Microsoft liefert dem FBI BitLocker-Wiederherstellungsschlüssel zum Entsperren von Laptops Verdächtiger

 (techcrunch.com)
1 Punkte von GN⁺ 2026-01-24 | 1 Kommentare | Auf WhatsApp teilen
  • Das FBI forderte Wiederherstellungsschlüssel an, um die Festplatten von drei mit BitLocker verschlüsselten Laptops zu entsperren, und Microsoft stellte diese bereit
  • BitLocker ist eine auf Windows-Geräten standardmäßig aktivierte vollständige Festplattenverschlüsselung, die ursprünglich als Sicherheitstechnik gedacht ist, um den Zugriff durch andere als die Eigentümer zu verhindern
  • Allerdings werden Wiederherstellungsschlüssel standardmäßig in die Microsoft-Cloud hochgeladen, sodass Strafverfolgungsbehörden damit verschlüsselte Laufwerke entschlüsseln können
  • Der Vorfall ereignete sich im Zuge einer Bundesermittlung gegen Verdächtige in Guam wegen Betrugs mit Pandemic Unemployment Assistance (PUA)
  • Verschlüsselungsexperten weisen auf das Risiko hin, dass in der Cloud gespeicherte Wiederherstellungsschlüssel gehackt werden könnten, und äußern Bedenken hinsichtlich Microsofts Fähigkeit zum Sicherheitsmanagement

Anfrage und Bereitstellung von BitLocker-Wiederherstellungsschlüsseln durch das FBI

  • Im Rahmen der Ermittlungen des FBI zu einem Betrugsfall im Zusammenhang mit Pandemic Unemployment Assistance (PUA) in Guam wurde ein Durchsuchungsbeschluss zur Herausgabe von Wiederherstellungsschlüsseln erlassen, um die Verschlüsselung von drei Laptops Verdächtiger aufzuheben
    • Forbes berichtete zuerst darüber, TechCrunch zitierte den Bericht
    • Auch die lokalen Medien in Guam, Pacific Daily News und Kandit News, berichteten über den erlassenen Beschluss
  • Microsoft stellte auf Anfrage des FBI BitLocker-Wiederherstellungsschlüssel bereit und ermöglichte so die Entschlüsselung der Daten auf den betreffenden Laptops
  • Microsoft erklärte gegenüber Forbes, dass das Unternehmen im Jahresdurchschnitt etwa 20 Anfragen nach Wiederherstellungsschlüsseln von Ermittlungsbehörden erhalte

Standardverhalten von BitLocker und Zugriffsmöglichkeiten

  • BitLocker ist auf aktuellen Windows-Computern standardmäßig aktivierte vollständige Festplattenverschlüsselung, die den Zugriff auf Daten verhindert, wenn das Gerät ausgeschaltet oder gesperrt ist
  • In der Standardeinstellung werden Wiederherstellungsschlüssel jedoch automatisch in die Microsoft-Cloud hochgeladen, wodurch das Unternehmen und Strafverfolgungsbehörden diese Schlüssel zur Entschlüsselung verschlüsselter Laufwerke nutzen können
  • Diese Architektur stärkt zwar den Schutz von Nutzerdaten, lässt aber zugleich einen Zugriffspfad für Unternehmen und Behörden über die Wiederherstellungsschlüssel offen

Bedenken von Sicherheitsexperten

  • Der Kryptograf Matthew Green von der Johns Hopkins University warnte, dass bei einem Hack der Microsoft-Cloud-Infrastruktur das Risiko bestehe, dass Wiederherstellungsschlüssel externen Angreifern offengelegt werden
    • Er verwies darauf, dass Microsoft in der Vergangenheit bei mehreren Vorfällen, darunter staatliche Hacks, Schlüssel offengelegt wurden
    • Allerdings benötigt ein Angreifer zur Nutzung eines Wiederherstellungsschlüssels physischen Zugriff auf die Festplatte
  • In einem Beitrag auf Bluesky schrieb Green, „es ist 2026, aber diese Bedenken werden schon seit langer Zeit geäußert“, und kritisierte, Microsofts Versagen beim Schutz von Kundenschlüsseln sei in der Branche außergewöhnlich

Microsofts Stellungnahme

  • Auf die Bitte von TechCrunch um Stellungnahme reagierte Microsoft nicht umgehend
  • Gegenüber Forbes erklärte das Unternehmen lediglich: „Das Unternehmen stellt Strafverfolgungsbehörden gelegentlich BitLocker-Wiederherstellungsschlüssel zur Verfügung“
  • Weitere interne Richtlinien oder Verfahren wurden nicht genannt

Auswirkungen auf Datenschutz und Branche

  • Eine Struktur, bei der Unternehmen Wiederherstellungsschlüssel aufbewahren, birgt das Potenzial für Eingriffe in die Privatsphäre der Nutzer
  • Experten warnen, dass eine solche Architektur bei einer Verletzung der Cloud-Sicherheit zu großflächigen Datenoffenlegungen führen könnte
  • Der Fall rückt erneut die Frage nach dem Gleichgewicht zwischen der Vertrauenswürdigkeit von Verschlüsselungstechnologien und der Zusammenarbeit mit Strafverfolgungsbehörden in den Fokus

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-24
Hacker-News-Kommentare

  • Unter Windows 11 ist BitLocker standardmäßig aktiviert, und wenn ein Microsoft-Konto verknüpft ist, wird der Wiederherstellungsschlüssel automatisch hochgeladen.
    Daher kann das FBI Microsoft per Durchsuchungsbefehl zur Herausgabe des Schlüssels verpflichten.
    Die meisten Nutzer merken womöglich nicht einmal, dass sie einen verschlüsselten Laptop verwenden.
    In den Medien heißt es dann, „Microsoft habe den Schlüssel herausgegeben“, tatsächlich geschieht das aber aufgrund einer gesetzlichen Verpflichtung.
    Für normale Nutzer ist das aus meiner Sicht ein vernünftiger Standard zum Schutz vor Diebstahl und zur Datenwiederherstellung.
    Fortgeschrittene Nutzer können die Einstellungen ändern und ihre Schlüssel selbst verwalten.

    • Um diese Einstellung zu ändern, muss man BitLocker jedoch deaktivieren, ein neues lokales Konto anlegen, den bestehenden Schlüssel aus OneDrive löschen und anschließend erneut verschlüsseln.
      Viel sinnvoller wäre es, wenn wie bei Apple schon während der Ersteinrichtung gefragt würde, ob der Wiederherstellungsschlüssel in iCloud gespeichert werden soll.
    • Solange die Funktion existiert, kann der Schlüssel durch einen Fehler, einen Bug oder sogar durch ein kosmisches Teilchen hochgeladen werden.
      Da der Nutzer in so einem Fall keinen Hinweis erhält, entsteht ein stilles Versagen, bei dem sich die Sicherheitseigenschaften unbemerkt ändern.
    • Es gibt immer Leute, die Großkonzerne verteidigen.
      Aber wenn man bedenkt, dass Microsoft regelmäßig Bildschirm-Screenshots aufnimmt, ist das beunruhigend.
    • Microsoft hat das System so entworfen, dass die Schlüssel im Klartext in der Cloud gespeichert werden.
      Man hätte wie bei einem Passwortmanager Ende-zu-Ende-Verschlüsselung einsetzen können, hat sich aber dagegen entschieden.
      Genau diese Entscheidung ermöglicht den Zugriff von Strafverfolgungsbehörden.
    • Selbst wenn ein Nutzer das Hochladen ablehnt, gibt es keine Möglichkeit, sicher zu wissen, ob der Schlüssel wirklich nicht hochgeladen wurde.
      Damit Microsoft wieder Vertrauen gewinnt, bleibt aus dieser Sicht nur, Windows als Open Source freizugeben.

  • Früher gab es bei solchen Meldungen deutlich mehr Widerstand, heute reagieren viele eher mit „na klar“.
    Ich denke, diese Situation ist entstanden, weil Techniker staatlichen Forderungen nachgegeben haben.
    Das ist kein Problem des Rechts, sondern ein Problem des Sicherheitsdesigns.

    • Die meisten Kommentare sind zwar weiterhin kritisch, übernehmen aber oft unbesehen die Prämissen von Clickbait-Artikeln.
      Wenn Strafverfolger Daten verlangen, können Unternehmen das faktisch nicht verweigern und werden letztlich durch das Gesetz unter Druck gesetzt.
    • Viele Techniker kooperieren mit dem Staat wegen RSUs, KPIs und wirtschaftlichem Druck.
      Menschen handeln meist nur so lange, bis ihr eigener Komfort bedroht ist.
    • Der Behauptung, es handle sich um ein „Problem des Sicherheitsdesigns“, wird widersprochen.
      Tatsächlich verbieten Staaten mitunter sogar Ende-zu-Ende-Verschlüsselung an sich.
      Als Beispiel kann man warum Apple im Vereinigten Königreich E2E-Verschlüsselung deaktiviert hat heranziehen.
    • Regierungen können jederzeit die Definition eines Terroristen ändern.
      Man sollte nicht vergessen, dass der Bürger von heute morgen schon als „Bedrohung“ gelten kann.
    • Verantwortlich sind nicht einzelne Entwickler, sondern die Unternehmen.

  • Ich nutze vollständige Verschlüsselung für Linux-Laufwerke.
    Wenn ich den Schlüssel vergesse? Dann richte ich einfach ein neues Laufwerk ein und stelle alles aus dem Backup wieder her.
    Weder Microsoft noch die US-Regierung haben irgendeinen Weg, auf meine Dateien zuzugreifen.
    Windows dient nicht der Sicherheit des Nutzers, sondern der Sicherheit autoritärer Regierungen.

    • Aber Full Disk Encryption (FDE) allein reicht nicht aus.
      Gegen Kameras, Keylogger, manipulierte Bootloader oder Cold-Boot-Angriffe bleibt man weiterhin verwundbar.
    • Es gibt auch die Frage: „Was, wenn man den Backup-Schlüssel vergisst?“
      Am Ende ist Backup-Verwaltung genauso wichtig wie Verschlüsselung selbst.
    • Wenn jemand von außen mein Laufwerk ohne meine Erlaubnis verschlüsseln kann, ist das keine echte Verschlüsselung.
      Es ist nur Verschwendung von CPU-Zyklen.
    • Das erinnert an den bekannten Comic XKCD 538.
    • Ich stimme der Aussage zu: „Privatsphäre ist kein Verbrechen“.

  • Microsoft sagte Forbes, dass es pro Jahr etwa 20 Anfragen zur Herausgabe von BitLocker-Wiederherstellungsschlüsseln erhält.
    Das ist zwar ehrlich, aber gerade deshalb halte ich einen Wechsel zu Linux für sinnvoller.
    Besonders dann, wenn man häufig ins Ausland reist.
    Wenn Microsoft die Daten der US-Regierung gegeben hat, ist es sehr wahrscheinlich, dass das auch gegenüber anderen Regierungen geschieht.

    • Unternehmen haben bei einer rechtlichen Anordnung jedoch keine Möglichkeit, sie abzulehnen.
    • Man kann nicht sicher behaupten, dass es gegenüber allen Regierungen so gehandhabt wurde, aber die Wahrscheinlichkeit ist hoch, dass es auch gegenüber anderen Regierungen geschah.
    • Manche meinen, man müsse nicht extra zu Linux wechseln, sondern nur die Upload-Funktion für Schlüssel deaktivieren.

  • Für die meisten Nutzer sind die BitLocker-Standardeinstellungen aus meiner Sicht ein vernünftiges Sicherheitsniveau.
    Laptop-Diebstahl ist eine deutlich realistischere Bedrohung als staatliche Überwachung.
    Bei Unternehmenskunden ist das Hochladen der Schlüssel nicht die Voreinstellung, und auch Privatnutzer können es bei Bedarf deaktivieren.

    • Tatsächlich sind Diebstahl oder Verlust viel häufiger als staatlicher Zugriff.
      Es wäre besser gewesen, wenn Microsoft das System so entworfen hätte, dass das Unternehmen selbst nicht direkt auf die Schlüssel zugreifen kann, aber es ist immer noch besser als gar kein Schutz.
    • Angesichts einer immer näher rückenden „feindlichen Regierung“ könnte diese Sorglosigkeit jedoch gefährlich sein.
      Das ruft wieder die alte Frage in Erinnerung: „Was, wenn die Nazis zurückkommen?“

  • UEFI und Firmware könnten weiterhin Microsoft-Schlüssel akzeptieren statt der vom Nutzer ausgetauschten Sicherheitsschlüssel.
    Auch das TPM wird durch Schlüssel von Intel oder AMD geschützt, sodass theoretisch ein Zugriff durch Dritte möglich ist.
    YubiKey oder Smartcards sind ebenfalls geschlossene Hardware, deren internes Verhalten sich nicht verifizieren lässt.

  • Ich lege großen Wert auf Privatsphäre, aber in diesem Fall ging es um eine begrenzte Datenherausgabe auf Grundlage eines gültigen Durchsuchungsbefehls.
    Zugriff war nur möglich, nachdem die Festplatte physisch sichergestellt worden war.
    Das ist deutlich vernünftiger als Versuche wie die Chat Control der EU, mit der alle Nachrichten durchsucht werden könnten.

  • Es gibt einen Fall, der zeigt, was passiert, wenn das FBI einen Laptop nicht entsperren kann.
    Der Fall, in dem das FBI eine Festplatte mit Bitcoin im Wert von 345 Millionen Dollar löschte
    Beim nächsten Mal könnten sie die Daten kopieren, sie mit „Entschlüsselung fehlgeschlagen“ löschen und es dabei belassen.
    Früher haben Agenten schon einmal Bitcoin unterschlagen; inzwischen könnte es sein, dass die Vorgesetzten direkt ihren Anteil verlangen.

  • Aus Sicht der Privatsphäre ist Microsofts Upload der Schlüssel ein fragwürdiges Design.
    Andererseits dürften Tausende Nutzer dank des Wiederherstellungsschlüssels ihre Daten zurückbekommen haben.
    Besser wäre ein expliziter Auswahlbildschirm im Installationsassistenten gewesen, etwa mit Fragen wie „Möchten Sie Ihre Daten verschlüsseln?“ und „Möchten Sie eine Wiederherstellung ermöglichen?“

  • Man hört wieder: „Jetzt ist wirklich das Jahr des Linux-Desktops gekommen.“
    Jetzt ist der Moment, Windows hinter sich zu lassen.

    • Ich wollte meine Eltern auf Linux umstellen, aber sie lehnten ab, weil es keine Desktop-Version von MS Office gibt.
      Ich habe die Webversion, LibreOffice, OnlyOffice und sogar LaTeX ausprobiert, aber nichts davon hat funktioniert.
      Auch ein Wechsel zu macOS kommt für sie nicht infrage.
      Ich selbst mag Office nicht, aber meine Eltern wollen nur das „echte Microsoft Office“.
    • Wenn man Linux nutzen will, sollte man die Debian-Familie (Ubuntu/Mint) meiden.
      „Stable“ bedeutet in Wahrheit veraltet.
      Ich empfehle Fedora — für Endnutzer sehr ausgereift, ohne so kompliziert zu sein wie Arch.