Microsoft hat ein unbestreitbares Monopol: Rund 88 Prozent der Computer laufen mit Windows – und das weltweit! Abgeschlagen auf Platz zwei folgt Apple mit Mac OS X, das einen Marktanteil von 4,1 Prozent aufweist. Freie, auf dem Linux-Kernel basierende Betriebssysteme erreichen mit 2,2 Prozent immerhin noch den dritten Platz. Doch Windows steht in der Kritik – Vor allem im neuen Windows 10 scheint die Sicherheit teils fragwürdig. Das wirft die Frage auf: Kann man Windows, bzw. dem gesamten Konzern Microsoft, überhaupt vertrauen?
Bild von Gerd Altmann auf Pixabay.
NSA-Backdoor seit Jahrzehnten in Windows eingebaut?
Ende der 1990er Jahre wurde in Windows ein Schlüssel mit den Namen NSAKEY gefunden. Er soll ab Windows 95 in jedem Windows enthalten sein und möglicherweise der NSA eine Vollmacht über Windows-Computer bereitstellen. Anscheinend hatte ihn ein Programmierer im Code vergessen. Bereits zuvor haben sich Sicherheitsspezialisten bemüht, Windows-DLLs zu analysieren. Dabei fanden sie ungewöhnliche Funktionen. Darüber hinaus soll es einen dritten Schlüssel geben, über den sich sogar der Chef der CAPI-Entwicklung bei Microsoft „verblüfft“ zeigte.
Ob die NSA Windows kompromittiert hat, ist bis heute nicht endgültig geklärt. Unrealistisch scheint eine solche Hintertüre dagegen nicht: Windows ist proprietäre Software. Dies bedeutet, dass der Quellcode unter Verschluss gehalten wird. Für den Nutzer ist Windows damit eine Black Box. Theoretisch könnte Windows alles mögliche machen, ohne dass der Anwender dies erfährt. Über die Update-Funktion wäre es für Microsoft außerdem sehr leicht, solche Manipulationen nachträglich und sogar zielgerichtet durchzuführen. Selbst wenn jemand den Quellcode einsehen kann (z.B. im Rahmen eines Audits), ist dies nur eine Momentanaufnahme.
Weniger Sicherheit, mehr Geheimdienste ist die Devise bei Microsoft
Die Versprechen des US-Konzernes haben allerdings nicht mehr all zu viel Wert – wurden sie bereits mehrfach als fragwürdig bis hin zu offensichtliche Lügen entlarvt. Vor allem Snowden hat enthüllt, wie Microsoft die Sicherheit seiner Produkte absichtlich auf Wunsch der Geheimdienste schwächt. Ein Paradebeispiel dafür ist Skype: Der Messenger galt bis zur Übernahme durch Microsoft im Jahre 2011 als sehr sicher. Nach der Übernahme wurde die Infrastruktur von dezentral auf zentral gewechselt. Ein Schritt, der die Sicherheit schon vom Konzept her schwächt.
Bereits im Juli 2012 freute sich die NSA darüber, nun neben Audio-Anrufen auch endlich Video-Telefonate mit Skype ausspähen zu können. Im Transparenzbericht des gleichen Jahres lobte Microsoft jedoch noch die sichere Verschlüsselung. Außerdem brüstete sich Microsoft damit, keine Inhalte an Behörden preisgegeben zu haben. Beides konnte somit nicht korrekt sein: Entweder war die Verschlüsselung selbst unsicher oder man hat diese in irgend einer Form für Geheimdienste geschwächt, etwa durch Hintertüren. In jedem Falle ist das System geschwächt und kann nicht mehr als sicher betrachtet werden.
Beim Mail-Anbieter Outlook.com ging der US-Konzern sogar noch einen Schritt weiter: Ursprünglich sollte die Kommunikation der Nutzer durch Verschlüsselung geschützt werden. Der NSA gefiel dies allerdings gar nicht. Auf ihren Wunsch hin hatte Microsoft die Funktion zum offiziellen Start entfernt – und damit die Sicherheit der Nutzer geschwächt.
Ein strukturelles Problem in den USA
Weitgehend unbekannt ist die Tatsache, dass Verschlüsselung vor noch nicht mal 20 Jahren in den USA als Waffe angesehen wurde. Software mit Verschlüsselung durfte daher nur mit Ausnahmegenehmigung exportiert werden. Die Verschlüsselung musste für das Ausland zudem stark geschwächt werden – Ein solches Passwort ließe sich sehr einfach in wenigen Stunden knacken – Ohne besondere Ausstattung. Es gab damit eine 2-Klassen Gesellschaft: Nur innerhalb der USA durften IT-Systeme sicher sein, alle anderen wurden stark geschwächt.
Obwohl das Verbot heute nicht mehr existiert, demonstriert es erschreckend die Denkweise der dortigen Regierung. Gesetze wie der Foreign Intelligence Surveillance Act, kurz FISA, erlaubt den Geheimdiensten immer mehr Überwachung, bei zeitgleich weniger Kontrolle. Die richterliche Prüfung durch den Rechtsstaat wird zunehmend ausgehebelt, und ist dies teils bereits schon. Mittlerweile entscheiden sogar Geheimgerichte darüber, was die staatlichen Behörden dürfen. Dies schafft eine Art Paralleljustiz, die zunehmend ein Eigenleben führt – ohne Kontrolle durch den Staat, geschweige denn dessen Bürger.
NSA gefährdet die nationale Sicherheit
Wohin dieses Eigenleben führt, wird beispielsweise am verbreiteten Crypto-Trojaner WannaCry deutlich. Die dafür genutzte Sicherheitslücke wurde durch die NSA illegal auf dem Schwarzmarkt gekauft. Und das bereits vor etwa 5 Jahren. Gewöhnliche Kriminelle bekamen Zugriff darauf, und konnten erheblichen Schaden anrichten. Warum war das möglich? Statt die Lücke an Microsoft zu melden, und damit die Sicherheit aller Windows-Nutzer zu stärken, wollte der Geheimdienst damit lieber selbst andere Rechner manipulieren.
Mit dieser Entscheidung hat die NSA die Sicherheit von Windows-Nutzern auf der ganzen Welt gefährdet. Darunter auch äußerst kritische Infrastrukturen wie etwa Krankenhäuser oder Energieversorger. Hunderttausende Computer waren lahm gelegt. Fairer weise muss dazu gesagt werden, dass dies nicht direkt Microsofts Schuld ist. Viel mehr sind hier die Geheimdienste für ihren nicht verantwortungsvollen Umgang mit Schwachstellen schuldig. Dies ist jedoch ein Ausnahmefall: Microsoft arbeitete eng mit US-Geheimdiensten wie der NSA zusammen – das belegten Leaks von Edward Snowden schon vor Jahren.
Ist Windows nun vertrauenswürdig?
Letztendlich zeigen all diese Geschehnisse, dass in den USA durch die Geheimdienste ein sehr mächtiger Überwachungsapparat existiert. Dieser zwingt Firmen sowohl zur Zusammenarbeit, als auch zum Lügen – denn über die Zusammenarbeit mit den Geheimdiensten dürfen auch die betroffenen Firmen nicht sprechen. Für Demokratie und Rechtsstaat sind dies gefährliche Entwicklungen, wenn man die Monopolstellung des Konzerns bedenkt.
Ob Windows nun sicher ist, kann mit letzter Sicherheit keiner sagen. Allerdings ist klar, dass US-Firmen gezielt zur Überwachung missbraucht werden – oder sogar eifrig mitarbeiten, wie bei Microsoft und verschiedenen anderen großen US-Konzernen. Jeweils nicht erst seit gestern. Datenschutztechnisch ist beispielsweise Windows 10 schon von Anfang an höchst umstritten. Dies zeigt das grundlegende Problem von proprietärer Software: Außer dem Hersteller hat keiner die Möglichkeit nachzuvollziehen, ob die Software beispielsweise Hintertüren enthält oder nicht. Darüber hinaus ist der Nutzer dem Hersteller vollständig ausgeliefert – schließlich kann er die Software höchstens eingeschränkt an seine Bedürfnissen anpassen.
Im Gegensatz dazu steht quelloffene Software (Open Source) wie etwa Betriebssysteme auf Basis von Linux: Jeder kann sehen, wie die Software funktioniert, und sie sogar zu eigenen Zwecken verändern. Dahinter steckt meist eine große Gemeinschaft, statt nur eines Konzernes, der sein Produkt für möglichst hohe Margen optimiert. Aufgrund der Geschichte muss daher davon ausgegangen werden, dass die Sicherheit und Vertrauenswürdigkeit von Windows fragwürdig ist. Dies gilt für andere Microsoft-Produkte eben so wie für US-Konzerne. Die definitiv sicherere Alternative ist daher, auf freie Alternativen auszuweichen. Hier besteht kein Profitzwang. Daher werden Datenschutz und Sicherheit für den Nutzer oft deutlich wichtiger erachtet, sowie respektiert. Natürlich kann es auch da mal passieren, dass ein qualitativ schlechteres Projekt dabei ist oder es sich (z.B. nach Wechsel der Verantwortlichen) in eine ungünstige Richtung entwickelt. In dem Fall hat man allerdings die Kontrolle über alles und kann wechseln – ohne von einem Konzern Steine in den Weg gelegt zu bekommen, weil er dadurch Umsatz einbüßt.
Der Staat ist besonders gefährdet
Zumindest in der öffentlichen Verwaltung sollten wir uns von dieser Abhängigkeit von US-Software und vor allem Microsoft lösen, schon alleine aus strategischen Gründen: Monopole werden schnell zum Nachteil der Kunden. Außerdem sollten wir nicht von einem Land abhängig sein, das kein Problem damit hat, befreundete Länder zu überwachen. Der Missbrauch ist bereits längst erfolgt. Oder glaubt jemand ernsthaft, die USA spionieren das Regierungsviertel (!) und die Bundeskanzlerin (!!!) von Deutschland aus, um Terrorverdächtige zu verhaften?
Man kann der Regierung ja vieles vorwerfen, einiges durchaus zu recht. Aber das ist völlig absurd und eine Gefahr, die uns alle angeht. Wenn ein privates Unternehmen sich von Microsoft abhängig macht, halte ich das strategisch ebenfalls für fragwürdig. Das ist jedoch die freie Entscheidung von jedem. Eben so, wie man sich z.B. von McDonalds Burgern ernähren oder Kettenraucher werden kann. Mit den Risiken und Konsequenzen muss man dann auf der anderen Seite leben und jeder kann wiederum entscheiden, ob er oder sie mit jemandem z.B. eine Beziehung eingehen möchte, der Kettenraucher ist. Prinzipiell hat man diese Freiheit bei einem privaten Unternehmen auch. Im Zweifel mache ich keine Geschäfte mit ihnen, wenn mir deren Praktiken, Prinzipien oder andere Dinge nicht passen.
Beim Staat geht das aber halt nicht. Ein gewisses Minimum an Informationen muss der von jedem Bürger haben, um seine Aufgaben erfüllen zu können. Wenn ich z.B. einen neuen Personalausweis beantrage, müssen Daten erhoben und übermittelt werden. Als Bürger sollten wir alle ein Interesse daran haben, dass derartiges geschützt ist – sonst droht missbrauch. Und die Kosten für all das bezahlen wir schließlich auch: Windows Lizenzen, Hardware, Support usw. Wir sollten also auch ein Interesse daran haben, dass dieses Geld möglichst effizient im Sinne unserer Interessen eingesetzt wird. Wobei ich persönlich den Aspekt der Vertraulichkeit am wichtigsten finde. Selbst wenn freie Software XX% mehr kostet als Microsoft, sind wir damit aus den ganzen kritischen Themen rund um Datenweitergabe an Geheimdienste raus und haben kein Damoklesschwert über dem Kopf.
Hat man regional übrigens schon versucht, z.B. LiMux in München. Ist weniger an technischen als viel mehr an politischen Gründen gescheitert. Wie sehr Microsoft das fürchtet, zeigt der damalige Ex-Chef Steve Ballmer: Als der von Münchens Plänen hörte, unterbrach er seinen Skiurlaub, reiste nach München und versuchte mit einer Rabattschlacht, den Wechsel zu verhindern. Hat nur leider nicht funktioniert, weil der Bürgermeister diese Versuche durchschaute: Einmalige Rabatte sind schön und gut. Leider wenig nachhaltig, wenn Microsoft in ein paar Jahren die Unterstützung der Windows-Version einstellt und daher neue Lizenzen (+ ggf. Geräte) gekauft werden müssen. Hat etwas von einem Drogendealer, der die erste Dosis günstiger verkauft oder gleich verschenkt. Auch der weiß: Wenn sie süchtig sind, kommen sie wieder – dann gibt es natürlich keine Gratisproben mehr. Da Software für das eingesetzte Betriebssystem entwickelt wird, ist hier ebenfalls eine gewisse Abhängigkeit gegeben.
Quellen und weitere Informationen
- Wie Microsoft der NSA Zugang zu Outlook.com und Skype ermöglicht
- Microsoft handed the NSA access to encrypted messages
- Wie Microsoft systematisch den Geheimdiensten hilft
- USA lockern Exportbeschränkungen
- Europas fatale Abhängigkeit von Microsoft
- Skype Won’t Say Whether It Can Eavesdrop on Your Conversations
- Microsoft handed the NSA access to encrypted messages
- US-Geheimgericht stärkt Macht der NSA
- Microsoft openly offered cloud data to support NSA PRISM programme
- Merkels Handy steht seit 2002 auf US-Abhörliste
- Peinlicher Fehler deckt die Unterwanderung von Windows durch die NSA auf