Regierung warnt vor NSA-Hintertüren in Windows 8
IT-Experten von der Bundesverwaltung warnen vor dem Einsatz von Windows 8 in Behörden und Unternehmen. Das geht aus internen Dokumente hervor, die Zeit Online vorliegen. Das überarbeitete Trusted Computing in Windows 8 wäre in Kombination mit dem kommenden TPM-2.0-Standard ein nicht zu akzeptierendes Sicherheitsrisiko.
Innerhalb des Trusted-Computing-Konzepts handelt es sich bei dem Trusted Platform Module (TPM) um einen Chip, der zusammen mit einem darauf abgestimmten Betriebssystem gewährleistet, dass nur noch authentifizierte – und damit „vertrauenswürdige“ – Software auf einem System läuft. Schadsoftware wie Viren und Trojaner soll so ein Riegel vorgeschoben werden, allerdings kann Trusted Computing auch für das Digital Rights Management (DRM) eingesetzt werden. Das sorgte bereits vor zehn Jahren für reichlich Ärger und Kritik.
Bislang können Windows-Nutzer allerdings selbst bestimmen, ob Trusted Computing zum Einsatz kommen soll und damit die Kontrolle über das eigene System ein Stückweit an Microsoft abgetreten wird – oder ob sie auf die zusätzlichen Sicherheitsfunktionen verzichten. Laut Zeit Online soll sich das mit dem neuen Spezifikationen von TPM 2.0 ändern, das Microsoft ab Januar 2015 für Windows-8-zertifizierte Geräte zwingend vorschreibt. Mit dem neuen Standard ist TPM bereits beim ersten Systemstart aktiviert, das „Opt-in“-Verfahren fällt also weg. Darüber hinaus soll es aber auch keine Möglichkeit mehr geben, per „Opt-out“-Verfahren vollständig auf TPM zu verzichten.
In letzter Konsequenz kontrolliert das Betriebssystem den Einsatz von TPM – im Falle von Windows 8 also Microsoft. Der Konzern verteidigt den Ansatz gegenüber Zeit Online. TPM steigere die Sicherheit des Systems, weshalb es vorab aktiviert sei, weil Nutzer Voreinstellungen eher akzeptieren würden. Außerdem würden Hardware-Produzenten nach wie vor die Möglichkeit haben, Geräte ohne TPM für Windows zu bauen.
Fehlende Wahlfreiheit weckt Befürchtungen bei deutschen Behörden
Die fehlende Wahlfreiheit ist der zentrale Punkt, der für die enormen Sicherheitsbedenken bei den IT-Experten aus dem Bundeswirtschaftsministerium, der Bundesverwaltung und dem BSI verantwortlich ist. Wenn Microsoft bestimmen kann, welche Programme auf einem System laufen dürfen und sogar die Möglichkeit hat, selbst bei installierten Programmen nachträglich die Nutzung zu unterbinden, könnten letztlich auch US-Geheimdienste wie die NSA die Kontrolle übernehmen. Dementsprechend lautet die Einschätzung vom BSI, dass unter den Vorgaben von TPM 2.0 kein „bedingungsloses, vollständiges Vertrauen“ in Trusted-Computing-Umgebungen mehr möglich ist.
Ähnlich fällt das Fazit vom Bundeswirtschaftsministerium aus. In einem internen Papier von Anfang 2012 heißt es: „Der Einsatz der Trusted-Computing-Technik in dieser Ausprägung (…) ist für die Bundesverwaltung und für die Betreiber von kritischen Infrastrukturen nicht zu akzeptieren.“ Mit dem „Verlust der vollen Oberhoheit über Informationstechnik“ könne man die Sicherheitsziele „Vertraulichkeit“ und „Integrität“ nicht mehr gewährleisten. Man befürchtet „erhebliche Auswirkungen auf die IT-Sicherheit der Bundesverwaltung“.
Nach den Informationen von Zeit Online ist es der Bundesregierung und der Bundesverwaltung offenbar nicht gelungen, den TPM-2.0-Standard bei der für die TPM-Spezifikationen zuständigen Trusted Computing Group (TCG) in ihrem Interesse zu beeinflussen. Andere hatten offenbar mehr Erfolg, bei einem der letzten TCG-Treffen soll nach Angaben von Teilnehmern der Satz gefallen sein: „Die NSA ist einverstanden.“
Das klingt zunächst brisant, allerdings sollte bedacht werden, dass die NSA offiziell für die IT-Sicherheit der US-Administration verantwortlich ist. Dementsprechend ist es wenig überraschend, dass bei solchen elementaren Sicherheitsfunktionen Einfluss genommen wird. Die deutsche IT-Verwaltung hat immerhin dasselbe versucht – nur mit weniger Erfolg. Nichtsdestotrotz schüren solche Äußerungen Zweifel, insbesondere nach den Enthüllungen über das Ausmaß der NSA-Überwachung. In diesem Kontext wurde Microsoft in den letzten Wochen unter anderem vorgeworfen, entdeckte Sicherheitslücken zunächst an die NSA zu übermitteln – was der Konzern bestreitet. Die US-Administration werde ebenso wie andere Firmenkunden frühzeitig über Sicherheitslücken informiert, damit diese die Systeme für die kommenden Updates anpassen können.
Letztlich bleibt aber das grundsätzliche Problem: Geheimdienste wie die NSA können sicherheitsrelevante Informationen einerseits nutzen, um die Lücken im eigenen System zu beseitigen, andererseits aber auch für Angriffe missbrauchen. Der Berliner Informatik-Professor Rüdiger Weis sagte im Gespräch mit Zeit Online, die neuen Trusted-Computing-Systeme wären auf mindestens drei Ebenen angreifbar. Man müsse damit rechnen, dass Systeme mit Windows 8 und TPM 2.0 von der NSA kompromittiert werden könnten. Das gilt übrigens auch für chinesische Geheimdienste, sofern die TPM-Chips in China produziert werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Stellungnahme auf die Berichte reagiert. Demnach sollen weder die Öffentlichkeit, noch deutsche Unternehmen und die Bundesverwaltung vor dem Einsatz von Windows 8 gewarnt werden. Für bestimmte Nutzergruppen könne Windows 8 in Kombination mit einem TPM durchaus mit einem Sicherheitsgewinn einhergehen, wenn diese sich nicht selbst um die Sicherheit eines Systems kümmern wollen und auf Lösungen des Herstellers vertrauen. Aufgrund des Kontrollverlusts für die Nutzer müssten die Hersteller aber gewährleisten, dass mögliche Einschränkungen der bereitgestellten Architektur transparent dargestellt werden.
Dementsprechend sieht das BSI einige kritische Aspekte, die speziell in der Bundesverwaltung und in kritischen Infrastrukturen zu neuen Risiken führen. So könnten etwa beim Einsatz von Windows 8 und TPM 2.0 bereits unbeabsichtigte Fehler dazu führen, dass Hardware dauerhaft nicht mehr eingesetzt werden kann. Dabei müssen die Fehler nicht von den Hardware- oder Betriebssystemherstellern ausgehen, sondern können auch durch die Betreiber der jeweiligen IT-Systeme verursacht werden. Zudem könnten „die neu eingesetzten Mechanismen auch für Sabotageakte Dritter genutzt werden“.
Das BSI erachtet die vollständige Kontrolle über die eingesetzte Informationstechnik als grundlegende Voraussetzung. Dazu zähle etwa auch, nach „eigenem Ermessen alternative Betriebssysteme und Anwendungen einsetzen zu können“. Damit diese Anforderung weiterhin von Windows 8 und TPM erfüllt wird, arbeitet das BSI sowohl mit der TCG als auch den Herstellern von Betriebssystemen und Hardware zusammen, um „geeignete Lösungen“ für die Anwender und den Einsatz in der Bundesverwaltung und in kritischen Infrastrukturen zu finden.