Datenschutzdebatte: Microsoft gibt Bitlocker-Schlüssel an FBI weiter
Microsoft hat erstmals öffentlich bestätigt, dass das Unternehmen Bitlocker-Verschlüsselungsschlüssel an Strafverfolgungsbehörden herausgibt, wenn diese einen gültigen Durchsuchungsbeschluss vorlegen. Der Fall stammt aus einer bundesstaatlichen Ermittlung in Guam, wo FBI-Agenten im vergangenen Jahr einen Durchsuchungsbeschluss für die Wiederherstellungsschlüssel von drei Notebooks erwirkten. Die Ermittler vermuteten, dass die Geräte Beweise im Zusammenhang mit mutmaßlichem Betrug bei der Corona-Arbeitslosenhilfe des Territoriums enthielten.
Bitlocker ist auf vielen Windows-Computern standardmäßig aktiviert und verschlüsselt die Festplattendaten, um unbefugten Zugriff zu verhindern. Während Nutzer die Verschlüsselungsschlüssel lokal speichern können, empfiehlt Microsoft die Cloudspeicherung dieser Schlüssel für Wiederherstellungszwecke. Dieser Ansatz ermöglicht den Zugriff, falls Passwörter vergessen werden – schafft aber auch eine Möglichkeit für Anfragen von Strafverfolgungsbehörden.
Etwa 20 Anfragen pro Jahr
Microsoft-Sprecher Charles Chamberlayne erklärte gegenüber Forbes(öffnet im neuen Fenster) , dass das Unternehmen jährlich etwa 20 Bitlocker-Schlüsselanfragen bearbeite. Viele Fälle könnten nicht gelöst werden, weil Nutzer sich für die lokale Schlüsselspeicherung statt für Cloud-Back-ups entscheiden, was es Microsoft unmöglich mache, zu helfen.
"Während die Schlüsselwiederherstellung Komfort bietet, birgt sie auch das Risiko unerwünschten Zugriffs. Deshalb ist Microsoft der Ansicht, dass Kunden am besten in der Lage sind, zu entscheiden, wie sie ihre Schlüssel verwalten" , so Chamberlayne.
Die Enthüllung hat Kritik von Datenschutzaktivisten und Gesetzgebern hervorgerufen. Senator Ron Wyden bezeichnete es als "unverantwortlich, dass Technologieunternehmen Produkte so ausliefern, dass sie heimlich die Verschlüsselungsschlüssel der Nutzer herausgeben können." Wyden fügte hinzu, dass die Bereitstellung von Verschlüsselungsschlüsseln Zugang zur "Gesamtheit des digitalen Lebens einer Person" gewähre und Risiken für die Sicherheit der Nutzer berge.
Apple und Meta gehen anders vor
Jennifer Granick, Überwachungsberaterin bei der ACLU, wies gegenüber Forbes auf die internationalen Auswirkungen der Praxis hin. Auch ausländische Regierungen mit fragwürdiger Menschenrechtsbilanz fordern Daten von Technologieunternehmen an. "Die Fernspeicherung von Entschlüsselungsschlüsseln kann sehr gefährlich sein" , sagte sie.
Matt Green, Kryptografie-Professor an der Johns Hopkins University, wies gegenüber Forbes darauf hin, dass Apples Filevault und Metas Whatsapp Nutzern die Möglichkeit bieten, ihre in der Cloud gespeicherten Schlüssel zu verschlüsseln. Dies macht Anfragen von Strafverfolgungsbehörden wirkungslos. Keines der beiden Unternehmen soll Verschlüsselungsschlüssel herausgegeben haben.