Trusted ComputingBundesamt hält Windows 8 nicht für "gefährlich"

Ist Windows 8 durch das sogenannte Trusted Computing ein Sicherheitsrisiko? Das BSI und Microsoft weisen einen entsprechenden Bericht von ZEIT ONLINE in Teilen zurück.

Windows 8

Windows 8   |  © Timothy A. Clary/AFP/Getty Images

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat einen Bericht von ZEIT ONLINE in Teilen zurückgewiesen, wonach das Microsoft-Betriebssystem Windows 8 wegen Sicherheitsbedenken nicht von Behörden, Unternehmen und Privatanwendern genutzt werden sollte. Zuvor hatte ZEIT ONLINE geschrieben, IT-Experten der Regierung hielten die Nutzung für "geradezu gefährlich". Begründet wurde die nicht öffentliche Warnung mit möglichen Hintertüren im sogenannten Trusted Computing, die vom amerikanischen Geheimdienst NSA ausgenutzt werden könnten. 

ZEIT ONLINE berief sich dabei auf interne Papiere aus dem Bundeswirtschaftsministerium, eines davon stammt von Anfang 2012. Darin heißt es mit Blick auf Windows 8 in Kombination mit TPM 2.0 (dem künftigen Standard für Trusted Computing): "Erhebliche Auswirkungen auf die IT-Sicherheit der Bundesverwaltung können damit einhergehen" und "Der Einsatz der 'Trusted-Computing'-Technik in dieser Ausprägung … ist für die Bundesverwaltung und für die Betreiber von kritischen Infrastrukturen nicht zu akzeptieren."

Anzeige

In einem anderen Dokument steht: "Windows 8 und dessen Nachfolger Windows 8.1 sowie das TPM 2.0 sind bereits heute aufgrund ihrer aktuellen technischen Spezifikation und Umsetzung hinsichtlich der fehlenden Kontrollierbarkeit und des damit verbundenen Widerspruchs zu den Eckpunkten der Bundesregierung in der Bundesverwaltung nicht einsetzbar."

Das Bundesamt widersprach nun dieser Einschätzung: "Das BSI warnt weder die Öffentlichkeit, deutsche Unternehmen noch die Bundesverwaltung vor einem Einsatz von Windows 8", teilte die Behörde in einer Stellungnahme mit.

"Bestimmte Risiken" für kritische Systeme

Im Kern geht es um eine Kombination der Software mit einem Hardware-Bestandteil, dem Trusted Plattform Module (TPM), das direkt im Chipset verbaut ist. Es soll zum Beispiel die Passwörter schützen und unerlaubten Zugriff auf den Rechner verhindern. Trusted Computing wird als Methode schon seit Jahren verwendet, um einen Computer etwa besser vor Schadsoftware schützen. "Für bestimmte Nutzergruppen kann der Einsatz von Windows 8 in Kombination mit einem TPM durchaus einen Sicherheitsgewinn bedeuten", erklärte das BSI. Das seien zum Beispiel private Nutzer, die sich nicht um die Sicherheit ihrer Systeme kümmern wollen oder können, "sondern dem Hersteller des Systems vertrauen, dass dieser eine sichere Lösung bereitstellt und pflegt. Dies ist ein berechtigtes Nutzungsszenario, der Hersteller sollte jedoch ausreichende Transparenz über die möglichen Einschränkungen der bereitgestellten Architektur und mögliche Folgen des Einsatzes schaffen."

Für kritische Systeme etwa in der Bundesverwaltung würden sich aber bestimmte Risiken wie Funktionsstörungen oder Sabotage ergeben, teilte das BSI mit.

"Das betrifft aber nur bestimmte Behörden, der Verfassungsschutz oder der BND sollten das System besser nicht nutzen", sagt Thomas Baumgärtner von Microsoft. Diese sollten das neue TPM 2.0 nachträglich ausschalten, was im Prinzip auch jeder Nutzer tun könne.

BSI kritisiert fehlendes Opt-in-Verfahren

Für normale Nutzer biete das TPM 2.0 ein "enormes Plus an Sicherheit", sagt Baumgärtner. Auch manche Linux-Systeme arbeiteten übrigens damit. "Seit Windows 2000 ist es absoluter Usus, dass nicht der Nutzer, sondern der Eigentümer Herr über den Rechner ist", sagt Baumgärtner. In vielen Firmen werde das auch sehr restriktiv gehandhabt.

Das BSI bemängelt in seiner Stellungnahme jedoch, dass der Nutzer nicht von vornherein bei einem neuen Rechner mit dem sogenannten Opt-in-Verfahren bewusst entscheiden kann, ob er die Technologie nutzen will oder nicht. "Wir sind allerdings überzeugt, dass dem Nutzer das nicht zuzumuten ist", sagte Baumgärtner. Microsoft sei dennoch im Gespräch mit den Behörden. "Möglicherweise müssen wir einfach noch mal die Vorteile besser herausstellen." 

Zur Startseite
 
Leserkommentare
  1. ...ZEIT ONLINE in Teilen zurück."

    Danach braucht man eigentlich nicht weiterlesen, oder?

    21 Leserempfehlungen
  2. ... nur die Einschätzung der Gefährdung nicht. Aber was ist daran schon gefährlich, wenn die Hersteller unsere Rechner fernsteuern könnten. Schließlich hilft es beim Schutz vor Schadsoftware böser Krimineller. Die vor allem in Amerika ansässigen Firmen sind doch alle vertrauenswürdig!

    20 Leserempfehlungen
  3. weil es doch die Guten sind, die unsere Daten abzapfen. Außerdem war ich jetzt davon ausgegangen, dass die Debatte offiziell durch Pofalla und Friedrich beendet wurde und alles gut ist. Was erlauben Zeit? Es mal wieder typisch deutsch, sogar auf Neuland absolute Sicherheit zu fordern.

    17 Leserempfehlungen
    • Dr.Um
    • 22. August 2013 15:00 Uhr

    Hört genau hin, das Zeug taugt nur für "kritische Systeme" nicht.
    Privatpersonen setzen sich keinem Risiko aus.

    Auf deutsch: Wer sich auskennt und das Risiko beurteilen kann, lässt die Finger davon, alle anderen können es getrost benutzen.
    Dass Die Zeit aber auch immer gleich überreagieren muss...

    18 Leserempfehlungen
  4. "Das seien zum Beispiel private Nutzer, die sich nicht um die Sicherheit ihrer Systeme kümmern wollen oder können, "sondern dem Hersteller des Systems vertrauen(...)" "

    Steht alles da.

    6 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Ich kenne die Alternative mehrfach:

    Die Leute kommen dann zu mir, weil gar nichts mehr geht und wundern sich, warum ihr XP-Rechner, auf den sie auf Empfehlung diverser "Sicherheitsexperten" kein ServicePack installiert haben und die automatischen Updates deaktiviert haben, mehr Viren enthält als Programme und mehr Netzwerkverbindungen unterhält, als sie begreifen können.

    Was ist nun besser: Gartenzwergfotos im Zugriff der NSA oder tausende Rechner, über die faktisch unbekannte kriminelle Vereinigungen die Kontrolle haben?

    Nicht, dass ich Staatseingriffe gutheißen will, das IST ein Problem.
    Ständiges Gezetere darüber ohne Ansehen der gegenwärtigen Alternativen ist aber noch naiver als zu glauben, dass "der Staat" nur das beste für alle will.

    Und das dauernde Lamento über die ach so sicheren Linux-Derivate ist lachhaft. Ein offenes System ist für Geheimdienste und kriminelle Organisationen noch einfacher zu infiltrieren, vor allem, wenn Laien es in nennenswertem Umfang benutzen. Ein kleines Tool, ein nettes Spielchen und fertig is.

  5. wieder für Machenschaften dahinter ? So plötzlich nach dem Zeit-Artikel (Dank an die ZEIT dafür).

    Dass MS hier dementiert, kann man unkommentiert in die Tonne treten; aber warum zickt das BSI jetzt? Hängen die so am US-Tropf wie der BND an der NSA?

    Vermutlich darf man inzwischen bei allem das Schlimmste denken, um grad die halbe Wahrheit zu erahnen.

    16 Leserempfehlungen
  6. den Bundesamt samt Bundesregierung für gefährlich,
    da sie nichts gegen den NSA-Wahn tut, sondern uns vor Software warnt, die über Ihre Erlaubnis uns ausspionieren.

    7 Leserempfehlungen
  7. Das die NSA sich selber nicht für gefährlich hält darf man voraussetzen. EDas Selbe gilt für Mircrosoft. Klar das die ihr Betriebssystem für das Gelbe vom Ei halten und für das Beste was sie uns verkaufen können. Und klar auch dass die nach diesem Artikel die Öffentlickeit darüber informieren müssen, dass dem BSI da wohl eine Panne unterlaufen ist. Sprachregelung und PR im Sinne der Erfinder würde ich sagen.

    6 Leserempfehlungen

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE, dpa, pb
  • Schlagworte Microsoft | Bundesregierung | Bundeswirtschaftsministerium | Windows | Behörde | IT-Sicherheit
Service