Gibt es Hintertüren in BitLocker?

Die Frage begegnet mir dauernd: Gibt es Hintertüren in Bitlocker? Und die Antwort begegnet mir ebenso oft: Na klar! Muss ja so sein!! - Aber ist das wirklich so?

Hintertüren und Back Doors in BitLocker können wir vermuten, denn es gibt eine ganze Reihe von Generalverdachtsmomenten, die man als Behauptungen mit unterschiedlich hohem Wahrheitsgehalt wahrnehmen kann. Aber man sollte sie auch mal mit dem gesunden Menschenverstand hinterfragen.

Ich bin kein Microsoft-Mitarbeiter, weder fest noch frei. Es ist nur so, dass all das paranoide Gequatsche ganz viele Nutzer davon abhält, eine in meinen Augen absolut sinnvolle und einfach nutzbare Schutzfunktion wie BitLocker zu nutzen.

Was für Hintertüren in Bitlocker spricht:

  • "Microsoft ist oft in der Vergangenheit schon durch eigene Schnüffeleien aufgefallen." Na ja.... Viele von der Computerpresse gerne hochgespielten "Schnüffelfunktionen" (auch jetzt wieder bei Windows 10) sind einfach Datenerfassungsfunktionen, die der Produktfortentwicklung dienen.
  • "Microsoft hat einen speziellen NSA-Key in die API eingebaut." Dieses Gerücht reicht ins Jahr 1999 zurück. Der Hintergrund ist umstritten, aber zumindest verdächtig, siehe etwa CCC und Telepolis.
  • "Die NSA hat ein Interesse daran, uns alle abzuhören." Über die wahren Wünsche der US-Datenschlapphüte können wir nur spekulieren, aber hey: klingt ziemlich wahrscheinlich. Und nicht nur die.
  • "Die USA / Die NSA zwingt Unternehmen wie Microsoft, Hintertüren einzubauen." Wenig überraschend bestreitet Microsoft das. Aber es gibt genug Hinweise (FBI, CIA) auch solche, die darauf verweisen, dass man sogar GNU/Linux infiltrieren wollte. Aber bitte, auch hier sollte man einen klaren Kopf behalten und sich fragen, wie wir das denn anstellen würden, wenn wir Schlapphüte wären. Würden wir drei Anzüge hinschicken, die von einem Abteilungsleiter empfangen werden, und der stellt dann drei Entwickler ab, die sich um das Feature Hintertür kümmern, auf Basis eines Pflichtenhefts? Wäre es nicht viel schlauer, einfach drei(ssig) Mitarbeiter (getrennt) zu korrumpieren, um drei(ssig) verschiedene Hintertüren einzubauen (um ganz sicher zu gehen), ohne dass Microsoft es offiziell bemerkt (<paranoia>und ggfs. eine Hintertür-Hintertür einbauen würde, um eigene Dinge gegen die Hintertür zu schützen</paranoia>)?
  • "Super-Geheimdienste haben so viel Rechenkraft, dass sie den BitLocker-Schutz brute-force-knacken können." Absolut möglich, zumal es Hinweise gibt, dass Bitlocker seit Windows 8 weniger sicher ist als vorher (aber immer noch sicher genug für den Alltagsgebrauch), siehe dieses PDF.

Das alles sind aber nur Indizien, Vermutungen, Gerede.

Was gegen Bitlocker-Hintertüren spricht:

  • Es ist alles nur Gerüchte-Bullsh: Es gibt keine konkreten Belege oder gar Beweise dafür, dass BitLocker Hintertüren hat. Es gibt auch keine Produkte, die wirklich leisten, was man unter "Bitlocker knacken" verstehen sollte, nämlich auf die mit einem komplexem Passwort Bitlocker-verschlüsselten Daten eines abgeschalteten Windows-Rechners zuzugreifen.
  • Es wäre bekannt geworden: Windows ist mit Sicherheit das meistgehackte System auf Erden - irgendjemand wäre doch sicher mal auf echten Backdoor-Code gestoßen, oder nicht? Okay, 9 Entdecker würden sich vielleicht kaufen lassen - aber dem Zehnten wären doch Rum & Ähre wichtiger, oder?
  • Es wäre unternehmensgefährdend: Wenn BitLocker und damit Windows *bewusst* Hintertüren hätte und diese entdeckt würden, dann wäre Microsofts Ruf ziemlich ramponiert.
  • Es wäre staatsgefährdend: Wenn BitLocker und damit Windows *bewusst* Hintertüren hätte, würden sich gewiss auch Russen und Chinesen die Hände reiben- und die Amis in die Röhre gucken. Seine eigenen Systeme zu weaken wäre schon ziemlich blöd (aber zugegebenermaßen nicht unvorstellbar blöd...)
  • Es ist erst ab einer gewissen Eskalationsstufe sinnvoll: Wenn BitLocker Hintertüren hat, dann keine, die für Kleinkriminelle von Bedeutung sind. Denn wäre es anders, dann wüssten wir davon - weil Kleinkriminelle darüber gesprochen hätten, dass sie auf diese Weise irgendwie "aufgeflogen" sind. Sprich: Wenn Hintertüren existieren, dann werden diese mit einiger Sicherheit erst ab einer gewissen Kriminalitätsstufe genutzt und auch nur dann, wenn die Hintertür-Nutzung im Anschluss garantiert geheim gehalten werden kann (etwa, weil die mit der Hintertür überführten Personen anschließend in CIA-Gefängnissen oder in Guantanamo-ähnlichen Einrichtungen gefangen gehalten werden können). Daher darf man davon ausgehen, dass selbst das BKA keinen "forensischen Geheimkoffer" hat, der BitLocker aufschließt, auch wenn die das gerne hätten (man ziehe sich dazu diese Präse rein).

Auch das sind natürlich alles nur Indizien.

Warum es egal ist, ob Bitlocker Back Doors hat

All das ist eine rein theoretische Diskussion!

  • Aktueller Kenntnisstand ist, dass in der freien Wildbahn - auch im digitalen Untergrund - kein Tool existiert, dass BitLocker durch eine Hintertür aufschließt. Es gibt lediglich Bruteforce-Tools, gegen die ein langes und komplexes Bitlocker-Passwort hilft, sowie relativ theoretische Coldboot-Angriffszenarien, die aber in der Praxis eines normalen Nutzers keine Rolle spielen, sowie Falschmeldungen und Hoaxes (Beispiel).
  • Theoretisch könnte ein solches Tool aber natürlich dennoch existieren, nennen wir es NSA AntiBitlocker™. Doch wer hätte Zugriff darauf? Sicher nicht die "Verbündeten" wie etwa der BND, denn Wichtigtuer und Maulwürfe können ja oft ihre Klappe nicht halten. Wahrscheinlich hätten nicht mal alle 57.357 Angestellten der NSA Zugriff, denn da sind ja lauter potentielle Whistleblower drunter. Daher hat höchstens ein innerer Kreis der NSA (oder CIA, FBI...), nennen wir ihn nach dem großen Robert Ludlum blumig "die Polyxena-Division", Zugriff auf diesem superdupergeheimen NSA AntiBitlocker™. Wie gesagt: reines Gedankenspiel meinerseits (und hoffentlich ist es nicht wahr, sonst passiert mir ab morgen [US-Standard-Thriller-Plot hier einsetzen]).
  • Für einen theoretischen Angreifer ergibt sich also die Schwierigkeit, wie er denn ein Bitlocker-Laufwerk aufschließen soll - ohne Zugriff auf dieses ominöse AntiBitlocker-Tool.
  • Daran ändert auch die theoretisch plausible Existenz einer Hintertür nichts. Denn eine Hintertür nützt niemandem, der sie nicht aufschließen kann!
  • Was würden der BND, das BKA oder der BfV tun, um unser Bitlocker-Laufwerk zu knacken? Würden die mal eben bei der "Polyxena-Division" anrufen und nach dem "AntiBitlocker™-Tool" fragen? Wohl kaum, denn diese Art der Amtshilfe existiert schlicht nicht. Unsere Nachrichtendienste und Kriminalämter, aber auch Detekteien oder Wirtschaftsspione würden daher andere Wege gehen, die viel leichter sind, etwa Keylogger als Software-Keylogger oder Hardware-Keylogger einsetzen oder uns via Sicherheitslücke Trojaner im laufenden Betrieb installieren.
  • Microsoft Windows hätte und hat im laufenden Betrieb alle Möglichkeiten, alle Geheimnisse eines PC per Netzwerk nach draußen oder an einen Geheimdienst zu übermitteln, denn im laufenden Betrieb arbeitet BitLocker "transparent", ebenso wie jedes andere, möglicherweise "sicherere" Vollverschlüsselungssystem. Wer Windows vertraut, der kann auch Bitlocker vertrauen. (Und wer das nicht tut, sollte eben GNU/Linux nehmen.)
  • Unabhängig von Hintertüren können BitLocker & Co ohnehin nur Sicherheit gegenüber einem ganz bestimmten Angriffsszenario (Zugriff auf eine Festplatte in einem ausgeschalteten Rechner) herstellen, siehe auch den Beitrag Was wird eigentlich sicherer, wenn wir Windows verschlüsseln?.
  • PCs und Notebooks sind überhaupt nicht als "sichere Geräte" konzipiert, dazu gehört nämlich mehr als Vollverschlüsslung.

Woraus folgt:

  • Zur Absicherung seines Notebooks gegenüber Feinden der Größenklasse ab "zufälliger, aber neugieriger Finder des verlorenen Gerätes" über "absichtlicher Dieb des Notebooks" bis hin zu "allen deutschen Behörden" und auch "99,99% der US-Behörden" darf Bitlocker (mit starkem Passwort, auf ausgeschaltetem PC) als garantiert "unknackbar durch die Hintertür" gelten.
  • Nur die von mir erfundene, rein theoretische "Polyxena-Division der NSA, die das AntiBitlocker™-Tool nutzen darf", könnte ein so geschütztes System "aufschließen"; und ob sie es tut, hängt davon ab, a) wie groß diese Division ist und b) ob unser Geheimnis es wert ist, das sie in Aktion tritt. Und ich bezweifle ernsthaft, dass es überhaupt Geheimnisse gibt, die das wert wären. (Und wenn es sie gäbe, wären die Schlapphüte viel schlauer dran - Tipp vom Laien! -, diese Geheimnisse p.d.q. zu löschen, statt sie irgendwo zu bunkern.)

Oder anders:

  • Für den Alltagsgebrauch selbst von kleinen Unternehmen ist Microsoft BitLocker auf Windows 7 (ab Pro), Windows 8 und 8.1 sowie Windows 10 bei sachgerechter Anwendung (vor allem: hinreichend komplexes Passwort) sicher im einzig sinnvollen Angriffsszenario, dem "Zugriffsversuch durch Unbefugte bei Verlust oder Diebstahl des Rechners".
  • Weder mit BitLocker noch mit einem anderen Vollverschlüsselungstool können wir unsere Rechner vor einer Organisation schützen, die Willen und Macht hat, in unserer Abwesenheit in unsere Wohnung einzudringen und physischen Zugriff auf unseren Rechner zu nehmen. Nur Notebooks, die wir immer bei uns tragen, sind dagegen halbwegs sicher.

Alles andere ist Spekulation, wenn nicht gar Mumpitz.

Feuer frei für Widerspruch! ;-)

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau ’normaler Nutzer‘ und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht’s um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

4 Antworten

  1. Besserwisser sagt:

    Zitat: >>Für den Alltagsgebrauch selbst von kleinen Unternehmen ist Microsoft BitLocker auf Windows 7 (ab Pro), Windows 8 und 8.1 sowie Windows 10 bei sachgerechter Anwendung (vor allem: hinreichend komplexes Passwort) sicher im einzig sinnvollen Angriffsszenario, dem "Zugriffsversuch durch Unbefugte bei Verlust oder Diebstahl des Rechners".

    Leider nicht. Bitlocker gibt es bei Windows 7 nur in der Ultimate/Enterprise. In Windows 8, 8.1 und 10 erst ab der Professional.

    Ansonsten gehe ich mit dem Artikel d'accord.

    • Ich würde gerne widersprechen, aber Du scheinst recht zu haben. (BLoß: Wieso glaube ich dann, dass es anders ist? ;-)
      Nachtrag: Ja, Du hast recht. Liegt wohl daran, dass ich alle externen Festplatten von einem 7er-Ultimate aus verschlüsselt habe und an normalen 7ern benutze, was prima funktioniert.

  2. Peter sagt:

    Einige Anmerkungen:
    1.) Es muss nicht immer so sein, dass Behörden bei der Polyxena-Division anfragen. Eher denkbar ist der umgekehrte Weg: Die Polyxena-Division findet was (sagen wir Infos zum Drogenhandel) und sagt dann zur DEA schaut euch doch mal das Lagerhaus an. Bei einer "zufälligen" Razzia werden dann die belastenden Materialien gefunden. Da kommt dann keiner drauf dass diese Infos durch ein geknacktes Bitlocker gefunden wurde. Da gab es in den USA schon ein paar Präzedenzfälle in denen die Behörden nachweisen mussten/sollten dass die die Beweise nicht rechtswidrig (=durch illegales Abhören) gewonnen hatten.....
    und hatten Schwierigkeiten damit.
    2.) Wenn BitLocker ohne Backdoors ist warum veröffentlicht Microsoft dann nicht den SourceCode?
    3.) Warum BitLocker nehmen wenn es mindesten gleichwertige andere Software gibt (TrueCrypt, VeraCrypt, DiskCryptor,....)

    • Danke für Deine Anmerkungen!
      1. Guter Einwand!
      2. Weil das solche Unternehmen wie Microsoft nun mal nicht tun.
      3. Ja, in dieser Frage liegt des Pudels Kern. Weil Bitlocker einfacher ist, weil schon dabei ist, weil es hinreichende Sicherheit für alltägliche Bedürfnisse bringt, weil es keinen Ärger macht, auch nicht auf Win 10. (Es gibt durchaus eine schockierende Ausnahme, die darzustellen mir derzeit leider die Zeit fehlt, nämlich die Mobile-Versionen ab 8, wo Microsoft offenbar den Bitlocker-Key in der OneDrive-Cloud speichert (KREISCH!).)

      Die Frage müsste also eher lauten: Warum Microsofts Verschlüsselung Bitlocker misstrauen, aber dem Betriebssystem Windows trauen? Warum gleichwertige Software von unbekannten Dritten zusätzlich installieren, wenn man auch integriertes Bitlocker benutzen kann? Weil die anderen keine Hintertüren haben? Sagt wer? Weil sie OpenSource sind? Wer prüft den Code? Audits? Reichen die? Übersehen die nichts (haben sie ja bei TC auch)? Und sind die auch garantiert nicht unterlaufbar (denn das würde ich ja tun, wenn ich ein Geheimdienst mit Milliardenetat wäre und eine SW mit Hintertüren publiziert hätte: den Audit sabotieren)?

      Windows 7 Verschlüsselung mit TrueCrypt stelle ich hier vor, Windows-Systempartition verschlüsseln mit DiskCryptor hier, zu VeraCrypt bin ich noch nicht gekommen. Du siehst also hoffentlich: Ich widme mich reichlich auch den anderen. Aber diese Anti-Bitlocker-Paranoia, die durch nichts begründet ist als durch "Closed Source", die kann ich *für den Alltagsgebrauch normaler Nutzer* einfach nicht nachvollziehen.

      Und für alle starken Fälle (aka "James-Bond-Sicherheit") würde mich nicht auf Verschlüsselung verlassen, egal auf welche. Siehe auch: "Was wird eigentlich sicher, wenn wir Windows (7) verschlüsseln?"