Aktuell gehen reißerische Berichte durch die Medien, dass Microsoft regelmäßig Bitlocker Recovery Keys an Strafverfolgungsbehörden weitergibt.

Ich glaube, die Aufregung geht hier fast völlig an den wirklich spannenden Fragen vorbei, weil:

• Wir reden hier von privaten Geräten, die nicht zentral verwaltet werden. Ist nämlich der Windows-PC in ein Active Directory eingebucht (Domain-Joined), dann wird der Recovery-Key dorthin gesichert.
• Das Ganze ist klar dokumentiert und wird bei der Installation als eine der möglichen Wege zur Sicherung der Recovery-Keys angeboten.
• Der Recovery-Key ist ohne die dazu passende Hardware völlig unnütz. Auch wenn Microsoft den Schlüssel an das FBI weitergibt, heißt das noch lang nicht, dass sie magischen Zugriff auf Rechner in Österreich haben.
• Ich habe keine Zahlen, aber ich gehe davon aus, dass diese Cloudsicherung der Bitlocker Recovery-Keys ernsthaft viele Leute vor Datenverlust bewahrt hat. Ja, das Feature ist eine Gefahr für das C (confidentiality) in der CIA-Triade, aber das A (availability) ist gerade für Privatnutzer das eigentlich wichtigere Schutzziel.

Worüber man viel mehr reden sollte, sind zwei andere Punkte:

• Wenn Microsoft die im Cloud-Account gespeicherten Keys rausgibt, dann wohl auch den Inhalt des OneDrive, des M365 Mail Accounts und all die Mail, bei beim „New Outlook“ über die Cloud geroutet wird. Und hier braucht die Polizei dann keine beschlagnahmte Hardware, um zu den Inhaltsdaten zu kommen.
• Wenn das AD einer Organisation mit der Cloud Variante (früher Azure AD, jetzt Microsoft Entra ID) synchronisiert ist, werden dann die Bitlocker Recovery-Keys auch in die Cloud gesynct? Auf die hier gültigen Policies sollten CISOs ein Auge werfen.