Windows-Bitlocker-Splitter: Weitere Ungereimtheiten – Teil 2

Veröffentlicht am 22. Mai 2026 von Günter Born

WindowsIm Beitrag Windows-Bitlocker-Splitter: Patches, YellowKey-CVE, Mitigations und Ungereimtheiten – Teil 1 bin ich auf aktuelle Bitlocker-Probleme im Umfeld des April/Mai 2026-Patchday sowie zu YellowKey eingegangen. Aus der Leserschaft liegen mir noch zwei Bitlocker-Splitter zu einem längst bekannten AMD fTPM-Designfehler und zu einem Zertifikatsproblem im Zusammenhang mit WSD vor, die ich gerne zur Diskussion stellen möchte.

AMD fTPM – Designfehler tangiert Bitlocker

Es ist eine Mail von November 2025, die mich von Leser Martin F. erreichte. Unter dem Betreff "AMD fTPM – Designfehler?" schrieb Martin "die Sache ist zwar schon über 2 Jahre, alt aber vielleicht eine gute Ergänzung für den nächsten Beitrag über einen AMD fTPM Bug oder die nächste Bitlocker Schwachstelle. 'TPM+PIN Pre-Boot Auth ist sicher' war einmal – zumindest für viele AMD Ryzen Benutzer".

Der Leser verwies dabei auf den heise-Artikel Firmware-TPM: faulTPM knackt AMD-CPUs nach drei Stunden lokalem Zugriff aus 2023. Martin meint "Die Reaktion seitens AMD macht sprachlos", denn die weisen im Security-Bulletin fTPM Voltage Fault Injection  mit "Physical attacks are not part of the threat protection model for the affected AMD products." jegliche Verantwortung ab. Das Thema ist komplex, zeigt aber, dass Bitlocker keinesfalls "so sicher zum Schutz von Daten" ist, wie möglicherweise angenommen.

WDS – Bitlocker Unlock und ungültige Zertifikate

Blog-Leser Christian K. hatte mich bereits Ende Februar 2026 per E-Mail kontaktiert und eine Frage im Zusammenhang mit Windows Deployment Services (WDS), Bitlocker Unlock und ungültigen Zertifikaten aufgeworfen. Dazu schrieb er folgende:

Ich verfolge schon über Jahre ihren IT Blog und bin immer wieder erstaunt auf welche Themen Sie alltäglich stoßen.

Nun bin ich erstmals auf ein Thema aufmerksam geworden, welches im Netz kaum Beachtung zu finden scheint, ich dies aber nur begrenzt einschätzen kann wie Problematisch es bzgl. der IT-Sicherheit werden kann oder bereits ist. Vielleicht haben Sie ja ein paar Minuten Zeit dafür.

Der Leser ist über den Artikel "Windows: WDS-Support der unattend.xml auf Netzlaufwerken endet im April 2026" auf das nachfolgende Thema aufmerksam geworden.

Zum Hintergrund: Das Unternehmen des Leser plant einen bestehenden WDS-Server abzulösen. Auf diesem WDS läuft erfolgreich ein Feature für die Bitlocker-Netzwerkentsperrung für alle Clients im Unternehmen, sodass die Mitarbeiter beim Start keine Bitlocker-PIN eingeben müssen. Diese Entsperrung erfolgt zertifikatsbasiert (über eigene PKI ausgestellt) – laut Microsoft und BSI(!), Zitat BSI-Artikel:

"Ähnlich wie bei TPM+StartupKey wird hier ein verschlüsselter Startup Key aus dem Netz heruntergeladen und mit Hilfe des TPMs entschlüsselt. Der Netzschlüssel ist auf einem Systemlaufwerk im Netz gespeichert und mit einem AES 256-Bit-Sessionkey sowie dem 2048-Bit-RSA-Publickey des Serverzertifikats verschlüsselt"

Der Kenntnisstand des Leser war bei Zertifikaten bisher, dass eine gültige Zertifikatskette, und unter anderem ein Ablaufdatum, existenziell wichtig sind, um einer Gegenstelle zu vertrauen, eine verschlüsselte Verbindung aufzubauen, oder etwas zu entschlüsseln.

Nun hat der Leser feststellen müssen, dass das im Unternehmen zur Entsperrung des Bitlockers via Network Unlock genutzte Zertifikat Ende 2025 abgelaufen ist. Dennoch arbeiten alle Clients, ohne zu murren, weiterhin mit der Netzwerkentsperrung. Alles läuft wie gewohnt.

Der Leser merkt an, nur über begrenzte Kenntnisse zu verfügen, was die hinterlegte Sicherheitsarchitektur und Verschlüsselung betrifft. Ebenso sind Informationen zu diesem Thema im Netz nicht gerade üppig, schrieb der Leser. Dieser zeigt sich aber verwundert, dass es Microsoft offenbar egal zu sein scheint, was für Sicherheitsmerkmale das Zertifikat aufweist.

Der Leser hatte mir noch nachfolgende Dokumente verlinkt und fragte: "Haben Sie hier Einblicke oder sind Sie dem Thema schon einmal zuvor begegnet?", was ich aber verneinen muss. Ich stelle das Thema aber mal hier im Blog zur Diskussion.

Quellen:
Netzwerkentsperrung (Microsoft Support-Dokument)
Umsetzungshinweis_zum_Baustein_SYS_1_2_2_Windows_Server_2012_docx (BSI-Dokument, Abschnitt Network Unlock)

Artikelreihe:
Windows-Bitlocker-Splitter: Patches, YellowKeys-CVE, Mitigations und Ungereimtheiten – Teil 1
Windows-Bitlocker-Splitter: Weitere Ungereimtheiten – Teil 2

Ähnliche Artikel:
Microsoft Security Update Summary (12. Mai 2026)
Patchday: Windows 10/11 Updates (12. Mai 2026)
Patchday: Windows Server-Updates (12. Mai 2026)
Patchday: Microsoft Office Updates (12. Mai 2026)

Windows 11: Dell bestätigt Probleme des Support Assist (Mai 2026)
Windows 11: Dell Support Assist verursacht BSOD mit Updates (Mai 2026)
Patchday-Nachlese (Mai 2026): Probleme mit Windows 11 und mehr

BitUnlocker-Downgrade-Angriff auf Windows 11 möglich
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.