„Verschlüsselung“ mit Hausmeisterservice
“Stell dir vor, du packst all deine Daten in einen super-sicheren Tresor. Kombi nur in deinem Kopf, alles verschlüsselt, alles gut. Und dann sagt der Hersteller: ‘Ach übrigens, wir haben da noch einen Generalschlüssel beim Hausmeister hinterlegt – nur für den Notfall, weißt du?’“
“Und jetzt stell dir vor, dieser ‘Hausmeister’ heißt Microsoft. Willkommen in der Realität von BitLocker im Jahr 2026. Denn genau darum geht es im aktuellen Fall: Microsoft hat dem FBI die Wiederherstellungsschlüssel für BitLocker-verschlüsselte Laptops übergeben – ganz offiziell, auf Basis eines Gerichtsbeschlusses.”
Was ist passiert?
In einem US-Verfahren zu mutmaßlichem Betrug mit Mitteln aus dem Pandemic Unemployment Assistance-Programm (Guam) wurden drei mit BitLocker verschlüsselte Laptops beschlagnahmt. Die Ermittler beantragten einen Beschluss, der Microsoft verpflichtete, die zugehörigen BitLocker-Recovery-Keys herauszugeben. Microsoft lieferte diese Schlüssel, wodurch das FBI die Laufwerke entschlüsseln und den Inhalt auslesen konnte. Laut Forbes erhält Microsoft im Schnitt etwa 20 Anfragen pro Jahr nach BitLocker-Schlüsseln und bedient diese bei entsprechenden gerichtlichen Anordnungen.
BitLocker: Tresor – oder Schließfach in der Microsoft-Filiale?
Dude:
“Moment, ich dachte, Vollverschlüsselung heißt: ‘Ohne mein Passwort bzw. meinen Schlüssel läuft da gar nichts.’ Warum kann Microsoft da überhaupt helfen?”
Cipher:
“Weil BitLocker im Standard eben nicht nur „dein Tresor“ ist, sondern eher ein Schließfach in der Microsoft-Filiale.”
Technisch sieht das vereinfacht so aus: Viele moderne Windows-Geräte aktivieren BitLocker bzw. die Gerätesicherung automatisch, oft schon bei der Ersteinrichtung. Der Wiederherstellungsschlüssel wird dabei standardmäßig im Microsoft-Konto des Nutzers oder in Azure AD / Entra ID bzw. Active Directory gesichert. Microsoft beschreibt selbst, dass Recovery Keys „in Ihrem Microsoft-Konto, bei Ihrer Organisation oder in Azure AD“ gespeichert sein können und Microsoft dokumentiert offen, dass Administratoren in verwalteten Umgebungen auf diese Recovery Keys zugreifen können.
Dude:
“Übersetzung: BitLocker ist zwar Verschlüsselung, aber der Ersatzschlüssel liegt in der Cloud. Praktisch, wenn du dein Passwort vergisst. Praktisch, wenn das FBI klingelt. Praktisch auch, wenn Angreifer Microsofts Infrastruktur knacken.”
Cipher:
“Genau das kritisiert u.a. der Kryptografie-Professor Matthew Green. Er erinnert daran, dass Microsofts Cloud-Infrastruktur mehrfach kompromittiert wurde und warnt: Wenn zentrale Recovery Keys dort liegen, sind sie ein lohnendes Ziel. Ein Angriff auf Microsoft kann damit zum Angriff auf viele verschlüsselte Systeme werden – physischer Zugriff auf die Geräte vorausgesetzt.”
Was der Fall für „digitale Souveränität“ bedeutet
Dude:
“Das ist ja alles spektakulär, aber was hat das mit uns in Europa, mit DSGVO und dieser ganzen ‘digitale Souveränität’-Nummer zu tun?”
Cipher:
“Mehr als genug. Schauen wir auf drei Ebenen.”
Technische Ebene
Wenn Recovery Keys bei Microsoft liegen, ist die Verschlüsselung nicht mehr exklusiv unter deiner Kontrolle, sondern geteilt – mit einem US-Unternehmen, das US-Recht (inkl. CLOUD Act) und gerichtlichen Anordnungen unterliegt. Selbst wenn der Zugriff formal sauber über Haftbefehle und Beschlüsse läuft, ist klar: Es existiert eine Stelle außerhalb deiner Organisation, die deine Verschlüsselung aufheben kann – technisch und rechtlich.
Für Angreifer sind solche zentralen Key-Speicher hochattraktiv. Microsoft musste in den letzten Jahren mehrfach Sicherheitsvorfälle in seinen Cloud-Diensten einräumen; je mehr Schlüssel dort liegen, desto größer das Schadenspotenzial.
Organisatorische Ebene (Unternehmen, Kommunen, Behörden)
Wer sich auf „Verschlüsselung“ verlässt, um rechtliche Risiken (z.B. Übermittlungen in Drittländer) zu minimieren, aber die Schlüssel beim US-Anbieter liegen, hat bestenfalls eine Scheinsicherheit. In unserer Praxis – und im Umfeld unserer Blog-Artikel – ist genau das der Punkt: Es reicht nicht, „Verschlüsselung“ in Policies zu schreiben. Man muss auch regelmäßig überprüfen, wer die Schlüssel kontrolliert und wo sie gespeichert werden.
Strategische Ebene
Dude:
“Erinnert ihr euch noch an unseren Blog-Artikel – ‘Digitale Souveränität: Warum wir von MS365 zu Nextcloud & Open Source gewechselt sind?’ Da ging’s um Daten, E‑Mails, Kollaboration. Jetzt sind wir eine Schicht tiefer: Festplattenverschlüsselung.”
Cipher:
“Und in ‘Microsoft unter Eid – und die Folgen für unsere digitale Strategie’ haben wir aufgezeigt, was es bedeutet, wenn ein Anbieter vor Gericht faktisch einräumt, dass er Zugriffe durch US-Behörden nicht verhindern kann. Der BitLocker-Fall ist die technische Fortsetzung dieser Geschichte – diesmal am Beispiel von Verschlüsselungs-Keys.”
Bayern, Microsoft 365 und der Streit um „Fake News“
Dude:
“Und während wir hier über FBI und BitLocker reden, zoffen sich in Bayern zwei Minister darüber, ob man die Behörden und Kommunen lieber noch fester an Microsoft festtackern sollte. Popcorn raus?”
Cipher:
“Der Streit ist mehr als Folklore – er zeigt, wie unterschiedlich man ‘digitale Souveränität’ politisch bewerten kann.”
Was ist los in Bayern?
Der Freistaat Bayern plant bzw. verhandelt eine weitreichende Nutzung von Microsoft 365 in der Landesverwaltung. Finanzminister Albert Füracker (CSU) setzt stark auf Microsoft, argumentiert mit Kostenvorteilen und Effizienz und verweist darauf, dass Daten auf staatlicher Infrastruktur liegen würden. Er sieht die digitale Souveränität Bayerns dadurch nicht gefährdet, im Gegenteil.
“Bei einem Einsatz von Microsoft als Arbeitswerkzeug für unsere Mitarbeiterinnen und Mitarbeiter ist daher die digitale Souveränität des Freistaats voll gewährleistet.“
Digitalminister Fabian Mehring (Freie Wähler) äußerte dagegen öffentlich Zweifel, ob eine weitere Vertiefung der Abhängigkeit von Microsoft angesichts geopolitischer Risiken, US-Rechtslage und europäischer Souveränitätsbestrebungen klug ist. Und die Sorgen sind mehr als berechtigt, wenn man sich die Entwicklungen in den USA mal ohne ideologische Brille näher anschaut. Füracker warf Mehring daraufhin “Fake News“ und „schlechten Stil“ vor, weil Mehring unter anderem auf angebliche Milliardenkosten und strategische Risiken verwies. Der Konflikt wurde später offiziell als „beigelegt“ erklärt, aber die strategische Frage bleibt: Wie viel Microsoft will und verträgt die öffentliche Verwaltung in Deutschland?
Was hat das mit BitLocker zu tun?
Dude:
“Also, wir haben auf der einen Seite: Ein Anbieter, der unter Eid gesagt hat, dass er Daten nicht vor US-Zugriff schützen kann. Dann den BitLocker-Fall, der zeigt, wie Schlüssel in der Praxis bei Ermittlungen genutzt werden. Und auf der anderen Seite eine Landesregierung, die sagt: ‘Passt schon, wir gehen all-in mit diesem Anbieter.’ Mutig.”
Cipher:
“Genau hier können wir die Brücke schlagen. Wenn eine Verwaltung sich tief in Microsoft-Ökosysteme einbettet (MS365, Azure, Windows-Clients mit BitLocker), dann hängen nicht nur Dokumente und Mails an diesem Anbieter – sondern auch Verschlüsselung, Identitäten, Logins, Recovery-Prozesse. Der BitLocker-Vorfall liefert ein ganz konkretes Beispiel dafür, wie ‘Sicherheit’ in so einer Architektur aussieht: Verschlüsselung ja, aber die Schlüssel sind über einen US-Anbieter zugänglich – technisch und rechtlich.”
Was Organisationen jetzt überlegen könnten
Dude:
“Okay, genug Kopfkino. Was heißt das jetzt konkret für Unternehmen, Kommunen und Behörden – also für die, die nicht gerne mit Generalschlüsseln in fremden Kellern leben?”
Cipher:
“Wieder drei Ebenen: Technik, Prozesse, Strategie!”
Technik: Wer hat den Schlüsselbund?
Praktische Ansätze (je nach Umfeld):
BitLocker bewusst konfigurieren: Recovery Keys nicht automatisch ins Microsoft-Konto hochladen, sondern nur lokal (z.B. Ausdruck, USB-Stick im Tresor, Passwort-Tresor) oder in einer selbst kontrollierten Infrastruktur (AD On-Prem). In Unternehmens-/Behördenumgebungen: Klar regeln, wo Recovery Keys liegen (AD, ggf. eigene Key-Management-Lösungen), wer zugreifen darf und wie dieser Zugriff protokolliert wird. Alternativen prüfen: Für besonders sensible Systeme ggf. andere FDE-Lösungen (also nicht Bitlocker) oder zusätzliche Kryptolayer einsetzen, bei denen die Schlüssel nicht beim Plattformanbieter liegen.
Prozesse & Governance
In Risikobewertungen explizit die Frage stellen: „Wer kann unsere Verschlüsselung aufheben?“ – inkl. Cloud-Anbieter, Administratoren, Dritte. In Verträgen bzw. spätestens in TOM-Dokumentationen transparent benennen, wenn Schlüssel (oder Kopien davon) beim Anbieter liegen – und welche Rechtsordnungen dadurch relevant werden. Bewusstsein im Management schaffen: „Verschlüsselt“ ist kein magisches Wort. Ohne Schlüsselkontrolle ist es häufig nur ein Compliance-Feigenblatt.
Strategie: Souveränität konsistent weiterdenken
Dude:
“Wir von der a.s.k. haben mit der Migration weg von MS 365 in Richtung Nextcloud & Open Source schon gezeigt, dass wir nicht nur meckern, sondern umbauen. Der BitLocker-Fall ist die perfekte ‘Fortsetzung’ dieser Story.”
Cipher:
“Deshalb verlinken wir hier bewusst auf zwei Stationen unseres Weges: unseren Erfahrungsbericht zur Migration weg von MS 365 (‘Digitale Souveränität: Warum wir von MS 365 zu Nextcloud & Open Source gewechselt sind’) und unseren Artikel ‘Microsoft unter Eid – und die Folgen für unsere digitale Strategie’. Und die Botschaft ist klar: Damals haben wir aus rechtlichen und strategischen Gründen entschieden, die Abhängigkeit zu reduzieren. Der aktuelle Fall rund um BitLocker‑Schlüssel zeigt, dass diese Entscheidung auch aus technischer Sicht richtig war.”
Datenschutz ist mehr als ein Häkchen bei „Verschlüsselung aktiviert“
Dude:
“Am Ende ist es simpel: Wenn du Verschlüsselung aktivierst, aber den Schlüssel beim Hersteller in der Cloud parkst, hast du Sicherheit mit Hausmeisterservice. Das kann schon okay sein – solange du ehrlich bist, wer den Schlüsselbund hält.”
Cipher:
“Für echte digitale Souveränität gilt dagegen: Daten unter deiner Kontrolle; Infrastruktur, die du verstehst, und Schlüssel, die nicht bei einem Anbieter liegen, der schon öffentlich erklären musste, dass er Zugriffe nicht verhindern kann. Da hilft auch kein juristisches Papier.”
Der BitLocker-Fall, die bisherigen Erfahrungen mit MS365 und die bayerische MS365-Debatte erzählen zusammen eine Geschichte: Wer Souveränität nur als Buzzword versteht, landet bei „verschlüsselt – aber nicht wirklich unter eigener Kontrolle“. Wer es ernst meint, muss bei den Schlüsseln anfangen — und dann konsequent weiterdenken und weitermachen.
Kurzer redaktioneller Hinweis: Bilder mittels KI.
Hahn IT Services, Schwaig
No responses yet