Kurzer Nachtrag von gestern: Es ist gerade bekannt geworden, dass Microsoft gerichtlich dazu gezwungen wurde, den Bitlocker-Recovery-Key eines Windows Systems an das amerikanische FBI zu übergeben, damit dieses Datenträger entschlüsseln kann. Das berichtet das US-Magazin Forbes.
FBI bekommt Bitlocker-Key übergeben
Ein Leser hatte mich bereits gestern auf den Sachverhalt hingewiesen – das Nachrichtenmagazin Forbes musste einen Bitlocker-Wiederherstellungs-Schlüssel an das amerikanische FBI übergeben. Dieses ist dann in der Lage, mit Bitlocker verschlüsselte Datenträger zu entschlüsseln.
Das geht aus dem Forbes-Artikel Encrypted Data, Exposing Major Privacy Flaw hervor. Dem Magazin gegenüber hat Microsoft die Praxis bestätigt, dass es verfügbare BitLocker-Wiederherstellungsschlüssel an Strafverfolger bereitstellt, wenn es eine gültige gerichtliche Anordnung erhält. "Die Schlüsselwiederherstellung bietet zwar Komfort, birgt jedoch auch das Risiko unerwünschter Zugriffe. Daher ist Microsoft der Ansicht, dass Kunden am besten selbst entscheiden können, wie sie ihre Schlüssel verwalten möchten", erklärte Microsoft-Sprecher Charles Chamberlayne gegenüber Forbes. Laut Forbes sagte Microsoft, dass man jährlich etwa 20 Anfragen nach BitLocker-Schlüsseln erhält und diese auf Grundlage gültiger Gerichtsbeschlüsse an Behörden weitergibt.
Der Guam-Fall
Anfang 2024 stellte das FBI Microsoft Microsoft einen Durchsuchungsbefehl zu und forderte das Unternehmen auf, Wiederherstellungsschlüssel zur Entschlüsselung verschlüsselter Daten auf drei Laptops bereitzustellen. Ermittler der Bundesbehörden in Guam gingen davon aus, dass die Geräte Beweise enthielten, die belegen würden, dass Personen, die für das Covid-Arbeitslosenhilfeprogramm der Insel zuständig waren, an einem Komplott zum Diebstahl von Geldern beteiligt waren.
Forbes schreibt, dass der Fall Guam der erste bekannte Fall sei, in dem Microsoft einen Verschlüsselungscode an Strafverfolgungsbehörden weitergegeben habe. Es heißt, dass bereits 2013 ein Microsoft-Ingenieur angab, dass er "von Regierungsbeamten gebeten" worden sei, Hintertüren in BitLocker einzubauen, diese Bitte jedoch abgelehnt habe.
In dem noch nicht abgeschlossenen "Guam-Case" geht aus den Gerichtsakten hervor, dass der Durchsuchungsbefehl erfolgreich vollstreckt wurde. Die Anwältin der Angeklagten Charissa Tenorio, der sich übrigens als nicht schuldig bezeichnet, erklärte, dass die ihr von den Staatsanwälten zur Verfügung gestellten Unterlagen auch Informationen aus dem Computer der Mandanten enthalten. Darunter fangen sich auch Hinweise auf BitLocker-Schlüssel, die Microsoft dem FBI zur Verfügung gestellt hatte.
Arge Bedenken gegen diese Praxis
Das Ganze wirft ein spezielles Licht auf das Thema Microsoft und dessen Bitlocker-Verschlüsselung. Im Hinterkopf hatte eigentlich jeder Informierte dieses Szenario, und ich habe bei diesem Bericht an die Trump-US-Administration und die derzeitigen Aktionen der US-Einwanderungsbehörden gegen Personen in US-Städten gedacht.
"Es handelt sich um private Daten auf einem privaten Computer, und sie haben sich architektonisch dafür entschieden, den Zugriff auf diese Daten zu beschränken. Sie sollten sie unbedingt wie etwas behandeln, das dem Benutzer gehört", zitiert Forbes Matt Green, einen Kryptografie-Experten und außerordentlicher Professor am Johns Hopkins University Information Security Institute.
Granick äußerte gegenüber Forbes Bedenken hinsichtlich des Umfangs der Informationen, die das FBI erhalten könnte, wenn Agenten Zugriff auf durch BitLocker geschützte Daten erhalten. "Die Schlüssel verschaffen der Regierung Zugriff auf Informationen, die weit über den Zeitrahmen der meisten Verbrechen hinausgehen, nämlich auf alles, was sich auf der Festplatte befindet. Dann müssen wir darauf vertrauen, dass die Agenten nur nach Informationen suchen, die für die genehmigte Ermittlung relevant sind, und die Gelegenheit nicht ausnutzen, um herumzuschnüffeln."
"Wenn Apple das kann, wenn Google das kann, dann kann Microsoft das auch. Microsoft ist das einzige Unternehmen, das dies nicht tut", fügte Granick hinzu. "Das ist ein wenig seltsam … Die Lehre daraus ist, dass, wenn man Zugriff auf Schlüssel hat, irgendwann die Strafverfolgungsbehörden kommen werden." Unternehmen wie Apple und Meta haben ihre Systeme jedoch so eingerichtet, dass eine solche Verletzung der Privatsphäre nicht möglich ist.
Bitlocker-Recovery-Key ist Microsoft bekannt
Microsoft propagiert Bitlocker ja als Möglichkeit, vertrauliche Daten auf Medien vor dem Drittzugriff zu verschlüsseln. Windows entschlüsselt beim Booten automatisch die Daten an Hand des Keys (z.B. im TPM-Chip). Benutzer können einen Recovery-Key für Bitlocker auf einem eigenen Gerät (USB-Stick) speichern oder ausdrucken. Microsoft empfiehlt aber BitLocker-Benutzern aus Gründen der Bequemlichkeit, ihre Schlüssel auf seinen Servern zu speichern. Das bedeutet zwar, dass jemand auf ihre Daten zugreifen kann, wenn sie ihr Passwort vergessen oder wenn wiederholte fehlgeschlagene Anmeldeversuche das Gerät sperren, aber es macht sie auch anfällig für Vorladungen und Durchsuchungsbefehle von Strafverfolgungsbehörden.
Bei Bitlocker ist es so, das Microsoft den Bitlocker-Recovery-Key im Microsoft-Konto des Gerätebesitzers speichert. Ich hatte ja im Blog-Beitrag Windows-Frage: Wo speichert Bitlocker den Recovery-Key? aufgezeigt, wo dieser Key überall gespeichert sein kann. Und Microsoft hat Zugriff auf diesen Bitlocker-Recovery-Key. Jetzt muss jeder selbst seine Schlüsse ziehen.
Ähnliche Artikel:
38C3: Bitlocker über Schwachstellen ausgehebelt (Dez. 2024)
Bitlocker über TPM binnen 42 Sekunden mit Raspberry Pi Pico ermittelt
Windows 10/11: Oktober 2025-Updates triggern Bitlocker-Recovery
Windows: Bitlocker-Verschlüsselung über Bitpixie (CVE-2023-21563) ausgehebelt
Windows-Frage: Wo speichert Bitlocker den Recovery-Key?
Souveräne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern)
Gutachten belegt: Europäische Cloud-Inhalte sind vor US-Zugriff ungeschützt
Keine digitale Souveränität: Französischer Richter Nicolas Guillou gerät nach US-Sanktionen in Digitaler Steinzeit; OVH soll Daten eines Kunden an Kanada liefern
MVP: 2013 – 2016
Die deutsche Formulierung "das Nachrichtenmagazin Forbes musste einen Bitlocker-Wiederherstellungs-Schlüssel an das amerikanische FBI übergeben." paßt nicht zum englischen Text. Forbes hat BERICHTET, daß MICROSOFT den Key übergeben hat. Typischer KI-Fehler.
1. BitLocker-Schlüssel niemals im MS-Konto speichern! Und wenn es noch so bequem ist!
2. Besser noch BitLocker gar nicht erst nutzen und stattdessen VeraCrypt benutzen.
3. Beste Option Windows meiden und nicht benutzen, es soll auch andere Betriebssysteme geben. :D
"…Daher ist Microsoft der Ansicht, dass Kunden am besten selbst entscheiden können, wie sie ihre Schlüssel verwalten möchten"
Will Microsoft doch tatsächlich die Kunden mal was selbst entscheiden lassen…!?
Nein!
Erstens ist das alles so voreingestellt, dass der Key immer in der Cloud landet,
man muss also sehr gezielt das Abstellen
uns zweitens geht das nicht in allen Windowsversionen, z.B. Stichwort ESU.
Was hat das mit ESU zu tun?
Das war doch zu erwarten was in die Ermittlungsbehörden in den USA haben wollen bekommen sie, egal was Microsoft verspricht.
Sollte doch bekannt sein!
Erinnere Dich an die Befragung des MS-Juristen in Frankreich!
"US-Behörden haben IMMER Zugriff auf Daten, die von US-amerikanischen Unternehmen verwaltet werden, selbst wenn es europäische Tochterfirmen sind!
Mal etwas zum Thema Cloud Act nachlesen, das hilft beim Verstehen.
Das wäre in D genauso. Wenn Behörden zwingend diese Entschlüsselung benötigen
und auch vollkommen zu recht!
Ciao Windows.
Wie viele Gründe braucht man noch?
Klar, für Firmen ist es meist nicht so leicht.
Aber privat würde ich das nie wieder nutzen.
Vor 10 Jahren wurde man für solche Behauptungen belächelt.
Und jetzt tun alle so überrascht…
Also ich sehe das nicht so kritisch… sorry, aber solange ein Gerichtsbeschluß dafür notwendig ist, ist das Ok!
Oder wollt Ihr Schwerstkriminelle schützen? Auch in der USA interessiert sich das FBI nicht für den kleinen Ladendieb! Das sind dann schon "größere Kaliber".
Was es dazu halt braucht sind integre Richter, die nicht einfach so Beschlüße rausgeben! Also unsere Hamburger Richter scheiden da dann aus…
Sehe ich auch so, hat trotzdem ein "Geschmäckle", weil die "integren Richter"…
Im osmanischen Reich haben die Großwesire den Koran so lange bearbeitet (gebogen), bis die Fatwa stand, die der Sultan in seinem Sinne angefordert hatte. Dieses Verhalten zog sich durch alle Gesellschaften und Gesellschaftsformen, leider. Aber jeder kann sich selbst Gedanken machen, wie er seine Daten schützen möchte.
Aber ich glaube, das MS sich da trotzdem gerade einen Bärendienst erwiesen hat.
Mir ging oben spontan Miras Einwand auch durch den Kopf.
"Befragung des MS-Juristen in Frankreich!
"US-Behörden haben IMMER Zugriff auf Daten, die von US-amerikanischen Unternehmen verwaltet werden, selbst wenn es europäische Tochterfirmen sind!". Siehe in diesem Sinne die "europäische" Amazon-EU-Cloud…
Es geht im Artikel nicht um Gerichtsbeschluss oder Schwerstkriminelle. Es geht darum, dass die Information als solches auf den Tisch gehört. Dann kann jeder entscheiden, wie er verfährt, speziell, wenn er Produkte verwendet, die von Firmen international eingesetzt werden.
Ich möchte es nicht separat ausführen, aber was in einem Land eine Angelegenheit, mit Beschluss einer unabhängigen Justiz, ist, kann in einem anderen Land gänzlich anders ausschauen. Und der Experte hat in obigem Guam-Fall ja bereits darauf hingewiesen: Wertet das FBI nur das aus, was bzgl. des Vorwurfs relevant ist, oder wird alles mögliche durchforstet?
So einfach ist das nicht. Erstens sind es zunächst einmal nur TatVERDÄCHTIGE, es gilt bekanntlich die Unschuldsvermutung. Und zweitens werden auch bei uns Beschlüsse von Gerichten häufig erstaunlich leichtfertig erlassen. Das BVerfG hat bekanntlich schon oft Hausdurchsuchungen nachträglich als rechtswidrig bezeichnet und wieder einkassiert. Was dann allerdings nichts daran ändert, dass die Durchsuchungen zunächst stattfanden, weil sie von unteren Gerichten abgesegnet wurden. Ein Beispiel von vielen: In NRW wurden Anfang 2025 zwei Hausdurchsuchungen vom zuständigen Amtsgericht genehmigt, bei denen noch nicht einmal ein Anfangsverdacht (zureichende tatsächliche Anhaltspunkte gemäß § 152 StPO) vorlag, wie die höhere Instanz vor kurzem urteilte. Das schwerwiegende "Verbrechen", um das es dabei ging, waren Anti-Merz-Schmierereien. Es betrifft also keineswegs nur mutmaßliche Schwerkriminelle, wie du unterstellst. Auch der unschuldige Normalbürger kann betroffen sein, wenn etwa der Provider bei der Zuordnung von IP-Adressen schlampt. Alles schon vorgekommen.
Ich habe meine privaten Windows-PCs nicht verschlüsselt, weil das im Notfall (Datenrettung, Partionierungs-Änderung, …) alles wahnsinnig kompliziert macht. Wenn ich es aber tun müsste, dann wohl mit Veracrypt.
Oder man bastelt ein trojanisches Pferd, außen Bitlocker, und kaum denken "sie", sie haben es geschafft, innen drin Veracrypt.
Aber man sieht, auch mit Google und Apple ist man da nicht auf der sicheren Seite.
Interessant wäre zu erfahren, ob deutsche/europäische Polizei auch diese Möglichkeit haben/bekommen können. Ansonsten ist das zumindestens hier auf dem Kontinent eine Meta-Diskussion.
Zitat:
"Ich habe meine privaten Windows-PCs nicht verschlüsselt, weil das im Notfall (Datenrettung, Partionierungs-Änderung, …) alles wahnsinnig kompliziert macht. Wenn ich es aber tun müsste, dann wohl mit Veracrypt."
—
Die Nachteile existieren nicht, wenn man in VeraCrypt "Container"-Datei statt "Partition"-Verschlüsselung benutzt.
Windows selber bleibt dann unverschlüsselt, aber die eigenen Dateien kann man in einer verschlüsselten Container-Datei speichern.
Privat und Windows. Selber schuld, würde ich sagen.
Self-Destruct SSD – Reinforcing Sensitive Data Protection and Pioneering Innovation in Industrial Cybersecurity – One-Click Data Destruction, haben "solche Typen" doch wohl alle -oder nicht? :)
ibb.co/XrHPLM39