Kommentar: Nein, doch, oh! Bitlocker ist unsicher

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Alle, die jetzt in Panik sind und nach einer BitLocker-Alternative suchen: Kommt runter! Die Verschlüsselung mit BitLocker ist eine gute Möglichkeit, Daten auf Datenträgern zu schützen. Sie funktioniert im Rahmen ihrer Möglichkeiten, war aber nie dazu gedacht, jeden 0815-PC in einen Hochsicherheitsdatenbunker zu verwandeln. Sie sorgt zunächst mal dafür, dass Datenträger an einem Windows-System verschlüsselt sind.

BitLocker allein hilft nicht

Das ist besonders dann eine gute Nachricht, wenn Datenträger getrennt vom Schlüssel (der meist im TPM steckt) in fremde Hände und unter fremde Augen gelangen – die finden dann nämlich nur noch Datenmüll. BitLocker allein hilft aber nicht, wenn man ein Notebook verbaselt oder als Garantiefall irgendwo abliefert: Solange nämlich TPM und Datenträger verbunden bleiben und der PC unverändert die reguläre Windows-Installation startet, greifen Automatismen, die Komplexität von Verschlüsselung vor dem Anwender verstecken sollen: Windows entsperrt die Datenträger ohne Zutun des Nutzers.

Damit ein Notebook-Finder oder -Dieb nicht auf die Daten zugreifen kann, müssen weitere Voraussetzungen erfüllt sein: Sämtliche lokale Windows-Konten auf dem PC müssen mit einem vernünftigen Passwort versehen sein. Perfektionieren lässt sich der Schutz, sofern Sie mindestens eine Pro-Edition von Windows verwenden, mit dem Setzen einer zusätzlichen PIN, die beim Rechnerstart einzugeben ist.

Ein Kommentar von Peter Siering

Peter trägt das c't-Brandzeichen, das es nach 30 Jahren Redaktionszugehörigkeit auf Nachfrage gibt. Er gibt den Leithammel im Ressort Systeme & Sicherheit. Obwohl er sich unter Linux, macOS und Windows heimisch fühlt, bevorzugt er Alu-Obst für die tägliche Schreibarbeit. Er programmiert gelegentlich, findet Netzwerke spannend und greift gern mal zum Raspi. PCs sind für ihn schon lang meist schnell genug, sodass er gern gebrauchte Hardware kauft. Er weiß sogar, wo der Lötkolben warm wird, auch wenn sich die Make-Kollegen dann aus Anstand wegdrehen.

Dass sich in einem Microsoft-Konto automatisch Schlüssel zur Wiederherstellung sammeln, um verschlüsselte Laufwerke zugänglich zu machen, wenn die normalen Verfahren dafür versagen, ist für viele Nutzer eher gut als schlecht, denn das ist so nützlich wie der Ersatzschlüssel für die eigene Wohnung beim Nachbarn oder Hausmeister.

Wer Microsoft nicht traut ...

Dass man Microsoft momentan vertrauen muss, mit diesem Schlüssel kein Schindluder zu treiben, gehört zum Angebot. Eine – technisch mögliche – Ende-zu-Ende-Verschlüsselung für den Wiederherstellungsschlüssel bietet das Unternehmen nicht. Sie würde aber auch der Einfachheit des Nachbar-Ersatzschlüssel-Prinzips zuwiderlaufen. Und: Wer dem Software-Riesen nicht traut, sollte besser kein Microsoft-Konto und besonders kein Windows verwenden.

Die Nachricht, dass Microsoft Wiederherstellungsschlüssel ans FBI herausgegeben hat, sollte allen eine Warnung sein, die leichtfertig mit ihrem Microsoft-Konto umgehen, weil eben die Ersatzschlüssel dort liegen. Ein Anlass, jetzt BitLocker zu ersetzen, dürfte sie wohl nur bei Leuten sein, die Angst vor Ermittlungsbehörden haben müssen: Neben dem Schlüssel braucht es nämlich physischen Zugriff auf den Datenträger.

Die Wiederherstellungsschlüssel sind kein Zauberstab, um telepathisch Daten von Datenträgern lesen zu können oder Windows-Installationen aus der Ferne zu übernehmen. Wozu auch: Während Windows läuft, sind alle Daten sowieso entsperrt, weil sonst weder Windows noch irgendein Programm starten könnte. Das Betriebssystem kann auf alles zugreifen, was nicht separat verschlüsselt ist. Das ist bei Linux, MacOS und Android übrigens genauso.

Was man kritisieren kann, ist, dass Microsoft Nutzern nicht die Wahl lässt: Wer Windows Home einsetzt und den Microsoft-Konto-Zwang nicht umgangen hat, gibt seinen Ersatzschlüssel ungefragt aus der Hand. Andererseits muss man sich auch fragen, was diese Nutzer gewinnen, wenn Sie die seit einiger Zeit automatisch aktiverte Geräteverschlüsselung (unter der Haube Bitlocker) deaktivieren: Statt eventuell legitimierten Behörden könnte dann jeder die Daten lesen, wenn er den Datenträger in die Hand bekommt.

Wer Daten maximal sicher verschlüsseln will, tut gut daran, nicht auf Dritte zu vertrauen. Dazu gehört vor allem, den Schlüssel nicht aus der Hand zu geben. Im Fall von BitLocker ist das durchaus möglich, wenn eine Pro Edition oder vergleichbare Fassung vorhanden ist und man einen Bogen ums Microsoft-Konto macht. Das Problem ist nicht eine Lücke in BitLocker, sondern die Erwartungshaltung. Hohe Sicherheit gibt es nicht gratis, sie macht Arbeit und ist nie perfekt – BitLocker ist für die meisten Benutzer aber gut genug.

(ps)