Microsofts disk-kryptering BitLocker bliver ofte fremhævet som en effektiv beskyttelse af data på Windows-computere. Men en nyligt offentliggjort amerikansk retssag viser, at krypteringen ikke nødvendigvis betyder, at brugeren har fuld kontrol over sine data.
I sagen, der omhandler omfattende svindel med pandemirelaterede arbejdsløshedsydelser, kunne FBI få adgang til beslaglagte Windows-laptops, fordi Microsoft udleverede BitLocker-gendannelsesnøgler. Ifølge flere medier er det første kendte tilfælde, hvor Microsoft offentligt dokumenteret har leveret BitLocker-nøgler til myndigheder.
Nøgler gemt i skyen som standard
BitLocker fungerer ved at kryptere indholdet af en harddisk, så data ikke kan læses uden den rette nøgle. Men når BitLocker aktiveres på en computer, der er logget ind med en Microsoft-konto, bliver gendannelsesnøglen typisk automatisk gemt på Microsofts servere.
De mest læste de sidste 24 timer
Microsoft forklarer selv i sin dokumentation, at dette er standardopsætningen for private brugere, netop for at gøre det muligt at gendanne adgangen til data, hvis brugeren mister adgang til sin enhed. På arbejds- og skolecomputere bliver nøglerne ofte administreret centralt af organisationens IT-afdeling.
Det er muligt at vælge selv at opbevare nøglen lokalt – eksempelvis på en USB-nøgle eller i en fil – men denne mulighed kræver et aktivt fravalg af Microsofts cloud-løsning.
Lovlige myndighedsanmodninger
Microsoft understreger, at virksomheden ikke deler sine egne krypteringsnøgler med myndigheder og ikke bryder kryptering. Men hvis virksomheden opbevarer kundens BitLocker-nøgle, kan den udlevere den som led i en lovlig myndighedsanmodning.
I virksomhedens seneste rapport om myndighedsanmodninger fremgår det, at Microsoft globalt modtog 128 anmodninger om kundedata i anden halvdel af 2024. Kun få af disse førte til udlevering af indhold, men BitLocker-sagen viser, at adgangen eksisterer, når Microsoft kontrollerer nøglerne.
Eksperter: Bevidst kompromis
Ifølge sikkerhedseksperter er der tale om et bevidst designvalg. Microsoft prioriterer i høj grad gendannelighed og driftssikkerhed – især for erhvervskunder, hvor tab af data kan have store konsekvenser.
Electronic Frontier Foundation peger på, at dette valg gør BitLocker mindre egnet til brugere med høje krav til privatliv og fortrolighed, såsom journalister, aktivister og advokater. Her er det afgørende ikke bare, at data er krypteret, men hvem der har nøglerne.
Kryptering er ikke ens for alle
Sagen sætter fokus på en ofte overset pointe i IT-sikkerhed: Kryptering er ikke et simpelt ja/nej-spørgsmål. To løsninger kan begge være “krypterede”, men have vidt forskellige tillidsmodeller.
For de fleste brugere vil BitLocker fortsat være et fornuftigt og effektivt sikkerhedsværktøj. Men for organisationer og personer med særlige privatlivsbehov er standardindstillingerne ikke nødvendigvis tilstrækkelige – og kræver et mere bevidst valg af, hvor krypteringsnøglerne opbevares.