Claudia Klinger am 21. August 2013

ZEIT meldet: IT-Experten der Bundesregierung sehen in Windows 8 ein Sicherheitsrisiko

Geht es nach Microsoft soll den Usern die Kontrolle über den eigenen PC weitgehend genommen werden. Patrick Beut schreibt auf ZEIT ONLINE über eine Warnung des Bundesamtes für Sicherheit und Informationstechnik (BSI):

„Wie vertrauenswürdig ist Microsoft? Für die Bundesverwaltung und alle deutschen Behörden, Unternehmen und Privatanwender, die auch in Zukunft mit dem Betriebssystem Windows arbeiten wollen, stellt sich diese Frage heute mehr denn je. Denn früher oder später müssten sie Windows 8 oder dessen Nachfolger verwenden. Aus Dokumenten, die ZEIT ONLINE vorliegen, geht aber hervor, dass die IT-Experten des Bundes Windows 8 für geradezu gefährlich halten. Das Betriebssystem enthält ihrer Ansicht nach eine Hintertür, die nicht verschlossen werden kann. Diese Hintertür heißt Trusted Computing und könnte zur Folge haben, dass Microsoft jeden Computer aus der Ferne steuern und kontrollieren kann. Und damit auch die NSA.“

Das kritisierte Modul heißt TPM 2.0 und soll auf PCs genauso üblich werden wie auf Smartphones und Tablets: Betriebssystem und Hardware sind aufeinander abgestimmt und der Hersteller kann (auch von Ferne per Aktualisierung) bestimmen, welche Software installiert werden kann und welche nicht. Das soll gewährleisten, dass „Schadsoftware“ nicht genutzt werden kann, dient aber auch der Durchsetzung eines Digital Rights Managements (DRM). Und was „Schadsoftware“ ist, bestimmt ausschließlich Microsoft.

Kein Opt-Out mehr

TPM ist an sich nichts völlig Neues, doch bisher kann es der User ein- und ausschalten, also selbst bestimmten, ob der „Schutz“ aktiviert werden soll. Die künftige Version TPM 2.0 soll jedoch beim Start des PCs bereits mitgestartet werden, eine Möglichkeit, es auszuschalten soll es nicht mehr geben. Die Bundesregierung war damit nicht einverstanden, wie Beut weiter schreibt:

Die Dokumente belegen, dass die Bundesregierung und die Bundesverwaltung durchaus versucht haben, den künftigen Standard in ihrem Sinne zu beeinflussen. Das ist in diesem jahrelangen Prozess auch üblich. Die Deutschen sind allerdings schlicht abgeblitzt. Andere haben bekommen, was sie wollten. Die NSA zum Beispiel.

TPM 2.0 und Windows 8 sind laut Rüdiger Weis (Professor an der Beuth Hochschule für Technik in Berlin) also mit hoher Wahrscheinlichkeit weit offene Hintertüren für Ausspähungen durch die NSA und andere „Dienste“. Der CCC warne im übrigen schon seit 2002 vor TPM, meint Fefe, doch der Beleg-Link dazu ergibt leider keine lesbaren Infos.

Linux, ich komme…

Angesichts all der Zumutungen, die in letzter Zeit in Sachen Überwachung ans Licht kamen, ist dieser Angriff auf die Selbstbestimmung der PC-User nun echt der Tropfen, der bei mir das Fass zum Überlaufen bringt. Mein nächstes Betriebssystem wird nicht mehr Windows heißen – ich werde wohl Linux lernen, zunächst als Zweitsystem neben Windows 7.

Aber: Wird es später überhaupt noch möglich sein, Linux zu installieren? In den Kommentaren unter dem ZEIT-Artikel schreibt ein User namens „Lenticularis“:

Und liebe Leute, es wird noch viel schlimmer mit dem „Secure Boot Loader“, wo der Boot Loader von, na wem wohl: Microsoft, signiert sein muß. Damit man auch mit Linux nicht mehr tun und lassen kann, was man will

Aha! Bleibt also nur die Lösung, sich von vorne herein einen Microsoft-freien PC zu kaufen – und wenns den nicht mehr gibt, selbst einen aus Teilen zusammen zu bauen. Falls es die Teile dann noch gibt…

Update 21.8.: Es gibt dazu jetzt eine Stellungnahme des BSI zur aktuellen Berichterstattung zu MS Windows 8 und TPM – Zitat:

„Das BSI warnt weder die Öffentlichkeit, deutsche Unternehmen noch die Bundesverwaltung vor einem Einsatz von Windows 8. Das BSI sieht derzeit jedoch einige kritische Aspekte im Zusammenhang mit bestimmten Einsatzszenarien, in denen Windows 8 in Kombination mit einer Hardware betrieben wird, die über ein TPM 2.0 verfügt.

Für bestimmte Nutzergruppen kann der Einsatz von Windows 8 in Kombination mit einem TPM durchaus einen Sicherheitsgewinn bedeuten. Hierzu gehören Anwender, die sich aus verschiedenen Gründen nicht um die Sicherheit ihrer Systeme kümmern können oder wollen, sondern dem Hersteller des Systems vertrauen, dass dieser eine sichere Lösung bereitstellt und pflegt. Dies ist ein berechtigtes Nutzungsszenario, der Hersteller sollte jedoch ausreichende Transparenz über die möglichen Einschränkungen der bereitgestellten Architektur und mögliche Folgen des Einsatzes schaffen.

Aus Sicht des BSI geht der Einsatz von Windows 8 in Kombination mit einem TPM 2.0 mit einem Verlust an Kontrolle über das verwendete Betriebssystem und die eingesetzte Hardware einher. Daraus ergeben sich für die Anwender, speziell auch für die Bundesverwaltung und kritische Infrastrukturen, neue Risiken.“