Trusted Computing : Bundesamt hält Windows 8 nicht für "gefährlich"

Ist Windows 8 durch das sogenannte Trusted Computing ein Sicherheitsrisiko? Das BSI und Microsoft weisen einen entsprechenden Bericht von ZEIT ONLINE in Teilen zurück.
Windows 8 © Timothy A. Clary/AFP/Getty Images

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat einen Bericht von ZEIT ONLINE in Teilen zurückgewiesen, wonach das Microsoft-Betriebssystem Windows 8 wegen Sicherheitsbedenken nicht von Behörden, Unternehmen und Privatanwendern genutzt werden sollte. Zuvor hatte ZEIT ONLINE geschrieben, IT-Experten der Regierung hielten die Nutzung für "geradezu gefährlich". Begründet wurde die nicht öffentliche Warnung mit möglichen Hintertüren im sogenannten Trusted Computing, die vom amerikanischen Geheimdienst NSA ausgenutzt werden könnten. 

ZEIT ONLINE berief sich dabei auf interne Papiere aus dem Bundeswirtschaftsministerium, eines davon stammt von Anfang 2012. Darin heißt es mit Blick auf Windows 8 in Kombination mit TPM 2.0 (dem künftigen Standard für Trusted Computing): "Erhebliche Auswirkungen auf die IT-Sicherheit der Bundesverwaltung können damit einhergehen" und "Der Einsatz der 'Trusted-Computing'-Technik in dieser Ausprägung … ist für die Bundesverwaltung und für die Betreiber von kritischen Infrastrukturen nicht zu akzeptieren."

In einem anderen Dokument steht: "Windows 8 und dessen Nachfolger Windows 8.1 sowie das TPM 2.0 sind bereits heute aufgrund ihrer aktuellen technischen Spezifikation und Umsetzung hinsichtlich der fehlenden Kontrollierbarkeit und des damit verbundenen Widerspruchs zu den Eckpunkten der Bundesregierung in der Bundesverwaltung nicht einsetzbar."

Das Bundesamt widersprach nun dieser Einschätzung: "Das BSI warnt weder die Öffentlichkeit, deutsche Unternehmen noch die Bundesverwaltung vor einem Einsatz von Windows 8", teilte die Behörde in einer Stellungnahme mit.

"Bestimmte Risiken" für kritische Systeme

Im Kern geht es um eine Kombination der Software mit einem Hardware-Bestandteil, dem Trusted Plattform Module (TPM), das direkt im Chipset verbaut ist. Es soll zum Beispiel die Passwörter schützen und unerlaubten Zugriff auf den Rechner verhindern. Trusted Computing wird als Methode schon seit Jahren verwendet, um einen Computer etwa besser vor Schadsoftware schützen. "Für bestimmte Nutzergruppen kann der Einsatz von Windows 8 in Kombination mit einem TPM durchaus einen Sicherheitsgewinn bedeuten", erklärte das BSI. Das seien zum Beispiel private Nutzer, die sich nicht um die Sicherheit ihrer Systeme kümmern wollen oder können, "sondern dem Hersteller des Systems vertrauen, dass dieser eine sichere Lösung bereitstellt und pflegt. Dies ist ein berechtigtes Nutzungsszenario, der Hersteller sollte jedoch ausreichende Transparenz über die möglichen Einschränkungen der bereitgestellten Architektur und mögliche Folgen des Einsatzes schaffen."

Für kritische Systeme etwa in der Bundesverwaltung würden sich aber bestimmte Risiken wie Funktionsstörungen oder Sabotage ergeben, teilte das BSI mit.

"Das betrifft aber nur bestimmte Behörden, der Verfassungsschutz oder der BND sollten das System besser nicht nutzen", sagt Thomas Baumgärtner von Microsoft. Diese sollten das neue TPM 2.0 nachträglich ausschalten, was im Prinzip auch jeder Nutzer tun könne.

BSI kritisiert fehlendes Opt-in-Verfahren

Für normale Nutzer biete das TPM 2.0 ein "enormes Plus an Sicherheit", sagt Baumgärtner. Auch manche Linux-Systeme arbeiteten übrigens damit. "Seit Windows 2000 ist es absoluter Usus, dass nicht der Nutzer, sondern der Eigentümer Herr über den Rechner ist", sagt Baumgärtner. In vielen Firmen werde das auch sehr restriktiv gehandhabt.

Das BSI bemängelt in seiner Stellungnahme jedoch, dass der Nutzer nicht von vornherein bei einem neuen Rechner mit dem sogenannten Opt-in-Verfahren bewusst entscheiden kann, ob er die Technologie nutzen will oder nicht. "Wir sind allerdings überzeugt, dass dem Nutzer das nicht zuzumuten ist", sagte Baumgärtner. Microsoft sei dennoch im Gespräch mit den Behörden. "Möglicherweise müssen wir einfach noch mal die Vorteile besser herausstellen." 

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

39 Kommentare Seite 1 von 8 Kommentieren