Bitlocker gesperrt, was nun?
Fast jeder von uns hat schon einmal die Erfahrung gemacht, dass ein Laptop verloren geht oder sogar gestohlen wird. In solchen Momenten wird einem bewusst, wie wertvoll die darauf gespeicherten Daten sind. Den obligatorischen Vortrag über die Relevanz von regelmäßigen Backups lassen wir heute „aus Gründen“ mal außen vor. Um sicherzustellen, dass Informationen auf dem Gerät nicht in falsche Hände geraten, setzen viele auf Verschlüsselungstechnologien wie Microsofts BitLocker. Aber was, wenn die Verschlüsselung selbst zum Problem wird? Genau das geschah in einem Fall, der Zugang zu einem mit BitLocker verschlüsselten PC plötzlich und unerwartet versperrt war. In diesem Beitrag beleuchten wir, was genau passiert ist und wie das Problem schließlich gelöst werden konnte.
Die Ausgangssituation
In den letzten Jahren hat die Verschlüsselung von Festplatten zunehmend auch im privaten Umfeld an Bedeutung gewonnen. Während diese Technologie früher vor allem in Unternehmen zum Schutz sensibler Geschäftsdaten eingesetzt wurde, greifen mittlerweile auch viele private Nutzer auf Lösungen wie Microsofts BitLocker zurück. BitLocker ist tief in das Windows-Betriebssystem integriert und bietet eine einfache Möglichkeit, persönliche Daten vor unbefugtem Zugriff zu schützen.
Häufig aktivieren Anwender BitLocker, ohne sich der genauen Funktionsweise oder den damit verbundenen Risiken bewusst zu sein. Ein wichtiger Bestandteil der BitLocker-Verschlüsselung ist der Wiederherstellungsschlüssel, der eine Art Notfallzugang darstellt, wenn das reguläre Passwort nicht funktioniert. Dieser Schlüssel wird bei der Aktivierung von BitLocker generiert und sollte sicher aufbewahrt werden.
Jedoch sind sich viele Nutzer, besonders im privaten Umfeld, dieser Tatsache nicht bewusst und ignorieren die Aufforderung, den Wiederherstellungsschlüssel zu sichern. Stattdessen verlassen sie sich darauf, dass ihr Passwort ausreicht, um dauerhaft Zugang zu ihren Daten zu behalten. Solange alles funktioniert, scheint dies auch kein Problem zu sein. Doch was passiert, wenn eine unerwartete Änderung am System auftritt, die dazu führt, dass BitLocker den Wiederherstellungsschlüssel anfordert?
In genau einer solchen Situation fand sich der Nutzer in diesem Fall wieder: Ein bis dahin problemlos verwendeter PC wurde plötzlich unzugänglich, weil BitLocker den Recovery Key verlangte, der nicht zur Hand war.
Das Problem: Ein unerwartetes BIOS-/Firmware-Update
Im Zuge eines regulären Windows-Updates wurde ein Firmware- bzw. BIOS-Update eingespielt. Solche Firmware-Updates werden zunehmend automatisch mit Windows-Updates ausgeliefert, oft ohne dass der Nutzer davon explizit in Kenntnis gesetzt wird. Genau das war in diesem Fall geschehen: Der Nutzer wusste nicht, dass ein BIOS-Update durchgeführt wurde, welches tiefgreifende Änderungen am System vornahm.
Dieses Update tauschte die UEFI Secure Boot Certificate Authorities (CAs) aus. Diese Änderung führte dazu, dass BitLocker beim nächsten Start des PCs plötzlich den Wiederherstellungsschlüssel verlangte. Da der Nutzer diesen Schlüssel nicht zur Hand hatte, war das Gerät unbrauchbar, und es entstand erheblicher Stress, da der Zugriff auf die gespeicherten Daten blockiert war. Für den Nutzer war es besonders frustrierend, weil er nicht einmal wusste, dass das Update stattgefunden hatte und warum BitLocker plötzlich nach dem Recovery Key fragte.
Ursachenforschung
Nachdem das Problem aufgetreten war und der PC durch BitLocker gesperrt wurde, war für uns die Situation zunächst unklar. Weder das reguläre Passwort noch andere einfache Methoden ermöglichten den Zugang zum System. Aufgrund unserer Vorkenntnisse und der aktuellen Diskussionen rund um Secure Boot und Firmware-Updates – insbesondere durch die aufschlussreichen Artikel bei Heise – wurden wir schnell auf eine mögliche Ursache aufmerksam.
Der erste Schritt bestand darin, die BIOS-Version und das Veröffentlichungsdatum zu überprüfen. Da moderne Systeme regelmäßig und oft automatisch Firmware-Updates erhalten, die ohne das Wissen des Nutzers eingespielt werden, lag der Verdacht nahe, dass das Problem hier seinen Ursprung hatte. Durch einen Blick ins BIOS und die Dokumentation des Herstellers stellte sich heraus, dass tatsächlich ein Update durchgeführt worden war, welches die UEFI Secure Boot CAs verändert hatte.
Allerdings dokumentierte der Hersteller – in diesem Fall HP – die besagten Änderungen an den Zertifikaten nicht in den Release Notes des Updates. Das bedeutete für uns, dass wir bis zum letzten Augenblick nicht sicher waren, ob dieser Weg funktionieren würde. Diese fehlende Transparenz erschwerte die Ursachenforschung erheblich, da wir keine klare Bestätigung hatten, dass das BIOS-Update tatsächlich die Ursache des Problems war.
Technischer Hintergrund:
Secure Boot, TPM und die Rolle von Passwort und Recovery Key
Secure Boot ist ein wesentlicher Bestandteil der UEFI-Spezifikation und soll sicherstellen, dass beim Start eines Computers nur von vertrauenswürdiger Software gebootet wird. Die Secure Boot CAs (Certificate Authorities) sind dabei entscheidend, da sie festlegen, welche Bootloader und Kernel als vertrauenswürdig gelten. Ein Update dieser CAs kann dazu führen, dass zuvor vertrauenswürdige Software plötzlich als unsicher eingestuft wird, was im Fall dieses PCs die BitLocker-Sperre ausgelöst hat.
BitLocker verwendet das Trusted Platform Module (TPM), einen speziellen Hardware-Chip, um den Verschlüsselungsschlüssel sicher zu speichern und den Zugriff darauf zu kontrollieren. Das TPM überprüft bei jedem Systemstart die Integrität der Systemkonfiguration, einschließlich des Bootloaders und anderer kritischer Komponenten, die durch Secure Boot geschützt sind.
Das BitLocker-Passwort dient dabei als eine bequeme Methode, um den Zugang zu dem vom TPM gespeicherten Schlüssel zu ermöglichen. Es verhindert, dass der Benutzer bei jedem Start den langen und komplexen Wiederherstellungsschlüssel eingeben muss. Das Passwort selbst entschlüsselt nicht direkt die Daten auf der Festplatte, sondern ermöglicht es dem TPM, den BitLocker-Schlüssel freizugeben, sofern keine sicherheitsrelevanten Änderungen am System festgestellt wurden.
Wenn der TPM-Chip jedoch eine Änderung an der Systemkonfiguration erkennt – beispielsweise durch ein BIOS-Update, das die Secure Boot CAs verändert – wird der BitLocker-Schlüssel vom TPM nicht freigegeben. In solchen Fällen fordert BitLocker den Recovery Key an, der bei der Aktivierung von BitLocker generiert und für Notfälle vorgesehen ist. Der Recovery Key ermöglicht den Zugang zu den verschlüsselten Daten, selbst wenn das Passwort aufgrund von Systemänderungen nicht mehr funktioniert.
In dem beschriebenen Fall führte die Veränderung der Secure Boot CAs durch das BIOS-Update dazu, dass der TPM-Chip den BitLocker-Schlüssel nicht freigab, weil er die neue Konfiguration als potenziell unsicher erkannte. Da der Nutzer den Recovery Key nicht zur Hand hatte, blieb ihm der Zugriff auf das System verwehrt.
Die Lösung: BIOS-Downgrade und modernes BIOS-Management
Nach der Ursachenanalyse vermuteten wir, dass ein Downgrade auf die vorherige BIOS-Version notwendig war, um die alte UEFI Secure Boot Konfiguration wiederherzustellen und den regulären Zugang über das BitLocker-Passwort zu ermöglichen.
Da das BIOS-Downgrade nicht direkt über das betroffene System durchgeführt werden konnte – das Betriebssystem hat ja das booten verweigert, wurde das benötigte BIOS-Image manuell auf einem anderen PC heruntergeladen und auf einen USB-Stick übertragen. Moderne Notebooks wie dieses von HP sind oft mit BIOS-Management-Systemen ausgestattet, die es ermöglichen, Firmware-Updates und -Downgrades direkt über das BIOS selbst durchzuführen, ohne dass Windows gestartet werden muss.
Der USB-Stick wurde verwendet, um der Onboard Software das BIOS-Image bereitzustellen, und das Downgrade konnte dann erfolgreich über das integrierte BIOS-Management-Tool des Geräts durchgeführt werden. Nachdem das Downgrade abgeschlossen war, funktionierte das BitLocker-Passwort wieder wie gewohnt, und der Zugriff auf das System war wieder möglich. Im Anschluss wurde der Recovery Key gesichert, um nicht direkt erneut in das selbe Problem zu laufen. Danach konnte das BIOS-Update erneut eingespielt werden, diesmal jedoch mit dem Wissen, das für die folgende Sperre durch BitLocker der notwendige Schlüssel vorhanden ist.
Fazit
Dieser Fall zeigt deutlich, wie wichtig es ist, bei der Verwaltung von verschlüsselten Systemen stets auf dem neuesten Stand zu sein, was Sicherheits-Backups wie den BitLocker Recovery Key angeht. Ein unerwartetes Firmware-Update kann gravierende Auswirkungen auf die Zugänglichkeit des Systems haben, insbesondere wenn sicherheitsrelevante Komponenten wie die UEFI Secure Boot CAs betroffen sind. Die wichtigste Lehre aus diesem Vorfall: Sicherungskopien von Wiederherstellungsschlüsseln sollten immer griffbereit sein, um im Fall von Updates und Änderungen am System schnell reagieren zu können, ansonsten sind im Zweifel die Früchte von mehreren Monaten Arbeit einfach weg. Und jetzt wäre natürlich der richtige Zeitpunkt für diesen Vortrag über regelmäßige Backups…