{"id":5379,"date":"2017-08-10T01:10:00","date_gmt":"2017-08-09T23:10:00","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=5379"},"modified":"2023-10-10T21:31:33","modified_gmt":"2023-10-10T19:31:33","slug":"microsoft-und-windows-sind-sie-noch-sicher-und-vertrauenswuerdig","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/microsoft-und-windows-sind-sie-noch-sicher-und-vertrauenswuerdig\/","title":{"rendered":"Microsoft und Windows – sind sie noch sicher und vertrauensw\u00fcrdig?"},"content":{"rendered":"

Microsoft hat ein unbestreitbares Monopol: Rund 88 Prozent der Computer laufen mit Windows – und das weltweit! Abgeschlagen auf Platz zwei folgt Apple mit Mac OS X, das einen Marktanteil von 4,1 Prozent aufweist. Freie, auf dem Linux-Kernel basierende Betriebssysteme erreichen mit 2,2 Prozent immerhin noch den dritten Platz. Doch Windows steht in der Kritik – Vor allem im neuen Windows 10 scheint die Sicherheit teils fragw\u00fcrdig. Das wirft die Frage auf: Kann man Windows, bzw. dem gesamten Konzern Microsoft, \u00fcberhaupt vertrauen?<\/strong><\/p>\n

Bild von Gerd Altmann auf Pixabay.<\/p>\n

NSA-Backdoor seit Jahrzehnten in Windows eingebaut?<\/strong><\/h3>\n

Ende der 1990er Jahre wurde in Windows ein Schl\u00fcssel mit den Namen NSAKEY gefunden. Er soll ab Windows 95 in jedem Windows enthalten sein und m\u00f6glicherweise der NSA eine Vollmacht \u00fcber Windows-Computer bereitstellen. Anscheinend hatte ihn ein Programmierer im Code vergessen. Bereits zuvor haben sich Sicherheitsspezialisten bem\u00fcht, Windows-DLLs zu analysieren. Dabei fanden sie ungew\u00f6hnliche Funktionen. Dar\u00fcber hinaus soll es einen dritten Schl\u00fcssel geben, \u00fcber den sich sogar der Chef der CAPI-Entwicklung bei Microsoft „verbl\u00fcfft“ zeigte.<\/p>\n

Ob die NSA Windows kompromittiert hat, ist bis heute nicht endg\u00fcltig gekl\u00e4rt. Unrealistisch scheint eine solche Hintert\u00fcre dagegen nicht: Windows ist propriet\u00e4re Software. Dies bedeutet, dass der Quellcode unter Verschluss gehalten wird. F\u00fcr den Nutzer ist Windows damit eine Black Box<\/em>. Theoretisch k\u00f6nnte Windows alles m\u00f6gliche machen, ohne dass der Anwender dies erf\u00e4hrt. \u00dcber die Update-Funktion w\u00e4re es f\u00fcr Microsoft au\u00dferdem sehr leicht, solche Manipulationen nachtr\u00e4glich und sogar zielgerichtet durchzuf\u00fchren. Selbst wenn jemand den Quellcode einsehen kann (z.B. im Rahmen eines Audits), ist dies nur eine Momentanaufnahme.<\/p>\n

Weniger Sicherheit, mehr Geheimdienste ist die Devise bei Microsoft<\/h3>\n

Die Versprechen des US-Konzernes haben allerdings nicht mehr all zu viel Wert – wurden sie bereits mehrfach als fragw\u00fcrdig bis hin zu offensichtliche L\u00fcgen entlarvt. Vor allem Snowden hat enth\u00fcllt, wie Microsoft die Sicherheit seiner Produkte absichtlich auf Wunsch der Geheimdienste schw\u00e4cht. Ein Paradebeispiel daf\u00fcr ist Skype: Der Messenger galt bis zur \u00dcbernahme durch Microsoft im Jahre 2011 als sehr sicher. Nach der \u00dcbernahme wurde die Infrastruktur von dezentral auf zentral gewechselt. Ein Schritt, der die Sicherheit schon vom Konzept her schw\u00e4cht.<\/p>\n

Bereits im Juli 2012 freute sich die NSA dar\u00fcber, nun neben Audio-Anrufen auch endlich Video-Telefonate mit Skype aussp\u00e4hen zu k\u00f6nnen. Im Transparenzbericht des gleichen Jahres lobte Microsoft jedoch noch die sichere Verschl\u00fcsselung. Au\u00dferdem br\u00fcstete sich Microsoft damit, keine Inhalte an Beh\u00f6rden preisgegeben zu haben. Beides konnte somit nicht korrekt sein: Entweder war die Verschl\u00fcsselung selbst unsicher oder man hat diese in irgend einer Form f\u00fcr Geheimdienste geschw\u00e4cht, etwa durch Hintert\u00fcren. In jedem Falle ist das System geschw\u00e4cht und kann nicht mehr als sicher betrachtet werden.<\/p>\n

Beim Mail-Anbieter Outlook.com ging der US-Konzern sogar noch einen Schritt weiter: Urspr\u00fcnglich sollte die Kommunikation der Nutzer durch Verschl\u00fcsselung gesch\u00fctzt werden. Der NSA gefiel dies allerdings gar nicht. Auf ihren Wunsch hin hatte Microsoft die Funktion zum offiziellen Start entfernt – und damit die Sicherheit der Nutzer geschw\u00e4cht.<\/p>\n

Ein strukturelles Problem in den USA<\/h3>\n

Weitgehend unbekannt ist die Tatsache, dass Verschl\u00fcsselung vor noch nicht mal 20 Jahren in den USA als Waffe angesehen wurde. Software mit Verschl\u00fcsselung durfte daher nur mit Ausnahmegenehmigung exportiert werden. Die Verschl\u00fcsselung musste f\u00fcr das Ausland zudem stark geschw\u00e4cht werden – Ein solches Passwort lie\u00dfe sich sehr einfach in wenigen Stunden knacken – Ohne besondere Ausstattung. Es gab damit eine 2-Klassen Gesellschaft: Nur innerhalb der USA durften IT-Systeme sicher sein, alle anderen wurden stark geschw\u00e4cht.<\/p>\n

Obwohl das Verbot heute nicht mehr existiert, demonstriert es erschreckend die Denkweise der dortigen Regierung. Gesetze wie der\u00a0Foreign Intelligence Surveillance Act<\/em>, kurz\u00a0FISA<\/em>, erlaubt den Geheimdiensten immer mehr \u00dcberwachung, bei zeitgleich weniger Kontrolle. Die richterliche Pr\u00fcfung durch den Rechtsstaat wird zunehmend ausgehebelt, und ist dies teils bereits schon. Mittlerweile entscheiden sogar Geheimgerichte dar\u00fcber, was die staatlichen Beh\u00f6rden d\u00fcrfen. Dies schafft eine Art Paralleljustiz, die zunehmend ein Eigenleben f\u00fchrt – ohne Kontrolle durch den Staat, geschweige denn dessen B\u00fcrger.<\/p>\n

NSA gef\u00e4hrdet die nationale Sicherheit<\/h3>\n

Wohin dieses Eigenleben f\u00fchrt, wird beispielsweise am verbreiteten Crypto-Trojaner\u00a0WannaCry<\/em> deutlich.\u00a0Die daf\u00fcr genutzte Sicherheitsl\u00fccke wurde durch die NSA illegal auf dem Schwarzmarkt gekauft. Und das bereits vor etwa 5 Jahren. Gew\u00f6hnliche Kriminelle bekamen Zugriff darauf, und konnten erheblichen Schaden anrichten. Warum war das m\u00f6glich? Statt die L\u00fccke an Microsoft zu melden, und damit die Sicherheit aller Windows-Nutzer zu st\u00e4rken, wollte der Geheimdienst damit lieber selbst andere Rechner manipulieren.<\/p>\n

Mit dieser Entscheidung hat die NSA die Sicherheit von Windows-Nutzern auf der ganzen Welt gef\u00e4hrdet. Darunter auch \u00e4u\u00dferst kritische Infrastrukturen wie etwa Krankenh\u00e4user oder Energieversorger. Hunderttausende Computer waren lahm gelegt. Fairer weise muss dazu gesagt werden, dass dies nicht direkt Microsofts Schuld ist. Viel mehr sind hier die Geheimdienste f\u00fcr ihren nicht verantwortungsvollen Umgang mit Schwachstellen schuldig. Dies ist jedoch ein Ausnahmefall: Microsoft arbeitete eng mit US-Geheimdiensten wie der NSA zusammen – das belegten Leaks von Edward Snowden schon vor Jahren.<\/p>\n

Ist Windows nun vertrauensw\u00fcrdig?<\/h3>\n

Letztendlich zeigen all diese Geschehnisse, dass in den USA durch die Geheimdienste ein sehr m\u00e4chtiger \u00dcberwachungsapparat existiert. Dieser zwingt Firmen sowohl zur Zusammenarbeit, als auch zum L\u00fcgen – denn \u00fcber die Zusammenarbeit mit den Geheimdiensten d\u00fcrfen auch die betroffenen Firmen nicht sprechen. F\u00fcr Demokratie und Rechtsstaat sind dies gef\u00e4hrliche Entwicklungen, wenn man die Monopolstellung des Konzerns bedenkt.<\/p>\n

Ob Windows nun sicher ist, kann mit letzter Sicherheit keiner sagen. Allerdings ist klar, dass US-Firmen gezielt zur \u00dcberwachung missbraucht werden – oder sogar eifrig mitarbeiten, wie bei Microsoft und verschiedenen anderen gro\u00dfen US-Konzernen. Jeweils nicht erst seit gestern. Datenschutztechnisch ist beispielsweise Windows 10 schon von Anfang an h\u00f6chst umstritten. Dies zeigt das grundlegende Problem von propriet\u00e4rer Software: Au\u00dfer dem Hersteller hat keiner die M\u00f6glichkeit nachzuvollziehen, ob die Software beispielsweise Hintert\u00fcren enth\u00e4lt oder nicht. Dar\u00fcber hinaus ist der Nutzer dem Hersteller vollst\u00e4ndig ausgeliefert – schlie\u00dflich kann er die Software h\u00f6chstens eingeschr\u00e4nkt an seine Bed\u00fcrfnissen anpassen.<\/p>\n

Im Gegensatz dazu steht quelloffene Software (Open Source) wie etwa Betriebssysteme auf Basis von Linux: Jeder kann sehen, wie die Software funktioniert, und sie sogar zu eigenen Zwecken ver\u00e4ndern. Dahinter steckt meist eine gro\u00dfe Gemeinschaft, statt nur eines Konzernes, der sein Produkt f\u00fcr m\u00f6glichst hohe Margen optimiert. Aufgrund der Geschichte muss daher davon ausgegangen werden, dass die Sicherheit und Vertrauensw\u00fcrdigkeit von Windows fragw\u00fcrdig ist. Dies gilt f\u00fcr andere Microsoft-Produkte eben so wie f\u00fcr US-Konzerne. Die definitiv sicherere Alternative ist daher, auf freie Alternativen auszuweichen. Hier besteht kein Profitzwang. Daher werden Datenschutz und Sicherheit f\u00fcr den Nutzer oft deutlich wichtiger erachtet, sowie respektiert. Nat\u00fcrlich kann es auch da mal passieren, dass ein qualitativ schlechteres Projekt dabei ist oder es sich (z.B. nach Wechsel der Verantwortlichen) in eine ung\u00fcnstige Richtung entwickelt. In dem Fall hat man allerdings die Kontrolle \u00fcber alles und kann wechseln – ohne von einem Konzern Steine in den Weg gelegt zu bekommen, weil er dadurch Umsatz einb\u00fc\u00dft.<\/p>\n

Der Staat ist besonders gef\u00e4hrdet<\/h3>\n

Zumindest in der \u00f6ffentlichen Verwaltung sollten wir uns von dieser Abh\u00e4ngigkeit von US-Software und vor allem Microsoft l\u00f6sen, schon alleine aus strategischen Gr\u00fcnden: Monopole werden schnell zum Nachteil der Kunden. Au\u00dferdem sollten wir nicht von einem Land abh\u00e4ngig sein, das kein Problem damit hat, befreundete L\u00e4nder zu \u00fcberwachen. Der Missbrauch ist bereits l\u00e4ngst erfolgt. Oder glaubt jemand ernsthaft, die USA spionieren das Regierungsviertel (!) und die Bundeskanzlerin (!!!) von Deutschland aus, um Terrorverd\u00e4chtige zu verhaften?<\/p>\n

Man kann der Regierung ja vieles vorwerfen, einiges durchaus zu recht. Aber das ist v\u00f6llig absurd und eine Gefahr, die uns alle angeht. Wenn ein privates Unternehmen sich von Microsoft abh\u00e4ngig macht, halte ich das strategisch ebenfalls f\u00fcr fragw\u00fcrdig. Das ist jedoch die freie Entscheidung von jedem. Eben so, wie man sich z.B. von McDonalds Burgern ern\u00e4hren oder Kettenraucher werden kann. Mit den Risiken und Konsequenzen muss man dann auf der anderen Seite leben und jeder kann wiederum entscheiden, ob er oder sie mit jemandem z.B. eine Beziehung eingehen m\u00f6chte, der Kettenraucher ist. Prinzipiell hat man diese Freiheit bei einem privaten Unternehmen auch. Im Zweifel mache ich keine Gesch\u00e4fte mit ihnen, wenn mir deren Praktiken, Prinzipien oder andere Dinge nicht passen.<\/p>\n

Beim Staat geht das aber halt nicht. Ein gewisses Minimum an Informationen muss der von jedem B\u00fcrger haben, um seine Aufgaben erf\u00fcllen zu k\u00f6nnen. Wenn ich z.B. einen neuen Personalausweis beantrage, m\u00fcssen Daten erhoben und \u00fcbermittelt werden. Als B\u00fcrger sollten wir alle ein Interesse daran haben, dass derartiges gesch\u00fctzt ist – sonst droht missbrauch. Und die Kosten f\u00fcr all das bezahlen wir schlie\u00dflich auch: Windows Lizenzen, Hardware, Support usw. Wir sollten also auch ein Interesse daran haben, dass dieses Geld m\u00f6glichst effizient im Sinne unserer Interessen eingesetzt wird. Wobei ich pers\u00f6nlich den Aspekt der Vertraulichkeit am wichtigsten finde. Selbst wenn freie Software XX% mehr kostet als Microsoft, sind wir damit aus den ganzen kritischen Themen rund um Datenweitergabe an Geheimdienste raus und haben kein Damoklesschwert \u00fcber dem Kopf.<\/p>\n

Hat man regional \u00fcbrigens schon versucht, z.B. LiMux in M\u00fcnchen. Ist weniger an technischen als viel mehr an politischen Gr\u00fcnden gescheitert. Wie sehr Microsoft das f\u00fcrchtet, zeigt der damalige Ex-Chef Steve Ballmer: Als der von M\u00fcnchens Pl\u00e4nen h\u00f6rte, unterbrach er seinen Skiurlaub, reiste nach M\u00fcnchen und versuchte mit einer Rabattschlacht, den Wechsel zu verhindern. Hat nur leider nicht funktioniert, weil der B\u00fcrgermeister diese Versuche durchschaute: Einmalige Rabatte sind sch\u00f6n und gut. Leider wenig nachhaltig, wenn Microsoft in ein paar Jahren die Unterst\u00fctzung der Windows-Version einstellt und daher neue Lizenzen (+ ggf. Ger\u00e4te) gekauft werden m\u00fcssen. Hat etwas von einem Drogendealer, der die erste Dosis g\u00fcnstiger verkauft oder gleich verschenkt. Auch der wei\u00df: Wenn sie s\u00fcchtig sind, kommen sie wieder – dann gibt es nat\u00fcrlich keine Gratisproben mehr. Da Software f\u00fcr das eingesetzte Betriebssystem entwickelt wird, ist hier ebenfalls eine gewisse Abh\u00e4ngigkeit gegeben.<\/p>\n

Quellen und weitere Informationen<\/h3>\n