SPIEGEL ONLINE

SPIEGEL ONLINE

14. November 2013, 12:18 Uhr

NSA-Enthüllungen

Microsoft schaltet unsichere Verschlüsselung RC4 ab

Über die veraltete Verschlüsselungstechnik RC4 besteht der Verdacht, dass der US-Geheimdienst NSA sie in Echtzeit knacken kann. Mit einem Softwareupdate will Microsoft den Standard nun aus Windows tilgen. Auch das Bundesamt für Sicherheit in der Informationstechnik verabschiedet sich von RC4.

Im monatlichen Patchday von Microsoft wird ein nicht zuletzt durch die Enthüllungen von Edward Snowden bekannt gewordenes Sicherheitsproblem berührt: die veraltete Verschlüsselungstechnik RC4. Nutzern ist sie durch Standards wie https, WEP oder WPA bekannt. Dieser Algorithmus gilt schon seit längerem nicht mehr als verlässlich, weshalb mehrere Sicherheitsexperten zum RC4-Verzicht drängten. Dem schließt sich Microsoft nun an. In Microsofts Sicherheitsempfehlung 2868725 wird nun zum Herunterladen und Installieren des entsprechenden Updates aufgefordert, das RC4 entfernt.

Beim Windows-Update wird RC4 bei Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT abgeschaltet. Wie wichtig diese Nachrüstung ist, zeigt der Umstand, dass der Standard im Netz sehr weit verbreitet ist. Laut "Winfuture" war bei einem Test von fünf Millionen Websites zwar nur bei 3,9 Prozent RC4 zwingend erforderlich. Doch weitere 43 Prozent setzten nach wie vor bevorzugt auf das Verfahren.

Zu denen, die bereits umgestellt haben, gehört seit Mittwoch auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die staatlichen Sicherheitstechniker rüsteten die amtseigenen Server und die von bund.de derart um, dass RC4-Verschlüsselungen nicht mehr akzeptiert werden. Wie "Heise" berichtet, besteht dagegen im besonders sensiblen Bereich des Online-Bankings noch gehöriger Nachholbedarf. Bis in jüngste Zeit setzten noch viele Banken auf das unsichere Verfahren. Grund sei die Zusammenarbeit mit dem IT-Dienstleister Fiducia, der bei den von ihm betreuten Webseiten, etwa von Volksbanken und Raiffeisenbanken, einzig auf RC4 setzte.

In einem Update berichtet Heise am Donnerstagvormittag jedoch: "Auch die Volksbanken respektive Fiducia haben nachgebessert."

meu

URL:


© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung