BitLocker Recovery Key vergessen: 5 Wege zum Schlüssel (2026)
Den BitLocker Recovery Key vergessen – und plötzlich startet Windows nicht mehr, sondern zeigt nur noch einen blauen Bildschirm mit einer 48-stelligen Eingabeaufforderung. Dieses Szenario trifft seit April 2026 besonders viele Nutzer: Das April-Sicherheitsupdate KB5083769 für Windows 11 hat auf bestimmten Geräten den BitLocker-Wiederherstellungsbildschirm ausgelöst – auch ohne dass Nutzer etwas geändert hatten.
Zum Glück gibt es fünf konkrete Stellen, an denen Ihr Schlüssel gespeichert sein kann. Welche das sind und wie Sie jeden einzelnen Weg durchgehen, zeige ich Ihnen Schritt für Schritt.
Was der BitLocker Recovery Key ist – und warum er jetzt fehlt
Der BitLocker Recovery Key ist ein 48-stelliger numerischer Code, aufgeteilt in acht Blöcke à sechs Ziffern – zum Beispiel 123456-789012-345678-901234-567890-123456-789012-345678. Windows fordert ihn immer dann, wenn das System eine Veränderung an der Hardware-Konfiguration, am Bootloader oder an Secure Boot erkennt, die auf einen unbefugten Zugriff hinweisen könnte.
Das Problem: Seit Windows 8.1 aktiviert Microsoft auf vielen Geräten die BitLocker-Geräteverschlüsselung automatisch – ohne dass der Nutzer aktiv zustimmt oder einen Schlüssel notiert. Ab Windows 10 gilt das auch für Home-Editionen auf Geräten mit modernem Standbymodus. Das bedeutet: Millionen Nutzer haben ein verschlüsseltes Laufwerk, ohne es zu wissen.
Konkret berichtet Microsoft, dass das April-2026-Update (KB5083769) auf Geräten, bei denen die Gruppenrichtlinie Configure TPM platform validation profile for native UEFI firmware configurations aktiv war, beim ersten Neustart nach dem Update den Wiederherstellungsbildschirm auslöst. Ein einmaliges Ereignis – aber ohne den Key gibt es keinen Weg zurück.
⚠️ Wichtig vor dem Start: Notieren Sie die auf dem Sperrbildschirm angezeigte Schlüssel-ID (die kurze ID, nicht der 48-stellige Code). Diese ID identifiziert eindeutig, welcher Schlüssel zu Ihrem Gerät gehört – das ist entscheidend, wenn mehrere Geräte im selben Microsoft-Konto hinterlegt sind.
Weg 1: BitLocker Recovery Key im Microsoft-Konto finden
Das ist der häufigste Speicherort bei Privatgeräten. Wenn Sie sich bei der Windows-Einrichtung mit einem Microsoft-Konto angemeldet haben, speichert Windows den Recovery Key in vielen Fällen automatisch dort – ohne gesonderte Nachfrage.
- Öffnen Sie auf einem anderen Gerät (Smartphone, Tablet, zweiter PC) den Browser
- Rufen Sie account.microsoft.com/devices/recoverykey auf
- Melden Sie sich mit demselben Microsoft-Konto an, das auf dem gesperrten PC eingerichtet ist
- Vergleichen Sie die dort angezeigte Schlüssel-ID mit der ID auf dem Sperrbildschirm
- Tippen Sie den 48-stelligen Code blockweise in das Eingabefeld am PC ein
Ab Windows 11 Version 24H2 zeigt der BitLocker-Wiederherstellungsbildschirm bereits einen Hinweis auf das Microsoft-Konto an, das dem Schlüssel zugeordnet ist – das erleichtert die Zuordnung erheblich.
Kein Schlüssel sichtbar? Prüfen Sie alle Microsoft-Konten, die jemals auf diesem PC verwendet wurden. Es zählt das Konto, das beim Einrichten von Windows aktiv war – nicht unbedingt das, mit dem Sie sich zuletzt angemeldet haben. Außerdem gibt es einen alternativen Link: aka.ms/myrecoverykey führt direkt zur selben Seite.
Weg 2: BitLocker Recovery Key über Microsoft Entra ID abrufen (Firmen-PCs)
Auf Unternehmensgeräten, die mit Azure AD / Microsoft Entra ID verknüpft sind, ist dieser Weg der richtige – und Privatnutzer können ihn überspringen. IT-Administratoren finden den Schlüssel im Microsoft Entra Admin Center.
- Öffnen Sie entra.microsoft.com und melden Sie sich als Administrator an
- Navigieren Sie zu Geräte → Alle Geräte
- Suchen Sie das betroffene Gerät über den Gerätenamen oder die Seriennummer
- Klicken Sie auf das Gerät und wählen Sie den Tab BitLocker-Schlüssel
- Klicken Sie auf Wiederherstellungsschlüssel anzeigen – der 48-stellige Code erscheint
Alternativ funktioniert der Direktlink aka.ms/aadrecoverykey für Geräte, die mit einem Geschäfts-, Schul- oder Uni-Konto verknüpft sind. Auch Endnutzer können diesen Link verwenden und sich mit ihrer Organisationskennung anmelden – vorausgesetzt, die IT-Abteilung hat die Schlüsselsicherung aktiviert.
Für das Abrufen per PowerShell – etwa im automatisierten Support-Workflow – nutzen IT-Administratoren das Microsoft Graph Modul. Der Befehl lautet:
Get-MgInformationProtectionBitlockerRecoveryKey -DeviceId "GERÄTE-ID"In meiner Beratungspraxis für mittelständische Unternehmen sehe ich regelmäßig das gleiche Problem: Der Schlüssel ist in Entra ID vorhanden, aber der zuständige Admin hat keine ausreichenden Rechte zum Anzeigen. Dafür ist die Rolle Helpdesk-Administrator oder Cloud-Geräteadministrator erforderlich – ohne diese Rolle bleibt die Schaltfläche ausgegraut.
BitLocker Recovery Key in Active Directory (AD) – der Weg für Domänengeräte
In klassischen Windows-Domänenumgebungen wird der Schlüssel automatisch in Active Directory hinterlegt – sofern die entsprechende Gruppenrichtlinie aktiv war. Administratoren finden ihn in den Eigenschaften des Computerobjekts.
- Öffnen Sie auf einem Domänencontroller die Active Directory-Benutzer und -Computer (dsa.msc)
- Aktivieren Sie unter Ansicht → Erweiterte Features
- Navigieren Sie zum Computerobjekt des gesperrten Geräts
- Öffnen Sie die Eigenschaften und wechseln Sie zum Tab BitLocker Recovery
- Kopieren Sie den Wiederherstellungsschlüssel, der zur auf dem Bildschirm angezeigten ID passt
Alternativ per PowerShell – besonders nützlich, wenn mehrere Geräte gleichzeitig betroffen sind:
Get-ADObject -Filter {objectClass -eq 'msFVE-RecoveryInformation'} -SearchBase "CN=COMPUTERNAME,OU=Geraete,DC=domain,DC=local" -Properties msFVE-RecoveryPassword | Select-Object msFVE-RecoveryPassword⚠️ Kein Schlüssel in AD? Das bedeutet: Die Gruppenrichtlinie BitLocker-Wiederherstellungsinformationen in AD DS speichern war bei der Aktivierung nicht gesetzt. Nachträglich lässt sich der Schlüssel mit manage-bde -protectors -adbackup C: -id {SCHLÜSSEL-ID} in AD hochladen – aber nur wenn das Laufwerk noch zugänglich ist.
Weg 4: Recovery Key aus gespeicherter Datei oder USB-Stick wiederherstellen
Wer BitLocker manuell aktiviert hat, wurde von Windows aufgefordert, den Schlüssel zu sichern. Dabei stehen drei Optionen zur Wahl: Datei speichern, drucken oder USB-Stick. Diese Variante ist bei Heimnutzern, die kein Microsoft-Konto verwenden, oft der einzige Weg.
Gespeicherte Textdatei suchen:
- Die Datei heißt standardmäßig BitLocker Recovery Key [Schlüssel-ID].txt
- Typische Speicherorte: OneDrive, Desktop, Dokumente-Ordner, externer Datei-Server
- Suchen Sie auf einem anderen PC nach dem Dateinamen oder dem Begriff „BitLocker“
- Auch alte E-Mail-Postfächer prüfen – manche Nutzer schicken sich die Datei selbst zu
USB-Stick als Schlüsselträger:
Falls Sie beim Einrichten von BitLocker die Option Wiederherstellungsschlüssel auf USB-Laufwerk speichern gewählt haben, stecken Sie den Stick in den gesperrten PC. Windows erkennt ihn automatisch beim Startvorgang und entsperrt das Laufwerk ohne weitere Eingabe. Der Stick enthält eine versteckte .bek-Datei (BitLocker Encryption Key) – diese Datei ist nicht direkt lesbar, wird aber von Windows erkannt.
Ein persönlicher Tipp aus der Praxis: Ich sichere BitLocker-Schlüssel für Kunden grundsätzlich an zwei unabhängigen Orten – USB-Stick im Bürosafe plus Textdatei in einem verschlüsselten Cloud-Ordner. Einmal ausgefallen ist einmal zu viel.
Weg 5: BitLocker Recovery Key über manage-bde auslesen (solange noch Zugriff besteht)
Dieser Weg funktioniert nur, wenn das Laufwerk noch zugänglich ist – also bevor der Sperrbildschirm erscheint oder nach dem Entsperren mit einem anderen Schlüssel. Er ist aber extrem wertvoll zur Prävention und zur nachträglichen Schlüsselsicherung.
Öffnen Sie eine Eingabeaufforderung als Administrator und führen Sie aus:
manage-bde -protectors -get C:In der Ausgabe suchen Sie den Eintrag Numerisches Kennwort (oder „Recovery Password“). Die 48-stellige Zahlenfolge darunter ist Ihr Wiederherstellungsschlüssel. Notieren Sie ihn jetzt – und speichern Sie ihn an einem der vier oben beschriebenen sicheren Orte.
Alternativ funktioniert das auch per PowerShell mit mehr Details:
(Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"} | Select-Object RecoveryPasswordDen ausgelesenen Schlüssel können Sie dann manuell in Microsoft Entra ID oder Active Directory hochladen – für Entra ID mit:
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[1].KeyProtectorId
Alle 5 Wege im Überblick
| Weg | Speicherort | Für wen? | URL / Tool |
|---|---|---|---|
| 1 | Microsoft-Konto | Alle Heimnutzer mit Microsoft-Konto | account.microsoft.com/devices/recoverykey |
| 2 | Microsoft Entra ID | Firmen-PCs (Azure AD joined) | entra.microsoft.com / aka.ms/aadrecoverykey |
| 3 | Active Directory | Domänengeräte (On-Premises) | dsa.msc → Computerobjekt → BitLocker Recovery |
| 4 | Datei / USB-Stick | Nutzer ohne Microsoft-Konto | Textdatei BitLocker Recovery Key*.txt suchen |
| 5 | manage-bde (lokal) | Präventiv / bei vorhandenem Zugriff | manage-bde -protectors -get C: |
Was tun, wenn keiner der 5 Wege funktioniert?
Die ehrliche Antwort: Ohne den Wiederherstellungsschlüssel gibt es keinen Weg an die verschlüsselten Daten. BitLocker wurde genau so konzipiert. Drittanbieter-Tools wie 4DDiG oder ähnliche Programme werben mit „BitLocker-Datenrettung“ – sie können den Schlüssel aber nicht knacken, sondern suchen lediglich an den gleichen Stellen, die oben beschrieben sind.
Bleibt nur die Windows-Zurücksetzung über die Wiederherstellungsumgebung (WinRE). Der Befehl dafür im Wiederherstellungsbildschirm lautet: Gerät zurücksetzen → Alles entfernen. Das Windows wird neu installiert, alle Daten gehen verloren. Danach läuft der PC wieder – aber die Dateien auf dem Laufwerk sind unwiederbringlich weg.
⚠️ Kein Datenverlust riskieren: Wer regelmäßige Windows-Backups erstellt hat, kann das System über Windows Backup wiederherstellen und verliert nur Daten seit dem letzten Sicherungspunkt. Ein Backup ist die einzige echte Absicherung gegen diesen Worst Case.
BitLocker Recovery Key dauerhaft sichern – so machen Sie es richtig
Das Problem ist nicht der fehlende Schlüssel selbst – das Problem ist, dass niemand weiß, wo er gespeichert wurde. Das lässt sich vermeiden.
Microsoft empfiehlt für Entra-verknüpfte Geräte die Schlüsselsicherung in Entra ID, für domänengebundene Geräte in Active Directory. Für alle anderen: Microsoft-Konto plus eine Backup-Datei an einem zweiten sicheren Ort. Konkret bedeutet das:
- Primär: Microsoft-Konto → account.microsoft.com/devices/recoverykey prüfen
- Sekundär: Textdatei auf einem verschlüsselten USB-Stick oder in einem separaten Cloud-Dienst
- Für IT-Administratoren: Gruppenrichtlinie „BitLocker-Wiederherstellungsinformationen in AD DS/Entra speichern“ aktivieren – und vor dem nächsten Windows-Update prüfen ob alle Geräte den Schlüssel hinterlegt haben
Den aktuell gespeicherten Schlüssel rufen Sie jederzeit mit manage-bde -protectors -get C: ab – das dauert zehn Sekunden und kann im Ernstfall Stunden sparen.
Fazit
Den BitLocker Recovery Key vergessen ist kein Bedienfehler – es ist ein Systemversagen. Microsoft hat Millionen Geräte automatisch verschlüsselt, ohne die Nutzer ausreichend auf den Schlüssel hinzuweisen. Das April-2026-Update hat das Problem auf die Spitze getrieben.
Die gute Nachricht: In den meisten Fällen liegt der Schlüssel im Microsoft-Konto und ist in zwei Minuten gefunden. Wenn nicht, führen die Wege über Entra ID, Active Directory oder eine gespeicherte Backup-Datei zum Ziel. Genau einen dieser Orte sollte jeder Nutzer heute – noch bevor der nächste Update-Dienstag kommt – überprüfen und den Schlüssel an einem zweiten Ort sichern.
Meine Empfehlung nach 25 Jahren IT: Erstellen Sie jetzt mit manage-bde -protectors -get C: Ihren aktuellen Schlüssel, notieren Sie ihn in einem Passwort-Manager und laden Sie ihn über Ihr Microsoft-Konto hoch. Fünf Minuten jetzt können Stunden Datenverlust verhindern.
Häufig gestellte Fragen
Wo finde ich den BitLocker Recovery Key, wenn ich kein Microsoft-Konto habe?
Ohne Microsoft-Konto wurde der Schlüssel entweder als Textdatei gespeichert, gedruckt oder auf einem USB-Stick hinterlegt. Suchen Sie auf anderen Geräten nach einer Datei mit dem Namen u0022BitLocker Recovery Keyu0022 sowie nach ausgedruckten Dokumenten aus der Zeit der Windows-Installation. Finden Sie nichts, ist ein Zurücksetzen von Windows leider der einzige verbleibende Weg.
Kann ich den BitLocker Recovery Key ohne Microsoft-Konto online abrufen?
Nein. Der Online-Abruf unter account.microsoft.com/devices/recoverykey funktioniert ausschließlich über ein Microsoft-Konto. Für Firmengeräte gibt es alternativ aka.ms/aadrecoverykey über das Organisationskonto. Ohne diese Kontozuordnung gibt es keinen Online-Zugriff auf den Schlüssel.
Was passiert, wenn man den BitLocker Recovery Key nicht findet?
Ohne Wiederherstellungsschlüssel ist der Zugriff auf die verschlüsselten Daten dauerhaft verloren – auch für Microsoft. Die einzige Option ist dann das vollständige Zurücksetzen von Windows, wobei alle Daten auf dem verschlüsselten Laufwerk gelöscht werden.
Wo speichert Windows 11 den BitLocker Recovery Key automatisch?
Windows 11 speichert den Recovery Key automatisch im verknüpften Microsoft-Konto, wenn das Gerät damit eingerichtet wurde. Auf Unternehmensgeräten wird er in Microsoft Entra ID oder Active Directory hinterlegt – abhängig vom Gerätemanagement der Organisation.
Warum fordert Windows 11 nach einem Update den BitLocker Recovery Key an?
Windows fordert den Recovery Key, wenn es eine Änderung an der Systemkonfiguration erkennt, die auf einen möglichen unbefugten Zugriff hindeutet – dazu gehören Secure Boot-Zertifikatswechsel, TPM-Konfigurationsänderungen oder UEFI-Updates. Das April-2026-Update KB5083769 hat auf bestimmten Geräten mit unrekommendierter BitLocker-Konfiguration genau dieses Verhalten ausgelöst.
Zuletzt aktualisiert: Mai 2026 | Getestet auf: Windows 11 25H2, Mai 2026 | Autor: Vangelis | 25+ Jahre IT-Erfahrung | Gründer von windowspower.de seit 2013
