Schlüsselkind

by Volker Weber

ZZ547A17A8

Gerade wird wieder einmal die Microsoft-Sau durch den Ort getrieben. Um was geht es? Der erdreisten sich die Redmonder doch tatsächlich, den BitLocker-Schlüssel auf OneDrive hoch zu laden. Das machen die doch bestimmt, um den Anwender zu überwachen. Und überhaupt, die NSA.

Ruhig, Brauner! Wer so ein bisschen mehr Ahnung von IT hat, dem fällt noch was besseres ein. Wenn man ein Passwort einführt, dann braucht man sofort auch einen Prozess, um vergessene Passwörter zurückzusetzen. Ich erinnere an Lotus Notes. Das verwendete keine Passwörter, sondern eine mit Passwort geschützte Schlüsseldatei. Und wer dieses Passwort vergaß, kam an diese Schlüsseldatei nicht mehr herein. Was passiert nun? Anwender vergisst Passwort, IT kann nicht helfen, IT ist unfähig. Was lernt IT? Ich lege mir ein Backup an, und zwar mit der Schlüsseldatei und dem passenden Kennwort. Das machten vor 20 Jahren alle IT-Abteilungen, die ein bisschen mehr Ahnung hatten. Das muss man jetzt noch sicher gestalten, damit nicht einfach ein einzelner IT-Admin einen anderen User nachmachen kann. IBM hat später ein sichereres Verfahren implementiert.

Was macht nun Microsoft? Die legen eine Kopie des Schlüssels an einen sicheren Ort, von dem sie ihn später wieder herstellen können, wenn der Benutzer versagt. Passiert nicht? Meine Güte, das passiert andauernd. Ich hatte selbst diesen Fall. Und zwar bei Apple. Dort mussten wir eine verschlüsselte Festplatte wiederherstellen, nachdem mein bester Freund verstorben war. Ohne einen solchen hinterlegten Schlüssel wäre das unmöglich gewesen.

Und warum hinterlegt Microsoft diesen Schlüssel zwangsweise? Weil der nichts wissende Anwender schlechte Ratschläge befolgt. Das hatten ich neulich erst, weil jemand den Rat bekommen hatte, alle Ortungsdienste abzuschalten. Nun funktionierte weder die Navigation noch die Markierung von Fotos mit dem Ort. Oh Wunder! Bei der Enterprise Version von Windows kann man diese Schlüsselhinterlegung abschalten. Dort gibt es ja auch eine IT, die ein bisschen mehr Ahnung hat.

Ich habe eine einfache Grundregel: du wirst alle Daten verlieren, die du heute verschlüsselst.

Comments

Danke, Volker. Ich habe mittlerweile eine relativ zynische Einstellung zu Privacy vs. Cloud Themen: Die wer-auch-immer kommen an was-auch-immer-sie-nicht-sollen, ohnehin ran. Verwende ich die Cloud Dienste nicht, versage ich mir lediglich den Komfort. Der Schaden ist längst passiert.

Dazu eine kleine Menge Common Sense und Best Practice *Bingo*, und es klappt. Also vernünftige Passwortverwaltung und keine hochriskanten Dienste (neu, no name, klein, IFTT). Das ist mein aktuelles Rezept.

Insbesondere der Teil mit den schlechten Ratschlägen dürfte auch fett geschrieben sein.

Hubert Stettner, 2015-12-30

Wo bleibt denn die Liebe zur Freiheit, zur Autonomie, zur Selbstverantwortung, zum Recht auf Fehler und zum selbstverschuldeten Verlust? Sollte diese Freiheit nicht bei den Menschen liegen? Sollten sie nicht das Recht haben, zu entscheiden, wem sie ihre Schlüssel anvertrauen? Microsofts Antwort auf das große Problem verlegter Schlüssel ist pragmatisch, günstig - aber auch anmaßend, paternalistisch und faul.

Zum Zynismus: Er ist (Quelle: Wikipedia) der „Ausdruck einer stummen, wissenden Indifferenz“. Sie folgt der Resignation und anderen „enttäuschenden Formen der Selbstbehauptung“.

Andreas Schmidt, 2015-12-30

Wenn ein Amerikaner sich mit heißem Kaffee verbrüht, dann ist das niemals selbstverschuldet.

Volker Weber, 2015-12-30

Das stimmt so nicht ganz. Der Schlüssel wird nicht zwangsweise hinterlegt. Es gibt vorher eine Abfrage, wo der Schlüssel hinterlegt werden soll. Die genauen Optionen habe ich gerade nicht im Kopf. Eine dieser Optionen ist auf jeden Fall 'auf einem anderen Datenträger'. Das kann auch ein USB-Stick sein. Da landet dann eine Datei in der u. a. sowas drin steht:
"
Bezeichner:

88888888-8888-8888-8888-888888888888

Falls der obige Bezeichner mit dem auf dem PC angezeigten Bezeichner übereinstimmt, sollten Sie den folgenden Schlüssel zum Entsperren des Laufwerks verwenden.

Wiederherstellungsschlüssel:

000000-000000-000000-000000-000000-000000-000000-000000
"
Das macht auch deswegen Sinn, weil man den Rechner ja auch mit einem lokalen Konto aufsetzen kann. Und dort gibt es gar keine Credentials für ein Online-Backup.

Richard Kaufmann, 2015-12-30

Es geht da nicht um bitlocker per se, sondern um die Geräteverschlüsselung aka device encryption. Wenn man so ein Gerät hat, z.B. ein Windows RT Tablet (soll's ja geben...), dann wird die Verschlüsselung automatisch aktiviert wenn man sich mit einem MS Account anmeldet. Die meisten wissen vermutlich nicht einmal das das passiert und würden die Festplatte von sich aus gar nicht verschlüsseln. Ich seh da keinen Sicherheitsverlust.

Wenn man von sich aus die Festplatte verschlüsselt, wird man sich auch (hoffentlich) Gedanken gemacht haben wie man die Daten wieder bekommt und wo man den Schlüssel aufbewahrt.

Max Nierbauer, 2015-12-31

Ja, wie Richard schon schreibt, und es geht sogar noch weiter. Als Optionen stehen online speichern, in Datei speichern und ausdrucken zur Verfügung. Und da im Dialogtext ausdrücklich empfohlen wird, "mehrere Wiederherstellungsschlüssel getrennt vom PC aufzubewahren", erscheint die Dialogbox automatisch mehrfach, bis man abbricht oder alle Optionen durchlaufen hat.

Haiko Hebig, 2015-12-31

Recent comments

Lukas Gerlich on Sharenting :: Growing up with parents oversharing at 09:02
Christian Tillmanns on Sharenting :: Growing up with parents oversharing at 08:35
Armin Grewe on Sharenting :: Growing up with parents oversharing at 01:01
Michael Baum on Aktuell meine Lieblingstastatur :: Ja, das ist mein voller Ernst at 23:52
Matthias Lorz on Sharenting :: Growing up with parents oversharing at 23:50
Tobias Falk on Sharenting :: Growing up with parents oversharing at 23:01
Frank Müller on Sharenting :: Growing up with parents oversharing at 21:56
Paul-Christian Ablaß on Fire TV Sticks spottbillig at 21:25
Sabine Weber on Sharenting :: Growing up with parents oversharing at 20:36
Harald Gärttner on Aktuell meine Lieblingstastatur :: Ja, das ist mein voller Ernst at 19:16
Ragnar Schierholz on Sharenting :: Growing up with parents oversharing at 13:48
Volker Weber on Aktuell meine Lieblingstastatur :: Ja, das ist mein voller Ernst at 13:03
Roland Dressler on Aktuell meine Lieblingstastatur :: Ja, das ist mein voller Ernst at 12:52
Kai Scharwacht on Sharenting :: Growing up with parents oversharing at 11:46
Volker Gronau on Sharenting :: Growing up with parents oversharing at 10:04
Lutz Hildebrandt on Sharenting :: Growing up with parents oversharing at 09:40
Kristof Doffing on Sharenting :: Growing up with parents oversharing at 08:53
Ragnar Schierholz on Sharenting :: Growing up with parents oversharing at 07:13
Dominique Roller on Aktuell meine Lieblingstastatur :: Ja, das ist mein voller Ernst at 22:50
Volker Weber on Aktuell meine Lieblingstastatur :: Ja, das ist mein voller Ernst at 22:29
Holger Wesser on Plantronics 6200 UC haben sich bewährt at 21:51
Peter Meuser on Plantronics 6200 UC haben sich bewährt at 21:49
Marklus Dierker on Aktuell meine Lieblingstastatur :: Ja, das ist mein voller Ernst at 21:19
Jens Wagner on Android Updates February 2019 at 21:08
Volker Weber on Fire TV Sticks spottbillig at 20:51

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 15:41

visitors.gif

buy me coffee

Paypal vowe