BitLocker Vorteile/Nachteile? Nutzt ihr BitLocker?

[DocWindows]

Verschlüsselung beruht ja genau darauf, das niemand anders außer mir selbst den Schlüssel hat.
Das der irgendwo (und dann noch online!) abgelegt wird, widerspricht diesem Grundprinzip.

Das ist nur eine Option und keine Pflicht. Die einzige Pflicht besteht darin, den Recoverykey irgendwo abzulegen. Entweder im MS-Konto oder z.B. als PDF-Datei oder auf Papier ausdrucken.
Man kann das PDF hinterher ja wieder löschen.

Es ist auf jeden Fall echt sinnvoll diesen Recoverykey zu haben, falls man das Passwort mal vergisst.

 

[PC295]

Es ist auf jeden Fall echt sinnvoll diesen Recoverykey zu haben, falls man das Passwort mal vergisst.

Den Recovery-Key brauchst du nicht nur, wenn das Passwort vergessen wurde, sondern z.B. in der Wiederherstellungs-Umgebung, falls das System repariert werden muss. Für Systemlaufwerke wird dann nach dem Recovery-Key gefragt, nicht nach dem Passwort.

 

[Apopex]

Wie sieht das aus wenn man mehrere interne Datenträger verbaut hat,
(1.SSD für Windows und eine 2. SSD für die Daten)
und man Formatiert die Systemplatte (C) und Installiert Windows neu.
Erkennt die frische Windows installation das die Daten Platte verschlüsselt ist und findet den passenden key im Microsoft Konto oder muss man die Daten SSD nach der Installation selbst wieder entsperren?

 

[PC295]

Die SSD musst du dann manuell mit den Passwort entsperren.

 

[DocWindows]

@PC295 Ja, kann gut sein. Zum Glück bin ich noch nie in dieser Situation gewesen.
Aber ich habe alle meine Recoverykeys als Dokument abgespeichert und in einem Keepass Container drin. Würde ich dann jederzeit drankommen.

 

[Nilson]

Verschlüsselung beruht ja genau darauf, das niemand anders außer mir selbst den Schlüssel hat.
Das der irgendwo (und dann noch online!) abgelegt wird, widerspricht diesem Grundprinzip.

Ist halt eine Risikoabschätzung, die man für sich treffen muss.
Schätze ich das Risiko höher ein, dass jemand vor meinem PC sitzt bzw. in Besitz meiner (verschlüsselten) Festplatte ist UND zugriff auf mein Microsoft-Konto hat, welches per gutem Passwort und MFA abgesichert wurde, als dass ich doch mal meinen Bitlocker-Recovery verloren haben und nicht mehr (schnell) an meine Daten komme.

 

[andy_m4]

Ist halt eine Risikoabschätzung, die man für sich treffen muss.

Du hast nicht ganz Unrecht.
Ich sehe aber eine gewisse Kompromisslosigkeit auch aus einer anderen Perspektive.
Ich beobachte das zum Beispiel beim Banking. Früher war die Welt einfach. Da gabs die Policy seine Logindaten/PIN nicht weit zu geben. Die Bank hatte nicht mal die Mailadresse.
Wann immer also eine Mail kam mit a-la "Wartungsarbeiten. Bestätige Deine PIN" und solche Scherze war völlig klar: Das ist Blödsinn. Erstens ist es mir strikt untersagt die PIN weiter zu geben. Zweitens hat die Bank nicht meine eMail-Adresse.

Dann würde das aufgeweicht. Banken unterhielten Mailkontakt mit den Kunden. Es gab Dienstleister wie Sofortüberweisung.de, wo man seine Bankdaten hinterlegen musste usw.
Plötzlich muss man bei jeder Mail nachdenken, ob die nicht vielleicht doch echt sein könnte oder nicht oder wie oder was. Das steigert die Fehleranfälligkeit wenn Dinge nicht mehr einfach sind und man Sicherheitsmaßnahmen verwässert.

So ähnlich sehe ich es auch bei der Verschlüsselungskey-Geschichte. Wenn es erst mal ok ist, das ich Keys raus gebe, dann ziehe ich mir damit alle möglichen Unsicherheiten mit ein. Jetzt muss ich plötzlich drüber nachdenken, um die Mail von Microsoft das mir mein Key gestohlen wurde, nicht vielleicht doch echt ist.

Man muss ja auch bedenken, das man solche Entscheidungen nicht immer in Ruhe treffen kann. Möglicherweise war es eh schon ein stressiger Tag und dann kommt das noch oben drauf und dann guckt man doch nicht so genau hin.

Deshalb bin ich ein großer Fan davon Dinge einfach zu halten und klaren Prinzipien zu folgen. Weil man dann nicht droht sich versehentlich in irgendwas zu verheddern.

 

[Apopex]

Danke für eure Antworten

 

[aragorn92]

Verschlüsselung beruht ja genau darauf, das niemand anders außer mir selbst den Schlüssel hat.
Das der irgendwo (und dann noch online!) abgelegt wird, widerspricht diesem Grundprinzip.

Ergänzung (5. März 2023)

Die Antwort auf die Problematik heißt Backup.
Das sollte man übrigens auch dann haben, wenn man nicht verschlüsselt.


Das ist ja aber auch gar nicht das Szenario, wogegen es schützen soll.
Das ist so, als wenn Du sagst: Airbags schützen nicht, wenn ich mein Auto irgendwo geparkt habe.

Die Sicherung im Microsoft-Konto ist rein optional. Aber nicht zwingend. Der Wiederherstellungsschlüssel wird auch nicht automatisch im Microsoft Konto gespeichert.

 

[andy_m4]

Die Sicherung im Microsoft-Konto ist rein optional. Aber nicht zwingend.

Das ändert doch nix daran, das das ne prinzipiell schlechte Idee ist.

 

[Azdak]

Kann man so nicht sagen, denn im Prinzip geht es darum, was man erreichen will.
Kleines Beispiel. Wenn Bitlocker eingesetzt wird, damit persönliche Daten nicht in fremde Hände geraten nach einem zufälligen Diebstahl oder Defekt, kann die Sicherung auch gerne bei MS liegen. Willst du dich gegen Geheimdienste damit schützen, dann kannst du gerne die Sicherung auf nem USB-Stick permanent in deiner Unterbuxe rum tragen. Es wird nichts nützen wenn du dich denen nicht auch physisch entziehst.

 

[Apopex]

Die Sicherung im Microsoft-Konto ist rein optional. Aber nicht zwingend. Der Wiederherstellungsschlüssel wird auch nicht automatisch im Microsoft Konto gespeichert.

Also bei mir ist der automatisch im Microsoft Konto gespeichert... wurde da auch nicht gefragt ob ich das möchte oder nicht.
Genau so war Bitlocker direkt nach der Installation von Windows11 aktiviert. Wer das nicht möchte muss BitLocker hinterher selbst deaktivieren.

 

[PC295]

Diese einfache Geräteverschlüsselung ist anfälliger auf Angriffe um sich Zugriff auf Dateien zu verschaffen.
In der Pro-Version mit Bitlocker-Verwaltung stehen mehr Schutzfunktion dort oder in den Gruppenrichtlinien zur Verfügung. Es können z.B. beim Start zusätzliche Schutzvorrichtungen wie PIN eingerichtet werden.

Aktuell kann die Geräteverschlüsselung über eine Schwachstelle in der Wiederherstellungspartition umgangen werden:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41099

(Ein Update ist verfügbar, welches manuell eingespielt werden muss. Dazu hat MS diese Woche ein Skript bereitgestellt.)

Nutzer die eine Pre-Boot-Authentifizierung (PIN/Passwort+TPM) verwenden sind davon nicht betroffen. Es ist halt wie eine Zwei-Faktor-Authentifizierung.

 

[andy_m4]

Kann man so nicht sagen, denn im Prinzip geht es darum, was man erreichen will.

Dazu hatte ich mich bereits geäußert.

kann die Sicherung auch gerne bei MS liegen

Ist ja nicht so, das aus Clouds nicht auch Daten "wegkommen" können.
Und sowas anzugreifen ist sogar im Gegensatz zur von Dir genannten Unterbuxe hochattraktiv, weil Du da gleich viele Keys kriegst und nicht nur Einen.

Klar kann man immer irgendwie verargumentieren das man das ja nicht so eng sehen müsse und so. Notfalls zieht man halt das gute alte "Wer will mich schon ausspionieren" aus dem Hut.
Der Grundgedanke bei "Private Key" ist aber nun mal das der Key "Private" ist. Davon sollte man halt nicht ohne Not abweichen.
Und falls ja, sollte man das aber bewusst machen und nicht nur, weils angeboten wird und bequem erscheint. Und genau darum geht es. Darauf hinzuweisen.