Als iemand jouw laptop even onbeheerd achterlaat op een vergadering, of als een toestel gestolen wordt uit een bedrijfswagen, ga je er waarschijnlijk van uit dat de versleuteling alles beschermt. Dat gevoel is nu minder vanzelfsprekend. Een recent openbaar gemaakte kwetsbaarheid, ‘YellowKey’ genaamd, maakt het mogelijk om de standaard BitLocker-beveiliging op Windows 11 te omzeilen. Niet via het internet, maar door fysiek aan het toestel te zitten. Er is voorlopig geen officiële patch van Microsoft. Dit is iets wat je nu met je IT partner moet bespreken.

Wat is er gepubliceerd?

Een beveiligingsonderzoeker maakte onlangs een kwetsbaarheid publiek die hij ‘YellowKey’ noemt. Volgens Ars Technica gaat het om een zogenaamde zero-day, wat betekent dat er op het moment van publicatie nog geen fix bestaat. De exploit richt zich op de manier waarop Windows 11 standaard omgaat met BitLocker, de ingebouwde versleuteling (encryptie) die gegevens op een harde schijf onleesbaar maakt voor buitenstaanders.

Het gaat hier niet om een aanval via e-mail of het internet. De aanvaller moet het toestel fysiek in handen hebben. Via de Windows Herstelomgeving, een ingebouwd herstelscherm dat je te zien krijgt bij opstartproblemen, zou het mogelijk zijn om de versleuteling te omzeilen en toegang te krijgen tot de volledige inhoud van de schijf.

Belangrijk om te weten: BitLocker zelf als versleuteling is niet gebroken. Het probleem zit in de standaardconfiguratie van Windows 11, waarbij een PIN bij het opstarten ontbreekt. The Hacker News meldt dat er nog geen officieel CVE-nummer (een formele foutregistratie bij Microsoft) of patch beschikbaar is. Zolang dat zo blijft, bestaat er een reëel risico voor toestellen met een standaardinstelling.

Welk risico loopt jouw bedrijf?

Dit raakt kmo’s op een heel concreet punt: laptops en werkstations die medewerkers meenemen naar klanten, thuis gebruiken, of die in een auto of vergaderzaal achterblijven. Wie zo’n toestel in handen krijgt, en de standaardinstellingen van Windows 11 lopen, zou met de gepubliceerde methode aan de bestanden kunnen raken.

De groepen met het hoogste risico zijn:

• Bedrijven met medewerkers die veel onderweg zijn met hun laptop.
• Bedrijven die gevoelige klantdata of persoonsgegevens bijhouden.
• Bedrijven met toestellen die ‘default’ zijn ingericht zonder extra opstartbeveiliging.

Of jouw specifieke toestellen kwetsbaar zijn, hangt af van hoe BitLocker is geconfigureerd. Toestellen met alleen een TPM-chip (een beveiligingschip op het moederbord) zonder extra PIN bij het opstarten, lopen een hoger risico dan toestellen waarbij ook een code vereist is voor het opstarten. Dat onderscheid is technisch, maar je IT partner kan dit snel controleren.

Voor compliance en verzekeringsdoeleinden is het ook relevant. Als er een datalek volgt uit een gestolen laptop waarbij de beveiliging omzeild kon worden, kan dat vragen oproepen over of je als bedrijf de nodige maatregelen had genomen. Transparantie over de huidige configuratie is dan geen luxe, maar een zakelijke noodzaak.

Vragen voor je IT partner en wat je deze week opvolgt

Je hoeft dit niet technisch te begrijpen om de juiste stappen te zetten. Wat je wel moet doen, is je IT partner deze week concreet aanspreken. Stel minimaal deze vragen:

1. Zijn onze Windows 11-toestellen geconfigureerd met een BitLocker PIN bij het opstarten, of werken ze met TPM-only?
2. Welke toestellen lopen het hoogste risico, en hoeveel zijn het er?
3. Is er al een aanbeveling of mitigatie beschikbaar vanuit jouw leveranciers of beveiligingspartners?
4. Wanneer Microsoft een officiële patch uitbrengt, hoe snel rollen jullie die uit?

Vraag ook om een schriftelijke bevestiging van de huidige encryptieconfiguratie van jouw vloot. Dat document helpt je bij een eventuele verzekeringscheck of intern auditgesprek.

Daarnaast is het zinvol om met je verzekeraar te bespreken of jouw cyberverzekering dit type scenario dekt en welke technische maatregelen zij als minimumvereiste beschouwen. Bij Clear IT bekijken we dit soort configuraties soms samen met klanten als onderdeel van een bredere beveiligingsevaluatie. Maar ongeacht wie je IT beheert: laat dit niet weken liggen.

Actie nu, niet na de volgende diefstal

YellowKey is geen theoretisch risico voor grote multinationals. Het raakt iedereen met een Windows 11-laptop in standaardconfiguratie. Er is nog geen patch, de details zijn openbaar, en fysieke toegang tot een toestel is in de praktijk makkelijker te krijgen dan de meeste bedrijfsleiders denken. Vraag je IT partner deze week om een duidelijk antwoord op de encryptieconfiguratie van jouw toestellen. Dat gesprek kost een halfuur en kan later een groot verschil maken.

Veelgestelde vragen

Is BitLocker dan volledig onbetrouwbaar geworden?

Nee. BitLocker als versleuteling is niet gebroken. Het probleem zit in een specifieke standaardconfiguratie van Windows 11 waarbij geen opstartcode vereist is. Toestellen met een BitLocker PIN bij het opstarten lopen een lager risico. Laat je IT partner controleren hoe jouw toestellen geconfigureerd zijn.

Heeft een aanvaller altijd fysieke toegang nodig?

Ja, voor deze specifieke exploit wel. Iemand moet het toestel letterlijk in handen hebben om de aanval uit te voeren. Dat maakt gestolen laptops, onbeheerde toestellen op locatie of apparatuur in gedeelde werkruimtes het belangrijkste aandachtspunt.

Wanneer komt de patch van Microsoft?

Op dit moment is er nog geen officiële patch of CVE-registratie van Microsoft beschikbaar. Zodra die er is, is het essentieel dat je IT partner die snel uitrolt. Vraag hen om jou actief op de hoogte te stellen wanneer dat het geval is.

Wat als mijn IT partner zegt dat er geen probleem is?

Vraag dan specifiek of jouw toestellen draaien met TPM-only of met TPM plus een PIN bij het opstarten. Dat is een gerichte, verifieerbare vraag. Als het antwoord vaag blijft, is dat op zich al een signaal om dieper door te vragen of een tweede opinie te zoeken.