Die Zwangsbeglückung von Windows-Nutzern nimmt kein Ende: Nach Konto- und Cloudzwang drängt Microsoft den Nutzern des neuen Windows 11 24H2 nun auch noch Bitlocker auf. Das sorgt für eine ganze Reihe an Problemen sowie zusätzlichen Risiken, denen unbedarfte Nutzer schon sehr bald ausgesetzt sein werden. Und das oft ohne sich bewusst dafür entschieden zu haben.
Nach dem heftigen Desaster mit Recall hatte Microsoft die Testversion für Windows 11 24H2 zurückgezogen. Seit Mitte 2024 werden Copilot+ PCs mit 24H2 und Copilot, aber ohne Recall ausgeliefert. Bislang betreffen die Neuerungen also nur eine sehr geringe Minderheit, die sich innerhalb weniger Monate einen neuen Copilot+ kompatiblen Computer gekauft haben. Doch das soll sich bald ändern: MS plant, das Upgrade im Herbst 2024 an alle zu verteilen.1 Medienberichte gehen von September 2024 aus.
Der Nutzen von komplett verschlüsselten SSDs/Festplatten
Üblicherweise verschlüsseln Computerbetriebssysteme keine Daten, außer der Nutzer wünscht dies explizit. Zwar verhindert das Passwort eines Benutzerkontos den direkten Zugang zum PC. Auf der SSD/Festplatte abgelegte Dateien sind jedoch bei direktem Zugang ungeschützt. Wer beispielsweise eine GNU/Linux Live-Distribution startet oder das Speichermedium ausbaut, kann ohne Passwort auf die gespeicherten Dateien zugreifen. Das mag nach einem unwichtigen Detail klingen, kann aber ein wichtiger Unterschied sein. Gerade die Daten auf Laptops sind dadurch gefährdet, wenn unbefugte Zugang dazu erhalten oder es vergessen wird.
Das ist vor allem für Unternehmen und anderen Menschen mit sehr sensiblen Daten ein Problem. Zur Lösung lassen sich einzelne Ordner verschlüsseln, wie es beispielsweise mit der kostenfreien & quelloffenen Software Cryptomator recht leicht möglich ist. Für öffentliche Clouddienste sehr wirksam, doch auf dem lokalen PC stößt es an Grenzen. Betriebssysteme speichern an vielen Stellen ihre Daten zwischen, die oft ungeschützt sind. Ein Beispiel sind Vorschaubilder, die beim Öffnen eines Ordners angelegt werden. Oder Sicherungskopien in der Textverarbeitung. Diese liegen außerhalb des verschlüsselten Containers und sind daher deutlich schwächer geschützt.
Die logische Konsequenz: Man verschlüsselt die gesamte eingebaute SSD/Festplatte, inklusive dem Betriebssystem selbst. Beim Start muss das Passwort zur Entschlüsselung eingegeben werden. Schaltet der Nutzer seinen Computer aus, lässt sich ohne Schlüssel nur Datensalat auslesen. Und zwar bei allen Dateien, auch z.B. temporäre.
Bitlocker: Du musst, im Namen der Sicherheit!
Grundsätzlich ist das eine wirksame Methode und vor allem für mobile Geräte eine Überlegung wert. Verschiedene Programme ermöglichen die vollständige Verschlüsselung des gesamten Betriebssystems, oft System Encryption oder Full Disk Encryption genannt.2 VeraCrypt ist eines der bekanntesten quelloffenen, welches in mehreren Audits geprüft wurde. Microsofts Entwicklung heißt Bitlocker. Sie ist allerdings proprietär und die Sicherheit damit umstritten: Unabhängige Prüfungen sind nicht möglich.3
Gerade MS ist nicht für besondere Verlässlichkeit bei ihren Versprechen bekannt, insbesondere bei sicherheitskritischen Themen. Recall ist nur eines von vielen Beispielen, die Grüßen lassen. Welche Qualität man von Bitlocker erwarten kann, zeigt ein Angriff Anfang 2024: Mit einem billigen Raspberry Pi lässt sich Microsofts sichere Lösung in unter einer Minute knacken.4 MS hatte es versäumt, die Schlüssel bei der Übertragung zu schützen.5
Bitlocker ist in Windows 10 & 11 ab Pro und höherwertigen Lizenzen enthalten. Der Nutzer musste es selbst aktivieren, falls man dem Konzern bei Sicherheitsfragen blind in dessen proprietäre Technologie vertrauen wollte. Doch mit Windows 11 24H2 ändert sich das: MS aktiviert Bitlocker automatisch. Laut Medienberichten soll bei der Installation des Upgrades zwar nichts verschlüsselt werden. Dafür aber bei Neuinstallationen, dies konnte ich auf einem Testsystem nachstellen.6 Betroffen sind zudem nur (per Systemanforderung offiziell erzwungene) Microsoft Cloud-Konten.7
Die Lizenzbeschränkungen hat das Unternehmen dafür aufgehoben, sodass auch Windows 11 Home Nutzer nicht verschont bleiben. Auch weitere Anforderungen, die bislang für Bitlocker galten, wurden reduziert. UEFI mit TPM 1.2 oder neuer sowie aktivierter Sicherer Start (Secure Boot) bleiben allerdings bestehen.8 Dies entspricht den künstlichen Systemanforderungen, welche Windows 11 erzwingt.9
Erhebliche Risiken: Das verschweigt dir Microsoft
Sicherheit hat in der Praxis immer zwei Seiten – das weiß jeder, der sich schon einmal versehentlich aus der Wohnung aussperrte. Auch in der IT führt mehr Sicherheit potenziell zu einer höheren Fehleranfälligkeit. Gerade beim Verschlüsseln von Daten kann das ggf. dazu führen, sich wie beim verlorenen/vergessenen Hausschlüssel selbst auszusperren.
Microsoft hat bei Bitlocker einen Wiederherstellungsschlüssel (Recovery-Key), der die Passworteingabe umgeht. Er ist 48 Zeichen lang und vor allem für vergessene Kennwörter vorgesehen.10 Nutzer sollten ihn daher wie ein Passwort behandeln, also besonders geschützt aufbewahren – etwa in einem Tresor oder Bankschließfach. In der Cloud geht der Konzern sorgsamer damit um und schiebt die Wiederherstellungsschlüssel sogar ungefragt standardmäßig in OneDrive.11
MS hat einen Zweitschlüssel, wodurch die Sicherheit untergraben wird. Nach mehreren erfolgreichen Hacks der MS-Cloud sowie den dort gespeicherten Kundendaten ist klar, dass deren Infrastruktur fundamental unsicher ist. Darüber hinaus macht es das Microsoft Cloudkonto zum noch größeren Risiko: Wird es gesperrt, ist der Wiederherstellungsschlüssel im Zweifel ebenfalls weg. Wie im Beitrag gezeigt, ist das Microsoft-Konto bereits für sich ziemlich riskant. Das Unternehmen lässt „KI“ die privaten Daten durchsuchen und schreckt vor Sperren ohne Begründung nicht zurück. Selbst bei Konten, die digitale Güter für mehrere tausend Euro gekauft haben.
Bitlocker sperrt aus…
Doch das ist nur die Spitze vom Eisberg. Als Kollateralschaden bremst Bitlocker das System massivst. Selbst schnelle SSDs werden um bis zu 45% verlangsamt. Microsoft wollte das nicht kommentieren. Parallel steigt unter GNU/Linux die Leistung um über 150% an.12
Dazu erhält Windows immer wieder kaputte Updates. Das ist an sich nichts neues, bei Bitlocker jedoch besonders brisant: Baut der Konzern hier Fehler ein, startet der Wiederherstellungsmodus. Hier muss der Nutzer seinen 48-Stelligen Wiederherstellungsschlüssel parat haben, das Passwort alleine genügt nicht. Gedacht ist es als Schutzfunktion. Die Abfrage taucht auch bei Hardwareänderungen auf, etwa wenn das Mainboard getauscht wurde. Ohne Recovery-Key verweigert Bitlocker den Start von Windows.
…Microsoft lässt Opfer im Regen stehen
Mit welcher Sorgfalt MS dabei vorgeht, zeigt ein Beispiel aus Juni 2024: Am Patchday verteilen sie ein Windows Update, um Sicherheitsmängel in Bitlocker vermeintlich zu korrigieren.Stattdessen starten Windows-PCs nach Einspielen der Aktualisierung unerwartet in den Recovery-Modus, sodass der 48-Stellige Schlüssel vom Nutzer einzugeben ist.13 Wochen später gibt Microsoft es auf, ihre eigene Software in den Griff zu bekommen und deaktiviert ein Sicherheitsupdate schlichtweg wieder.14 Schlussendlich hatten Betroffene wochenlang Probleme, um wieder eine Software voller Sicherheitsmängel zu bekommen, bei der Angreifer die Bitlocker-Verschlüsselung schlicht umgehen können.15
Dies ist nur ein Beispiel von vielen. Ende 2023 kam es beispielsweise zu Problemen mit Bitlocker.16 Microsoft brauchte Monate, in denen das Problem zudem lediglich für einen Teil der betroffenen korrigiert wurde.17 Der Rest soll gefälligst selbst zu kleine Partitionen vergrößern, oder hat Pech gehabt.18 Ein sattes 3/4 Jahr später erbarmt sich der Konzern doch noch, das Problem zu lösen – nach zig fehlgeschlagenen Versuchen.19
Eine Katastrophe mit Ansage
Solch ein Unternehmen soll zukünftig auch noch eure Daten verschlüsseln? Damit Max Müller nicht nur mit ständig fehlerhaften normalen Windows-Updates zu kämpfen hat, sondern sich zusätzlich mit Bitlocker herum schlagen muss? Es ist offensichtlich, dass dies im Masseneinsatz zu noch weitaus schwerwiegenden Problemen führen wird. Schließlich lassen sich bei einer kaputten Windows-Installation mit Bitlocker nicht mehr einfach über ein GNU/Linux Livesystem zumindest die Daten retten.
Erste Fälle existieren bereits, in denen überforderte Nutzer mit der Abfrage des Bitlocker Wiederherstellungsschlüssel konfrontiert werden.202122 Beispielsweise als Folge der fehlerhaften Windows-Updates. Es ist eine Frage der Zeit, bis neu installierte Windows 11 24H2 Installationen mit dem von MS erzwungenen Cloud-Konto in weitaus höherer Zahl verbreitet sind, als bislang. Dann werden auch diese Probleme zunehmen. Dem ITler aus dem Familien- und Freundeskreis bleibt dann nur noch, zu trösten: Leider sind deine Daten weg. Wir können nur Windows neu installieren. Oder machen dir besten gleich ein freies Betriebssystem drauf, dass dir nicht derart fragwürdig Dinge und mangelhafte Softwarequalität unterjubelt.
Bis dahin haben Kriminelle die Funktion längst für sich entdeckt: 2022 entdeckte Microsoft selbst eine Ransomware, die Bitlocker benutzt, um Nutzer von ihrem eigenen System auszusperren.23 Im Mai 2024 wurde ein weiterer Vertreter bekannt – das Konzept scheint Schule zu machen.24 Hier hat es eine gewisse Ironie, dass Bitlocker u.u. umgangen werden kann,25 und sich Opfer sogar darüber freuen…
Deaktivierung möglich, aber nur Opt-out
Microsoft erlaubt euch, über den Registry-Schlüssel PreventDeviceEncryption
(REG_DWORD, Wert „1“) in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
wenigstens die automatische Aktivierung von Bitlocker zu verhindern. Allerdings nur per Opt-out.26 Ihr werdet also nicht gefragt, ob ob ihr diese Funktion möchtet. Sondern MS entscheidet über euren Kopf hinweg, dass dies zu nutzen ist. Nur wer darüber informiert ist und aktiv widerspricht, kann sich der Geräteverschlüsselung mit allen potenziellen Problemen entziehen.
Wer bereits von Microsoft ungewollt verschlüsselt wurde, kann BitLocker in der Systemsteuerung unter System und Sicherheit wieder abschalten. Allerdings muss dies gemacht werden, bevor es zu Problemen kommt. Wer das versäumt und durch z.B. kaputte Updates nicht mehr an sein System kommt, kann es nicht mehr abschalten und hat wenig Chancen, noch an seine Daten zu kommen.
Fazit
Die automatische Aktivierung von Bitlocker wird zu noch mehr Problemen nutzen, als Windows-Nutzer ohnehin bereits gewohnt sind. Eine relativ neue Dimension ist, dass dabei auch Datenverluste wahrscheinlicher werden. Wer immer noch Windows nutzt, sollte darüber nachdenken, Bitlocker zumindest auf Desktop-PCs abzuschalten, um die Risiken zu reduzieren.
Spannend ist an der Sache noch etwas ganz anderes: Microsoft hat die Hardwareanforderungen für Bitlocker reduziert und es sogar für die niedrigste Home-Lizenz freigeschaltet.27 Das zeigt, wie viel möglich ist, wenn MS denn will. Bei Windows 11 wollen sie bis heute nicht – sondern sind der Meinung, mit ihren zahlreichen Einschränkungen & Gängelungen bei genügend Nutzern durchzukommen, damit sie finanziell davon profitieren. Warten wir ab, ob genügend von euch mitmachen, damit ihr Plan aufgeht. Oder sie kläglich scheitern und zurück rudern müssen.
Quelle
- https://de.minitool.com/nachrichten/windows-11-24h2-im-juni-oder-herbst-2024-erhalten.html ↩︎
- https://veracrypt.eu/en/System%20Encryption.html ↩︎
- https://www.zertificon.com/blog/2016/warum-proprietaere-verschluesselungsloesungen-nicht-die-sichersten-sind ↩︎
- https://winfuture.de/news,141054.html ↩︎
- https://t3n.de/news/bitlocker-einfachen-mitteln-ueberlistet-1606448/?utm_source=rss&utm_medium=feed&utm_campaign=news ↩︎
- https://winfuture.de/news,144520.html ↩︎
- https://www.theverge.com/2024/8/14/24220138/microsoft-bitlocker-device-encryption-windows-11-default ↩︎
- https://learn.microsoft.com/de-de/windows-hardware/design/device-experiences/oem-bitlocker ↩︎
- https://windowsarea.de/2024/05/microsoft-bestaetigt-windows-11-24h2-aktiviert-bitlocker-automatisch-nach-installation/ ↩︎
- https://support.microsoft.com/de-de/windows/suchen-ihres-bitlocker-wiederherstellungsschl%C3%BCssels-in-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6 ↩︎
- https://www.heise.de/news/Windows-10-Microsoft-kriegt-Bitlocker-Nachschluessel-frei-Cloud-3056977.html ↩︎
- https://winfuture.de/news,142853.html ↩︎
- https://winfuture.de/news,144101.html ↩︎
- https://winfuture.de/news,144584.html ↩︎
- https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-bitlocker-security-fix-advises-manual-mitigation/ ↩︎
- https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-incorrect-bitlocker-encryption-errors/ ↩︎
- https://winfuture.de/news,142544.html ↩︎
- https://www.theregister.com/2024/05/03/microsoft_windows_recovery_environment/ ↩︎
- https://winfuture.de/news,143401.html ↩︎
- https://www.reddit.com/r/de_EDV/comments/1e8a5o1/bitlocker_pc_gesperrt_wie_vorgehen_ansprechpartner/ ↩︎
- https://www.justanswer.de/elektronik/kqok3-mein-computer-wurde-durch-bitlocker-gesperrt-um-den.html ↩︎
- https://verschlüsselt.it/bitlocker-falle-tpm-hacken/ ↩︎
- https://www.microsoft.com/en-us/security/blog/2022/09/07/profiling-dev-0270-phosphorus-ransomware-operations/ ↩︎
- https://arstechnica.com/security/2024/05/newly-discovered-ransomware-uses-bitlocker-to-encrypt-victim-data/ ↩︎
- https://www.errno.fr/BypassingBitlocker.html ↩︎
- https://learn.microsoft.com/de-de/windows/security/operating-system-security/data-protection/bitlocker/ ↩︎
- https://t3n.de/news/windows-11-verschluesselt-pc-nicht-vorteile-1640948/?utm_source=rss&utm_medium=feed&utm_campaign=news ↩︎