Bitlocker

[TorenAltair]

Laptop is jetzt 3 jahre alt.

Erinnerst Du Dich, ob Du beim Einschalten noch die Sachen wie Sprache wählen musstest oder ob Du direkt auf den Windows-Desktop gekommen bist?

 

[qiller]

Vlt. wurde der Laptop ja tatsächlich mal mit einem lokalen Konto eingerichtet und später, weil man z.B. MS Office aktivieren musste, ein MS-Online Konto hinzugefügt. Und dann nervt Windows vlt. noch rum, ob man sich nicht doch viel lieber (husthust) mit dem MS-Online Konto auch in Windows anmelden möchte (schön verklausuliert, damit kein Laie versteht, worums hier eigt. geht) und hat dann auf "Ja"/"Ok" gedrückt :x. Und zack, wurde dann der Bitlockerschutz aktiviert. Natürlich ohne den Nutzer in irgendeiner Weise darauf hinzuweisen.

 

[mchawk777]

Dich nie etwas eingerichtet habe, habe ich auch kein Passwort.

Doch. Du kennst es nur nicht - wie ich auch nicht, denn das Passwort ist in Deinem TPM 2.0-Modul abgelegt. 😉
Was Du benötigst ist der Notfallschlüssel, und jener ist üblicherweise in Deinem Microsoft-Konto (online) abgelegt, solltest Du ihn nicht irgendwo anders notiert, ausgedruckt oder abgespeichert haben.

Sind nun alle Daten verloren?

Wenn Dir jetzt was mulmig wird, dann fängst Du an auf die harte Tour zu lernen, warum man Backups machen muss - nicht sollte - muss!

Wie kann es sein das so etwas geschieht?

Chipbasierte Datenträger werden von Haus aus verschlüsselt - allein um Deine Daten zu schützen - und sei es im Recycling der SSDs.
Apple und Google machen das schon seit Jahren - nur Microsoft ist mal wieder zu spät auf der Party - und Linux... naja, Linux sagt halt im Zweifel: "Der User ist selbst schuld, wenn ihm Daten gestohlen werden, hätte ja eigenständig VeryCrypt nutzen können." 😉

Sehr zu empfehlen: Chaosradio #270. Da wird noch mal ganz genau erläutert, warum Backups und Verschlüsselung notwendig sind.
Oder anders: Wenn Du denkst, Deine Daten wären anders sicher oder könnten sicher gelöscht werden .... Öhm! Nö, wenn man die Betonung auf "sicher" legt. 😉

Also: Ab ins Mircosoft-Konto und den Notfallschlüssel notieren.

Ergänzung (16. Januar 2026)

Bei win11 wird das automatisch gemacht, wenn man ein Microsoft Konto nutzt, der Recovery Key steht dann im Microsoft Konto

Das ist inzwischen nicht ganz(!) korrekt.
Ein MS-Konto ist bei der Ersteinrichtung Pflicht.
Wenn Du das umgehst und vergisst die automatische Verschlüsselung abzuschalten (Da gibt es bei Rufus extra ein Häkchen), dann wird auch ohne MS-Konto verschlüsselt.
Man muss bei "Bastellösungen" halt wissen, was man tut - ganz wie bei Linux. 😉

erklärt Windows 11 überhaupt bei der Einrichtung dem User, dass so ein Bitlocker Schlüssel irgendwo im Konto steht?

Wer liest denn als Laie solche Hinweise und merkt sie sich dauerhaft?
Dafür sind wir doch hier. 😉
Mal abgesehen davon, dass sich die Meldungen häufen, dass da gar kein Hinweis erfolgt.
Ich kann das von meiner Seite her in sofern nicht bestätigen, da ich jetzt nicht ständig die Notwendigkeit habe, Windows neu aufsetzen zu müssen - und im Augenblick auch keine Lust habe das zu testen. 🤷‍♂️

Ja mein Laptop war fertig eingerichtet gekauft. Ich hatte keine Ahnung das es Bitlocker überhaupt gibt. Wollte nur das BIOS update machen und nun soll meine ssd unbrauchbar sein?? Find ich sehr fragwürdig. Ich bin nur 0815 Nutzer.

Mal ganz offen: Das Problem, wenn Du so willst, ist nicht die Verschlüsselung - es wäre wenn Weigerung oder Ignoranz nach über einem Vierteljahrhundert ständiger Hinweise auf Backups sie nach wie vor nicht anzulegen.
Die Leidklagen der Leute, die das auf die harte Tour lernen, schallen mitunter regelmäßig durch die Foren - inkl. iOS, Android usw. 🤷‍♂️

Im blauen Bild steht das ich den Schlüssel eingeben soll. In meinem Konto ist leider keiner .

Hast Du den Rechner denn mit einem Microsoft-Konto eingerichtet - oder es so hingebogen, dass Du zur Einrichtung ein lokales Konto nutzen durftest?
Anyway: In dem Fall sind alle Daten weg - unwiederbringlich. Lässt sich auch nicht schön reden.

Vlt. wurde der Laptop ja tatsächlich mal mit einem lokalen Konto eingerichtet und später

Wenn man bei Rufus vergisst das Häkchen bei der Laufwerksverschlüsselung raus zu nehmen wird halt verschlüsselt - das wäre für mich die naheliegende Erklärung.

 

[qiller]

Wenn man bei Rufus vergisst das Häkchen bei der Laufwerksverschlüsselung raus zu nehmen wird halt verschlüsselt - das wäre für mich die naheliegende Erklärung.

Jein. Es wird die Verschlüsselungskonvertierung direkt bei der Installation angestoßen (quasi mit nem Dummy-Schlüssel), der Schutzstatus aber noch nicht automatisch aktiviert. Das würde erst dann passieren, wenn man nach der Installation dann das Nutzerkonto einrichtet. Und da ist es ja (bei der Home Edition) Standard, ein MS-Online Konto anlegen zu müssen. Umgeht man jetzt diesen Zwang zum MS-Online Konto, kann der Schutzstatus nicht aktiviert werden und Bitlocker verbleibt in diesem "Schwebezustand" aus Verschlüsselung mit nem Dummy-Key. Das ist übrigens derselbe Zustand, wie wenn man Bitlocker "anhält", um ein UEFI/BIOS/TPM-Update zu machen. Da wird die Partition nicht komplett "entschlüsselt" und nach dem Aktivieren des Schutzstatus wieder "verschlüsselt" (das würde nämlich ne Weile dauern), sondern nur der Zugriff auf dem im TPM gespeicherten Verschlüsselungskey freigegeben.

 

[Atanatar]

Ich bin ein .......
Ich hab damals das Ausstellungsstück gekauft. Fällt mir jetzt ein. Das heißt Elektro Meyer hat das Passwort.

Erklärt alles. Warum der computer nicht in meinem Microsoft Account registriert ist.
Hätte ich ummelden müssen. Fuck


Lieben Dank euch.

 

[crashbandicot]

https://stadt-bremerhaven.de/microsoft-haendigte-bitlocker-keys-an-das-fbi-aus/

Wurde hier ja auch angesprochen.

 

[mchawk777]

O.K. - Bis gerade jetzt dachte ich, dass Microsoft bezüglich dieser Daten eine Zero-Knowledge-Strategie fahren würde.
Ehrlich gesagt macht mir das FBI weniger Gedanken als die Konsequenz von einem Databreach. 😲

 

[redjack1000]

Nein, Ohhhh, Doch. Ich bin jetzt nicht überrascht das die Daten herausgegeben werden. Das gute daran ist, das es zugegeben wird.

Cu
redjack

 

[mchawk777]

@redjack1000 Da ich BitLocker aus anderen Gründen auf meinem Hauptrechner gerade deaktiviert habe müssten ggf. hinterlegte Schlüssel wuppe sein - und anscheinend blockiert Pi-Hole das automatische Ablegen von BitLocker-Schlüseln auf dem MS-Konto. Lief bei mir immer auf "Fehler".

 

[redjack1000]

und anscheinend blockiert Pi-Hole das automatische Ablegen von BitLocker-Schlüseln auf dem MS-Konto

Das mag sein, ändert nichts daran, solange der Schlüssel bei MS in der Cloud liegt, sind die Daten, die mit Bitlocker verschlüsselt wurden, nicht sicher.

Cu
redjack

 

[PC295]

Das sollte eigentlich jeden Bitlocker-Nutzer bekannt sein, dass Wiederherstellungsschlüssel nichts im MS-Konto zu suchen haben.
Genauso wenig wie ausgedruckt unter der Tastatur oder unverschlüsselt irgendwo auf der Festplatte oder einem USB-Stick.

Aber der Fall zeigt zumindest, dass auch das FBI nicht ohne Kenntnis des Wiederherstellungsschlüssels auf Bitlocker-verschlüsselte Datenträger zugreifen kann.
Es gibt also als keine Hintertüren oder Generalschlüssel wie vereinzelnd im Web behauptet wird.

 

[qiller]

Das sollte eigentlich jeden Bitlocker-Nutzer bekannt sein, dass Wiederherstellungsschlüssel nichts im MS-Konto zu suchen haben.

Ähm ja, da musste ich doch schon etwas schmunzeln:

1. "Da draußen" gibts jede Menge "Bitlocker-Nutzer", die gar nicht wissen, dass sie Bitlocker-Nutzer sind (siehe diesen und jede Menge anderer Threads hier im Forum). Nämlich sogut wie alle DAUs, die sich in den letzten Jahren einfach einen neuen Windows Laptop geholt und treudoof sich mit einem MS-Online Konto in Windows angemeldet haben.

2. Selbst wenn sie wüssten, dass ihr Laufwerk verschlüsselt wird, wissen viele nicht, dass der Wiederherstellungsschlüssel durch das Nutzen des MS-Online Kontos für die Windows-Anmeldung zu Microsoft hochgeladen wird und Microsoft logischerweise Zugriff auf diesen Schlüssel hat. Es gibt halt keinen sinnvoll sichtbaren Hinweis auf die Verschlüsselung für so einen ahnungslosen Nutzer beim Einrichten eines neuen Gerätes. Sonst könnte ja ein datenschutz- und privatsphären sensitiver Mensch vlt. auch selber entscheiden, ob und wie er Bitlocker aktiviert und ob der Cloudspeicher ein sinnvolles Ziel für sowas wichtigem wie dem Wiederherstellungsschlüssel ist.

3. Das ist der aktuelle Standardzustand von Windows 11. Sprich, MS möchte das genau so haben. Warum sollte jetzt ein normaler Nutzer, der sich mit der Materie 0 beschäftigt, diesen Standardzustand, den der Hersteller des OS so ausliefert, hinterfragen?

Wir sind hier auf CB in einer Techbubble. WIR hier wissen vlt., dass sowas sensitives wie ein Verschlüsselungskey nicht unverschlüsselt in irgendwelche Cloudspeicher gespeichert gehören. Aber die Mehrzahl der Nutzer außerhalb solcher Techbubbles weiß das eben nicht.

 

[crashbandicot]

Aber der Fall zeigt zumindest, dass auch das FBI nicht ohne Kenntnis des Wiederherstellungsschlüssels auf Bitlocker-verschlüsselte Datenträger zugreifen kann.
Es gibt also als keine Hintertüren oder Generalschlüssel wie vereinzelnd im Web behauptet wird.

Warum sollte das FBI seine Fähigkeiten und ggf. noch unbekannte Schwachstellen preisgeben, wenn man einfach per Gerichtsbeschluss an die Daten kommen kann?

 

[PC295]

Warum sollte das FBI seine Fähigkeiten und ggf. noch unbekannte Schwachstellen preisgeben

Das müssten Sie doch ohnehin nicht.

 

[Schwachkopp]

@PC295
Das Argument ist, dass man so tut, als wäre man auf einen Gerichtsbeschluss angewiesen. Das Nichteinholen des Beschlusses käme also einer Preisgabe der Fähigkeiten gleich.

 

[PC295]

Das ist schon klar. Die müssen sich aber vor niemanden erklären, wie sie an die Daten gekommen sind, noch erklären, dass die Daten überhaupt mit Bitlocker verschlüsselt waren.

 

[mchawk777]

Ich komme immer noch nicht darüber hinweg, dass Microsoft solche Daten nicht mit "Zero Knowledge"-Technik speichert.
Sorry, wenn ich mich da wiederhole - ich bin einfach zu abgef*ckt erstaunt.