Verschlüsselungs-Schock: Microsoft teilt Bitlocker-Keys mit dem FBI

Wer glaubt, dass die Verwendung der BitLocker-Verschlüsselung von Microsoft Daten zu 100 Prozent sicher hält, sollte noch ein­mal darüber nachdenken. In den USA machen aktuell Be­rich­te die Runde, dass Microsoft BitLocker-Schlüssel he­raus­ge­ge­ben hat.

BitLocker-Schlüssel an FBI übergeben

Im vergangenen Jahr soll der Konzern dem FBI Verschlüsselungscodes zur Verfügung gestellt haben, um die Laptops von Windows-Nutzern zu entsperren, die wegen Betrugs angeklagt waren.

Das berichtet das Forbes-Magazin und hat sich das von Microsoft bereits bestätigen lassen - und das ist nun der erste bekannt gewordene Fall der Weitergabe der Sicherheitsschlüssel durch Redmond an Strafverfolgungs­behörden. 2013 hatte Microsoft bestätigt, dass Regierungs­beamte gebeten hatten, Hintertüren in BitLocker einzubauen, man diese Bitte jedoch abgelehnt habe.


Der konkrete Fall dreht sich um eine Ermittlung aufgrund von erschlichenen Hilfsgeldern während der Pandemie auf der Insel Guam. Die benötigten Bitlocker-Schlüssel waren dabei in der Cloud gespeichert und konnten so herausgegeben werden.

Wie Microsoft in der Stellungnahme bestätigte, kommt das Unternehmen rechtmäßigen Aufforderungen von Regierungsbehörden nach. Ein Sprecher erklärte, dass die Cloud-Speicherung zwar Komfort bei der Wiederherstellung biete, aber auch das Risiko eines ungewollten Zugriffs berge. Microsoft-Nutzer müssen daher selbst entscheiden, ob sie die Schlüsselverwaltung an die Cloud von Microsoft auslagern oder lokal handhaben möchten.

Nur wenige Fälle

Laut dem Bericht erhielt der Konzern in der zweiten Jahreshälfte 2024 weltweit 128 Anfragen von Strafverfolgungsbehörden, wobei in vier Fällen Daten offengelegt wurden. Infografik Cybercrime: Zunehmende IT-Schwachstellen bedrohen Unternehmen

Komfort-Funktion hebelt Sicherheit aus

Der Umgang mit den Schlüsseln unterscheidet sich signifikant von Wettbewerbern wie Apple. Während auch Apple bei der Standard-iCloud-Nutzung Schlüssel besitzt, bietet der Konzern mit der "Advanced Data Protection" mittlerweile eine Ende-zu-Ende-Verschlüsselung an. Ist diese aktiviert, hat selbst Apple keinen Zugriff mehr auf die Daten und kann somit auch nichts an Behörden herausgeben. Bei Microsofts BitLocker hingegen liegen die Schlüssel im Standardfall unverschlüsselt auf den Servern des Konzerns vor, sofern der Nutzer nicht aktiv in die Konfiguration eingreift und die Standardeinstellungen ändert.

Kritik kommt von Sicherheitsexperten wie Matthew Green, Kryptographie-Professor an der Johns Hopkins University. TechCrunch berichtet, dass Green nicht nur vor dem Zugriff durch die Regierung warnt, sondern auch vor potenziellen Hacks der Microsoft-Cloud-Infrastruktur. Sollten Cyberkriminelle Zugriff auf diese Datenbanken erhalten, wären unzählige BitLocker-Laufwerke potenziell kompromittierbar, sofern die Angreifer physischen Zugriff auf die Hardware erlangen.

Wie handhabt ihr die Schlüsselverwaltung? Vertraut ihr der Cloud oder setzt ihr strikt auf lokale Speicherung? Schreibt uns eure Meinung in die Kommentare!


Siehe auch: