{"id":325259,"date":"2026-05-22T00:04:05","date_gmt":"2026-05-21T22:04:05","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=325259"},"modified":"2026-05-21T23:57:59","modified_gmt":"2026-05-21T21:57:59","slug":"windows-bitlocker-splitter-weitere-ungereimtheiten-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/22\/windows-bitlocker-splitter-weitere-ungereimtheiten-teil-2\/","title":{"rendered":"Windows-Bitlocker-Splitter: Weitere Ungereimtheiten – Teil 2"},"content":{"rendered":"

\"Windows\"Im Beitrag\u00a0Windows-Bitlocker-Splitter: Patches, YellowKey-CVE, Mitigations und Ungereimtheiten<\/a> – Teil 1 bin ich auf aktuelle Bitlocker-Probleme im Umfeld des April\/Mai 2026-Patchday sowie zu YellowKey eingegangen. Aus der Leserschaft liegen mir noch zwei Bitlocker-Splitter zu einem l\u00e4ngst bekannten AMD fTPM-Designfehler und zu einem Zertifikatsproblem im Zusammenhang mit WSD vor, die ich gerne zur Diskussion stellen m\u00f6chte.<\/p>\n

<\/p>\n

AMD fTPM – Designfehler tangiert Bitlocker<\/h2>\n

\"\"Es ist eine Mail von November 2025, die mich von Leser Martin F. erreichte. Unter dem Betreff \"AMD fTPM – Designfehler?\" schrieb Martin \"die Sache ist zwar schon \u00fcber 2 Jahre, alt aber vielleicht eine gute Erg\u00e4nzung f\u00fcr den n\u00e4chsten Beitrag \u00fcber einen AMD fTPM Bug oder die n\u00e4chste Bitlocker Schwachstelle. 'TPM+PIN Pre-Boot Auth ist sicher' war einmal – zumindest f\u00fcr viele AMD Ryzen Benutzer\".<\/p>\n

Der Leser verwies dabei auf den heise-Artikel\u00a0Firmware-TPM: faulTPM knackt AMD-CPUs nach drei Stunden lokalem Zugriff<\/a> aus 2023. Martin meint \"Die Reaktion seitens AMD macht sprachlos\", denn die weisen im Security-Bulletin\u00a0fTPM Voltage Fault Injection<\/a> \u00a0mit \"Physical attacks are not part of the threat protection model for the affected AMD products.\" jegliche Verantwortung ab. Das Thema ist komplex, zeigt aber, dass Bitlocker keinesfalls \"so sicher zum Schutz von Daten\" ist, wie m\u00f6glicherweise angenommen.<\/p>\n

WDS – Bitlocker Unlock und ung\u00fcltige Zertifikate<\/h2>\n

Blog-Leser Christian K. hatte mich bereits Ende Februar 2026 per E-Mail kontaktiert und eine Frage im Zusammenhang mit Windows Deployment Services (WDS), Bitlocker Unlock und ung\u00fcltigen Zertifikaten aufgeworfen. Dazu schrieb er folgende:<\/p>\n

Ich verfolge schon \u00fcber Jahre ihren IT Blog und bin immer wieder erstaunt auf welche Themen Sie allt\u00e4glich sto\u00dfen.<\/p>\n

Nun bin ich erstmals auf ein Thema aufmerksam geworden, welches im Netz kaum Beachtung zu finden scheint, ich dies aber nur begrenzt einsch\u00e4tzen kann wie Problematisch es bzgl. der IT-Sicherheit werden kann oder bereits ist. Vielleicht haben Sie ja ein paar Minuten Zeit daf\u00fcr.<\/p><\/blockquote>\n

Der Leser ist \u00fcber den Artikel \"Windows: WDS-Support der unattend.xml auf Netzlaufwerken endet im April 2026<\/a>\" auf das nachfolgende Thema aufmerksam geworden.<\/p>\n

Zum Hintergrund:\u00a0Das Unternehmen des Leser plant einen bestehenden WDS-Server abzul\u00f6sen. Auf diesem WDS l\u00e4uft erfolgreich ein Feature f\u00fcr die Bitlocker-Netzwerkentsperrung f\u00fcr alle Clients im Unternehmen, sodass die Mitarbeiter beim Start keine Bitlocker-PIN eingeben m\u00fcssen. Diese Entsperrung erfolgt zertifikatsbasiert (\u00fcber eigene PKI ausgestellt) – laut Microsoft und BSI(!), Zitat BSI-Artikel:<\/p>\n

\"\u00c4hnlich wie bei TPM+StartupKey wird hier ein verschl\u00fcsselter Startup Key aus dem Netz heruntergeladen und mit Hilfe des TPMs entschl\u00fcsselt. Der Netzschl\u00fcssel ist auf einem Systemlaufwerk im Netz gespeichert und mit einem AES 256-Bit-Sessionkey sowie dem 2048-Bit-RSA-Publickey des Serverzertifikats verschl\u00fcsselt\"<\/p><\/blockquote>\n

Der Kenntnisstand des Leser war bei Zertifikaten bisher, dass eine g\u00fcltige Zertifikatskette, und unter anderem ein Ablaufdatum, existenziell wichtig sind, um einer Gegenstelle zu vertrauen, eine verschl\u00fcsselte Verbindung aufzubauen, oder etwas zu entschl\u00fcsseln.<\/p>\n

Nun hat der Leser feststellen m\u00fcssen, dass das im Unternehmen zur Entsperrung des Bitlockers via Network Unlock genutzte Zertifikat Ende 2025 abgelaufen ist. Dennoch arbeiten alle Clients, ohne zu murren, weiterhin mit der Netzwerkentsperrung. Alles l\u00e4uft wie gewohnt.<\/p>\n

Der Leser merkt an, nur \u00fcber begrenzte Kenntnisse zu verf\u00fcgen, was die hinterlegte Sicherheitsarchitektur und Verschl\u00fcsselung betrifft. Ebenso sind Informationen zu diesem Thema im Netz nicht gerade \u00fcppig, schrieb der Leser. Dieser zeigt sich aber verwundert, dass es Microsoft offenbar egal zu sein scheint, was f\u00fcr Sicherheitsmerkmale das Zertifikat aufweist.<\/p>\n

Der Leser hatte mir noch nachfolgende Dokumente verlinkt und fragte: \"Haben Sie hier Einblicke oder sind Sie dem Thema schon einmal zuvor begegnet?\", was ich aber verneinen muss. Ich stelle das Thema aber mal hier im Blog zur Diskussion.<\/p>\n

Quellen:
\nNetzwerkentsperrung<\/a> (Microsoft Support-Dokument)
\nUmsetzungshinweis_zum_Baustein_SYS_1_2_2_Windows_Server_2012_docx<\/a> (BSI-Dokument, Abschnitt Network Unlock)<\/p>\n

Artikelreihe:<\/strong>
\nWindows-Bitlocker-Splitter: Patches, YellowKeys-CVE, Mitigations und Ungereimtheiten <\/a>– Teil 1
\nWindows-Bitlocker-Splitter: Weitere Ungereimtheiten<\/a> – Teil 2<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Security Update Summary<\/a>\u00a0(12. Mai 2026)
\nPatchday: Windows 10\/11 Updates<\/a>\u00a0(12. Mai 2026)
\nPatchday: Windows Server-Updates<\/a>\u00a0(12. Mai 2026)
\nPatchday: Microsoft Office Updates<\/a>\u00a0(12. Mai 2026)<\/p>\n

Windows 11: Dell best\u00e4tigt Probleme des Support Assist (Mai 2026)<\/a>
\nWindows 11: Dell Support Assist verursacht BSOD mit Updates (Mai 2026)<\/a>
\nPatchday-Nachlese (Mai 2026): Probleme mit Windows 11 und mehr<\/a><\/p>\n

BitUnlocker-Downgrade-Angriff auf Windows 11 m\u00f6glich<\/a>
\nChaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Im Beitrag\u00a0Windows-Bitlocker-Splitter: Patches, YellowKey-CVE, Mitigations und Ungereimtheiten – Teil 1 bin ich auf aktuelle Bitlocker-Probleme im Umfeld des April\/Mai 2026-Patchday sowie zu YellowKey eingegangen. Aus der Leserschaft liegen mir noch zwei Bitlocker-Splitter zu einem l\u00e4ngst bekannten AMD fTPM-Designfehler und zu … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[62,4328,3288],"class_list":["post-325259","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-bitlocker","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325259","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=325259"}],"version-history":[{"count":2,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325259\/revisions"}],"predecessor-version":[{"id":325265,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325259\/revisions\/325265"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=325259"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=325259"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=325259"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}