsperren des Volumes mit dem Wiederherstellungsschlüssel und das direkte Scannen des Volumes unabhängig davon, wie weit der Vorgang fortgeschritten war.






