News Cybersecurity Technologie & Innovation

Knackt YellowKey BitLocker per USB-Stick? Offenbar ja

Markus Seyfferth
Markus Seyfferth
Autor Dr. Web
3 Min. Lesezeit
Knackt YellowKey BitLocker per USB-Stick? Offenbar ja

Ein Sicherheitsforscher hat einen Angriff veröffentlicht, der BitLocker-verschlüsselte Laufwerke ohne jeden Schlüssel öffnen soll. Es braucht angeblich nur einen USB-Stick und einen Neustart.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

Oranges Vorhängeschloss mit seitlich eingestecktem USB-Stick vor weißem Hintergrund
YellowKey-Sicherheitslücke ermöglicht unbefugten Zugriff auf BitLocker-verschlüsselte Laufwerke unter Windows 11 und Windows Server 2022/2025

Der unter dem Namen YellowKey kursierende Zero-Day soll vollen Zugriff auf ein gesperrtes BitLocker-Laufwerk gewähren, indem ein Angreifer Dateien auf einen USB-Stick kopiert und in die Windows-Wiederherstellungsumgebung neu startet. Betroffen sind laut den Veröffentlichungen Windows 11 sowie Windows Server 2022 und 2025, nicht jedoch Windows 10. Microsoft hat sich bislang weder zu YellowKey noch zu einem zweiten Zero-Day namens GreenPlasma öffentlich geäußert, es gibt bisher keine CVE-Nummer und keinen Patch.

Wie soll der Angriff funktionieren?

Ein Schloss mit einem dampfenden USB-Stick-Vorhängeschloss und einem Schild
Angreifer kopiert präparierten Ordner in USB-Stick-Bereich „System Volume Information“ und gelangt über Shift-Neustart in Wiederherstellungsumgebung mit vollem Kommandozeilenzugriff ohne Passwort

Der Ablauf ist nach Darstellung des Forschers verblüffend simpel. Ein Angreifer benötigt Schreibzugriff auf den Bereich „System Volume Information“ eines USB-Sticks und kopiert dort einen präparierten Ordner samt Inhalt hinein. Über Shift und Neustart gelangt das System in die Wiederherstellungsumgebung, anschließend landet der Angreifer ohne Passwortabfrage in einer Kommandozeile mit vollem Zugriff auf das zuvor verschlüsselte Laufwerk.

Auffällig ist, dass die Exploit-Dateien nach einmaliger Nutzung vom Stick verschwinden, ein Verhalten, das der Forscher als Indiz für eine bewusst angelegte Hintertür wertet. Diese Darstellung stammt vom Entdecker selbst und ist von unabhängiger Seite bislang nicht vollständig bestätigt.

Was bedeutet das für Unternehmen?

Vorhängeschloss mit Smileys-USB-Stick im Schlüsselloch, auf weißem Hintergrund
BitLocker-Verschlüsselung unter Windows 11 kann durch physischen Gerätezugriff kompromittiert werden, was den Schutz gestohlener Notebooks gefährdet

BitLocker schützt Millionen Geräte in Privathaushalten, Unternehmen und Behörden, zumal die Verschlüsselung unter Windows 11 standardmäßig aktiv ist. Ein gestohlenes Notebook galt bislang als beherrschbares Risiko, solange das Laufwerk verschlüsselt war.

Sollte sich der Angriff bestätigen, fällt dieser Schutz weg, sobald ein Angreifer physischen Zugriff auf das Gerät erlangt. Der Forscher behauptet zudem, eine Variante für den Schutz per TPM und PIN zu besitzen, hat dafür aber keinen funktionierenden Nachweis veröffentlicht. Solange Microsoft keine Stellungnahme abgibt, gilt: Geräte mit sensiblen Daten gehören nicht unbeaufsichtigt liegen gelassen, und der physische Schutz von Hardware gewinnt an Gewicht.

Solange keine Bestätigung des Herstellers vorliegt, behandeln wir das als ernsten Verdacht, nicht als gesicherte Tatsache. Trotzdem gilt jetzt schon: Wer vertrauliche Daten auf mobilen Geräten hat, sollte den physischen Zugriff genauso ernst nehmen wie das Passwort.

— Michael Dobler, Herausgeber Dr. Web

IT-Verantwortliche sollten die offiziellen Microsoft-Kanäle in den kommenden Tagen im Auge behalten und parallel prüfen, wie gut der physische Zugriff auf Endgeräte im eigenen Haus tatsächlich geregelt ist. Eine belastbare Reaktion ist erst nach einer Stellungnahme des Herstellers möglich.

Mehr Newshunger?

Orangener USB-Stick „Yellowkey“ mit Vorhängeschloss-„Bitlocker“-Schriftzug vor weißem Hintergrund
Kritische Sicherheitslücken in cPanel und PAN-OS erfordern sofortiges Patchen. Angriffe laufen bereits, Patches teilweise erst Mai verfügbar
4,6 10 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?

Artikel teilen
X LinkedIn Facebook XING WhatsApp E-Mail
Empfohlene Artikel
News
Bose SoundTouch streamt wieder. Wie? Mit dieser App.
4 Min.  ·  21. Mai. 2026
News
Schaeffler holt hunderte Humanoide in die Werke. Bis 2030.
3 Min.  ·  12. Mai. 2026
News
Bose dreht das Streaming bei Soundtouch ab. Lautsprecher für 800 Euro: tot.
3 Min.  ·  12. Mai. 2026
News
Bose Soundtouch: Was Kunden rechtlich wirklich noch durchsetzen können
5 Min.  ·  16. Mai. 2026
News
DuckDuckGo macht die KI-freie Suche zum Standard: Wer profitiert?
3 Min.  ·  2. Juni. 2026
Tags: Microsoft
Markus Seyfferth
Autor
Markus Seyfferth
ist seit 2019 geschäftsführender Gesellschafter von Dr. Web. Er verantwortet die redaktionelle Ausrichtung des Dr. Web Magazins und bringt seine Expertise in den Bereichen Webdesign, Webentwicklung, WordPress, SEO sowie Online Marketing ein. Zudem verfasst er regelmäßig Fachartikel, um sein Wissen und seine Erfahrungen zu teilen und anderen im Online Marketing weiterzuhelfen.
745 Artikel veröffentlicht
www.drweb.de
Alle Artikel

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Oracle WebLogic: Jetzt patchen, sonst droht Vollzugriff

Oracle WebLogic: Jetzt patchen, sonst droht Vollzugriff

Markus Seyfferth

Die US-Behörde CISA warnt vor einer aktiv ausgenutzten Schwachstelle im Oracle WebLogic Server. Angreifer können ohne Anmeldedaten auf betroffene Systeme zugreifen und im schlimmsten...

Mehr erfahren
Newsletter

Mehr solcher Artikel?
Jetzt kostenlos abonnieren.

Jeden Dienstag die besten Artikel aus dem Dr. Web-Magazin direkt in Ihr Postfach – kein Spam, jederzeit abmeldbar.

Einmal pro Woche, kein täglicher Spam
Jederzeit mit einem Klick abmeldbar
DSGVO-konform via Brevo