Microsoft übergibt BitLocker-Schlüssel an das FBI und setzt Nutzer damit einer schwerwiegenden Datenschutzlücke aus

Microsoft übergab dem FBI nach Erhalt eines gültigen Durchsuchungsbefehls die BitLocker-Wiederherstellungsschlüssel und legte damit die Privatsphäre von Windows-Nutzern offen. Die Veröffentlichung erfolgte im Zuge einer FBI-Ermittlung in Guam, wo Microsoft im Rahmen eines Betrugsfalls die Verschlüsselungsschlüssel zur Entsperrung der Laptops von drei Verdächtigen bereitgestellt hatte.

Die Bundesermittler in Guam glaubten, dass die Laptops Informationen enthielten, die beweisen würden, dass die Verantwortlichen des COVID-19-Arbeitslosenhilfeprogramms der Insel in ein Komplott zur Veruntreuung von Geldern verwickelt waren.

Die Offenlegung des Microsoft BitLocker-Schlüssels löst weltweite Bedenken hinsichtlich des Datenschutzes aus 

Microsoft stellte den FBI-Ermittlern die Wiederherstellungsschlüssel zur Verfügung, da die Daten mit BitLocker geschützt waren. Diese Software schützt alle Daten auf der Festplatte des Computers und ist auf vielen modernen Windows-PCsmaticaktiviert. BitLocker verschlüsselt die Daten, sodass nur diejenigen, die den Schlüssel besitzen, sie entschlüsseln können.

Obwohl Nutzer ihre Schlüssel auf einem persönlichen Gerät speichern können, Microsoft BitLocker-Kunden, ihre Schlüssel zur einfacheren Verwaltung auf den Servern des Unternehmens zu speichern. Dies birgt zwar das Risiko von Klagen und behördlichen Durchsuchungen, ermöglicht aber auch den Zugriff auf die Daten, falls Nutzer ihr Passwort vergessen oder das Gerät nach mehreren erfolglosen Anmeldeversuchen sperren.

Das Unternehmen mit Sitz in Redmond, Washington, hatte – soweit bekannt – bis zum Fall auf Guam, in dem es die Verschlüsselungsschlüssel an die Ermittler aushändigte, noch nie zuvor Strafverfolgungsbehörden einen Verschlüsselungsschlüssel zur Verfügung gestellt. Microsoft bestätigte jedoch, dass es im Falle einer rechtmäßigen gerichtlichen Anordnung BitLocker-Wiederherstellungsschlüssel anbietet. 

„Die Schlüsselwiederherstellung bietet zwar Komfort, birgt aber auch das Risiko eines unerwünschten Zugriffs. Daher ist Microsoft der Ansicht, dass die Kunden am besten selbst entscheiden können, wie sie ihre Schlüssel verwalten.“ 

-Charles Chamberlayne, Sprecher von Microsoft.

Chamberlayne fügte hinzu, dass Microsoft jährlich etwa 20 Anfragen zu BitLocker-Schlüsseln erhält. In vielen dieser Fälle haben die Kunden ihre Schlüssel nicht in der Cloud gespeichert, sodass das Unternehmen nicht helfen kann.

Die Übergabe der Schlüssel an die Strafverfolgungsbehörden löste jedoch Bedenken hinsichtlich des Datenschutzes aus. erklärte gegenüber Forbes, es sei „einfach unverantwortlich von Technologieunternehmen, Produkte so zu vertreiben, dass sie die Verschlüsselungsschlüssel der Nutzer heimlich weitergeben können“. Er fügte hinzu, dass die Weitergabe der Verschlüsselungsschlüssel an die Einwanderungsbehörde ICE oder andere Handlanger Trumps die persönliche Sicherheit der Nutzer und ihrer Familien gefährde und ihnen Zugriff auf deren gesamte digitale Existenz verschaffe.

Dieses Problem beschränkt sich nicht auf die Vereinigten Staaten. Jennifer Granick, Rechtsberaterin der ACLU für Überwachung und Cybersicherheit, wies darauf hin, dass auch Länder mit fragwürdiger Menschenrechtsbilanz Daten von Technologiekonzernen wie Microsoft anfordern. Sie fügte hinzu, dass die externe Speicherung von Entschlüsselungsschlüsseln sehr riskant sein kann.

Ein Teilnehmer auf Hacker News behauptete , das Problem sei, dass Microsoft diese Schlüssel bereits besitze. Wenn der Schlüssel zugänglich und frei nutzbar sei, welchen Sinn habe dann die Verschlüsselung? Dasselbe gelte für iCloud-E-Mails, fügte der Nutzer hinzu.

Der Nutzer argumentierte außerdem, dass von Menschen gemachte Gesetze und Verordnungen keinen Datenschutz gewährleisten könnten, da sie missbraucht würden und ständigen Änderungen unterlägen. Die Quelle des Datenschutzes sei diematic, die Regeln und Vorschriften außer Acht lasse.

Regierungen weltweit drängen Technologieunternehmen zum Einbau von Hintertüren in Verschlüsselungen

Strafverfolgungsbehörden fordern häufig von Computerunternehmen Verschlüsselungsschlüssel, Zugang zu Hintertüren oder Informationen über andere Sicherheitslücken. Apple wurde wiederholt um Zugriff auf verschlüsselte Daten in seiner Cloud oder auf seinen Geräten gebeten. Im Oktober letzten Jahres verschärfte die britische Regierung ihre Auseinandersetzung mit Apple über den Zugriff auf Kundendaten. Die Regierung forderte eine Hintertür zu den Cloud-Speicherservern des Technologieunternehmens, die ausschließlich britische Nutzer betreffen sollte.

In einer vielbeachteten Auseinandersetzung mit der Regierung im Jahr 2016 widersetzte sich Apple einer Anordnung des FBI, bei der Entsperrung der Telefone von Terroristen mitzuwirken, die in San Bernardino, Kalifornien, 14 Menschen erschossen hatten. Schließlich gelang es dem FBI, einentracmit der Entsperrung der iPhones zu beauftragen.

In einem separaten Bericht vom April des vergangenen Jahres stimmten einem Gesetzesentwurf zu, der Social-Media-Unternehmen dazu verpflichten würde, Strafverfolgungsbehörden über Verschlüsselungshintertüren Zugriff auf Benutzerkonten zu gewähren.

Schärfen Sie Ihre Strategie mit Mentoring täglichen Ideen – 30 Tage kostenloser Zugang zu unserem Handelsprogramm