BitLocker: Microsoft gibt Schlüssel an Strafverfolger heraus
Microsoft hinterlegt den Schlüssel der Festplattenverschlüsselung standardmäßig im Online-Account von Kunden. Dort ist er mit richterlichem Beschluss abrufbar.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Lesezeit:
4 Min.
Von
Kaj-Sören Mossdorf
Wer seine Festplatte oder SSD verschlüsselt, darf eigentlich davon ausgehen, dass nur er diese auch wieder entschlüsseln kann. Bei der Verschlüsselungstechnologie BitLocker von Microsoft scheint dies aber nicht unbedingt der Fall zu sein, weil das Unternehmen den Schlüssel in der Home-Edition von Windows automatisch im Online-Account des Nutzers abspeichert. Das schützt davor, den Schlüssel zu vergessen, gewährt aber auch Microsoft Zugriff darauf. Je nach Konfiguration betrifft dies auch Kunden der Enterprise- und Education-Varianten von Windows.
Weiterlesen nach der Anzeige
Laut dem Unternehmen erreichen Microsoft pro Jahr 20 Anfragen von Ermittlungsbehörden, die BitLocker-Schlüssel haben wollen. Einer Recherche des US-Nachrichtenmagazins Forbes zufolge hat der Konzern aus Redmond im letzten Jahr Wiederherstellungsschlüssel an das FBI übergeben. Hierbei handelt es sich um die erste bekannte Herausgabe. Hintergrund sind strafrechtliche Ermittlungen zum Diebstahl von Geldern im Rahmen eines Covid-Arbeitslosenhilfeprogramms auf der Insel Guam.
Sicherung im Online-Account: Bequem, aber nicht sicher
Gegenüber Forbes sagte Microsoft-Sprecher Charles Chamberlayne: „Die Schlüsselwiederherstellung bietet zwar Komfort, birgt jedoch auch das Risiko eines unerwünschten Zugriffs. Microsoft ist daher der Ansicht, dass die Kunden am besten entscheiden können, wie sie ihre Schlüssel verwalten möchten.“ Ob Kunden wissen, dass sie sich diesem Risiko aussetzen, ist allerdings fraglich. Bedenkt man jedoch, dass Microsoft es in den letzten Jahren immer schwieriger machte, einen Windows-PC überhaupt noch ohne Online-Account nutzen zu können, so dürfte die Anzahl an im Online-Konto hinterlegter Wiederherstellungsschlüssel relativ hoch sein.
Jennifer Granick, Beraterin für Überwachung und Cybersicherheit bei der American Civil Liberties Union, wies Forbes gegenüber darauf hin, dass diese Daten für viele Regierungen von hohem Interesse sein dürften. Dem Law Enforcement Request Report nach, den Microsoft zweimal im Jahr veröffentlicht, erreichten den Konzern zwischen Juli und Dezember 2024 auch 5296 Anfragen aus Deutschland im Rahmen von Ermittlungen zu Straftaten. Insgesamt ging es dabei um 9835 Konten beziehungsweise Benutzer. Nicht jede Anfrage resultiert automatisch in einer Herausgabe von Daten.
Wie Anwender sich schützen können
Nutzer können den Schlüssel aus ihrem Online-Account löschen. An dieser Stelle sei aber eindringlich darauf hingewiesen, dass die Verwaltung des Schlüssels ab diesem Moment vollständig in der Verantwortung des Anwenders liegt. Der Schlüssel sollte keinesfalls nur auf dem damit gesicherten Gerät hinterlegt werden. Denn wenn es einer Wiederherstellung bedarf, ist ein Zugriff auf die auf dem Gerät gespeicherten Daten nicht möglich. Als Speicherort bietet sich stattdessen beispielsweise ein Passwort-Manager auf einem anderen Gerät an. Nach dem aktiven Entfernen des Schlüssels aus dem Online-Account ist dieser theoretisch noch bis zu 30 Tage in Systemen von Microsoft zu finden.
Wer lieber auf Open-Source-Tools wie Veracrypt setzt oder die Verschlüsselung aus einem anderen Grund entfernen möchte, für den gibt es – je nach Windows-Version – zwei Wege, BitLocker zu deaktivieren. Der erste führt über die klassische Systemsteuerung. Diese erreicht man beispielsweise über das Suchfeld des Startmenüs. Danach müssen die Punkte „System und Sicherheit“ sowie „Geräteverschlüsselung“ aufgerufen werden. Im Abschnitt „Betriebssystemlaufwerk“ sollte sich nun neben „Windows (C:)“ der Knopf „BitLocker deaktivieren“ finden.
Weiterlesen nach der Anzeige
Ist dies nicht der Fall, so lässt sich BitLocker auch über das moderne Einstellungsmenü deaktivieren. Dieses lässt sich ebenfalls wieder über das Suchfeld unter „Einstellungen“ im Startmenü aufrufen. Dort wählt man „Datenschutz und Sicherheit“ und dann „Geräteverschlüsselung“ aus. Im folgenden Fenster findet sich dann der gleichnamige Eintrag mit einem Kontrollkästchen daneben. Ein Abschalten ohne alternative Absicherung ist aber nicht zu empfehlen. Die Daten sind dann, zum Beispiel im Falle eines Verlustes oder Diebstahls des Geräts, sehr leicht zugänglich.
