Microsoft hat in einem Strafverfahren US-Ermittlern BitLocker-Wiederherstellungsschlüssel geliefert wie Golem unter Berufung auf Forbes berichtet – und damit sicherlich ungewollt ein anschauliches Beispiel dafür geliefert, warum kryptographische Kronjuwelen in der Cloud grundsätzlich ein Risiko sind. Der Fall fügt sich nahtlos ein in eine unterschiedliche Reihe von Vorfällen, in denen Microsofts Schlüsselmanagement und Kommunikationspolitik Zweifel daran aufkommen lassen, ob zentrale Cloud-Schlüssel mit den Sicherheitsansprüchen von Unternehmen und sensiblen Berufsgruppen vereinbar sind.
Bitlocker-Daten herausgegeben
Im Mittelpunkt steht ein Verfahren auf Guam: Das FBI beschlagnahmte mehrere Laptops, auf denen sich Beweise für eine mutmaßliche Veruntreuung von Covid-Arbeitslosenhilfen befinden sollten. Die Datenträger waren mit BitLocker verschlüsselt, jener Festplattenverschlüsselung, die auf vielen aktuellen Windows-Systemen automatisch aktiviert wird und die Inhalte der gesamten Festplatte schützt. Technisch gilt BitLocker als robust, der Schwachpunkt liegt – wie so oft – nicht im Algorithmus, sondern im Schlüsselmanagement: Microsoft empfiehlt Nutzern, den Wiederherstellungsschlüssel bequem im eigenen Microsoft-Konto zu hinterlegen, und viele Systeme tun dies weitgehend automatisch im Hintergrund. Genau diese Bequemlichkeit nutzte die Bundespolizei: Auf Grundlage eines Durchsuchungsbeschlusses forderte das FBI von Microsoft die in der Cloud gespeicherten Wiederherstellungsschlüssel an, die der Konzern schließlich bereitstellte. Ein Unternehmenssprecher räumte gegenüber Forbes ein, man erhalte rund zwanzig derartige Anfragen pro Jahr und bediene sie, soweit Schlüssel in der Cloud vorhanden sind, bei Vorlage einer „valid legal order“.
In Cloud gespeicherte Schlüssel
Aus Sicht klassischer IT-Sicherheit ist dies eine architektonische Grundsatzentscheidung: Microsoft gestaltet BitLocker so, dass der Anbieter selbst jedenfalls in Konstellationen, in denen der Nutzer dem Vorschlag zur Cloud-Sicherung folgt, Zugriff auf die erforderlichen Wiederherstellungsschlüssel behält.
Andere Anbieter, etwa Apple mit FileVault oder WhatsApp bei der verschlüsselten Cloud-Backupsicherung, haben in den vergangenen Jahren bewusst Modelle gewählt, bei denen der Provider die entscheidende Entschlüsselungskomponente gerade nicht selbst im Klartext vorhält, sondern nur in Form zusätzlicher, vom Nutzer kontrollierter Geheimnisse oder lokaler Hardware-Token. Hier kann kritisiert werden, dass Microsoft an der Stelle keine technische Notwendigkeit, sondern eine Komfortpriorisierung zu Lasten der Privatsphäre gewählt hat: Wer Zugriff auf Schlüssel hat, wird von Behörden auch irgendwann um Herausgabe gebeten.
Allerdings zeigt sich dabei auch, dass es sich um ein generelles Problem handelt. Die Sicherheitslücke ist die mangelnde Entscheidungskompetenz derjenigen die so etwas nutzen – und die Möglichkeit eigene Schlüssel in einer Cloud zu speichern sehen halt auch andere vor.
Ein Vorgang zum Wachrütteln
Die BitLocker-Causa fällt in eine Zeit, in der Microsofts Umgang mit hochkritischen Cloud-Schlüsseln ohnehin unter Beobachtung steht. 2023 wurde bekannt, dass Angreifer einen Signaturschlüssel – oft als „Cloud-Master-Key“ bezeichnet – erbeutet haben sollen, mit dem sich Zugriffstokens für verschiedenste Microsoft-Cloud-Dienste erzeugen ließen. Berichte legten nahe, dass mit diesem Schlüssel prinzipiell der Zugang zu nahezu allen relevanten Cloud-Angeboten möglich war und dass die Angreifer über längere Zeit E-Mail-Kommunikation von Regierungsstellen und Unternehmen auslesen konnten.
Brisant war nicht nur der Vorfall selbst, sondern die Art, wie der Konzern kommunizierte: Wichtige technische Details blieben vage, konkrete Handlungsanleitungen zur forensischen Überprüfung potenziell betroffener Mandantenumgebungen fehlten, während Fachmedien mit detaillierten Fragen zu Reichweite, Detektionsmöglichkeiten und Zukunftsvorkehrungen weitgehend auflaufen gelassen wurden.
Nach späteren Analysen stammte der fragliche Schlüssel mutmaßlich aus einem Crash-Dump einer eigentlich hochisolierten Produktionsumgebung – eine Verkettung von Fehlern, die genau zeigt, wie selbst in gehärteten Infrastrukturen zentrale Schlüssel in falsche Kontexte und letztlich in falsche Hände geraten können.
Beide Vorgänge – die Herausgabe von BitLocker-Schlüsseln an das FBI und der Verlust eines Master- bzw. Signaturschlüssels – verdeutlichen die systemische Verwundbarkeit zentralisierter Cloud-Schlüssel. Eine zentrale Schlüsselinfrastruktur beim Anbieter schafft nicht nur einen rechtlichen, sondern auch einen technischen Single Point of Failure: Entweder der Staat greift über gerichtliche Anordnungen auf den Provider zu, oder Angreifer verschaffen sich über Sicherheitslücken, Fehlkonfigurationen oder menschliche Fehler Zugang zu einem Schlüsselmaterial, das „by design“ Zugriff auf eine Vielzahl von Kundendaten eröffnet.
Dabei spielt es für die praktische Gefährdung nur eine untergeordnete Rolle, ob der Schlüssel im konkreten Fall eine Festplatte entschlüsselt oder Zugriffstokens für die Cloud signiert – entscheidend ist das Prinzip, dass der Anbieter überhaupt über derartige Schlüssel verfügt und sie technisch einsetzen kann.
Und deutsche Ermittler?
Für deutsche Ermittlungsbehörden ist die Situation komplexer, aber im Kern ähnlich gelagert: Wo ein Anbieter wie Microsoft Schlüssel oder Daten kontrolliert und in einer Jurisdiktion sitzt, in der Herausgabepflichten greifen, werden Strafverfolger versuchen, diesen Hebel zu nutzen – sei es unmittelbar im Inland, sei es über internationale Rechtshilfe.
Die deutsche Strafprozessordnung sieht für den Zugriff auf Kommunikations- und Telemediendaten ein fein granuliertes System an Anordnungsbefugnissen vor, von einfachen Auskünften über Bestands- und Nutzungsdaten bis hin zu Überwachungsmaßnahmen nach § 100a StPO, ergänzt um das europäische Instrumentarium der grenzüberschreitenden Herausgabe elektronischer Beweismittel. Allerdings stoßen nationale Ermittler bei zugangsgeschützten Cloud-Daten im Ausland an Grenzen: Nach noch (!) verbreiteter Auffassung erlaubt etwa § 110 Abs. 3 StPO ohne Mitwirkung des Betroffenen keinen direkten „Online-Zugriff“ in fremde Cloud-Umgebungen, solange diese physisch im Ausland liegen; allerdings zeigt jüngere Rechtsprechung, dass diese Auffassung bröckelt auch wenn es hier regelmäßig der Kooperation des dort ansässigen Providers oder der formellen internationalen Rechtshilfe bedarf. Letzten Endes jedenfalls ist deutschen Ermittlern ein solcher Zugriff aber strafprozessual nicht verboten.
In der Praxis führt die Existenz von beim Provider liegenden Schlüsseln aber dazu, dass deutsche Behörden – ähnlich wie das FBI – weniger auf technisch aufwendige Maßnahmen wie Quellen-TKÜ oder Online-Durchsuchung angewiesen sind, sondern klassisch auf Herausgabeersuchen an Provider setzen können, sofern rechtlich ein Zugang eröffnet ist.
Für Unternehmen, Anwaltskanzleien und andere sensible Berufsgruppen ergibt sich daraus eine klare Lehre: weniger der Verschlüsselungsalgorithmus selbst ist die Schwachstelle, sondern die Entscheidung, kritische Schlüssel in einer Infrastruktur zu speichern, in der andere Akteure – Provider, Ermittlungsbehörden, gegebenenfalls ausländische Geheimdienste oder erfolgreiche Angreifer – faktisch Zugriff erlangen können. Lokale Schlüsselverwaltung, etwa über Hardware-Token, dedizierte Schlüsselträger oder offline hinterlegte Wiederherstellungscodes, ist unbequemer, reduziert aber die Angriffsfläche und verschiebt die Kontrolle zurück dahin, wo sie hingehört: zum Nutzer bzw. zum Verantwortlichen für die Daten.
Der Preis für den Komfort, vergessene Passwörter mit einem Klick über die Cloud zurückzusetzen, besteht in einem strukturellen Kontrollverlust, der sich weder durch Datenschutzrichtlinien noch durch wohlklingende Sicherheitsversprechen kompensieren lässt – und der im Zweifel erst sichtbar wird, wenn die nächste Anordnung eines Ermittlungsrichters oder der nächste gestohlene Master-Key die Schlagzeilen füllt.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Urheberrecht an KI-generierten Logos? - 14. Februar 2026
- Ransomware: Lösegeld an die Erpresser bezahlen? - 13. Februar 2026
- NPSG: Lachgas und GBL zukünftig erfasst (2026) - 13. Februar 2026
