News Überwachung: Microsoft hat Bitlocker-Schlüssel heimlich an das FBI weitergegeben

[loco28]

Das Wort "Vertrauen" hat in den USA und deren Unternehmen absolut keine Bedeutung mehr.

Was heisst hat keine Bedeutung mehr. Es hatte nie eine.

 

[neofelis]

bin ich mir nicht ganz sicher. Apple hat es noch verweigert, dem FBI den Schlüssel für ein gesperrtes iPhone zu geben.

Apple hat damals gesagt, es wäre technisch nicht möglich, weil sie den Schlüssel auch nicht haben und ihre Verschlüsselung sicher ist.

Naja, dann kommt halt von den Behörden die Anordnung das Verfahren so umzustellen, dass es in Zukunft für Behörden knackbar wird.

Der entspr. Druck kann auch in die Zukunft wirken. Siehe der Untergang von und der Umgang mit TrueCrypt.

 

[loco28]

Wer glaubt, dass irgendein US Konzern nicht die Daten an die Behörden rausgibt ist blauäugig. Sei es MS, Google, FB oder das so sichere Apple.

So ist. Dank Patriot Act können sie überall zugreifen.
Die Konzerne können es einfacher oder schwieriger gestalten, aber rausgeben müssen sie trotzdem.

 

[Creeed]

Was heißt hier heimlich? Die sind schlicht dazu verpflichtet durch US Gesetze.

 

[Galatian]

Passend dazu habe ich mir vor zwei Wochen bei Klackwerk einen Linux Gaming Desktop mit noch humanen Preisen bestellt habe. Microsoft bietet mir wirklich mittlerweile genug Gründe.

 

[KurzGedacht]

Wenn der BItlocker-Key geheim rausgegeben wurde, was genau bringt es dem FBI, wenn sie nicht auch Zugang zum Gerät haben?

Die US Regierung darf die Unternehmen zur Herausgabe von Daten sowie zum aufspielen manipulierter Updates zwingen - und die Unternehmen dürfen darüber nicht berichten.
Also egal ob Apple, Google, Android und egal wo die Systeme sind. Sobald sie am Netz hängen und Updates kriegen, hat man zumindest gegenüber der US Regierung bereits verloren.

 

[kachiri]

da hören an manchen Stellen diverse Rechte einfach auf, z.B. das Recht auf Privatsphäre

This.

Nur so ein paar Beispiele:

GG Art. 2 II

Jeder hat das Recht auf Leben und körperliche Unversehrtheit. Die Freiheit der Person ist unverletzlich. In diese Rechte darf nur auf Grund eines Gesetzes eingegriffen werden.

Artikel 2 ist auch derjenige, der in Deutschland auch das Recht auf Privatsphäre begründet.

GG Artikel 5

(1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt.
(2) Diese Rechte finden ihre Schranken in den Vorschriften der allgemeinen Gesetze, den gesetzlichen Bestimmungen zum Schutze der Jugend und in dem Recht der persönlichen Ehre.
(3) Kunst und Wissenschaft, Forschung und Lehre sind frei. Die Freiheit der Lehre entbindet nicht von der Treue zur Verfassung.

Auch die Meinungsfreiheit ist nicht "grenzenlos".

GG Artikel 6

(1) Ehe und Familie stehen unter dem besonderen Schutze der staatlichen Ordnung.
(2) Pflege und Erziehung der Kinder sind das natürliche Recht der Eltern und die zuvörderst ihnen obliegende Pflicht. Über ihre Betätigung wacht die staatliche Gemeinschaft.
(3) Gegen den Willen der Erziehungsberechtigten dürfen Kinder nur auf Grund eines Gesetzes von der Familie getrennt werden, wenn die Erziehungsberechtigten versagen oder wenn die Kinder aus anderen Gründen zu verwahrlosen drohen.
(4) Jede Mutter hat Anspruch auf den Schutz und die Fürsorge der Gemeinschaft.
(5) Den unehelichen Kindern sind durch die Gesetzgebung die gleichen Bedingungen für ihre leibliche und seelische Entwicklung und ihre Stellung in der Gesellschaft zu schaffen wie den ehelichen Kindern.

(...)
Ich kann unendlich so weitermachen.
Quasi in fast jedem Grundrecht findet sich eine Einschränkung. Im Grunde reicht die eigene Freiheit, das eigene Recht, nur so weit, wo ich nicht die Rechte und Freiheit eines anderen berühre.

Vielleicht noch relevant in Bezug auf Daten:

GG Artikel 10

(1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.
(2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutze der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, daß sie dem Betroffenen nicht mitgeteilt wird und daß an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt.

Art. 10 GG in Kombination mit den §§ 105 ff. StPO wären dann genau diese "Gesetze". Satz 2 betrifft überwiegend den Staatsschutz.

Die US Regierung darf die Unternehmen zur Herausgabe von Daten sowie zum aufspielen manipulierter Updates zwingen - und die Unternehmen dürfen darüber nicht berichten.

Dürfte hier, siehe Artikel 10 II Satz 2 GG, eben auch möglich sein.

Ich weiß, bestimmte Anbieter werben ja gerne mit besonders viel Datenschutz. Auch Mailbox.org z.B. mit einem jährlichen Transparenzbericht. Die "abgelehnten" Anfragen sind überwiegend aufgrund von Formfehlern. Zur Wahrheit gehört, dass die meisten Anfragen bedient werden

Der Staat MUSS Möglichkeiten haben, die Gemeinschaft zu schützen. Denn das ist im Grunde seine oberste Pflicht. Und allein aus den Grund kann ich Merz und einen Großteil der CDU halt auch nicht mehr ernst nehmen, wenn sie gegen den Sozialstaat und dessen hohen Ausgaben hetzen.
Soziale Sicherheit ist eine PFLICHT des Staates.

 

[m1key_SAN]

Beruflich in unserem Unternehmen (Halbleiter/Europe), ist VeraCrypt, PGP unser to go Software.
Wir nutzen auch MS365, aber für hochsensible IP wird offline mit VeraCrypt gearbeitet.

Private habe ich OneDrive gegen meine Synology DS723+ getauscht, denke einfach eine eigne Cloud hat in diesem Bereich einen Vorteil.
Ansonsten DSGVO und sichere Clouds in Europa nutzen.

 

[KurzGedacht]

Aber für wirkliche Sicherheit mit Bitlocker muss man sowieso zur Pro-Lizenz greifen, damit man Bitlocker auch auf TPM+PIN konfigurieren kann. Sonst nimmt jemand den PC einfach mit und schaltet ihn ein, fertig.

Nur zur Klarstellung, auch das schützt definitiv nicht vor Routinemäßigen Datenabfluss an US Geheimdienste.
Wenn windows + Internet = in jedem Fall Zugriff für US Geheimdienste. Ganz egal womit verschlüsselt wird.

 

[Wilfriede]

Der Artikel und besonders der Titel sind sehr reisserisch. Und wie „alle“ auf den Empörungszug aufspringen

 

[Weyoun]

Wenn ich das richtig verstehe, die die lokale Bitlocker-Verschlüsselung weiterhin sicher (wie bei Apple), nur die "cloudbasierte" Wiederherstellung ist betroffen, korrekt? Ich nutze ausschließlich die lokale Version, also sollte ich keine Probleme bekommen.

 

[Alphanerd]

Und wie „alle“ auf den Empörungszug aufspringen

Es ist ein deutsches Forum mit älterer Kundschaft 🤷🏼‍♀️

 

[E1M1:Hangar]

Das Internet vergisst nie, Mr. "Linux + private Cloud".

Für 99% der User ist das eine praktikable Lösung zumal wir hier nicht von random Bitlocker Key Weitergaben reden.

Dass die Keys unverschlüsselt da liegen ist ein Supergau.

Außerdem hat der User immer die Wahl ob Cloud oder manuell sichern. Rate mal was der Normalo nicht macht - richtig, seine Keys abspeichern oder ausdrucken oder was auch immer. Daher auch das Beispiel, was ich nun mehrfach erlebt habe.

Am Ende ist MS Weitergabe und die fehlende Keysverschlüsselung das Problem und nicht das Auslagern in die Cloud selbst.

Wo und wie Microsoft diese Daten speichert, das weiß nur Microsoft. Wenn du glaubst, du wärst der Einzige der an deinen Bitlocker-Key herankommt, dann glaubst du auch noch an den Weihnachtsmann und hast nichts aus den ganzen Snowden Enthüllungen gelernt. Deine Sache.

Wenn es danach geht, dann solltest du ganz flink deine Apple, Google, etc. Accounts dich machen. Jeder Account ist kompromitierbar.

Wer an deine Daten will, der schafft das auch. Es gibt immer Mittel und Wege.

Am Ende muss doch jeder entscheiden, was er will und was nicht.

Auf der einen Seite ballern die Leute ihr komplettes Leben in die Cloud und präsentieren ihr komplettes Leben inkl. Location, Zuhause, Familie, etc. auf Social Media, wo es ja regelmäßig Kontenhacks und Leaks gibt UND auf der anderen Seite wird sich über so eine News hier empört des Todes.

Und ebenso haben die Leute immernoch eine Wahl - nutz Windows und ertrage den Scheiss, da MS sich nicht beirren lässt auf ihrem Kurs ODER wechsel zu Apples Ökosystem oder Linux. Und das macht die Breite Masse eben nicht.

Deswegen ist jede Diskussion dahingehend lachhaft. Hier bei CB wird sich über MS und Windows 11 samt Services bis zum Erbrechen ausgekotzt und rumgeheult - aber 75%+ nutzen Windows 11.


PS: Wie meine privaten relevanten Daten hinterlegt und gesichert sind, ist eine andere Geschichte. 🙃

 

[NoNameNoHonor]

Wenn ich das richtig verstehe, die die lokale Bitlocker-Verschlüsselung weiterhin sicher (wie bei Apple), nur die "cloudbasierte" Wiederherstellung ist betroffen, korrekt? Ich nutze ausschließlich die lokale Version, also sollte ich keine Probleme bekommen.

Was für eine "lokale" Verschlüsselung ? Die Verschlüsselung auf der Platte ist immer "lokal".
Es geht um den Speicherort des Schlüssels. So bald Du ein Microsoft Konto hast, geht der Schlüssel in die Cloud. Hast Du kein Microsoft Konto, ist es auch nicht sicher, welcher Dienst, der auch Telemetrie o.ä. an Microsoft zurücksendet, das wirklich macht, also doch zu Microsoft schickt. Sicher bist Du nur, wenn Du mit dem Rechner, auf dem Windows installiert ist, nicht ins Internet gehst.

 

[E1M1:Hangar]

Wenn ich das richtig verstehe, die die lokale Bitlocker-Verschlüsselung weiterhin sicher (wie bei Apple), nur die "cloudbasierte" Wiederherstellung ist betroffen, korrekt? Ich nutze ausschließlich die lokale Version, also sollte ich keine Probleme bekommen.

Jipp. Da du die Keys auch lokal vorhalten kannst.

War aber im Account landet, ist eine andere Sache.

 

[Evil E-Lex]

Der Artikel und besonders der Titel sind sehr reisserisch. Und wie „alle“ auf den Empörungszug aufspringen

Allerdings. Es ist auch in Deutschland üblich, dass mittels richterlichem Beschluss Cloud-Daten gesichert werden. Dazu gehört bei MS auch der BitLocker-Wiederherstellungsschlüssel, so er im Konto vorhanden ist.

 

[Weyoun]

Was für eine "lokale" Verschlüsselung ?

Auf heise habe ich das gestern so gelesen, dass ein PC oder Laptop mit lokalem Bitlocker (also ohne Cloudunterstützung) sicher ist, während die Leute mit der "Cloud-Wiederherstellung" am Ende ein Problem haben könnten (Microsoft kann den Schlüssel an die Behörden rausrücken, wenn er innerhalb der Cloud verwendet wird).

 

[NoNameNoHonor]

@Weyoun Du musst nur dafür sorgen, dass der Bitlocker-Schlüssel nicht an Microsoft (egal wie) gesendet wird, hatte ich doch geschrieben. Rein technisch gesehen funktioniert die Verschlüsselung halt grundsätzlich nur lokal. Wer den Rechner entschlüsseln will, muss das lokal anstossen/durchführen. Wer den Schlüssel dafür hat, egal woher, kann das halt dann in die Wege leiten.

 

[shysdrag]

Klar, Microsoft machts sich hier einfach und speichert die Schlüssel seit Windows 8 in der Cloud; Im Idealfall ergänzt man den Artikel hier noch mit einer Erklärung wie der Schlüssel lokal exportiert und aus der Cloud gelöscht werden kann. Beides ist in 5 Minuten erledigt. Die User aufzuklären ist die beste Variante mit dem Thema umzugehen.

 

[raychan]

Frag mal in der Firma nach, was im Falle eines Kriegs mit der USA dann gemacht werden soll. So von wegen Artikel 5 und Grünland. Da ist man mit Microsoft und Google plötzlich sehr schnell in Teufels Küche.

Bei uns läuft die Anlage weiter weil alles auf Linux und Steuerungen jeglicher Art läuft. Das Problem ist eher wir können nichts mehr neues für unsere Anlage bauen.
Da Produkte von deutschen Herstellern Software nur für Windows anbieten. Z.B. Siemens IDE Software tia Portal only Windows also keine SPS mehr programmierbar. Dann Elektrozeichenpläne via ELCAD nur auf Windows. Usw.
Die deutschen Firmen selbst machen ihre eigene Abhängigkeit und reißen alle anderen Firmen dann mit.