Schlüsselkind

by Volker Weber

ZZ547A17A8

Gerade wird wieder einmal die Microsoft-Sau durch den Ort getrieben. Um was geht es? Der erdreisten sich die Redmonder doch tatsächlich, den BitLocker-Schlüssel auf OneDrive hoch zu laden. Das machen die doch bestimmt, um den Anwender zu überwachen. Und überhaupt, die NSA.

Ruhig, Brauner! Wer so ein bisschen mehr Ahnung von IT hat, dem fällt noch was besseres ein. Wenn man ein Passwort einführt, dann braucht man sofort auch einen Prozess, um vergessene Passwörter zurückzusetzen. Ich erinnere an Lotus Notes. Das verwendete keine Passwörter, sondern eine mit Passwort geschützte Schlüsseldatei. Und wer dieses Passwort vergaß, kam an diese Schlüsseldatei nicht mehr herein. Was passiert nun? Anwender vergisst Passwort, IT kann nicht helfen, IT ist unfähig. Was lernt IT? Ich lege mir ein Backup an, und zwar mit der Schlüsseldatei und dem passenden Kennwort. Das machten vor 20 Jahren alle IT-Abteilungen, die ein bisschen mehr Ahnung hatten. Das muss man jetzt noch sicher gestalten, damit nicht einfach ein einzelner IT-Admin einen anderen User nachmachen kann. IBM hat später ein sichereres Verfahren implementiert.

Was macht nun Microsoft? Die legen eine Kopie des Schlüssels an einen sicheren Ort, von dem sie ihn später wieder herstellen können, wenn der Benutzer versagt. Passiert nicht? Meine Güte, das passiert andauernd. Ich hatte selbst diesen Fall. Und zwar bei Apple. Dort mussten wir eine verschlüsselte Festplatte wiederherstellen, nachdem mein bester Freund verstorben war. Ohne einen solchen hinterlegten Schlüssel wäre das unmöglich gewesen.

Und warum hinterlegt Microsoft diesen Schlüssel zwangsweise? Weil der nichts wissende Anwender schlechte Ratschläge befolgt. Das hatten ich neulich erst, weil jemand den Rat bekommen hatte, alle Ortungsdienste abzuschalten. Nun funktionierte weder die Navigation noch die Markierung von Fotos mit dem Ort. Oh Wunder! Bei der Enterprise Version von Windows kann man diese Schlüsselhinterlegung abschalten. Dort gibt es ja auch eine IT, die ein bisschen mehr Ahnung hat.

Ich habe eine einfache Grundregel: du wirst alle Daten verlieren, die du heute verschlüsselst.

Comments

Danke, Volker. Ich habe mittlerweile eine relativ zynische Einstellung zu Privacy vs. Cloud Themen: Die wer-auch-immer kommen an was-auch-immer-sie-nicht-sollen, ohnehin ran. Verwende ich die Cloud Dienste nicht, versage ich mir lediglich den Komfort. Der Schaden ist längst passiert.

Dazu eine kleine Menge Common Sense und Best Practice *Bingo*, und es klappt. Also vernünftige Passwortverwaltung und keine hochriskanten Dienste (neu, no name, klein, IFTT). Das ist mein aktuelles Rezept.

Insbesondere der Teil mit den schlechten Ratschlägen dürfte auch fett geschrieben sein.

Hubert Stettner, 2015-12-30

Wo bleibt denn die Liebe zur Freiheit, zur Autonomie, zur Selbstverantwortung, zum Recht auf Fehler und zum selbstverschuldeten Verlust? Sollte diese Freiheit nicht bei den Menschen liegen? Sollten sie nicht das Recht haben, zu entscheiden, wem sie ihre Schlüssel anvertrauen? Microsofts Antwort auf das große Problem verlegter Schlüssel ist pragmatisch, günstig - aber auch anmaßend, paternalistisch und faul.

Zum Zynismus: Er ist (Quelle: Wikipedia) der „Ausdruck einer stummen, wissenden Indifferenz“. Sie folgt der Resignation und anderen „enttäuschenden Formen der Selbstbehauptung“.

Andreas Schmidt, 2015-12-30

Wenn ein Amerikaner sich mit heißem Kaffee verbrüht, dann ist das niemals selbstverschuldet.

Volker Weber, 2015-12-30

Das stimmt so nicht ganz. Der Schlüssel wird nicht zwangsweise hinterlegt. Es gibt vorher eine Abfrage, wo der Schlüssel hinterlegt werden soll. Die genauen Optionen habe ich gerade nicht im Kopf. Eine dieser Optionen ist auf jeden Fall 'auf einem anderen Datenträger'. Das kann auch ein USB-Stick sein. Da landet dann eine Datei in der u. a. sowas drin steht:
"
Bezeichner:

88888888-8888-8888-8888-888888888888

Falls der obige Bezeichner mit dem auf dem PC angezeigten Bezeichner übereinstimmt, sollten Sie den folgenden Schlüssel zum Entsperren des Laufwerks verwenden.

Wiederherstellungsschlüssel:

000000-000000-000000-000000-000000-000000-000000-000000
"
Das macht auch deswegen Sinn, weil man den Rechner ja auch mit einem lokalen Konto aufsetzen kann. Und dort gibt es gar keine Credentials für ein Online-Backup.

Richard Kaufmann, 2015-12-30

Es geht da nicht um bitlocker per se, sondern um die Geräteverschlüsselung aka device encryption. Wenn man so ein Gerät hat, z.B. ein Windows RT Tablet (soll's ja geben...), dann wird die Verschlüsselung automatisch aktiviert wenn man sich mit einem MS Account anmeldet. Die meisten wissen vermutlich nicht einmal das das passiert und würden die Festplatte von sich aus gar nicht verschlüsseln. Ich seh da keinen Sicherheitsverlust.

Wenn man von sich aus die Festplatte verschlüsselt, wird man sich auch (hoffentlich) Gedanken gemacht haben wie man die Daten wieder bekommt und wo man den Schlüssel aufbewahrt.

Max Nierbauer, 2015-12-31

Ja, wie Richard schon schreibt, und es geht sogar noch weiter. Als Optionen stehen online speichern, in Datei speichern und ausdrucken zur Verfügung. Und da im Dialogtext ausdrücklich empfohlen wird, "mehrere Wiederherstellungsschlüssel getrennt vom PC aufzubewahren", erscheint die Dialogbox automatisch mehrfach, bis man abbricht oder alle Optionen durchlaufen hat.

Haiko Hebig, 2015-12-31

Recent comments

Thomas Gamradt on From my inbox at 10:01
Jörg Heinrich on From my inbox at 09:50
Tobias Vogel on From my inbox at 09:45
Bodo Menke on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 20:23
Matthias Welling on From my inbox at 20:13
Simon Laule on From my inbox at 18:01
Bruce Elgort on From my inbox at 16:33
Volker Weber on From my inbox at 15:59
Marc Henkel on From my inbox at 15:57
Volker Weber on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 09:28
Ralph Angenendt on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 08:52
Volker Weber on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 07:51
Bodo Menke on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 07:30
Volker Weber on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 00:19
Bodo Menke on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 00:04
Ralph Angenendt on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 22:47
Hubert Stettner on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 20:18
Adrian Woizik on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 19:57
michael rother on Jabra Evolve 75 und Jabra Evolve2 65 :: Was ist besser? at 19:57
Timo Stamm on The best COVID-19 response in the world :: Indi Samarajiva at 17:53
Martin Maerz on The best COVID-19 response in the world :: Indi Samarajiva at 13:01
Christoph Rummel on Digitalisierung außerhalb des Büros at 11:37
Jan Siegel on Kognitive Dissonanz :: Dinge, die ich nicht verstehe at 10:42
Richard H Schwartz on The best COVID-19 response in the world :: Indi Samarajiva at 05:13
Hubert Stettner on The best COVID-19 response in the world :: Indi Samarajiva at 00:40

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 12:12

visitors.gif

Paypal vowe