Gibt es Hintertüren in BitLocker?

Die Frage begegnet mir dauernd: Gibt es Hintertüren in Bitlocker? Und die Antwort begegnet mir ebenso oft: Na klar! Muss ja so sein!! – Aber ist das wirklich so?

Hintertüren und Back Doors in BitLocker können wir vermuten, denn es gibt eine ganze Reihe von Generalverdachtsmomenten, die man als Behauptungen mit unterschiedlich hohem Wahrheitsgehalt wahrnehmen kann. Aber man sollte sie auch mal mit dem gesunden Menschenverstand hinterfragen.

Ich bin kein Microsoft-Mitarbeiter, weder fest noch frei. Es ist nur so, dass all das paranoide Gequatsche ganz viele Nutzer davon abhält, eine in meinen Augen absolut sinnvolle und einfach nutzbare Schutzfunktion wie BitLocker zu nutzen.

Was für Hintertüren in Bitlocker spricht:

  • “Microsoft ist oft in der Vergangenheit schon durch eigene Schnüffeleien aufgefallen.” Na ja…. Viele von der Computerpresse gerne hochgespielten “Schnüffelfunktionen” (auch jetzt wieder bei Windows 10) sind einfach Datenerfassungsfunktionen, die der Produktfortentwicklung dienen.
  • “Microsoft hat einen speziellen NSA-Key in die API eingebaut.” Dieses Gerücht reicht ins Jahr 1999 zurück. Der Hintergrund ist umstritten, aber zumindest verdächtig, siehe etwa CCC und Telepolis.
  • “Die NSA hat ein Interesse daran, uns alle abzuhören.” Über die wahren Wünsche der US-Datenschlapphüte können wir nur spekulieren, aber hey: klingt ziemlich wahrscheinlich. Und nicht nur die.
  • “Die USA / Die NSA zwingt Unternehmen wie Microsoft, Hintertüren einzubauen.” Wenig überraschend bestreitet Microsoft das. Aber es gibt genug Hinweise (FBI, CIA) auch solche, die darauf verweisen, dass man sogar GNU/Linux infiltrieren wollte. Aber bitte, auch hier sollte man einen klaren Kopf behalten und sich fragen, wie wir das denn anstellen würden, wenn wir Schlapphüte wären. Würden wir drei Anzüge hinschicken, die von einem Abteilungsleiter empfangen werden, und der stellt dann drei Entwickler ab, die sich um das Feature Hintertür kümmern, auf Basis eines Pflichtenhefts? Wäre es nicht viel schlauer, einfach drei(ssig) Mitarbeiter (getrennt) zu korrumpieren, um drei(ssig) verschiedene Hintertüren einzubauen (um ganz sicher zu gehen), ohne dass Microsoft es offiziell bemerkt (<paranoia>und ggfs. eine Hintertür-Hintertür einbauen würde, um eigene Dinge gegen die Hintertür zu schützen</paranoia>)?
  • “Super-Geheimdienste haben so viel Rechenkraft, dass sie den BitLocker-Schutz brute-force-knacken können.” Absolut möglich, zumal es Hinweise gibt, dass Bitlocker seit Windows 8 weniger sicher ist als vorher (aber immer noch sicher genug für den Alltagsgebrauch), siehe dieses PDF.

Das alles sind aber nur Indizien, Vermutungen, Gerede.

Was gegen Bitlocker-Hintertüren spricht:

  • Es ist alles nur Gerüchte-Bullsh: Es gibt keine konkreten Belege oder gar Beweise dafür, dass BitLocker Hintertüren hat. Es gibt auch keine Produkte, die wirklich leisten, was man unter “Bitlocker knacken” verstehen sollte, nämlich auf die mit einem komplexem Passwort Bitlocker-verschlüsselten Daten eines abgeschalteten Windows-Rechners zuzugreifen.
  • Es wäre bekannt geworden: Windows ist mit Sicherheit das meistgehackte System auf Erden – irgendjemand wäre doch sicher mal auf echten Backdoor-Code gestoßen, oder nicht? Okay, 9 Entdecker würden sich vielleicht kaufen lassen – aber dem Zehnten wären doch Rum & Ähre wichtiger, oder?
  • Es wäre unternehmensgefährdend: Wenn BitLocker und damit Windows *bewusst* Hintertüren hätte und diese entdeckt würden, dann wäre Microsofts Ruf ziemlich ramponiert.
  • Es wäre staatsgefährdend: Wenn BitLocker und damit Windows *bewusst* Hintertüren hätte, würden sich gewiss auch Russen und Chinesen die Hände reiben- und die Amis in die Röhre gucken. Seine eigenen Systeme zu weaken wäre schon ziemlich blöd (aber zugegebenermaßen nicht unvorstellbar blöd…)
  • Es ist erst ab einer gewissen Eskalationsstufe sinnvoll: Wenn BitLocker Hintertüren hat, dann keine, die für Kleinkriminelle von Bedeutung sind. Denn wäre es anders, dann wüssten wir davon – weil Kleinkriminelle darüber gesprochen hätten, dass sie auf diese Weise irgendwie “aufgeflogen” sind. Sprich: Wenn Hintertüren existieren, dann werden diese mit einiger Sicherheit erst ab einer gewissen Kriminalitätsstufe genutzt und auch nur dann, wenn die Hintertür-Nutzung im Anschluss garantiert geheim gehalten werden kann (etwa, weil die mit der Hintertür überführten Personen anschließend in CIA-Gefängnissen oder in Guantanamo-ähnlichen Einrichtungen gefangen gehalten werden können). Daher darf man davon ausgehen, dass selbst das BKA keinen “forensischen Geheimkoffer” hat, der BitLocker aufschließt, auch wenn die das gerne hätten (man ziehe sich dazu diese Präse rein).

Auch das sind natürlich alles nur Indizien.

Warum es egal ist, ob Bitlocker Back Doors hat

All das ist eine rein theoretische Diskussion!

  • Aktueller Kenntnisstand ist, dass in der freien Wildbahn – auch im digitalen Untergrund – kein Tool existiert, dass BitLocker durch eine Hintertür aufschließt. Es gibt lediglich Bruteforce-Tools, gegen die ein langes und komplexes Bitlocker-Passwort hilft, sowie relativ theoretische Coldboot-Angriffszenarien, die aber in der Praxis eines normalen Nutzers keine Rolle spielen, sowie Falschmeldungen und Hoaxes (Beispiel).
  • Theoretisch könnte ein solches Tool aber natürlich dennoch existieren, nennen wir es NSA AntiBitlocker™. Doch wer hätte Zugriff darauf? Sicher nicht die “Verbündeten” wie etwa der BND, denn Wichtigtuer und Maulwürfe können ja oft ihre Klappe nicht halten. Wahrscheinlich hätten nicht mal alle 57.357 Angestellten der NSA Zugriff, denn da sind ja lauter potentielle Whistleblower drunter. Daher hat höchstens ein innerer Kreis der NSA (oder CIA, FBI…), nennen wir ihn nach dem großen Robert Ludlum blumig “die Polyxena-Division“, Zugriff auf diesem superdupergeheimen NSA AntiBitlocker™. Wie gesagt: reines Gedankenspiel meinerseits (und hoffentlich ist es nicht wahr, sonst passiert mir ab morgen [US-Standard-Thriller-Plot hier einsetzen]).
  • Für einen theoretischen Angreifer ergibt sich also die Schwierigkeit, wie er denn ein Bitlocker-Laufwerk aufschließen soll – ohne Zugriff auf dieses ominöse AntiBitlocker-Tool.
  • Daran ändert auch die theoretisch plausible Existenz einer Hintertür nichts. Denn eine Hintertür nützt niemandem, der sie nicht aufschließen kann!
  • Was würden der BND, das BKA oder der BfV tun, um unser Bitlocker-Laufwerk zu knacken? Würden die mal eben bei der “Polyxena-Division” anrufen und nach dem “AntiBitlocker™-Tool” fragen? Wohl kaum, denn diese Art der Amtshilfe existiert schlicht nicht. Unsere Nachrichtendienste und Kriminalämter, aber auch Detekteien oder Wirtschaftsspione würden daher andere Wege gehen, die viel leichter sind, etwa Keylogger als Software-Keylogger oder Hardware-Keylogger einsetzen oder uns via Sicherheitslücke Trojaner im laufenden Betrieb installieren.
  • Microsoft Windows hätte und hat im laufenden Betrieb alle Möglichkeiten, alle Geheimnisse eines PC per Netzwerk nach draußen oder an einen Geheimdienst zu übermitteln, denn im laufenden Betrieb arbeitet BitLocker “transparent”, ebenso wie jedes andere, möglicherweise “sicherere” Vollverschlüsselungssystem. Wer Windows vertraut, der kann auch Bitlocker vertrauen. (Und wer das nicht tut, sollte eben GNU/Linux nehmen.)
  • Unabhängig von Hintertüren können BitLocker & Co ohnehin nur Sicherheit gegenüber einem ganz bestimmten Angriffsszenario (Zugriff auf eine Festplatte in einem ausgeschalteten Rechner) herstellen, siehe auch den Beitrag Was wird eigentlich sicherer, wenn wir Windows verschlüsseln?.
  • PCs und Notebooks sind überhaupt nicht als “sichere Geräte” konzipiert, dazu gehört nämlich mehr als Vollverschlüsslung.

Woraus folgt:

  • Zur Absicherung seines Notebooks gegenüber Feinden der Größenklasse ab “zufälliger, aber neugieriger Finder des verlorenen Gerätes” über “absichtlicher Dieb des Notebooks” bis hin zu “allen deutschen Behörden” und auch “99,99% der US-Behörden” darf Bitlocker (mit starkem Passwort, auf ausgeschaltetem PC) als garantiert “unknackbar durch die Hintertür” gelten.
  • Nur die von mir erfundene, rein theoretische “Polyxena-Division der NSA, die das AntiBitlocker™-Tool nutzen darf”, könnte ein so geschütztes System “aufschließen”; und ob sie es tut, hängt davon ab, a) wie groß diese Division ist und b) ob unser Geheimnis es wert ist, das sie in Aktion tritt. Und ich bezweifle ernsthaft, dass es überhaupt Geheimnisse gibt, die das wert wären. (Und wenn es sie gäbe, wären die Schlapphüte viel schlauer dran – Tipp vom Laien! -, diese Geheimnisse p.d.q. zu löschen, statt sie irgendwo zu bunkern.)

Oder anders:

  • Für den Alltagsgebrauch selbst von kleinen Unternehmen ist Microsoft BitLocker auf Windows 7 (ab Pro), Windows 8 und 8.1 sowie Windows 10 bei sachgerechter Anwendung (vor allem: hinreichend komplexes Passwort) sicher im einzig sinnvollen Angriffsszenario, dem “Zugriffsversuch durch Unbefugte bei Verlust oder Diebstahl des Rechners”.
  • Weder mit BitLocker noch mit einem anderen Vollverschlüsselungstool können wir unsere Rechner vor einer Organisation schützen, die Willen und Macht hat, in unserer Abwesenheit in unsere Wohnung einzudringen und physischen Zugriff auf unseren Rechner zu nehmen. Nur Notebooks, die wir immer bei uns tragen, sind dagegen halbwegs sicher.

Alles andere ist Spekulation, wenn nicht gar Mumpitz.

Feuer frei für Widerspruch! ;-)

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …