Auf den Punkt: Bitlocker-Keys in Microsofts Cloud werden an Behörden weitergegeben – das Risiko liegt aber weniger bei privaten Geräten als bei dem breiten Zugriff auf alle Cloud-gespeicherten Daten. Organisationen müssen überprüfen, ob ihre AD-Cloud-Synchronisierung auch Recovery Keys umfasst.
Die mediale Aufregung über die Weitergabe von Microsoft-Bitlocker-Recovery-Keys an Strafverfolgungsbehörden verfehlt die eigentlichen kritischen Fragen. Ein CISO-Perspektive auf die echten Sicherheitsrisiken und Compliance-Implikationen.
Die jüngsten Berichte zur Weitergabe von Bitlocker Recovery Keys durch Microsoft an Strafverfolgungsbehörden haben zu erheblicher Aufregung in den Medien geführt. Allerdings konzentriert sich die öffentliche Diskussion oft auf Aspekte, die das zentrale Sicherheitsrisiko verfehlen.
Zunächst ist wichtig zu verstehen: Die meisten gemeldeten Fälle betreffen private Geräte, die nicht zentral verwaltet werden. Bei Domain-gebundenen Windows-PCs in einem Active Directory wird der Recovery-Key dort gespeichert – nicht in der Cloud. Dieses Vorgehen ist dokumentiert und wird bei der Installation als eine von mehreren Sicherungsoptionen explizit angeboten. Der Recovery-Key selbst ist zudem ohne die entsprechende Hardware vollkommen wertlos.
Gleichzeitig hat die Cloud-Sicherung von Bitlocker Recovery Keys zahlreiche Privatnutzer vor Datenverlust bewahrt. Hier liegt eine klassische Abwägung vor: Das Feature gefährdet das C (Confidentiality) der CIA-Triade, dient aber dem deutlich wichtigeren Schutzziel A (Availability) für private Nutzer.
Für Organisationen sind jedoch zwei wesentlich kritischere Punkte relevant: Wenn Microsoft Recovery Keys aus Cloud-Konten herausgibt, folgt logisch auch der Zugriff auf OneDrive-Inhalte, M365-Mailboxes und alle Daten, die über den neuen Outlook über die Cloud geroutet werden. Strafverfolgungsbehörden benötigen dann keine beschlagnahmte Hardware mehr, um auf Inhaltsdaten zuzugreifen.
Der zweite Punkt betrifft organisatorische Hybridszenarien: Wenn das Active Directory einer Organisation mit der Cloud-Variante (ehemals Azure AD, jetzt Microsoft Entra ID) synchronisiert ist, besteht die Gefahr, dass auch Bitlocker Recovery Keys in die Cloud synced werden. CISOs sollten ihre entsprechenden Policies und Konfigurationen kritisch überprüfen.
Quelle: www.cert.at