Microsoft hat Bitlocker-Key an das FBI übergeben

Microsoft hat Bitlocker-Key an das FBI übergeben

Security

Sachverhalt

Microsoft hat erstmals öffentlich bestätigt, dass es BitLocker-Wiederherstellungsschlüssel auf gerichtliche Anordnung an Strafverfolgungsbehörden (in diesem Fall das FBI) übergibt. Dies geschah im Rahmen einer US-Bundesuntersuchung wegen mutmaßlichen Betrugs im Zusammenhang mit dem COVID-Arbeitslosenhilfeprogramm auf der Insel Guam. Die Behörden verlangten die Schlüssel, um die Festplatten dreier beschlagnahmter, mit BitLocker verschlüsselter Laptops zu entschlüsseln, da ohne diese Schlüssel kein Zugriff auf die Daten möglich war.

Microsoft hat Bitlocker-Key an das FBI übergeben

Technischer Hintergrund (BitLocker)

BitLocker ist die in Windows integrierte Festplattenverschlüsselung, die Daten auf Geräten mit TPM und AES-Verschlüsselung schützt. Standardmäßig werden die Recovery-Keys in der Cloud des Microsoft-Kontos gespeichert, um es dem Nutzer zu erleichtern, im Notfall wieder Zugriff zu bekommen. Allerdings bedeutet dieses Cloud-Back-up auch, dass der Anbieter selbst technisch Zugriff auf diese Schlüssel besitzt.

Ermittlungsszenario und Ablauf

  • Bei der Guam-Ermittlung hatte das FBI zunächst keinen Zugriff auf die verschlüsselten Laptops.

  • Mit einem Durchsuchungsbefehl zwangen die Ermittler Microsoft zur Herausgabe der BitLocker-Recovery-Keys für diese Geräte.

  • Microsoft erfüllte den richterlichen Antrag und übermittelte die Schlüssel, was den Zugang zu den verschlüsselten Daten ermöglichte.

Microsoft hat Bitlocker-Key an das FBI übergeben

Microsofts Position

Microsoft bestätigt, dass es nur bei gültigen gerichtlichen Anordnungen BitLocker-Recovery-Keys herausgibt. Ein Microsoft-Sprecher erklärte, dass die Schlüsselwiederherstellung zwar Komfort bietet, aber gleichzeitig ein Risiko für unerwünschte Zugriffe darstelle und deshalb Nutzern überlassen werden sollte, wie sie ihre Schlüssel verwalten (lokal oder in der Cloud). Das Unternehmen gibt an, pro Jahr ungefähr 20 solcher Anfragen zu erhalten.

Datenschutz- und Sicherheitsfragen

Die Praxis hat Debatten über Datensouveränität und Privatsphäre ausgelöst:

  • Kritiker warnen, dass das Standard-Cloud-Back-up für BitLocker-Keys ein Einfallstor für staatliche Zugriffe darstellt und den Schutz der Verschlüsselung faktisch reduziert.

  • Der Vorgang kontrastiert mit anderen Tech-Firmen wie Apple, die sich in früheren Fällen weigerten, für Behörden komplette Gerätezugänge bereitzustellen.

Rechtlicher Kontext

In den USA können Unternehmen auf Basis eines gerichtlichen Durchsuchungsbefehls zur Herausgabe von Daten oder Schlüsseln verpflichtet werden. Dies steht im Kontext globaler Diskussionen zu Key-Disclosure-Gesetzen, die in verschiedenen Ländern unterschiedlich ausgestaltet sind und regeln, wann Behörden Zugang zu verschlüsselten Daten erzwingen dürfen.

Warum man nicht sofort das Vertrauen verlieren muss

1. Kein Hintertür-Szenario

Microsoft hat keine Verschlüsselung gebrochen und keine Backdoor genutzt.
Der Zugriff war nur möglich, weil der BitLocker-Recovery-Key in der Microsoft-Cloud gespeichert war und eine richterliche Anordnung vorlag.

2. Rechtsstaatlicher Prozess

Das Vorgehen entspricht US-Recht:

  • gültiger Durchsuchungsbefehl
    klar definierter Ermittlungszweck
  • gezielter Zugriff, kein Massenabgriff
    Das unterscheidet sich fundamental von geheimen oder automatisierten Zugriffen.