MS gibt bei FBI-Anfragen die Datenverschlüsselungsschlüssel von Windows-PCs heraus

 (windowscentral.com)
3 Punkte von GN⁺ 2026-01-25 | 1 Kommentare | Auf WhatsApp teilen
  • Windows 11 erzwingt standardmäßig die Verknüpfung mit einem Microsoft-Konto, wodurch BitLocker-Verschlüsselungsschlüssel automatisch in der Cloud gesichert werden
  • Microsoft bestätigte, diese Schlüssel dem FBI bei Vorliegen einer rechtsgültigen Anordnung bereitzustellen, was die Entschlüsselung und den Zugriff auf PC-Daten ermöglicht
  • Tatsächlich gab es 2025 im Rahmen einer Ermittlung zu Betrug mit Arbeitslosenhilfe auf Guam einen Fall, in dem das FBI von Microsoft einen BitLocker-Schlüssel erhielt und ein Gerät entsperrte
  • Microsoft erklärte, man erhalte rund 20 Schlüsselanfragen pro Jahr, könne aber in den meisten Fällen nicht reagieren, weil die Schlüssel nicht in die Cloud hochgeladen wurden
  • Da hochgeladene Schlüssel serverseitig unverschlüsselt vorliegen, wird auf ein erhebliches Risiko für die Privatsphäre der Nutzer hingewiesen

Kontostruktur von Windows 11 und Backup von BitLocker-Schlüsseln

  • Windows 11 erzwingt standardmäßig die Nutzung eines Microsoft-Kontos, und mit diesem Konto wird der BitLocker-Wiederherstellungsschlüssel automatisch verknüpft
    • Nutzer speichern den Schlüssel bei der Kontoverknüpfung ohne zusätzliche Einstellung in der Microsoft-Cloud
    • Die Funktion ist dafür gedacht, dass Nutzer ihre Daten wiederherstellen können, wenn es Probleme beim Entsperren gibt
  • Nutzer können diese Funktion deaktivieren und den Schlüssel lokal speichern, standardmäßig erfolgt jedoch der Upload in die Cloud

Fälle der Herausgabe von Verschlüsselungsschlüsseln auf FBI-Anfrage

  • Microsoft bestätigte in einer offiziellen Stellungnahme gegenüber Forbes, dass man dem FBI BitLocker-Schlüssel bereitstellt, wenn eine gültige rechtliche Anordnung vorliegt
    • Mit diesem Schlüssel lassen sich die Daten auf Windows-Geräten entschlüsseln und darauf zugreifen
  • Laut einem Bericht von Forbes erhielt das FBI Anfang 2025 bei einer Ermittlung zu Betrug mit Arbeitslosenhilfe auf Guam einen Schlüssel von Microsoft und konnte so auf das Gerät zugreifen
    • Der BitLocker-Schlüssel dieses Geräts war in der Cloud gespeichert

Microsofts Position und Umfang der jährlichen Anfragen

  • Microsoft-Sprecher Charles Chamberlayne erklärte: „Die Wiederherstellung von Schlüsseln ist bequem, birgt aber das Risiko unerwünschten Zugriffs, und Kunden sollten selbst entscheiden, wie sie diese verwalten.“
  • Microsoft gab an, vom FBI jährlich rund 20 Anfragen nach BitLocker-Schlüsseln zu erhalten
    • In den meisten Fällen sei eine Herausgabe jedoch nicht möglich, weil die Schlüssel nicht in die Cloud hochgeladen wurden

Vergleich mit anderen Technologieunternehmen

  • Apple hat sich in der Vergangenheit geweigert, Strafverfolgungsbehörden Zugriff auf verschlüsselte Daten zu geben
    • Als das FBI früher die Bereitstellung einer iPhone-Hintertür verlangte, lehnte Apple dies öffentlich ab
  • Einige Unternehmen wie Meta nutzen Zero-Knowledge-Architekturen, bei denen selbst serverseitig kein Einblick in die Schlüssel möglich ist

Datenschutzbedenken und Maßnahmen für Nutzer

  • In die Microsoft-Cloud hochgeladene BitLocker-Schlüssel werden ohne serverseitige Verschlüsselung gespeichert, wodurch ein Risiko für Datenschutzverletzungen besteht
  • Nutzer können auf der Microsoft-Konto-Website prüfen, ob ihr Gerät Schlüssel auf Microsoft-Servern speichert
    • Dort gibt es auch eine Option, die Schlüssel zu löschen
  • Der Artikel bezeichnet die Situation als „Albtraum für die Privatsphäre“ und betont, dass Nutzer Cloud-Backups überdenken sollten

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-25
Hacker-News-Kommentare

  • Die Überschrift des Artikels ist irreführend
    Tatsächlich steht im Forbes-Artikel, dass Microsoft die Schlüssel nicht einfach auf Anfrage herausgibt, sondern nur bei einer gültigen rechtlichen Anordnung (valid legal order)
    Eine bloße Anfrage von Strafverfolgungsbehörden kann abgelehnt werden, die Missachtung einer rechtlichen Anordnung kann jedoch strafrechtliche Folgen haben
    Dass Microsoft grundsätzlich Zugriff auf die Schlüssel der Nutzer hat, stellt allerdings eine erhebliche Sicherheitslücke dar

    • Du hast es wohl nicht genau gelesen. Solche Formulierungen sind immer mit Vorsicht gewählt, daher ist es wichtiger zu lesen, was nicht erwähnt wird
      „legal order“ ist ein weiter Begriff, der von administrativen Vorladungen bis zu richterlichen Durchsuchungsbefehlen reichen kann. Eine einfache „request“ hat keine rechtliche Wirkung
      Microsoft erhält laut eigener Aussage etwa 20 Anfragen pro Jahr und erfüllt davon höchstens 9. Apple erhält mehr Anfragen und beantwortet sie häufiger (Apple-Transparenzbericht)
      Merkwürdig ist auch, dass der im Forbes-Artikel zitierte Microsoft-Sprecher ein externer Krisenkommunikationsberater ist
    • Das Problem wird dadurch komplexer, dass Microsoft in mehreren Rechtsordnungen tätig ist
      Manche Staaten behaupten, ihr nationales Recht gelte weltweit. Damit Microsoft die Forderungen aller Staaten erfüllen kann, wäre eine rechtliche Trennung nach einzelnen Ländern erforderlich
    • Man sollte beachten, dass „legal order“ nicht gleichbedeutend mit „warrant“ ist
      Einige Regierungsbehörden behaupten auf Basis interner Richtlinien, Bürger auch ohne richterlichen Beschluss festnehmen und inhaftieren zu können
    • So wie es keine Garantie gibt, dass das FBI keine Straftäter umfasst, kann man auch Microsoft-Mitarbeitern nicht vollständig vertrauen
    • Microsofts jetzige Maßnahme war keine technische Notwendigkeit, sondern eine rechtliche Vorsichtsmaßnahme
      Bei echter Ende-zu-Ende-Verschlüsselung hätte man Strafverfolgungsbehörden schlicht antworten können, dass es technisch unmöglich ist

  • Unabhängig von der Debatte über die Verschlüsselungsarchitektur verstehe ich nicht, wie man annehmen kann, Microsoft könne rechtliche Anfragen einfach ablehnen
    Beweismittel können rechtlich eingefordert werden – wie sollte ein Gesetz aussehen, das eine Nichtbefolgung wegen „vertraglicher Pflichten“ erlaubt?

    • Microsoft hätte die Nutzer um Zustimmung vor dem Hochladen des Verschlüsselungsschlüssels in die Cloud bitten können
      Stattdessen wird während der Windows-Einrichtung die Nutzung eines Microsoft-Kontos faktisch erzwungen und der Schlüssel automatisch hochgeladen
    • In solchen Fällen sollte nicht einfach eine subpoena genügen, sondern ein warrant erforderlich sein
    • Windows 11 schafft lokale Konten faktisch ab und sendet Schlüssel standardmäßig an Microsoft
      Bei Systemen wie LUKS passiert so etwas nicht; das ist ein Sicherheitsversagen
      Vermutlich soll so die Wiederherstellung erleichtert werden, wenn Nutzer ihr Passwort vergessen, aber im Ergebnis entsteht eine Struktur, die von jedem missbraucht werden kann
    • Es gibt genügend andere technische Alternativen, etwa den BitLocker-Schlüssel mit dem Nutzerpasswort zu verschlüsseln

  • Wahre Freiheit beginnt mit einem Raum, in dem man sicher denken kann
    Mit der Ausbreitung der Überwachungsgesellschaft können Menschen nicht mehr unbeschwert denken oder sich ausdrücken
    Die Logik „wer nichts zu verbergen hat, hat nichts zu befürchten“ schwächt freies Denken eher ab
    Staatlicher Macht kann man langfristig nicht vertrauen, und Verschlüsselungstechnologie ist ein zentrales Werkzeug zum Schutz freien Denkens

    • Ich verstehe dieses Gefühl auch. Als legaler Einwanderer habe ich sogar überlegt, ein Foto eines Wahlkampf-T-Shirts zu löschen, das ich als Scherz bekommen hatte und das in iCloud lag
      Ich hatte Angst, dass jemand an der Grenze das Bild sehen und mir daraus Nachteile entstehen könnten
      Wenn sich solche Selbstzensur aufsummiert, verschwindet die Freiheit. Es fühlt sich an wie eine Rückkehr in die Sowjetzeit

  • Ich will Microsoft nicht verteidigen, aber aus Sicht durchschnittlicher Nutzer könnten die Standardeinstellungen vernünftig sein
    Nutzer sollten allerdings zu Beginn die Möglichkeit haben, die Cloud-Speicherung des Schlüssels abzuwählen (opt-out)
    Bei Intel Panther Lake soll BitLocker vollständig per dediziertem SoC hardwarebeschleunigt werden, wodurch Schwachstellen bei der Vollverschlüsselung des Datenträgers (FDE) abnehmen
    Dennoch bleibt Verbesserungsbedarf

    • Während der Einrichtung das Speichern eines Online-Wiederherstellungsschlüssels optional erlauben
    • Wahl zwischen TPM-basierter oder passwortbasierter FDE ermöglichen
    • Die KDF auf einen speicherintensiven (memory-hard) Algorithmus umstellen
    • Das PIN-Limit von 20 Zeichen aufheben und eine Kombination aus Buchstaben und Zahlen erlauben
    • TPM-Parameter-Verschlüsselung aktivieren
    • Manche befürchten allerdings, dass Intel-Chips eine Backdoor enthalten könnten

  • Wenn eine rechtliche Anfrage eingeht, bleibt Microsoft nichts anderes übrig, als zu reagieren
    BitLocker ist vom Design her darauf ausgelegt, dass Unternehmen Geräte aus der Ferne verwalten können
    Wenn ein Mitarbeiter entlassen wird oder ein Laptop verloren geht, muss das Unternehmen ihn selbst entsperren können
    Diese Struktur ist nicht neu und reagiert gegenüber allen staatlichen Anfragen gleich – ob vom FBI, aus China oder aus Europa

    • Es ist allerdings möglich, dass US-Behörden größeren Einfluss auf den weltweiten Datenzugriff haben

  • Wenn jemand verhaftet wird, kann die Polizei mit einem warrant das Haus durchsuchen
    Sollte bei digitalen Daten derselbe Zugriff wie bei physischen Beweismitteln zulässig sein?
    Der Kern der Debatte liegt in der unterschiedlichen Formulierung von „Anfrage“ und „rechtlicher Anordnung“ sowie in uneinheitlichen Rechtsauslegungen innerhalb der USA
    Braucht der digitale Raum vollständigen Privatsphärenschutz, oder gibt es einen sinnvollen Mittelweg?

    • Zur Einordnung: Eine subpoena ist eine Vorladung und kein Durchsuchungsbefehl
    • Ist ein „Überwachungsstaat in guter Absicht“ wirklich schlecht? Wenn das Ziel die Verhinderung von Kriminalität ist, könnte öffentliche Sicherheit wichtiger als Privatsphäre sein

  • Wenn Nutzer beim Entsperren eines Laufwerks weder ein Passwort noch ein Schlüsselgerät selbst verwenden, dann existiert dieses Geheimnis irgendwo anders
    Das bedeutet, dass ein Zugriff durch Dritte möglich ist
    Das Problem ist, dass viele Nutzer sich dessen nicht klar bewusst sind

  • Nach der Third Party Doctrine könnte Microsoft Daten auch ohne rechtliche Anordnung herausgeben
    Das ist letztlich nur gängige Praxis und kann sich jederzeit ändern
    In einer Realität, in der wir im Alltag unzählige Dienste Dritter nutzen, sollte diese Doktrin abgeschafft werden
    (Wikipedia zur Third-party doctrine)

    • Im Fall von BitLocker ist allerdings fraglich, ob man sagen kann, dass Nutzer die Informationen freiwillig bereitgestellt haben

  • Die Überschrift des Artikels lautet zwar „auf Anfrage bereitgestellt“, der eigentliche Inhalt ist aber „bei gültiger rechtlicher Anordnung bereitgestellt
    Die Überschrift ist also bloß Clickbait

    • Der entscheidende Punkt ist, dass Microsoft die Nutzerschlüssel besitzt und im Bedarfsfall zur Herausgabe verpflichtet ist
    • Ideal wäre eine Architektur, bei der Microsoft die Schlüssel technisch nicht herausgeben kann
    • Manche halten die Formulierung „wurde angefragt“ an sich nicht für problematisch

  • Ich empfehle VeraCrypt (veracrypt.io)

    • Der Vorgänger TrueCrypt wurde plötzlich eingestellt und empfahl den Umstieg auf BitLocker; die Hintergründe werfen bis heute Fragen auf
    • Nach dem Motto: ein schlechter Tag für Microsoft ist ein guter Tag für Linux wurden mehrere Distributions-Links geteilt
      Linux Mint, Ubuntu, Arch Linux, Kali Linux, Fedora