Microsoft kann Verschlüsselung aushebeln

30. Juli 2013, 17:35 Uhr

Mit einem versteckten Update kann Microsoft scheinbar sichere Verbindungen aushebeln, wie die Zeitschrift "c't" aufdeckt. Damit können Nutzer getäuscht und vertrauliche Dokumente ausgespäht werden. Von Christoph Fröhlich

14 Bewertungen
Microsoft, Hintertür, Windows, Prism, Tempora, NSA, Lücke

Die Fachzeitschrift "c't" erhebt schwere Vorwürfe gegen den Konzern Microsoft©

Seit den ersten Enthüllungen von Whistleblower Edward Snowden steht der IT-Riese Microsoft in der Kritik, Geheimdiensten das Mitlesen und Sammeln von privaten Daten zu ermöglichen. So soll der Windows-Hersteller etwa den Zugriff auf vermeintlich sichere Internet-Telefonate des Microsoft-Diensts Skype und E-Mails des Nachrichtendiensts Outlook.com erlauben. Nun erhebt die Computer-Fachzeitschrift "c't" einen weiteren schweren Vorwurf: Angeblich kann das Unternehmen mit einer bislang weitgehend unbeachteten Funktion des Windows-Betriebssystems den Zugriff auf verschlüsselte Internetverbindungen der User ermöglichen - etwa im Auftrag der NSA.

Heimliche Updates

Konkret geht es um sogenannte SSL-Verbindungen (secure sockets layer), die etwa beim Onlinebanking oder beim E-Mail-Anbieter zum Einsatz kommen. Liegt eine solche Verbindung vor, steht statt "http" ein "https" in der Browserzeile. Zusätzlich ist ein Schloss zu sehen. Doch mit Sicherheit hat das nichts zu tun: "Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen", schreibt die Zeitschrift. Denn Microsoft könne dem Betriebssystem "jederzeit und unsichtbar für den Anwender neue Zertifikate unterschieben", so "c't".

Mit einem Zertifikat zeigt eine Webseite dem Browser an, dass sie echt ist. Fehlt ein solcher Beleg, erscheint eine Warnung, in der es heißt: "Dieser Verbindung wird nicht vertraut." Jeder Browser hat eine Liste von vertrauenswürdigen Stammzertifikaten, der Internet Explorer nutzt die von Windows.

Mit einer speziellen Update-Funktion kann Microsoft die systemeigene Liste der Stammzertifikate offenbar jederzeit aktualisieren. Der Nutzer bemerkt von dem Update-Vorgang nichts. "Der Import geschieht unsichtbar im Hintergrund durch einen Systemprozess für das ganze System", schreibt "c't". Die Funktion sei seit einigen Jahren bei allen Windows-Versionen standardmäßig aktiviert. Doch was bedeutet das für die Nutzer?

Auch Safari- und Chrome-User betroffen

Um das zu erklären, muss man etwas ausholen. Ausgestellt werden die Zertifikate, die die Echtheit der Webseiten belegen, von vertrauenswürdigen Zertifizierungsstellen, den sogenannten Certificate Authorities (CA). Dazu gehören neben Microsoft etwa die Deutsche Telekom, aber auch Regierungsbehörden, der US-Mobilfunkanbieter Verizon oder das Kreditunternehmen Visa. Es gibt eine öffentlich einsehbare Liste mit allen für Windows 8 zertifizierten CAs, allerdings ist unklar, ob diese wirklich vollständig ist.

Denn Microsoft betreibt zudem ein "Root Certificate Program", für das sich einzelne CAs bewerben können, um in die Liste aufgenommen zu werden. Der Prozess wird laut Microsoft streng überwacht, auch die CAs würden regelmäßig überprüft. Dennoch kann Microsoft theoretisch zusätzliche CAs "selektiv und quasi unsichtbar" auf einzelnen PCs nachinstallieren, schreibt "c't". So könnte mit den dynamisch nachgeladenen CA-Zertifikaten beispielsweise der komplette SSL-verschlüsselte Netzwerkverkehr von Behörden mitgelesen, verschlüsselte E-Mails kompromittiert oder Trojaner so getarnt werden, dass sie als legitime Treiber-Software durchgehen und so den User ausschnüffeln.

Nicht nur Nutzer des Internet Explorers sind von dieser Hintertür betroffen. Auch Apples Safari und Googles Chrome-Browser greifen laut "c't" auf die Krypto-Infrastruktur des Betriebssystems zurück. Einzig Mozilla hat mit Firefox eine eigene Krypto-Bibliothek. Folglich können keine Zertifikate eingeschleust werden.

Nur bedingter Schutz möglich

Zwar lassen sich die automatischen Updates ausschalten, technisch nicht versierten Nutzern wird davon allerdings abgeraten. Beim Betriebssystem Windows 8 kann das etwa zu Problemen beim Surfen führen, da Microsoft bei seiner neuesten Software nur noch einen sehr reduzierten Satz an CA-Zertifikaten mitliefert. Bei bestimmten Webseiten kann es deshalb zu Fehlermeldungen kommen. Um sich vor der Hintertür zu schützen, gibt es laut "c't" nur eine radikale Möglichkeit: den Wechsel des Betriebssystems. Sinnvoll ist das für die meisten Nutzer aber nicht.

Trotzdem kann man die eigene Privatsphäre verbessern, etwa mit dem Einsatz von Verschlüsselungs-Tools für Dateien und E-Mails und sicheren Online-Backup-Lösungen. In dieser Übersicht stellt stern.de empfehlenswerte Dienste vor.

 
 
MEHR ZUM THEMA
Vergleichsrechner
Finden Sie den günstigsten DSL-Tarif Finden Sie den günstigsten DSL-Tarif Unser kostenloser DSL-Vergleich zeigt Ihnen die DSL-Tarife, die am besten zu Ihnen passen. Zum Tarifvergleich
 
Noch Fragen?

Neue Fragen aus der Wissenscommunity

  von bh_roth: VPN-Server erkennbar?

 

  von Gast 92508: Welche Kühlschranktemperatur ist richtig

 

  von Gast 92503: Warum habe ich nach meiner Privatinsolvenz immer noch einen sehr schlechten Scorwert bei der Schufa...

 

  von Gast 92501: gibt es ökologische Fahrradbekleidung?

 

  von Gast 92499: Rechtsfrage

 

  von rocky1703: mein sohn ist 21 jahre und hat seine ausbildung abgebrochen abgebrochen muss ich weiter unterhalt...

 

  von Amos: Warum heißt es häufig "Freiheitsstrafe" statt "Gefängnisstrafe"? Klingt das...

 

  von Gast: Haben Sie Behindertenrabatte?

 

  von Amos: Was ist dran am möglichen Ende von AC/DC? Alles nur Spekulationen?

 

  von Gast 92465: ich habe bei meinem Nissan Pixo den Lüftungsmotor wegen Geräusche vor 1 Jahr austauschen lassen.

 

  von getachew: Wie kann man die Monatskarte der Bvg steuerlich absetzen?

 

  von Amos: Warum trägt der BVB auch ein VW-Logo auf dem Trikot? Aus Sympathie für Wolfsburg? Bisher hatten sie...

 

  von bh_roth: Zwei Windows Betriebssysteme auf einer Festplatte möglich?

 

  von Gast 92439: Temperatur schwankt im Kühlkombie von -20 bis - 12 Grad. warum?

 

  von Anoukboy: Ich bin Französin, habe mehrere Jahre in Deutschland gewohnt une gearbeitet. Ich ziehe nach...

 

  von Gast 92418: Daten von externer Festplatte auf PC laden?

 

  von Amos: Deutsche Spitzengastronomie wird zu 95% von männlichen Köchen dominiert. Köchinnen kenne ich...

 

  von Amos: Woher stammt die Unsitte, vieles als "vorprogrammiert" zu bezeichen? Statt...

 

  von Gast 92411: wie stelle ich meine e-mail adresse um?

 

  von gerti: suche eine alternative Pfanne zu Aluguss für Induktionsherd welche nicht so schwer ist...

 

 
 
stern - jetzt im Handel
stern (17/2014)
Der Schicksalsflug