Ich hatte vor einiger Zeit eine Anfrage betreffend Datenwiederheerstellung. Eine Person hatte ohne Grund ihre kompletten Dateien zur besuchten Weiterbildung verloren. Unter anderem eine noch nicht abgegbene Arbeit. Ich hatte schon einige Erfahrung mit dem Wiederherstellen von gelöschten Dateien. Also erklärte ich mich bereit, den Laptop zu überprüfen.
Standardablauf
Das normale Verfahren bisher war, den Komputer in ein Linux Live-System zu booten und dort mit PhotoRec nach den Dateien zu suchen. PhotoRec hat sich schon mehrfach bewährt, auch wenn Dateinamen und sonstige Dateiattribute verloren gehen.
nach dem erfolgreichen Durchlaufen kann man die gefundenen Dateien anhand von Typ und Grösse vorsortieren, bevor man von Hand die gesuchten Dateien von Hand herausfiltert.
Das Problem
Sobald ich die Windowspartition mounten wollte, bekam ich eine Fehlermeldung, dass dies nicht möglich sei. Grund ist, dass die Partition mit Bitlocker verschlüsselt ist. Auf Nachfragen gab die Person an, dass sie Bitlocker nie selbstständig aktiviert hat und auch nie einen entsprechenden Warnhinweis bekommen hat.
Daher hatte sie den Wiederherstellungscodes nicht gesichert, somit bestand kein direkter Weg die Partition im Linux zu mounten.
Liest man die Supportseite von Microsoft, so kann man den Recovery-Key aus dem Microsoft Account herauslesen oder über den Domainadministrator anfragen
Da das Gerät mit einem persönlichen Microsoft Account versehen war, fiel der Domainadministrator weg. Beim persönlichen Microsoft Account besteht das Problem dass die Person das Passwort verloren hat und die zugehörige Mail-Addresse nicht mehr aktiv ist. Dies führt dazu, dass sie sich nicht mehr einloggen kann. Somit scheidet auch dieser Weg aus.
Nach einigem googlen kam noch ein weiterer Weg hervor, welcher auf der Supportseite nicht direkt erklärt wurde. In der Systemsteuerung kann man einen Export des Keys veranlassen. Dazu muss nur ein externer Datenträger als Speicherort vorhanden sein.
Auf diesem Weg war es möglich die Partition im Linux zu entschlüsseln und eine erfolgreiche Datenrettung durch zuführen.
Hintergründe
Ich höre schon die erfahrenen Supportmitarbeiter schreien: "Man kann den Clienten nicht trauen. Sie kann sehr woll ein entsprechendes Popup oder Hinweisfenster gesehen, aber nicht gelesen haben."
Ich habe in meiner Familie einen Komputer mit Windows 11, welchen ich persönlich aufgesetzt habe. Bei diesem war auch Bitlocker aktiviert, obwohl ich das nie selbst getan habe. Auch wird die nutzende Person nie eine solche Meldung wegklicken, ohne mich zu informieren.
Was ist nun in diesen beiden Fällen passiert. Der folgende Support Artikel von Microsoft verschaft Klarheit
Sobald auf einem Gerät mit den Hardwareanforderungen und der passenden Windows Version sich mit einem Microsoft-Konto verbindet, wird die Geräteverschlüsselung aktiviert. Da ich diesen Vorgang schon länger nicht selber durchgespielt habe, kann ich nicht sagen, ob dabei ein entsprechendes Pop-Up vorkommt. Jedoch wird es nach bekannter Microsoft Verfahrensweise nicht direkt erklären was gemcht wird, sondern nur einen Spruch bringen, dass die Sicherheit der Dateien erhöht wird.
Im Normalfall spielt es keine Rolle für den Benutzer, ob die Festplatte verschlüsselt ist oder nicht. Der Komputer braucht kein PAsswort zum starten, die Angaben des TPMs reichen zum entschlüsseln aus. Somit bemerkt der Benutzer eine allfällige Verschlüsselung auch nicht. Sobald jedoch Probleme auftauchen, wie im oben beschriebenen Fall, wird es für den zuständigen Techniker mühsam.