Was bisher galt
Wer sein Linux-System verschlüsseln wollte, musste das bislang bei der Installation entscheiden – nachträglich ist das mit LUKS, dem Linux-Verschlüsselungsstandard, praktisch nicht möglich. Das unterscheidet Linux von Windows und macOS, wo man Verschlüsselung jederzeit per Klick einschalten kann.
Ein zweites, lang bekanntes Problem war der sogenannte Dual-Boot: Wer Ubuntu neben Windows installieren und dabei sein Ubuntu-System verschlüsseln wollte, musste sich durch aufwändige manuelle Schritte in der Kommandozeile arbeiten. Das war nichts für Einsteiger.
Mit Ubuntu 25.04 und 25.10 hat Canonical auf beiden Feldern Fortschritte gemacht – aber zwei sehr unterschiedliche Themen gelöst, die man nicht vermischen sollte.
Neuerung 1 (Ubuntu 25.04): Verschlüsselung beim Dual-Boot jetzt im Installer
Ab Ubuntu 25.04 (erschienen April 2025) unterstützt der grafische Installationsassistent erstmals offiziell die Kombination aus Dual-Boot und Verschlüsselung. Wer Ubuntu neben Windows installieren und dabei das Ubuntu-System verschlüsseln möchte, kann das jetzt direkt in der Benutzeroberfläche tun – ohne Kommandozeile.
Früher war das entweder gar nicht möglich oder erforderte in Ubuntu 24.04 einen Umweg, der eigentlich ein Zufallsfund im Installer war – technisch funktionierend, aber nicht offiziell vorgesehen. Jetzt ist es eine echte, dokumentierte Funktion.
Die wichtigste Einschränkung: BitLocker muss vorher aus
Auf vielen modernen Laptops ist BitLocker – die Windows-Verschlüsselung – inzwischen standardmäßig aktiv, oft ohne dass der Nutzer es weiß. Selbst Windows 11 Home kann BitLocker bei der Einrichtung automatisch aktivieren. Das Problem: Ubuntu kann eine BitLocker-verschlüsselte Windows-Partition nicht verkleinern, um Platz für sich zu schaffen.
Wer Dual-Boot mit Ubuntu-Verschlüsselung einrichten möchte, muss BitLocker in Windows zuerst vollständig deaktivieren – und dann warten, bis die Festplatte komplett entschlüsselt ist. Das kann je nach Größe der Festplatte eine Weile dauern.
- In Windows: BitLocker deaktivieren (Systemsteuerung → BitLocker-Laufwerkverschlüsselung → deaktivieren) und auf vollständige Entschlüsselung warten
- Ubuntu-Installationsstick starten
- Im Installer „Ubuntu neben Windows installieren" wählen
- Verschlüsselungsoption aktivieren und ein eigenes Passwort festlegen
- Installation abschließen
- Optional: Nach der Installation BitLocker in Windows wieder aktivieren
Nach der Installation hat man dann zwei getrennt verschlüsselte Systeme: Ubuntu mit LUKS (geschützt durch das selbst gewählte Passwort) und Windows mit BitLocker (geschützt durch den Microsoft-Schlüssel). Jedes kann nur mit seinem eigenen Schlüssel entsperrt werden.
Was weiterhin nicht geht
Die gemeinsame EFI-Systempartition – eine kleine Startpartition, von der beide Betriebssysteme ihren Bootloader laden – bleibt unverschlüsselt. Das ist keine Ubuntu-Einschränkung, sondern eine technische Grundbedingung des UEFI-Standards, auf dem alle modernen PCs aufbauen.
Neuerung 2 (Ubuntu 25.10): Verschlüsselung ohne Passwort-Eingabe beim Start
Die zweite Neuerung betrifft etwas ganz anderes: Ubuntu 25.10 (Oktober 2025) verbessert eine Methode, bei der die Festplatte verschlüsselt ist, aber beim Einschalten kein Passwort eingegeben werden muss. Stattdessen übernimmt der TPM-Chip im Computer die Aufgabe, den Schlüssel freizugeben – automatisch, wenn alles in Ordnung ist.
Wie funktioniert das?
Der TPM-Chip macht beim Start eine Art Zustandsprüfung: Er kontrolliert, ob Firmware, Bootloader und Systemdateien unverändert sind. Stimmt alles mit dem bekannten Zustand überein, gibt er den Verschlüsselungsschlüssel frei – ohne dass der Nutzer etwas eingeben muss. Man meldet sich dann einfach normal mit seinem Benutzerpasswort an.
Stellt der Chip Abweichungen fest – etwa weil jemand den Bootloader manipuliert hat – verweigert er die Schlüsselfreigabe. Die Festplatte bleibt dann unlesbar, bis der richtige Wiederherstellungsschlüssel eingegeben wird.
Wer eine zusätzliche Sicherheitsebene möchte, kann trotzdem ein Passwort beim Start einrichten. Dann sind Festplatte und TPM kombiniert: Beide Schutzmechanismen müssen überwunden werden.
Noch experimentell – mit klaren Einschränkungen
Canonical selbst betont ausdrücklich: Diese Funktion ist in Ubuntu 25.10 noch experimentell. Das bedeutet konkret:
- Nicht für wichtige Daten geeignet. Canonical empfiehlt, die Funktion nur auf Systemen zu testen, bei denen ein versehentlicher Datenverlust verschmerzbar wäre.
- Kein NVIDIA. Die TPM-Verschlüsselung funktioniert aktuell nur mit dem generischen Linux-Kernel. Wer eine NVIDIA-Grafikkarte hat, die einen proprietären Treiber braucht, kann diese Funktion nicht nutzen.
- Voraussetzungen: TPM 2.0, UEFI-Firmware und aktiviertes Secure Boot sind erforderlich – also im Wesentlichen dieselben Anforderungen wie für Windows 11.
Das Ziel ist, diese Funktion für Ubuntu 26.04 LTS – die nächste Langzeitversion – zu stabilisieren. Bis dahin bleibt die bewährte LUKS-Verschlüsselung mit Passwort-Eingabe beim Start die empfohlene Wahl für alle, die auf Nummer sicher gehen wollen.
Eine neue Verwaltungsoberfläche – das „Security Center" – erleichtert in Ubuntu 25.10 außerdem den Umgang mit Wiederherstellungsschlüsseln. Wichtig: Ab 25.10 kann der bestehende Wiederherstellungsschlüssel nicht mehr direkt angezeigt werden – er lässt sich nur noch durch einen neuen ersetzen. Den Schlüssel sollte man daher unmittelbar nach der Einrichtung an einem sicheren Ort aufbewahren.
Dual-Boot + TPM-Verschlüsselung?
Wer hofft, beides zu kombinieren – also Dual-Boot mit Windows und TPM-gestützte Verschlüsselung ohne Passwort-Eingabe –, wird enttäuscht: Das ist aktuell nicht unterstützt. Die TPM-Verschlüsselung setzt vollständige Kontrolle über den Boot-Prozess voraus; beim Dual-Boot teilen sich Windows und Ubuntu diesen Prozess, was die nötigen Integritätsmessungen des TPM-Chips verkompliziert.
Wer Dual-Boot mit Verschlüsselung möchte, nutzt weiterhin die klassische LUKS-Methode mit Passwort-Eingabe – die seit Ubuntu 25.04 komfortabler einzurichten ist.
Was hat sich wirklich verändert?
| Szenario | Vor Ubuntu 25.04 | Ab Ubuntu 25.04 / 25.10 |
|---|---|---|
| Reine Ubuntu-Installation mit Verschlüsselung | Schon lange möglich, per Klick im Installer | Unverändert – zusätzlich in 25.10 mit optionaler TPM-Variante (experimentell) |
| Dual-Boot neben Windows + Ubuntu verschlüsselt | Nur mit Kommandozeile und technischem Vorwissen | Ab 25.04 direkt im grafischen Installer (BitLocker muss vorher deaktiviert sein) |
| Verschlüsselung ohne Passwort-Eingabe beim Start (TPM) | Experimentell seit Ubuntu 23.10, kaum nutzbar | In 25.10 verbessert, aber weiterhin experimentell und mit Einschränkungen |
| Dual-Boot + TPM-Verschlüsselung kombiniert | Nicht unterstützt | Weiterhin nicht unterstützt |
| Nachträgliche Verschlüsselung eines laufenden Systems | Nicht möglich | Weiterhin nicht möglich |
Quellen
- Mike Kasberg: Dual-Boot Ubuntu 25.04+ and Windows with Encryption (Mai 2025)
- Canonical: Offizielle Dokumentation – Encrypt your disk with TPM
- OMG! Ubuntu: Ubuntu 25.10 Offers Improved Disk Encryption Using TPM (Juli 2025)
- Phoronix: Ubuntu 25.10 TPM-Backed Full Disk Encryption (Juli 2025)
- LinuxNews.de: Ubuntu 25.10 mit Verschlüsselung per TPM (Juli 2025)
- The Register: Canonical dusts off TPM encryption for Ubuntu 25.10 (Juli 2025)
- Michael Kofler: Ubuntu 25.10 (Praxisbericht, Oktober 2025)
Stand: 1. April 2026.