News Überwachung: Microsoft hat Bitlocker-Schlüssel heimlich an das FBI weitergegeben

[Dark_Soul]

Ich denke, dass jeder US Anbieter Hintertüren für die 3 Buchstaben Behörden hat.

Gibt es dazu denn irgendwelchen Anlass? Also irgendwelche Leaks, interne, die bestätigt haben, dass es solche Praktigen gibt? Von solchen Vorwürfen hört man ja immer wieder mal, aber ich wüsste nicht, dass es da tatsächlich mal Fakten zu gegeben hätte. Für mich würden Hintertüren auch nicht wirklich Sinn ergeben. Ich meine, Verschlüsselung, so implementiert, dass auch die Anbieter keinen Zugriff haben, ist jetzt kein Hexenwerk und eigentlich Standard. Ich sehe nicht wieso die Hersteller hier Hintertüren einbauen sollten, zumal sie nicht dazu verpflichtet werden. Sie sind nur dazu verpflichtet bei Anfragen mitzuwirken, was Microsoft in diesem Fall ja tut. Wenn man seinen Schlüssel freiwillig vorher in deren Cloud gespeichert hat, ist man ja auch irgendwo selbst schuld...

 

[IBISXI]

Auf heise habe ich das gestern so gelesen, dass ein PC oder Laptop mit lokalem Bitlocker (also ohne Cloudunterstützung) sicher ist, während die Leute mit der "Cloud-Wiederherstellung" am Ende ein Problem haben könnten (Microsoft kann den Schlüssel an die Behörden rausrücken, wenn er innerhalb der Cloud verwendet wird).

Ich hatte den Fall mal bei meinem Firmen-Laptop.
Nach einem BIOS Update wollte er den Bitlocker Key.
Aus irgendeinem Grund war der aber nicht in meinem MS-Konto hinterlegt.
(Wahrscheinlich bei der Installation mit MS-Konto angemeldet)
Die IT Abteilung konnte dann auch nicht mehr helfen.
Ich musste dann die ganze Fuhre neu aufsetzen über 50 Programme neu installieren.

Leider brauche ich Windows auf der Arbeit.
Mein Vertrauen zu "Microslop Winbloat" ist schon lange dahin.

 

[mchawk777]

Wieso nur bin ich mir nahezu absolut sicher, das Winzigweich den Masterkey auch ohne Gerichtsbeschluß rausgerückt hätte, bzw. nicht schon hat ?

Weil es im Gesamtkontext irrelevant ist.
WENN man Schlüssel/Passwörter/usw. in der Cloud speichert, dann zumindest mit Zero Knowledge.
Ansonsten ergibt das keinen Sinn.
Das wäre so, als ob Bitwarden oder LastPass die Daten der Passworttresore im Klartext auf ihren Servern speichern würden.

Ich finde es nebenbei gesagt nach wie vor faszinierend, wie sehr man das FBI fürchtet - und dabei den wahren Impact kategorisch missachtet: Wenn durch Hacker-Attacken die Daten im Darknet landen.

Microsoft legt hier ein Security-Fail sondergleichen hin.

Wer so blöd ist und die Schlüssel in der Cloud speichert, ist selber schuld.

Das hat nichts mit Blödheit zu tun.
Als Windows Home-User hast Du gar keine andere Wahl - mal ganz vom Informationsstand bezüglich Verschlüsselung der Casual-User abgesehen.

damit ist Bit Locker wohl tot, mal gut das ich es nie Benutzt habe

BitLocker selbst ist sicher - wenn man aber die Zugangsschlüssel quasi öffentlich und unverschlüsselt hinterlegt natürlich nicht.

Du könntest auch das Passwort von Veracrypt bei Reddit oder sonst wo veröffentlichen und dann behaupten, dass Veracrypt nicht sicher sei. 🙄

So Fälle gibt es hier im Forum glaube einmal die Woche...

Dann guck mal bei gutefrage.net vorbei.
Da stapeln sich die Anfragen neben den traurigen, backuplosen Android und iOS-Usern. 😉

Was muss ich als Win11 Pro mit MS Online Account jetzt tun um meinem Bitlocker Code aus der Cloud heraus zu holen?

Deaktiviere BitLocker und aktiviere es danach wieder.
Wähle dann nicht die Microsoft Cloud als Speicherort.

Wenn ich das richtig verstehe, die die lokale Bitlocker-Verschlüsselung weiterhin sicher (wie bei Apple), nur die "cloudbasierte" Wiederherstellung ist betroffen, korrekt?

Nein, Du verstehst es nicht korrekt.
Das Problem ist nicht die Verschlüsselung als solches.
Das Problem ist, dass Microsoft Zugang zu Deinen Passwörtern und Notfallschlüsseln hat.
Nicht grämen, es ist in diesem Thread sehr offensichtlich, dass diese Differenzierung genügend Leute nicht auf die Reihe bringen.😉
So oder so: Danke TPM hat auch die Bequemlichkeit gesiegt das BitLocker-Passwort manuell eingeben zu müssen.
Solange jemand den Rechner in die Hand bekommt, wird automatisch entschlüsselt - dann muss nur noch der Windows-Login umgangen werden.

Klar, Microsoft machts sich hier einfach und speichert die Schlüssel seit Windows 8 in der Cloud;

Das ist so auch wiederum nicht korrekt.
Bei der Verwendung von BitLocker wirst Du gefragt - das geschieht nicht automatisch.
Das geschieht erst ab Windows 11 Home mit der Laufwerksverschlüsselung automatisiert.

 

[pfreampfl]

Wer derartige wichtige Daten in einen öffentlichen Speicher sichert, ist selbst schuld.
Da kann noch soviel Marketing und Druck von Anbietern gemacht werden. Die knicken alle ein, wenns drauf ankommt....

 

[person unknown]

die ganz ganz großen scheißen sich da wieder mal ein und tun Dinge, von denen in 10 Jahren dann niemand was gewußt haben will. Das war bei uns '45 nichts anderes. Anstatt sie eine Allianz der Vernunft (ooops, hab ich tatsächlich "Vernunft" geschrieben? #nevermind) bilden und ihre Dienste mal 2-3 Monate einfrieren. Und wer weiß, vielleicht bekommt man durch solche Mauscheleien ja auch einen Joker für zukünftige unternehmerische Verfehlungen.
Die Gute Nachricht: Man MUSS BitLocker nicht aktivieren.
Und es gibt andere möglichkeiten der Verschlüsselung, die vielleicht sogar sinnvoller für die meisten Anwender sind.

 

[Phoenixxl]

Wenn der Schlüssel unverschlüsselt in der Cloud lag und es den begründeten Verdacht gab, dass das Leute Gelder abgeschöpft haben, die eigentlich für Arbeitslose gedacht waren, die wegen Covid ihren Job verloren habe, dann ist das für mich kein Problem, sondern ein Beweismittel.

Ich finde sowieso, dass es bei gewissen Straftaten ganz gut ist, wenn die Personen im Knast landen. Ja, es muss sich niemand selbst beschuldigen, aber warum Leute die in großen Stil Finanzbetrug, Menschenhandel etc. betreiben geschützt werden müssen, bleibt mir schleierhaft.


Dinge wie das Briefgeheimnis entstanden, um Kommunikation vor willkürlichem (!) Zugriff zu schützen. Jemand, der aus Gründen unter Verdacht steht, z.B. an der Entstehung von Kinderpornografie zu produzieren, der sollte damit nie geschützt werden.
Insofern entstehen da eben Probleme, wenn Straftaten wie das Teilen solcher Inhalte oder Finanzkriminalität rein digital stattfinden und die Ermittlungsbehörden da GENERELL keinen Zugriff drauf haben.

Für mich ist das okay, sofern ein Richter nach gründlicher Prüfung zu dem Ergebnis kommt, dass die Daten als Beweismittel wichtig sind.

Wovon ich dagegen kein Freund bin ist z.B. anlasslose Vorratsdatenspeicherung. Jeden Bürger prinzipiell zu überwachen finde ich ehrlich gesagt uncool.

 

[Piktogramm]

Dass die Keys unverschlüsselt da liegen ist ein Supergau.

Außerdem hat der User immer die Wahl ob Cloud oder manuell sichern. Rate mal was der Normalo nicht macht - richtig, seine Keys abspeichern oder ausdrucken oder was auch immer. Daher auch das Beispiel, was ich nun mehrfach erlebt habe.

Am Ende ist MS Weitergabe und die fehlende Keysverschlüsselung das Problem und nicht das Auslagern in die Cloud selbst.

Prinzipbedingt können die Keys da fast nur für Microsoft transparent lesbar in der Cloud liegen. Da Microsoft die Änderung der Nutzerpasswörter vorsieht, kann es keine Verschlüsselung der Keys geben, die sich aus einem etwaigem Passwort ableitet.
Wenn prinzipbedingt keine Verschlüsselung der Keys vor Export möglich ist, dann ist der Export schlicht ein bewusster Bruch der Sicherheit.

Zu meiner Schande hatte ich erst mehrere Windowsinstallationen durchzuführen. WO ist bei einer aktuellen Win11 Installation bitte der für Nutzer leicht verständliche Hinweis wohin etwaige Schlüssel im Klartext exportiert werden? Ohne Konsolengefummel geht es ja nur mit Cloud und wenn ich mich recht entsinne ohne Hinweis des Schlüsselexports.

Auf heise habe ich das gestern so gelesen, dass ein PC oder Laptop mit lokalem Bitlocker (also ohne Cloudunterstützung) sicher ist, während die Leute mit der "Cloud-Wiederherstellung" am Ende ein Problem haben könnten (Microsoft kann den Schlüssel an die Behörden rausrücken, wenn er innerhalb der Cloud verwendet wird).

Wie bei Software immer gibt es da nur das Problem des Supplychainangriffs. Wie/Ob etwaige Keys exportiert werden ist unter kompletter Kontrolle des Softwareanbieters. Ein kleiner Patch und es werden alle Keys extrahiert.
Das ist schon arg ein "Trust me Bro", wobei die Partei die Vertrauen geschenkt haben will gerade in der Öffentlichkeit steht, weil sie Schlüssel im Klartext exportieren.

 

[Capthowdy]

Dass die Keys unverschlüsselt da liegen ist ein Supergau.

Du gehst falsch an diese Sache heran. Der Super-Gau ist dass du, trotz aller Warnungen und Beweise (!) die es schon gab, einfach angenommen hast, dass dem nicht so wäre. Man muss nicht zwangsweise jedem misstrauen, aber wenn es um große Konzerne und Regierungen geht, tut man gut daran, nicht automatisch vom Idealfall auszugehen. Belogen wurden wir alle im Laufe der Geschichte oft genug, man kann es also durchaus besser wissen, so man denn will.

Früher hat man die, die vor sowas immer gewarnt haben, als Verschwörungstheoretiker belächelt. Wenn man die letzen 20 Jahre aufmerksam war und sich nicht aus Bequemlichkeit vor der Wahrheit verschlossen hat, dann weiß man es heute besser. "Zero Trust" ist das Gebot der Stunde und das nicht erst seit gestern. Ob man diese unbequeme Wahrheit für sich akzeptieren will, muss jeder selbst entscheiden, aber man sollte andere nicht mit unbewiesenen Tatsachenbehauptungen in die Irre führen (vgl. "Die Bitlocker-Keys werden verschlüsselt gespeichert und nur man selbst hat Zugriff darauf").

Wenn es danach geht, dann solltest du ganz flink deine Apple, Google, etc. Accounts dich machen. Jeder Account ist kompromitierbar.

Man muss nichts "dicht machen". Das würde sowieso nichts bringen, oder glaubst du, dass irgendwer deine Daten wirklich löscht? Man sollte aber niemandem völlig blind sein komplettes Privatleben in dem Glauben hinterherwerfen, derjenige würde auch nur im entferntesten Verantwortungsvoll damit umgehen. Wenn ich von anderen höre, wie viele Stunden die pro Tag am Smartphone hängen, nur um irgendwelchen völlig bedeutungslosen Müll zu konsumieren (TikTok, X, Instagram und co. lassen grüßen), dann kann ich nur müde mit den Augen rollen.

Komfort/Bequemlichkeit und Sicherheit haben sich nie vertragen und daran wird sich auch nie etwas ändern.

 

[Piktogramm]

Wenn der Schlüssel unverschlüsselt in der Cloud lag und es den begründeten Verdacht gab, [...]
Ich finde sowieso, dass es bei gewissen Straftaten ganz gut ist, wenn die Personen im Knast landen. Ja, es muss sich niemand selbst beschuldigen, aber warum Leute die in großen Stil Finanzbetrug, Menschenhandel etc. betreiben geschützt werden müssen, bleibt mir schleierhaft.

Dinge wie das Briefgeheimnis entstanden, um Kommunikation vor willkürlichem (!) Zugriff zu schützen. Jemand, der aus Gründen unter Verdacht steht, z.B. an der Entstehung von Kinderpornografie zu produzieren, der sollte damit nie geschützt werden.
Insofern entstehen da eben Probleme, wenn Straftaten wie das Teilen solcher Inhalte oder Finanzkriminalität rein digital stattfinden und die Ermittlungsbehörden da GENERELL keinen Zugriff drauf haben.
[...]
Wovon ich dagegen kein Freund bin ist z.B. anlasslose Vorratsdatenspeicherung. Jeden Bürger prinzipiell zu überwachen finde ich ehrlich gesagt uncool.

Wenn das Schutzniveau praktisch auf "kein Schutz" fällt, dann zählt das für Alle Menschen. Egal ob Verbrecher, NGOs, Anwälte, Journalisten, Parteimitglieder, Seelsorger, Ärzte, Opposition, Kinder, Eltern, Sexarbeiter·innen, Schwangere, Gewaltopfer, Ausländer, Firmen, ..

Brauchst halt nur irgendwelche faschistoiden Bekloppte innerhalb der Staatsgewalten, die Rechtsstaatlichkeit als Hindernis sehen. An der Stelle sind dann tendenziell einfach alle gefährdet und haben keine Chance auf Privatsphäre bzw. (halbwegs) freie Entfaltung/Betätigung.


Und gerade bei Finanzbetrug, gerade Finanzen sind vergleichsweise leicht zu verfolgen. Transaktionen müssen über Jahre aufgehoben werden, Gelscheine sind mit UUIDs versehen und die Möglichkeit Banken Sorgfaltspflichten aufzuerlegen wird immer wieder getan.

 

[Topflappen]

Nö. Exakt das Gegenteil ist der Fall. Die Orange om Amt hat zum einen damit überhaupt nichts zu tun, zum anderen wäre ein Backdoor eine Vollkatastrophe für Microsoft.

Sicher?
Stell dir vor, deine Firma wird danach verklagt, oder deine Chance auf Regierungsaufträge läuft gegen 0.
Vollkatastrophe wäre wenn es einen generellen Code für alle geben würde, aber da es um weniger Fälle geht als ich Finger habe..

 

[E1M1:Hangar]

Zu meiner Schande hatte ich erst mehrere Windowsinstallationen durchzuführen. WO ist bei einer aktuellen Win11 Installation bitte der für Nutzer leicht verständliche Hinweis wohin etwaige Schlüssel im Klartext exportiert werden? Ohne Konsolengefummel geht es ja nur mit Cloud und wenn ich mich recht entsinne ohne Hinweis des Schlüsselexports.

Ich nutz kein Windows 11 und werde ich auch nicht - also keine Ahnung wo dort.

Bei meinem Win 10 Rechner fürs Gaming kann ich die Bitlocker Keys im Account einsehen und auch dort komplett entfernen. Aber hey - wer weiß schon, ob die auch komplett rausgelöscht werden.

 

[tollertyp]

Weil du deinen Kram schön in der OneCloud haben sollst. Damit deine Dokumente endlich und ohne jegliche Verschlüsselung, nun mit "KI", durchforstet werden sollen. Und wehe in eine Dokument steht "Fuck Trump". Dann wars das mit der Einreise in die USA. Warum, wirst du aber nie erfahren.

Sorry, aber was genau hat das mit dem zu tun, was ich geschrieben habe?
Wofür braucht es für OneDrive den Bitlocker-Key?

 

[Uzer1510]

@SavageSkull: Ich mache mir wirklich nicht viele Sorgen darüber, dass das FBI meine Hardware beschlagnahmen könnte.

Hmmm ich lese da eine Umschreibung von Schwarz/chkopf - GSG9 reitet los.

 

[tollertyp]

die haben Zugang, auch wenn Dein PC Heruntergefahren ist. (Intel ME)

Auch ohne Netzwerk? Und auch Geräte ohne Intel ME? Jetzt habe ich aber richtig Angst.

 

[Uzer1510]

Denke mit Veracrypt und auf den Servern z.b. zfs Crypt etc ist man ausreichend sicher.

gegen alles theoretische kann man sich nicht absichern.

Aber wenn man eh nicht der Superverbrecher ist wird man sicher in D bei der IT Analyse durch Behörden immer 634 wichtigere Fälle vor sich haben bevor der eigene Rechner drankommt

 

[aLanaMiau]

Als Windows Home-User hast Du gar keine andere Wahl - mal ganz vom Informationsstand bezüglich Verschlüsselung der Casual-User abgesehen.

Bitte was? Komplett irrelevant für Casual-User.
Wenn der "Casual-User" so schwere Straftaten begeht, dass Behörden wie das FBI an den Daten interessiert sind, sollte man so viel Intelligenz aufbringen können und vielleicht etwas achtsamer mit seinen Daten umgehen.

Das hat nichts mit Blödheit zu tun.

Natürlich hat es das, so viel Naivität kann man nur als Blödheit bezeichnen. Als würde Microsoft Bordmittel mitliefern um alle PCs auf der Welt unbrauchbar gegenüber kriminaltechnischer Untersuchung zu machen. Die Lösung von Microsoft, die sich nicht mal eben von Kriminellen (/oder kriminellen Staaten) ausnutzen lässt ist da der perfekte Spagat zwischen Sicherheit und Kontrolle.

 

[DJxSpeedy]

ich hab meine nie in die cloud "exportiert" muss ich trotzdem zu veracrypt zb wechseln ?
wäre das der sichere weg ?
ich nutze nur VHDX keine volle laufwerks verschlüsselung

 

[Uzer1510]

Bitte was? Komplett irrelevant für Casual-User.
Wenn der "Casual-User" so schwere Straftaten begeht, dass Behörden wie das FBI an den Daten interessiert sind, sollte man so viel Intelligenz aufbringen können und vielleicht etwas achtsamer mit seinen Daten umgehen.

Naja das FBI ist aber auch keine CIA oder NSA, Heimatschutz- sobald irgendeine Straftat glaub mind. 2 Bundesstaaten betrifft ist das prinzipiell Sache des FBI (gibt eine Minimalhöhe der Schadenhöhe, aber die ist sicher in viele Fällen schnell überschritten)

 

[Weyoun]

Nein, Du verstehst es nicht korrekt.

Doch, ich verstehe es sogar SEHR korrekt.

Das Problem ist nicht die Verschlüsselung als solches.

Das habe ich auch zu keinem Zeitpunkt behauptet.

Das Problem ist, dass Microsoft Zugang zu Deinen Passwörtern und Notfallschlüsseln hat.

Ganz genau, dank der Cloud / dem MS-Kontozwang...

 

[PC295]

ich hab meine nie in die cloud "exportiert" muss ich trotzdem zu veracrypt zb wechseln ?

Nein. Für das Betriebssystem kannst du wegen der besseren Kompatibilität Bitlocker vorziehen.
Wenn du sensible Daten hast, kannst du die immernoch in einem VeraCrypt-Container sperren.