Schlüsselkind

by Volker Weber

ZZ547A17A8

Gerade wird wieder einmal die Microsoft-Sau durch den Ort getrieben. Um was geht es? Der erdreisten sich die Redmonder doch tatsächlich, den BitLocker-Schlüssel auf OneDrive hoch zu laden. Das machen die doch bestimmt, um den Anwender zu überwachen. Und überhaupt, die NSA.

Ruhig, Brauner! Wer so ein bisschen mehr Ahnung von IT hat, dem fällt noch was besseres ein. Wenn man ein Passwort einführt, dann braucht man sofort auch einen Prozess, um vergessene Passwörter zurückzusetzen. Ich erinnere an Lotus Notes. Das verwendete keine Passwörter, sondern eine mit Passwort geschützte Schlüsseldatei. Und wer dieses Passwort vergaß, kam an diese Schlüsseldatei nicht mehr herein. Was passiert nun? Anwender vergisst Passwort, IT kann nicht helfen, IT ist unfähig. Was lernt IT? Ich lege mir ein Backup an, und zwar mit der Schlüsseldatei und dem passenden Kennwort. Das machten vor 20 Jahren alle IT-Abteilungen, die ein bisschen mehr Ahnung hatten. Das muss man jetzt noch sicher gestalten, damit nicht einfach ein einzelner IT-Admin einen anderen User nachmachen kann. IBM hat später ein sichereres Verfahren implementiert.

Was macht nun Microsoft? Die legen eine Kopie des Schlüssels an einen sicheren Ort, von dem sie ihn später wieder herstellen können, wenn der Benutzer versagt. Passiert nicht? Meine Güte, das passiert andauernd. Ich hatte selbst diesen Fall. Und zwar bei Apple. Dort mussten wir eine verschlüsselte Festplatte wiederherstellen, nachdem mein bester Freund verstorben war. Ohne einen solchen hinterlegten Schlüssel wäre das unmöglich gewesen.

Und warum hinterlegt Microsoft diesen Schlüssel zwangsweise? Weil der nichts wissende Anwender schlechte Ratschläge befolgt. Das hatten ich neulich erst, weil jemand den Rat bekommen hatte, alle Ortungsdienste abzuschalten. Nun funktionierte weder die Navigation noch die Markierung von Fotos mit dem Ort. Oh Wunder! Bei der Enterprise Version von Windows kann man diese Schlüsselhinterlegung abschalten. Dort gibt es ja auch eine IT, die ein bisschen mehr Ahnung hat.

Ich habe eine einfache Grundregel: du wirst alle Daten verlieren, die du heute verschlüsselst.

Comments

Danke, Volker. Ich habe mittlerweile eine relativ zynische Einstellung zu Privacy vs. Cloud Themen: Die wer-auch-immer kommen an was-auch-immer-sie-nicht-sollen, ohnehin ran. Verwende ich die Cloud Dienste nicht, versage ich mir lediglich den Komfort. Der Schaden ist längst passiert.

Dazu eine kleine Menge Common Sense und Best Practice *Bingo*, und es klappt. Also vernünftige Passwortverwaltung und keine hochriskanten Dienste (neu, no name, klein, IFTT). Das ist mein aktuelles Rezept.

Insbesondere der Teil mit den schlechten Ratschlägen dürfte auch fett geschrieben sein.

Hubert Stettner, 2015-12-30 13:37

Wo bleibt denn die Liebe zur Freiheit, zur Autonomie, zur Selbstverantwortung, zum Recht auf Fehler und zum selbstverschuldeten Verlust? Sollte diese Freiheit nicht bei den Menschen liegen? Sollten sie nicht das Recht haben, zu entscheiden, wem sie ihre Schlüssel anvertrauen? Microsofts Antwort auf das große Problem verlegter Schlüssel ist pragmatisch, günstig - aber auch anmaßend, paternalistisch und faul.

Zum Zynismus: Er ist (Quelle: Wikipedia) der „Ausdruck einer stummen, wissenden Indifferenz“. Sie folgt der Resignation und anderen „enttäuschenden Formen der Selbstbehauptung“.

Andreas Schmidt, 2015-12-30 16:42

Wenn ein Amerikaner sich mit heißem Kaffee verbrüht, dann ist das niemals selbstverschuldet.

Volker Weber, 2015-12-30 16:46

Das stimmt so nicht ganz. Der Schlüssel wird nicht zwangsweise hinterlegt. Es gibt vorher eine Abfrage, wo der Schlüssel hinterlegt werden soll. Die genauen Optionen habe ich gerade nicht im Kopf. Eine dieser Optionen ist auf jeden Fall 'auf einem anderen Datenträger'. Das kann auch ein USB-Stick sein. Da landet dann eine Datei in der u. a. sowas drin steht:
"
Bezeichner:

88888888-8888-8888-8888-888888888888

Falls der obige Bezeichner mit dem auf dem PC angezeigten Bezeichner übereinstimmt, sollten Sie den folgenden Schlüssel zum Entsperren des Laufwerks verwenden.

Wiederherstellungsschlüssel:

000000-000000-000000-000000-000000-000000-000000-000000
"
Das macht auch deswegen Sinn, weil man den Rechner ja auch mit einem lokalen Konto aufsetzen kann. Und dort gibt es gar keine Credentials für ein Online-Backup.

Richard Kaufmann, 2015-12-30 22:25

Es geht da nicht um bitlocker per se, sondern um die Geräteverschlüsselung aka device encryption. Wenn man so ein Gerät hat, z.B. ein Windows RT Tablet (soll's ja geben...), dann wird die Verschlüsselung automatisch aktiviert wenn man sich mit einem MS Account anmeldet. Die meisten wissen vermutlich nicht einmal das das passiert und würden die Festplatte von sich aus gar nicht verschlüsseln. Ich seh da keinen Sicherheitsverlust.

Wenn man von sich aus die Festplatte verschlüsselt, wird man sich auch (hoffentlich) Gedanken gemacht haben wie man die Daten wieder bekommt und wo man den Schlüssel aufbewahrt.

Max Nierbauer, 2015-12-31 00:03

Ja, wie Richard schon schreibt, und es geht sogar noch weiter. Als Optionen stehen online speichern, in Datei speichern und ausdrucken zur Verfügung. Und da im Dialogtext ausdrücklich empfohlen wird, "mehrere Wiederherstellungsschlüssel getrennt vom PC aufzubewahren", erscheint die Dialogbox automatisch mehrfach, bis man abbricht oder alle Optionen durchlaufen hat.

Haiko Hebig, 2015-12-31 16:09

Recent comments

Sven Bühler on Ferrari Evolution at 23:53
Abdelkader Boui on Concept Zero :: Echo Dot auf Steckdose montieren at 18:37
Volker Weber on udoq :: Das Ding des Jahres at 17:17
Volker Weber on Concept Zero :: Echo Dot auf Steckdose montieren at 16:04
Dirk Stelloh on Concept Zero :: Echo Dot auf Steckdose montieren at 15:59
Markus Philippi on udoq :: Das Ding des Jahres at 21:47
Armin Grewe on Major Apple Crisis at 20:25
Jens Nullmeyer on udoq :: Das Ding des Jahres at 20:24
Vitor Pereira on Attending IBM think 2018 at 19:27
Gabriella Davis on Attending IBM think 2018 at 15:15
Volker Weber on Attending IBM think 2018 at 14:00
Manfred Wiktorin on Attending IBM think 2018 at 13:59
Mick Moignard on Attending IBM think 2018 at 11:56
Volker Weber on udoq :: Das Ding des Jahres at 11:39
Ingo Spichal on udoq :: Das Ding des Jahres at 11:30
Karl Heindel on init - der Wochenausblick: Azure und Maffay, ganz nah beieinander at 10:30
Ralph Hammann on Major Apple Crisis at 10:17
Maik Endler on Wenig spannend at 09:03
Stephan Bohr on Philips Hue Aktion :: Bis zu 50 € zurück at 17:18
Volker Weber on Major Apple Crisis at 17:26
Heiko Wolf on Major Apple Crisis at 17:22
Chris frei on Your favorite messenger at 15:27
Bernd Hofmann on Major Apple Crisis at 10:09
Patrick Bohr on Your favorite messenger at 09:44
Volker Weber on Major Apple Crisis at 06:03

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter

Local time is 02:05

visitors.gif