Schlüsselkind

by Volker Weber

ZZ547A17A8

Gerade wird wieder einmal die Microsoft-Sau durch den Ort getrieben. Um was geht es? Der erdreisten sich die Redmonder doch tatsächlich, den BitLocker-Schlüssel auf OneDrive hoch zu laden. Das machen die doch bestimmt, um den Anwender zu überwachen. Und überhaupt, die NSA.

Ruhig, Brauner! Wer so ein bisschen mehr Ahnung von IT hat, dem fällt noch was besseres ein. Wenn man ein Passwort einführt, dann braucht man sofort auch einen Prozess, um vergessene Passwörter zurückzusetzen. Ich erinnere an Lotus Notes. Das verwendete keine Passwörter, sondern eine mit Passwort geschützte Schlüsseldatei. Und wer dieses Passwort vergaß, kam an diese Schlüsseldatei nicht mehr herein. Was passiert nun? Anwender vergisst Passwort, IT kann nicht helfen, IT ist unfähig. Was lernt IT? Ich lege mir ein Backup an, und zwar mit der Schlüsseldatei und dem passenden Kennwort. Das machten vor 20 Jahren alle IT-Abteilungen, die ein bisschen mehr Ahnung hatten. Das muss man jetzt noch sicher gestalten, damit nicht einfach ein einzelner IT-Admin einen anderen User nachmachen kann. IBM hat später ein sichereres Verfahren implementiert.

Was macht nun Microsoft? Die legen eine Kopie des Schlüssels an einen sicheren Ort, von dem sie ihn später wieder herstellen können, wenn der Benutzer versagt. Passiert nicht? Meine Güte, das passiert andauernd. Ich hatte selbst diesen Fall. Und zwar bei Apple. Dort mussten wir eine verschlüsselte Festplatte wiederherstellen, nachdem mein bester Freund verstorben war. Ohne einen solchen hinterlegten Schlüssel wäre das unmöglich gewesen.

Und warum hinterlegt Microsoft diesen Schlüssel zwangsweise? Weil der nichts wissende Anwender schlechte Ratschläge befolgt. Das hatten ich neulich erst, weil jemand den Rat bekommen hatte, alle Ortungsdienste abzuschalten. Nun funktionierte weder die Navigation noch die Markierung von Fotos mit dem Ort. Oh Wunder! Bei der Enterprise Version von Windows kann man diese Schlüsselhinterlegung abschalten. Dort gibt es ja auch eine IT, die ein bisschen mehr Ahnung hat.

Ich habe eine einfache Grundregel: du wirst alle Daten verlieren, die du heute verschlüsselst.

Comments

Danke, Volker. Ich habe mittlerweile eine relativ zynische Einstellung zu Privacy vs. Cloud Themen: Die wer-auch-immer kommen an was-auch-immer-sie-nicht-sollen, ohnehin ran. Verwende ich die Cloud Dienste nicht, versage ich mir lediglich den Komfort. Der Schaden ist längst passiert.

Dazu eine kleine Menge Common Sense und Best Practice *Bingo*, und es klappt. Also vernünftige Passwortverwaltung und keine hochriskanten Dienste (neu, no name, klein, IFTT). Das ist mein aktuelles Rezept.

Insbesondere der Teil mit den schlechten Ratschlägen dürfte auch fett geschrieben sein.

Hubert Stettner, 2015-12-30 13:37

Wo bleibt denn die Liebe zur Freiheit, zur Autonomie, zur Selbstverantwortung, zum Recht auf Fehler und zum selbstverschuldeten Verlust? Sollte diese Freiheit nicht bei den Menschen liegen? Sollten sie nicht das Recht haben, zu entscheiden, wem sie ihre Schlüssel anvertrauen? Microsofts Antwort auf das große Problem verlegter Schlüssel ist pragmatisch, günstig - aber auch anmaßend, paternalistisch und faul.

Zum Zynismus: Er ist (Quelle: Wikipedia) der „Ausdruck einer stummen, wissenden Indifferenz“. Sie folgt der Resignation und anderen „enttäuschenden Formen der Selbstbehauptung“.

Andreas Schmidt, 2015-12-30 16:42

Wenn ein Amerikaner sich mit heißem Kaffee verbrüht, dann ist das niemals selbstverschuldet.

Volker Weber, 2015-12-30 16:46

Das stimmt so nicht ganz. Der Schlüssel wird nicht zwangsweise hinterlegt. Es gibt vorher eine Abfrage, wo der Schlüssel hinterlegt werden soll. Die genauen Optionen habe ich gerade nicht im Kopf. Eine dieser Optionen ist auf jeden Fall 'auf einem anderen Datenträger'. Das kann auch ein USB-Stick sein. Da landet dann eine Datei in der u. a. sowas drin steht:
"
Bezeichner:

88888888-8888-8888-8888-888888888888

Falls der obige Bezeichner mit dem auf dem PC angezeigten Bezeichner übereinstimmt, sollten Sie den folgenden Schlüssel zum Entsperren des Laufwerks verwenden.

Wiederherstellungsschlüssel:

000000-000000-000000-000000-000000-000000-000000-000000
"
Das macht auch deswegen Sinn, weil man den Rechner ja auch mit einem lokalen Konto aufsetzen kann. Und dort gibt es gar keine Credentials für ein Online-Backup.

Richard Kaufmann, 2015-12-30 22:25

Es geht da nicht um bitlocker per se, sondern um die Geräteverschlüsselung aka device encryption. Wenn man so ein Gerät hat, z.B. ein Windows RT Tablet (soll's ja geben...), dann wird die Verschlüsselung automatisch aktiviert wenn man sich mit einem MS Account anmeldet. Die meisten wissen vermutlich nicht einmal das das passiert und würden die Festplatte von sich aus gar nicht verschlüsseln. Ich seh da keinen Sicherheitsverlust.

Wenn man von sich aus die Festplatte verschlüsselt, wird man sich auch (hoffentlich) Gedanken gemacht haben wie man die Daten wieder bekommt und wo man den Schlüssel aufbewahrt.

Max Nierbauer, 2015-12-31 00:03

Ja, wie Richard schon schreibt, und es geht sogar noch weiter. Als Optionen stehen online speichern, in Datei speichern und ausdrucken zur Verfügung. Und da im Dialogtext ausdrücklich empfohlen wird, "mehrere Wiederherstellungsschlüssel getrennt vom PC aufzubewahren", erscheint die Dialogbox automatisch mehrfach, bis man abbricht oder alle Optionen durchlaufen hat.

Haiko Hebig, 2015-12-31 16:09

Recent comments

Tobias Hauser on Pi-hole on Raspberry Pi at 17:38
Volker Weber on Pi-hole on Raspberry Pi at 16:36
Patric Stiffel on Pi-hole on Raspberry Pi at 15:52
Volker Weber on Pi-hole on Raspberry Pi at 15:33
Volker Weber on Coming up :: Nokia 7 Plus at 15:32
Jochen Kattoll on Coming up :: Nokia 7 Plus at 15:01
Clemens Müller on Pi-hole on Raspberry Pi at 14:20
Michael Spreitzenbarth on Pi-hole on Raspberry Pi at 13:41
Volker Weber on Pi-hole on Raspberry Pi at 13:19
Jochen Schug on Pi-hole on Raspberry Pi at 12:30
Peter Muchmann on Alexa und die Oma at 16:27
Volker Weber on Coming up :: Nokia 7 Plus at 13:43
Volker Weber on Will a firmware update make an Onkyo receiver a Sonos player? at 13:40
Daniel Jäger on Will a firmware update make an Onkyo receiver a Sonos player? at 12:43
Felix Kluge on Coming up :: Nokia 7 Plus at 12:21
Stefan Beermann on Alexa und die Oma at 07:49
Daniel Pape on Alexa und die Oma at 23:05
Armin Roth on Will a firmware update make an Onkyo receiver a Sonos player? at 22:58
Jochen Kattoll on Alexa und die Oma at 21:29
Volker Weber on Alexa und die Oma at 18:08
Christian Just on Alexa und die Oma at 17:36
Oliver Regelmann on Alexa und die Oma at 16:57
Thomas Langel on Echo Spot oder Echo Show? at 13:15
Peter Meuser on Alexa und die Oma at 13:10
Joachim Bode on Coming up :: Nokia 7 Plus at 12:55

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter amazon

Local time is 19:15

visitors.gif

buy me coffee