- Registriert
- 5 Juni 2019
- Beiträge
- 442
BitLocker: Microsoft gibt Schlüssel an Strafverfolger heraus
https://www.heise.de/news/Microsoft...el-an-Strafverfolgungsbehoerden-11152988.html
Windows BitLocker: Microsoft gibt Schlüssel an Strafverfolger heraus
- Ersteller hafa
- Erstellt am
Windows Betriebssystem
https://www.heise.de/news/Microsoft...el-an-Strafverfolgungsbehoerden-11152988.html
Ich Frage mich wieviel Spass man noch beim Arbeiten mit einem Betriebssystem haben kann, wenn man bei der Nutzung ständig das Gefühl hat beobachtet zu werden. Selbst wenn man sich allem bewusst ist offensichtliches abwendet, bleibt ständig ein Gefühl des Unwohlseins.
Soviel Lücken kann man gar nicht stopfen. Den Spruch "ich habe nichts zu verbergen" von vorbehaltslosen Artgenossen, kann ich nicht mehr hören und ist an Naivität nicht mehr zu übertreffen. Jeder hat etwas zu verbergen, scheint es auf den ersten Blick noch so unbedeutsam. Niemand kann wissen was morgen plötzlich verboten ist und wie man selbst plötzlich kriminalsiert wird.
Unser mittelständiges Maschinenbauunternehemen ist MS vollkommen ausgeliefert. Die wissen alles von unserer Technologie und unsere IT steht voll auf Cloudspeicherlösungen. Alles so schön einfach und bequem. Es fragt niemand ob es sinnvoll ist, unsere Konstruktion und Softwarelösungen auf Cloudspeichern offen zu legen.
Die komplette Kommunikation liegt dort. Vor ein paar Jahren hatten wir noch unsere eigenen Exchange Server im Haus. Alles angeblich zu teuer,
zuviel Administrationsaufwand.
Soviel Lücken kann man gar nicht stopfen. Den Spruch "ich habe nichts zu verbergen" von vorbehaltslosen Artgenossen, kann ich nicht mehr hören und ist an Naivität nicht mehr zu übertreffen. Jeder hat etwas zu verbergen, scheint es auf den ersten Blick noch so unbedeutsam. Niemand kann wissen was morgen plötzlich verboten ist und wie man selbst plötzlich kriminalsiert wird.
Unser mittelständiges Maschinenbauunternehemen ist MS vollkommen ausgeliefert. Die wissen alles von unserer Technologie und unsere IT steht voll auf Cloudspeicherlösungen. Alles so schön einfach und bequem. Es fragt niemand ob es sinnvoll ist, unsere Konstruktion und Softwarelösungen auf Cloudspeichern offen zu legen.
Die komplette Kommunikation liegt dort. Vor ein paar Jahren hatten wir noch unsere eigenen Exchange Server im Haus. Alles angeblich zu teuer,
zuviel Administrationsaufwand.
Schwartz
Well-known member
- Registriert
- 15 Aug. 2015
- Beiträge
- 960
Wenn man paranoid genug ist, spielt es gar keine Rolle welches OS man nutzt... man fühlt sich so oder so beobachtet. Sicherheitslücken über Jahrzehnte finden sich nämlich auf allen Seiten. Und dann noch Intel ME & AMD PSP.
Macht keinen Microsoft-Account, nutzt Verschlüsselung mit einem Passwort und nicht so einem Keygedöns, KISS. Weiteres erübrigt sich.
Macht keinen Microsoft-Account, nutzt Verschlüsselung mit einem Passwort und nicht so einem Keygedöns, KISS. Weiteres erübrigt sich.
mectst
Well-known member
- Registriert
- 19 Nov. 2009
- Beiträge
- 3.161
Wenn du dies nur ein klein wenig weiter führst, bist du sehr schnell bei der Erkenntnis, dass du keinerlei Smartphone mit dir führen darfst. Alte (klassische ) Telefonier-Handys werden zunehmend unbrauchbar, da die zugrundeliegende Netzinfrastruktur verschwinden wird. Zuhause telefonieren ist bereits VoIP also bist du da quasi auch schon gläsern.
Hier handelt es sich um unternehmerische Entscheidungen, was völlig anderen Regeln folgt. Natürlich kann sowas in einer totalen Katastrophe ändern. Viele andere Unternehmen haben allerdings auch aus rein unternehmerischen Entscheidungen "den Anschluss Verpasst" und waren mit "veralteter Technik" nicht mehr konkurrenzfähig mit anschließendem Bankrott - für die betroffenen Angestellten ebenso einen Riesenkatastrophe.
Für 99,9 Prozent der Anwender ist das doch alles gar nicht mehr überschaubar, mich selbst eingeschlossen. Ja, ich fühle mich durch und durch beobachtet, z. B. von Microsoft und Apple. Ich nutze icloud, sogar mit Backups, und habe meine beiden Windows 11 25H2 Rechner „ganz normal“ mit einem Microsoft Account installiert. Ich habe keine Lust und Zeit, mich als Anwender und Nicht-ITler dauernd mit diesen Überwachungsthemen bzw. dem Management des diesbezüglichen, eigenen Setups zu beschäftigen. Ich habe nicht mal mehr Lust, Windows 11 25H2 mit immer mehr Verrenkungen dann doch noch mal als Lokal-Account zu installieren. Ich sag nicht, dass das vernünftig ist; es ist nur mein ganz persönlicher Umgang damit.
Damit meine ich nicht, dass mir das alles egal ist, ganz im Gegenteil. Ich nutze auch Linux auf einem X220, allerdings habe ich einige Programme, die ich halt als Anwender unter Windows 11 brauche bzw. glaube zu brauchen. Auf der Arbeit - in einer großen Organisation - ist es bei mir nicht anders, trotz sensibelster Informationen. Und das ist ja noch mal ne völlig andere Nummer, als meine privaten Daten.
Für mich wären ganz grundlegende Veränderungen, insbesondere auch gesamtgesellschaftlich, von Nöten, um digitale Souveränität (die persönliche und die von Volkswirtschaften) wieder herzustellen. Und ich glaube, dass diese Veränderungen langfristig auch kommen werden. Für mich persönlich beachte ich bis dahin halt einige grundlegende Sicherheitsaspekte, damit die Wahrscheinlichkeit, dass mir einer das Konto leer räumt oder irgendwelche super-peinlichen Fotos von mir im Netz auftauchen, etwas abgesenkt wird, aber ansonsten lebe ich mit meiner Paranoia, nur um halt unkompliziert mit meinen Geräten arbeiten zu können.
Damit meine ich nicht, dass mir das alles egal ist, ganz im Gegenteil. Ich nutze auch Linux auf einem X220, allerdings habe ich einige Programme, die ich halt als Anwender unter Windows 11 brauche bzw. glaube zu brauchen. Auf der Arbeit - in einer großen Organisation - ist es bei mir nicht anders, trotz sensibelster Informationen. Und das ist ja noch mal ne völlig andere Nummer, als meine privaten Daten.
Für mich wären ganz grundlegende Veränderungen, insbesondere auch gesamtgesellschaftlich, von Nöten, um digitale Souveränität (die persönliche und die von Volkswirtschaften) wieder herzustellen. Und ich glaube, dass diese Veränderungen langfristig auch kommen werden. Für mich persönlich beachte ich bis dahin halt einige grundlegende Sicherheitsaspekte, damit die Wahrscheinlichkeit, dass mir einer das Konto leer räumt oder irgendwelche super-peinlichen Fotos von mir im Netz auftauchen, etwas abgesenkt wird, aber ansonsten lebe ich mit meiner Paranoia, nur um halt unkompliziert mit meinen Geräten arbeiten zu können.
Zuletzt bearbeitet:
mectst
Well-known member
- Registriert
- 19 Nov. 2009
- Beiträge
- 3.161
Bitte nicht falsch verstehen, ich will nichts Schlecht machen und auch keine Grundsatzdiskussion auslösen.
Hat Linux denn was vergleichbares zu Bitlocker an Bord? Wie ist es denn da mit den Schlüsseln geregelt? Liegen die am Ende, wenn sich kein übergeordneter Konzern drum kümmert, nur auf einen zerknüllten Papierzettel in der Schreibtischschublade - wenn ich mich als verantwortungsvoller User selbst drum gekümmert habe?
ahoellrigl
Rather active member
- Registriert
- 10 Mai 2017
- Beiträge
- 1.236
In diesem konkreten Punkt geht es allerdings gar nicht um "beobachtet werden". Das Ablegen des Bitlocker-Schlüssels im MS-Konto ist ein Feature, das zum einen nicht neu ist und zum anderen vermutlich zigfach öfter von Anwendern nach z.B. eigenen Fehlern genutzt wird, um wieder Zugriff auf die eigenen Datenträger zu bekommen, als es von Strafverfolgungsbehörden abgefragt wird. Der Zweck von Bitlocker besteht darin, dass Daten auf einem Rechner/Datenträger nach Diebstahl oder Verlust nicht von jedermann gelesen werden können. In so einem Fall stört es nicht, wenn der Schlüssel auch in einer Cloud liegt.
Will man aber seinen Rechner bzw. die Daten darauf auch gegen den Zugriff staatlicher Akteure sichern, dann darf man überhaupt keinen Schlüssel in irgendeiner Cloud ablegen, auf die diese Akteure möglicherweise auch Zugriff haben. Nicht in einem MS-Konto, auch nicht in anderen Clouds.
Es ist die eigene Entscheidung, was man will. Den Schutz bei Diebstahl und Verlust mit der Gewissheit, selbst auch bei einem Fehler noch an seine Daten zu kommen. Oder den größtmöglichen Schutz mit dem Risiko, sich auch selbst vom Zugang auf seine Daten aussperren zu können. MS bietet Option 1 als Default an. Aber niemand wird daran gehindert, aktiv auf Option 2 zu wechseln.
fakiauso
Rather active member
- Registriert
- 25 Nov. 2012
- Beiträge
- 1.916
Hat Linux denn was vergleichbares zu Bitlocker an Bord? Wie ist es denn da mit den Schlüsseln geregelt? Liegen die am Ende, wenn sich kein übergeordneter Konzern drum kümmert, nur auf einen zerknüllten Papierzettel in der Schreibtischschublade - wenn ich mich als verantwortungsvoller User selbst drum gekümmert habe?
wiki.ubuntuusers.de
LUKS funktioniert unter allen Linux. Mit den Schlüsseln ist das wie immer, entweder man kümmert sich um eine sichere Ablage und sei es die im Gehirn oder was auch immer. Das wäre aber bei Bitlocker auch nicht anders, aber auf jeden Fall nicht in der Cloud. Alternativ kann OS-übergreifend mittels Veracrypt Zeugs im Datencontainer abgelegt werden.
Für Passwörter innerhalb des OS gäbe es KeepassXC als lokale Speichermöglichkeit und dort könnte ggf. auch das Passwort für die Festplattenverschlüsselung als Rückfallebene geparkt werden auf einem separaten Stick oder so. Schwachstellen gibt es immer, aber in erster Linie gilt es ja, die Hürden so hoch als möglich zu legen und da denke ich eher an den billigen Zugriff durch Diebstahl und dergleichen.
Verschlüsselung › SSD › Wiki › ubuntuusers.de
wiki.ubuntuusers.de
LUKS funktioniert unter allen Linux. Mit den Schlüsseln ist das wie immer, entweder man kümmert sich um eine sichere Ablage und sei es die im Gehirn oder was auch immer. Das wäre aber bei Bitlocker auch nicht anders, aber auf jeden Fall nicht in der Cloud. Alternativ kann OS-übergreifend mittels Veracrypt Zeugs im Datencontainer abgelegt werden.
Für Passwörter innerhalb des OS gäbe es KeepassXC als lokale Speichermöglichkeit und dort könnte ggf. auch das Passwort für die Festplattenverschlüsselung als Rückfallebene geparkt werden auf einem separaten Stick oder so. Schwachstellen gibt es immer, aber in erster Linie gilt es ja, die Hürden so hoch als möglich zu legen und da denke ich eher an den billigen Zugriff durch Diebstahl und dergleichen.
Schwartz
Well-known member
- Registriert
- 15 Aug. 2015
- Beiträge
- 960
Ja... Convenience gegenüber Privatsphäre, solche Entscheidungen muss man oft treffen, hoffentlich langsam mehr und mehr im Bewusstsein was man da hergibt. Oder man braucht halt das Feature und kann damit leben, solche soll es auch geben.
Die Fehlerquellen, die dieser Cloud-Schutz abdeckt existieren übrigens für Passwörter gar nicht - Key kann kaputt oder verloren gehen, Passwort geht immer. Und wenn es nicht geht, ist die verschlüsselte Partition an sich hinüber. Aus dem Blickwinkel ist der Mehrwert zweifelhaft.
Die Fehlerquellen, die dieser Cloud-Schutz abdeckt existieren übrigens für Passwörter gar nicht - Key kann kaputt oder verloren gehen, Passwort geht immer. Und wenn es nicht geht, ist die verschlüsselte Partition an sich hinüber. Aus dem Blickwinkel ist der Mehrwert zweifelhaft.
Das ist mir klar, persönlich nutze ich ein Google Pixel mit GrapheneOS und ohne Google Dienste ( ist schon ein Treppenwitz der Geschichte ) Für Banking hab ich ein Profil in dem halt die Google Dienste laufen. In GraphenOS hast du mindestens mal die Möglichkeit dein Microfon komplett mit einem Griff zu muten.
Auf GOS laufen natürlich die ganzen MS Produkte, die in einer separierten Umgebung laufen müssen, nicht.
(laut unseren Firmenrichtlinien, wie es generell damit aussieht weiss ich nicht)
StefanW.
Rather active member
- Registriert
- 1 Okt. 2008
- Beiträge
- 4.275
BitLocker
Bei mir hängt der Schlüssel aber nicht mit "Key für BitLocker" an der Pinnwand. Und vor vielen Jahren habe ich mich tatsächlich mal selbst aus einem TrueCrypt-Archiv ausgesperrt, weil ich den Key falsch im Kopf gespeichert habe und in meinen vielen handschriftlichen Aufzeichnungen den Key nicht mehr fand.
iks230
Well-known member
- Registriert
- 8 Dez. 2021
- Beiträge
- 783
Es gibt zumindest erfolgreiche Angriffe bei den Varianten wo keine "Preboot authentication" genutzt wurde:
BitLocker countermeasures
Learn about technologies and features to protect against attacks on the BitLocker encryption key.
learn.microsoft.com
Zwei Beispiele (beim ersten Video wird ein ThinkPad P14s Gen 2a genutzt, beim zweiten ein X1 Carbon):
Zuletzt bearbeitet:
linrunner
Ubuntuversteher
- Registriert
- 22 Juni 2007
- Beiträge
- 13.770
Diese undifferenzierte, unterstellende Betrachtungsweise begegnet einem leider öfter. Sie ist aber schon im Ansatz falsch.
Was hat das Thema Datenschutz auf dem Smartphone mit der Frage zu tun, wer Zugriff auf deinen Bitlocker Key (und ggf. die damit verschlüsselten Daten) hat oder sich verschaffen kann? Auch auf dem Smartphone - ob Android oder iPhone - kannst Du - innerhalb der Beschränkungen der Plattform - selbst konfigurieren, welche Daten bzw. Keys Du preisgibst. Das ist jedesmal eine Einzelbetrachtung.
EDITH sagt: und ob es für Strafverfolger möglich ist, nach Beschlagnahme der Hardware ohne Kenntnis des Keys die Verschlüsselung zu brechen, ist eine weitere Einzelbetrachtung. Das alles stets in einen Topf zu werfen, ergibt keinen Sinn.
Zuletzt bearbeitet:
Gegenüber Strafverfolgern und Anderen, die ggf. in der Position sind, Gewalt gegen einen auszuüben, gilt letztendlich xkcd:Security [1], und die Vorstellung, solchen Methoden (im Extremfall bis zur Folter) standhalten zu können, ist illusorisch.
Luks bietet daher das Feature eines "Nuke"-Passworts, bei dessen Eingabe alle Schlüssel gelöscht werden, womit das Volume unzugänglich wird.
Der Haken daran: Das funktioniert höchstens einmal, und jemand der so tief in der IT steckt, um sich damit zu beschäftigen, hat garantiert Backups.
[1] https://xkcd.com/538/
Luks bietet daher das Feature eines "Nuke"-Passworts, bei dessen Eingabe alle Schlüssel gelöscht werden, womit das Volume unzugänglich wird.
Der Haken daran: Das funktioniert höchstens einmal, und jemand der so tief in der IT steckt, um sich damit zu beschäftigen, hat garantiert Backups.
[1] https://xkcd.com/538/
mectst
Well-known member
- Registriert
- 19 Nov. 2009
- Beiträge
- 3.161
Wenn du Beiträge aus dem Zusammenhang reißt und nicht vollständig zitierst, so dass der Bezug erhalten bleibt, ist diese Art der Unterstellung schon im Ansatz falsch.
So ein undifferenziertes Wiedergeben begegnet einem leider öfters.
Beitrag automatisch zusammengeführt:
Auch da bin ich der falsche Adressat. Das Thema hat @ksk_halo eingebracht und ich habe nur darauf Bezug genommen.
Ansonsten mag es stimmen, dass dies Off-Topic ist. Mit den von dir hier zitieren Textauszügen, bist du es mindestens im gleichen Maße.
Zuletzt bearbeitet:
linrunner
Ubuntuversteher
- Registriert
- 22 Juni 2007
- Beiträge
- 13.770
@mecst den Gedanken, dass man kein Smartphone bei sich führen darf, hast doch Du oben neu als Reaktion auf @ksk_halo 's Unwohlsein in die Diskussion eingeführt, oder? Soll ich stets den gesamten Thread quoten, damit dir nichts fehlt? Falls Du dich jedoch damit gar nicht identifizieren möchtest, dann hast Du das hiermit kundgetan und ich werfe ihn nur noch denjenigen vor, die ihn mir gegenüber ohne Kontext nutzen.
