Windows BitLocker: Microsoft gibt Schlüssel an Strafverfolger heraus

Windows Betriebssystem
Wer sich für die Funktionsweise von BitLocker bzw. funktionierende Angriffe interessiert sei nochmal auf die geteilten Videos hingewiesen.

Im ersten Video wird die Funktionsweise von BitLocker und ein Angriff ausführlich gezeigt ohne das Gerät aufzuschrauben, im zweiten dauert der Angriff inkl. Basecover entfernen keine Minute:

 
@mectst: Ich habe genau den Inhalt des einen Satzes von dir kritisiert und bleibe aufgrund deiner Reaktion dabei. Die angeblich von mir weggelassenen Zusammenhänge, wie Du behauptest, hast Du nicht erläutert. Offtopic hab ich nicht behauptet.

Nun gut, du willst anscheinend nicht Ruhe geben ...


Ich habe genau den Inhalt des einen Satzes von dir kritisiert und bleibe aufgrund deiner Reaktion dabei.

Diese undifferenzierte, unterstellende Betrachtungsweise begegnet einem leider öfter. Sie ist aber schon im Ansatz falsch.

Nach meinem Verständnis entspricht dies nicht der allgemein üblichen Form der Formulierung einer sachlichen Kritik an den Beiträgen anderer. Ich lese da eher einen verbalen Rundumschlag, der nur darauf abzielt den Verfasser (mich in diesem Fall) der Unwissenheit zu bezichtigen.


Was hat das Thema Datenschutz auf dem Smartphone mit der Frage zu tun, wer Zugriff auf deinen Bitlocker Key (und ggf. die damit verschlüsselten Daten) hat oder sich verschaffen kann?

Offtopic hab ich nicht behauptet.

Soso, du weist anscheinend selbst nicht mehr so richtig, was du hier von dir gegeben hast. Oder ist deine Frage zum Zusammenhang von Datenschutz und dem ursprünglichen Punkt Bitlocker-Key etwa kein Hinweis darauf, off-topic zu sein?

Im Übrigen zeigt (für mich) auch deine Reaktion auf meinen Beitrag Beitrag #19 wie sehr dir anscheinend an einer sachlichen Diskussion gelegen ist. Sowohl die von dir gewählte Form deiner Kritik als auch diese Emoji-Reaktion entsprechen für mich weder dem sonst pfleglichen Umgangston hier im Forum noch einer sonst im Netz üblichen Netiquette. Sei mir nicht böse, wenn wich mich nicht auf dieses Niveau begebe - da bist du mir mit deiner Erfahrung da sicher haushoch überlegen.
Daher zitiere ich mich abschließend nochmals selbst: Lass diese unsägliche und abschweifende Diskussion sein. Du hast deinen Standpunkt kund getan und damit ist gut. Off-topic nun wirklich Ende!
 
Bitte tragt Eure persönlichen Differenzen per PN aus. Das öffentliche Forum ist dafür die falsche Plattform.
 
Leider ist der Schluss des Artikels sehr schwammig:
Wer Daten maximal sicher verschlüsseln will, tut gut daran, nicht auf Dritte zu vertrauen. Dazu gehört vor allem, den Schlüssel nicht aus der Hand zu geben. Im Fall von BitLocker ist das durchaus möglich, wenn eine Pro Edition oder vergleichbare Fassung vorhanden ist und man einen Bogen ums Microsoft-Konto macht.
Hier fehlt das "wie", z.B. diese Variante (bei DELL.com) oder auch ohne TPM, wie bei Heise.de beschrieben. Bei der Variante ohne TPM muss man vor Aktivierung von Bitlocker den TPM im BIOS auf "disabled" setzen, Windows starten und nach der Anleitung vorgehen. Den Wiederherstellungsschlüssel speichert man auf einem USB-Stick und kann ihn später z.B. auf dem Smartphone ablegen, um ihn im Notfall auch unterwegs bei sich zu haben.
Nach reboot und erfolgter Verschlüsselung geht man wieder ins BIOS und aktiviert TPM. Beim Windows-Start wird dann nur die Bitlocker-PIN angefragt. - Diese Variante ist vor allem dann sinnvoll, wenn man auf absehbare Zeit das System Board austauschen oder die SSD auch in einem anderen Rechner verwenden will/muss.

Die Bitlocker-Verschlüsselung mit PIN hat noch einen großen Vorteil: Startet der Rechner gerne mal nachts von selbst, z.B. um "heimlich" Windows Updates zu installieren, schaltet der Rechner nach einem Timeout von etwa einer Minute im Bitlocker-PIN Eingabefenster automatisch wieder aus.

Diese Variante (Bitlocker-Verschlüsselung ohne TPM mit PIN) hatte ich bei allen Notebooks in der Firma angewandt, damit man bei einem Defekt des Rechners einfach die SSD in einen anderen Rechner umstecken kann und diesen direkt wieder dem Mitarbeiter zukommen lassen kann. - Das geht dann ohne Eingabe des Wiederherstellungsschlüssels.
 
Die Bitlocker-Verschlüsselung mit PIN hat noch einen großen Vorteil: Startet der Rechner gerne mal nachts von selbst, z.B. um "heimlich" Windows Updates zu installieren, schaltet der Rechner nach einem Timeout von etwa einer Minute im Bitlocker-PIN Eingabefenster automatisch wieder aus.
Danke für den Tip :)
 

Um das noch mal klar zu stellen:
  • Microsoft gibt keine Schlüssel heraus, sondern gewährt unter Umständen Einblick in das Profil eines Users via Browser.
  • Steht in dem Profil des Browsers ein Bitlocker-Schlüssel, sieht ihn auch der Ermittler.
  • Befindet sich kein Schlüssel im Profil des Browsers, weil er vom User im Profil gelöscht wurde, ist er nicht ermittelbar.
Wie Anwender sich schützen können
Nutzer können den Schlüssel aus ihrem Online-Account löschen. An dieser Stelle sei aber eindringlich darauf hingewiesen, dass die Verwaltung des Schlüssels ab diesem Moment vollständig in der Verantwortung des Anwenders liegt. Der Schlüssel sollte keinesfalls nur auf dem damit gesicherten Gerät hinterlegt werden. Denn wenn es einer Wiederherstellung bedarf, ist ein Zugriff auf die auf dem Gerät gespeicherten Daten nicht möglich.

Heißt praktisch...
  • Die Gefahr besteht hauptsächlich dann, wenn ein frisch eingerichteter WINDOWS-Rechner automatisch Bitlocker auf dem Systemlaufwerk C: aktiviert und automatisch den Bitlocker-Schlüssel in das Profil einträgt. Dann ist er für Ermittler sichtbar, obwohl der User gar nichts davon weiß.
  • Löscht man den automatisch erzeugten Schlüssel von Hand aus dem Browser-Profil und speichert ihn auf einem USB-Stick o.ä. ab, ist man als User auf der sicheren Seite, weil der Schlüssel im Profil nicht mehr sichtbar ist.
  • Am effektivsten für Otto Normalverbraucher ist es, alle "Bezeichner" und "Bitlockerschlüssel", die einem jemals unter kommen, in einer Excel-Tabelle zu sammeln, diese beim Speichern mit einem Passwort zu verschlüsseln und diese verschlüsselte Excel-Tabelle anschließend noch einmal mit 7-ZIP per AES-256 zu verschlüsseln.
 
Witzig, unser mittelständisches Maschinenbau-Unternehmen hostet noch einen Exchange-Server, die Hälfte der Belegschaft krebst noch mit Office 2013 herum und das alles, weil Software-as-a-service in den Augen des CFO "moderne Wegelagerei" ist.

Das sind dann diese Firmen, von denen man manchmal in den Nachrichten liest, weil sie nach Ransomware-Problemen in die Insolvenz schliddern, oder?

Steht in dem Profil des Browsers ein Bitlocker-Schlüssel, sieht ihn auch der Ermittler.
Befindet sich kein Schlüssel im Profil des Browsers, weil er vom User im Profil gelöscht wurde, ist er nicht ermittelbar.

Häh? Profil des Browsers? Du willst etwas klarstellen und schreibst dann völlig verwirrendes Zeugs.
Nein, der Browser hat damit nichts zu tun und dessen Profil auch nicht.

Der Bitlocker-Schlüssel wird auf den Servern von Microsoft im Konto des Benutzers gespeichert.

Löscht man den automatisch erzeugten Schlüssel von Hand aus dem Browser-Profil und speichert ihn auf einem USB-Stick o.ä. ab, ist man als User auf der sicheren Seite, weil der Schlüssel im Profil nicht mehr sichtbar ist.

Und du bist sicher, dass Microsoft ihn wirklich vollständig löscht, nur weil der Benutzer ihn aus seinem Microsoft Konto (nicht seinem Browser-Profil) gelöscht hat?

Sinnvollerweise generiert man den Schlüssel einfach neu. Das geht, ohne die Verschlüsselung zu deaktivieren. Dann kann man ihn sicher lokal speichern, wenn einem das wichtig ist.

Am effektivsten für Otto Normalverbraucher ist es, alle "Bezeichner" und "Bitlockerschlüssel", die einem jemals unter kommen, in einer Excel-Tabelle zu sammeln, diese beim Speichern mit einem Passwort zu verschlüsseln und diese verschlüsselte Excel-Tabelle anschließend noch einmal mit 7-ZIP per AES-256 zu verschlüsseln.

Man könnte natürlich auch einfach Keepass oder einen anderen Passwort-Tresor dafür nehmen. Diese Programme sind dann auch extra dafür gedacht.
 
Das sind dann diese Firmen, von denen man manchmal in den Nachrichten liest, weil sie nach Ransomware-Problemen in die Insolvenz schliddern, oder?
Ich sag immer, der Hacker der sich zu uns verirrt macht aus Mitleid noch Ports zu, wenn er geht - oder er vermutet einen viel zu offensichtlichen Honeypot...

Mein Office (2013) auf Arbeit macht derzeit Stress, die Supportfirma hat deutlich erklärt, dass wir updaten sollen. Mal gucken, wann das passiert..
Da es auch Probleme mit dem Webmail gibt, liegt das Problem ggf. nicht nur in der alten Office-Version.
 
Ich sag immer, der Hacker der sich zu uns verirrt macht aus Mitleid noch Ports zu, wenn er geht - oder er vermutet einen viel zu offensichtlichen Honeypot...

Mein Office (2013) auf Arbeit macht derzeit Stress, die Supportfirma hat deutlich erklärt, dass wir updaten sollen. Mal gucken, wann das passiert..
Da es auch Probleme mit dem Webmail gibt, liegt das Problem ggf. nicht nur in der alten Office-Version.
Jetzt bin ich aber neugierig: Habt ihr ein Backup System? Ich meine ein digitales, oder druckt ihr alles noch auf Papier aus, um es zu sichern? :oops:
 
Habt ihr ein Backup System? Ich meine ein digitales, oder druckt ihr alles noch auf Papier aus, um es zu sichern?
Nein, die kopieren die Dateien in den Papierkorb. Die kann man ja von dort wiederherstellen, wenn das Original unbrauchbar ist. - Macht man ja am Schreibtisch auch so. 😇
 
Magnetbänder. Ich scherze nicht.

Und was den Umfang in Sachen Ausdrucken angeht könnten wir eine Behörde sein…
 
Ich hab grad neulich von mehreren Fällen gelesen, wo deutsche Polizisten Leute auch überwältigt haben um ihre Finger auf den Scanner am Phone oder Notebook zu drücken. So einfach geht das.
In einem Fall wurde so ein Pädo wegen Körperverletzung angezeigt weil er sich gewehrt hat und seinerseits klagte er darauf daß die Daten nicht im Prozeß verwendet werden dürfen, aber vergeblich.
 
Gibt ein par CCC Vorträge zu dem Thema. Die dürfen Biometrische Logins "erzwingen" in dem sie z.B. das Handy vor dein Gesicht halten für Face ID, aber nicht zu einer altmodischen Pin Eingabe.
 
Der Bitlocker-Schlüssel wird auf den Servern von Microsoft im Konto des Benutzers gespeichert.

Mag sein, aber angezeigt wird der Schlüssel im Profil des Users im Browser. Den bekommen die Ermittler zu sehen oder eben nicht, so steht es im heise-Text.

Und du bist sicher, dass Microsoft ihn wirklich vollständig löscht, nur weil der Benutzer ihn aus seinem Microsoft Konto (nicht seinem Browser-Profil) gelöscht hat?

Das sind rechtliche Grundlagen, nach denen vorgegangen wird. Das hat nichts damit zu tun, dass irgendwo eine Kopie des Schlüssels gibt, so wie es ja auch Kopien von Schlüsseln eines Safes gibt.

Es geht auch nicht immer um kriminelle Dinge, sondern um rechtliche: Auf dem Notebook kann sich z.B. ein Testament befinden, welches nie ausgedruckt wurde. Also stellt ein Gericht den Antrag auf Entschlüsselung es Laufwerks, auf dem das Testament gespeichert wurde.

Sinnvollerweise generiert man den Schlüssel einfach neu. Das geht, ohne die Verschlüsselung zu deaktivieren.

Das stimmt nicht so ganz richtig: Jeder Bitlocker-Key hat einen Bezeichner und gilt für diese, eine Verschlüsselung: Er ist der Schlüssel der Verschlüsselung, so ist es definiert.
 
Zuletzt bearbeitet:
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben