> Wenn die Daten schon verschlüsselt waren, ist auf diese Art schon mal kein
> Geld zu machen.
Nein. Die Festplattenverschlüsselung veschlüsselt nur die auf die Festplatte
zu schreibenden Daten. Werden sie vom Betriebssystem wieder angefordert,
wird der verschlüsselte Datenbklock eingelesen, entschlüsselt und dem
anfordernden Programm zur Verfügung gestellt.
Da das Angreiferprogramm mindestens mit den Rechten des rechtmäßigen Nutzers
ausgestattet ist - das ist genau das, was man zu verhindern versucht -
bekommt es die Daten also genauso entschlüsselt wie der originale Benutzer.
Das Angreiferprogramm ist deswegen mit den Rechten des rechtmäßigen
Benutzers ausgestattet, weil es - normalerweise - unter dessen Kontrolle in
das System eingedrungen ist. Ein per Malware z.B. über verseuchten Download
eingeschleustes Programm unterscheidet sich diesbezüglich keinen Deut von
einem Download aus seriöser Quelle: Beide treten mit den Rechten des
Benutzers auf und bekommen die Festplattendaten anstandslos entschlüsselt
geliefert.