zurück zum Artikel

Beim Verschlüsseln der Festplatte mit Bitlocker kopiert Windows 10 einen Wiederherstellungsschlüssel automatisch ins OneDrive-Konto des Nutzers. Wer das nicht möchte, muss selbst Hand anlegen.

Für integrierte Festplattenverschlüsselung will man für den Fall der Fälle einen Recovery Key. Um Frustration bei den Kunden zu vermeiden, dürfte wohl jeder Hersteller standardmäßig eine Kopie davon aufbewahren. Denn schließlich möchten die etwa nach dem Tausch eines defekten Mainboards mit dem installierten Betriebssystem und vor allem ihren Daten weiterarbeiten können, ohne erst zeitraubend ein Backup einspielen zu müssen.

Dies ist im Prinzip bei Windows nicht anders, vielen Anwendern so meist aber nicht bewusst: Gemäß der Datenschutzbestimmungen von Windows 10 [1] generiert Microsofts jüngstes Betriebssystem beim Aktivieren der Geräteverschlüsselung via Bitlocker automatisch einen Wiederherstellungsschlüssel und speichert diesen per Default im OneDrive-Konto des Nutzers, sprich: in Microsofts Cloud. Das ist per se nicht verwerflich, sofern der Nutzer davon erfährt und man ihm Alternativen zur externen Speicherung aufzeigt.

Angesichts der durch Snowden dokumentierten, freizügigen Kooperation von Microsoft mit amerikanischen Diensten wie FBI und NSA darf man sich in Redmond aber nicht wundern, wenn Nutzer dies und die Motivation des Betriebssystemherstellers kritisch hinterfragen. Jetzt haben sowohl The Intercept als auch The Register das Thema aufgegriffen und Tipps zusammengetragen, wie sicherheitsbewusste Anwender diesen Automatismus umgehen können.

Schlüsselextraktion

Zunächst muss man den Recovery Key vom OneDrive-Konto herunterladen [2] und lokal speichern. Anschließend kann man ihn in OneDrive löschen und muss dann hoffen, das Microsoft ihn auch von den Cloud-Servern und aus dem Backup entfernt. Jedoch kann es passieren, dass der Key beim nächsten Login eines anderen Users mit Microsoft-Konto wieder dort landet. Um das nachhaltig zu verhindern, sind laut The Register [3] vier weitere Schritte in der Eingabeaufforderung mit Admin-Rechten erforderlich:

• Bitlocker deaktivieren:
  manage-bde -protectors -disable %systemdrive%
• Recovery-Passwort löschen:
  manage-bde -protectors -delete %systemdrive% -type RecoveryPassword
• Neues Recovery-Passwort erzeugen:
manage-bde -protectors -add %systemdrive% -RecoveryPassword
• Bitlocker wieder aktivieren:
  manage-bde -protectors -enable %systemdrive%

Der Artikel von The Intercept beschreibt das Procedere über das GUI [4]. Er weist darauf hin, dass man hierbei das Backup des Recovery Key natürlich nur lokal – etwa auf einem USB-Stick oder in gedruckter Form – und nicht in seinem Microsoft-Konto speichern darf. (avr [5])

URL dieses Artikels:
https://www.heise.de/-3056977

Links in diesem Artikel:
[1] https://www.heise.de/news/Windows-10-Neue-Datenschutzbestimmungen-Windows-wird-zur-Datensammelstelle-2765536.html
[2] https://onedrive.live.com/recoverykey
[3] http://www.theregister.co.uk/2015/12/30/microsoft_hard_drive_encryption_keys/
[4] https://theintercept.com/2015/12/28/recently-bought-a-windows-computer-microsoft-probably-has-your-encryption-key/
[5] mailto:avr@ix.de

Copyright © 2015 Heise Medien