Überwachung: Microsoft hat Bitlocker-Schlüssel heimlich an das FBI weitergegeben

Microsoft hat dem FBI Bitlocker-Schlüssel übergeben, damit die Ermittlungsbehörde auf gesicherte Nutzerdaten zugreifen konnte. Der Konzern hat die Vorgänge gegenüber Forbes bestätigt. Vorausgegangen war ein gültiger Gerichtsbeschluss, pro Jahr soll es rund 20 Fälle geben.

Der Fall, den Forbes als Beispiel nennt, stammt aus dem US-Außengebiet Guam. Bundesrichter hatten den Verdacht, dass Verdächtige sich am Covid-Hilfsprogramm für Arbeitslose bereichert haben. Hinweise sollten drei Laptops liefern, die aber via Bitlocker verschlüsselt waren. Per Gerichtsbeschluss wurde Microsoft daraufhin aufgefordert, die Bitlocker-Schlüssel auszuhändigen. Der Konzern folgte der Aufforderung.

Problem: Nutzer können Bitlocker-Schlüssel in Microsofts Cloud sichern

Das Kernproblem in diesem Fall ist, dass die Bitlocker-Schlüssel ungesichert in der Microsoft-Cloud liegen. Wenn man einen PC mit Bitlocker einrichtet, fordert Microsoft die Nutzer bei der Installation standardmäßig auf, sich bei einem Microsoft-Konto anzumelden. Automatisch landet der Bitlocker-Schlüssel dann im persönlichen Konto. Für Nutzer hat das den Vorteil, dass sich das System einfacher wiederherstellen lässt – das gilt insbesondere, wenn Nutzer den Bitlocker-Schlüssel verlieren.

Diese Backup-Funktion lässt sich auch deaktivieren. Nutzer können also grundsätzlich selbst entscheiden, wo der Bitlocker-Key gespeichert wird. Microsoft verweist in einer Stellungnahme gegenüber Forbes ebenfalls auf die Rolle der Nutzer. „Wenn die Wiederherstellung von Schlüsseln einfach ist, besteht auch das Risiko eines ungewollten Zugangs. Daher glaubt Microsoft, dass Kunden in der besten Position sind, um zu entscheiden, wie sie ihre Schlüssel verwalten“, so Microsoft.

Ob der eigene Bitlocker-Schlüssel in der Microsoft-Cloud hinterlegt ist, lässt sich über die entsprechende Funktion im Konto prüfen.

Laut Microsoft wollte Sicherheitsbehörden bereits im Jahr 2013, dass der Konzern eine Hintertür in das Verschlüsselungssystem einbaut. Dem habe man sich aber verweigert.

Microsoft ist der einzige Tech-Konzern mit Lücke im Verschlüsselungsverfahren

Die Kritik an Microsofts Vorgehen ist enorm. „Das sind private Daten auf privaten Computern und (Microsoft) hat die architektonische Entscheidung getroffen, einen Zugang zu diesen Daten zu haben“, sagt Matt Green, Kryptographie-Experte und Associate Professor am Information Security Institute der Johns Hopkins University. Bemerkenswert sei vor allem, dass Microsoft das einzige Unternehmen sei, das so vorgehe. Apple und Google würden die Verschlüsselungssysteme ohne Zugangsmöglichkeiten umsetzen.

Was der Fall auch klar zeige: Wenn Behörden die Möglichkeit haben, greifen diese auf Daten zu. Problematisch ist in den Bitlocker-Fällen zudem, dass der Zugang zum kompletten Gerät erfolgt. Und nicht nur zu den Daten, die für den jeweiligen Fall relevant sind.

Ron Wyden, Senator von den Demokraten, kritisiert Microsofts Vorgehen gegenüber Forbes ebenfalls. Für Tech-Konzerne sei es unverantwortlich, Produkte auszuliefern, die das heimliche Ausliefern von Nutzerdaten ermöglichen.

Dass Microsoft die Bitlocker-Schlüssel ungesichert im Konto hinterlegt, wird in einem Bericht von Windows Central als schockierend beschrieben. Nutzer würden bei der Installation dazu hingeleitet, das Schlüssel-Backup zu aktivieren. Dem Risiko für die Privatsphäre, das damit einhergeht, wäre man sich aber nicht bewusst.

Apple und Google wehrten sich gegen schwächere Verschlüsselung

Dass US-Behörden auf verschlüsselte Daten zugreifen wollen, ist nicht neu. Apple lieferte sich schon vor rund zehn Jahren einen Schlagabtausch mit US-Behörden. Rund um das Jahr 2020 war das Thema wieder akut. US-Präsident Trump attackierte den Konzern bereits in seiner ersten Amtszeit.

Am Ende konnte Apple sich durchsetzen. Anders als vom FBI gefordert, musste der Konzern die Verschlüsselungsmechanismen in iCloud nicht schwächen, um Ermittlern einen Zugang zu Nutzerdaten zu ermöglichen. Google sichert seine Verschlüsselungsdienste ebenfalls so ab, dass der Konzern keinen Zugang zu Entschlüsselungskeys hat. Dasselbe gilt für Meta bei Messenger-Diensten wie WhatsApp.

Interessant wird, ob die Trump-Administration nun eine nächste Runde im Streit um Verschlüsselungsdienste eröffnet.