Microsoft Ltd gibt Bitlocker Entschlüsselungs-Keys an Dritte weiter
2026, Januar 28 - Lesezeit: 3 Minuten

Jede Verschlüsselung muß im Fall des Verlustes des 'Masterkeys' oder im Fehlerfall einen Mechanismus bereithalten, wieder an die Daten zu gelangen. Wie z.B. mit einer  recovery-boot-disc usw. Bitlocker der Firma Microsoft generiert zur Wiederherstellung einen 48-stelligen numerischen Schlüssel. Mit 10^48 Möglichkeiten hat dieser eine Entropie von 159 Bit - ist also sicher. Da der so sicher ist muß dieser 'natürlich' im Klartext in die nicht ganz so sichere Microsoft Cloud gespeichert werden. Meint man, oder meinen manchen, vielleicht die meisten - wahrscheinlich ist das der berühmte Stand der Technik (tm) und wirklich alle machen das doch so - ALLE.

Es begab sich also, daß dank der Hardcore-Cloudifizierung des Microsoft Betriebssystems ab Version 10 mit einem MS-Konto auf den PCs der Entschlüsselungs-Key schwuppdiwupp in der US-Wolke landete. Per GPOs kann man das natürlich abschalten, aber das steht nicht in der NIS2-Excel-oder der NIS2-Powerpoint-Datei. Abschalten bei Microsoft ist zudem relativ; niemand garantiert, daß durch eines der zahlreichen fehlerhaften Updates irgendwelche restriktiven Einstellungen der GPOs oder auch lokal noch Anwendung finden.

Jedenfalls - da die Keys nun schonmal bei MS lagern, gab MS einige Keys wirklich böser Microsoft-Anwender*innen an das FBI weiter. In solchen Fälle wohl gerechtfertigt. Aber man muß es nur extrapoliert auf andere staatliche Institutionen anwenden um sich auszumalen, was hinter den Kulissen bez. der Herausgabe von Recovery-Keys so läuft. Dazu noch der CLOUD Act. UND, bei der MS Cloud kann man nach diversen Einbrüchen in die Azure/EntraID-Cloud nie sicher sein, daß nicht auch Dritte Zugang zu den Daten haben.

Die Nützlichkeit bei Industriespionage ist hier auch gut gegeben - vor allem auf Geschäftsreisen, wenn das Notebook in den Zugriff Diverser käme. Aber da reicht wahrscheinlich schon einer bessere Handy-CAM, wenn die CEOs & Co in der Business-Lounge, den Preboot-Key und das AD-Konto-Kennwort öffentlich eingeben. Sa sdorowje.

Alternativen:

  • Bei Linux ist das sowieso klar
  • für Windows die validierte OpenSource-Verschlüsselung: Veracrypt 

Suche

Kategorien

Navigation

Links

Static Pages

Über

Reales, satirisches, sarkastisches aus der CyberCyber-IT-Welt