Verdeckte Updates Windows-Hintertür gefährdet Internetverschlüsselung

Eine versteckte Windows-Funktion macht es möglich, die Verschlüsselung von Internetverbindungen auszuhebeln - das deckt nun die Fachzeitschrift "c't" auf. Geheimdienste wie die NSA könnten sich so in scheinbar sichere Verbindungen einklinken und sie belauschen, von E-Mail bis zum Onlinebanking.
Von Markus Böhm und Christian Stöcker
Windows-Logo: IT-Fachleute bemängeln allzu diskrete Updates der Sicherheitszertifikate

Windows-Logo: IT-Fachleute bemängeln allzu diskrete Updates der Sicherheitszertifikate

Foto: ? Lucas Jackson / Reuters/ REUTERS

Hamburg/Hannover - Die Abhörskandale rund um Prism und Tempora - sie haben das Vertrauen in die Sicherheit von Kommunikation im Netz grundsätzlich erschüttert. Die Verschlüsselung digitaler Datenübertragung aber schien bisher noch weitgehenden Schutz vor Überwachung zu bieten. Doch Verbindungen im Web, die nach dem sogenannten SSL-Standard verschlüsselt sind, bieten keinen vollkommenen Schutz - ein Grund ist eine Hintertür im Betriebssystem Windows, die es ermöglichen könnte, vom Nutzer unbemerkt neue, potentiell fragwürdige Stammzertifikate zu installieren.

"Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen" - das ist das Ergebnis einer Untersuchung der IT-Fachzeitschrift "c't". Zwei Autoren haben sich in der aktuellen Ausgabe mit den Windows-Stammzertifizierungsstellen beschäftigt . Ihre Kritik zielt dabei auf das sogenannte Automatic Root Certificates Update , eine öffentlich bislang wenig diskutierte Funktion des Betriebssystems.

Die Update-Funktion ermögliche es Microsoft, die systemeigene Liste der sogenannten Stammzertifikate jederzeit zu aktualisieren, unsichtbar im Hintergrund und ohne Zutun des Nutzers, berichtet die "c't". Seit einigen Jahren sei die Funktion standardmäßig bei allen Windows-Versionen aktiviert.

Zertifikate sind eine Art Netzwerk-Ausweis: Zeigt eine Website ein von einer vertrauenswürdigen Stelle ausgestelltes Zertifikat vor, wird als sichergestellt angenommen, dass die Seite echt ist. Regelmäßige Surfer haben vermutlich schon einmal von ihrem Browser eine Warnung bekommen: "Dieser Verbindung wird nicht vertraut". In diesem Fall weist sich die Seite mit einem vom eigenen Rechner nicht als vertrauenswürdig akzeptierten Zertifikat aus.

Vertrauenswürdige Netz-Ausweise kann nicht jeder ausstellen

Ausgestellt werden die Netz-Ausweise von sogenannten Certificate Authorities (CA). Dazu gehören IT-Firmen wie Microsoft selbst, das US-Unternehmen VeriSign, die deutsche Telekom  und Datev, aber auch Regierungsbehörden diverser Staaten und Finanzdienstleister wie Visa und Wells Fargo. Microsoft betreibt ein Root Certificate Program, für das sich einzelne CAs bewerben können, um in die offizielle Windows-Liste  aufgenommen zu werden. Microsoft erklärte, man verlange von allen dort aufgeführten CAs, "dass sie einen rigorosen Bewerbungsprozess durchlaufen und technische Anforderungen einhalten". Die CAs würden zudem regelmäßigen Überprüfungen unterzogen und im Zweifel aus der Liste entfernt.

Das Bedenkliche an den automatischen Updates in Microsofts Windows ist der "c't" zufolge jedoch: Zusätzliche CAs könnten auf diesem Weg "selektiv und quasi unsichtbar auf einzelnen PC nachinstalliert werden". Auf diesem Wege ließe sich mit etwas Aufwand zum Beispiel die SSL-Verschlüsselung bestimmter Verbindungen aushebeln - Geheimdienste wie die NSA hätten die Chance, sich in Verbindungen einzuklinken.

Röhren vs. offene Kanäle

Verbindungen, die mit dem Standard SSL (secure sockets layer) verschlüsselt sind, werden stets auf Basis solcher Zertifikate hergestellt. SSL-verschlüsselte Verbindungen erkennt man an einem kleinen Vorhängeschlosssymbol vorn in der Browser-Adresszeile und dem Kürzel https (statt http).

Fast alles, was im Netz als sicherheitsrelevant gilt - von der Verbindung zum eigenen E-Mail-Dienstleister bis hin zum Onlinebanking - wird über solche verschlüsselten Verbindungen abgewickelt. Das liegt daran, dass die Datenströme des Internets sonst wie offene Kanäle sind. Wer an den Kanal herankommt, kann hineinsehen, etwas herausfischen: E-Mails etwa, oder Banktransaktionen. Erst wenn man die Verbindung verschlüsselt, wird aus dem offenen Kanal eine geschlossene Röhre.

E-Mails entschlüsseln, Trojaner unterjubeln

Dass die US-Sicherheitsbehörden sich durchaus für das Knacken von SSL-verschlüsselten Verbindungen interessieren, berichtete "Cnet"  erst vergangene Woche. Vertreter von Regierungsbehörden würden Internetunternehmen in den USA unter Druck setzen, um an die sogenannten Master Keys für SSL-Verschlüsselung zu kommen, General-Nachschlüssel für die gesicherten Verbindungen gewissermaßen, berichtete der IT-Fachdienst.

Wer die Zertifikatslisten manipulieren kann, auf die sich ein Betriebssystem verlässt, kann sogar noch mehr tun, als nur die Verschlüsselung gesicherter Verbindungen knacken und mit einer sogenannten Man-in-the-Middle-Attacke ausspähen: Mit so untergeschobenen Zertifikaten könnte man etwa auch "S/MIME-verschlüsselte Mails kompromittieren oder Trojaner so signieren, dass sie als legitime Treiber-Software durchgehen", so Micha Borrmann und Jürgen Schmidt in der "c't".

Auch Safari- und Chrome-Nutzer betroffen

Die beschriebene Windows-Hintertür betrifft demnach nicht nur Nutzer des Microsoft-Browsers Internet Explorer. Auch Chrome und Safari greifen der "c't" zufolge auf die Krypto-Infrastruktur des Betriebssystems zurück. Firefox  dagegen bringe eigene Krypto-Bibliotheken mit. Wer den Mozilla-Browser nutzt, ist von der Windows-Update-Funktion also beim Web-Browsern nicht betroffen.

Ausschalten lassen sich die automatischen Updates "c't" zufolge mit Hilfe einer Gruppenrichtlinie , was Laien nicht zu empfehlen ist. Beim Betriebssystem Windows 8 etwa soll diese Maßnahme im Surf-Alltag zudem leicht zu Problemen führen: Weil Windows 8 nur einen reduzierten Satz Stammzertifikate mitbringt, verursache beispielsweise schon der Aufruf von Telesec.de  mit einem Windows mit der entsprechenden Gruppenrichtlinie einen Fehler in allen drei betroffenen Browsern. Firefox dagegen vertraut der Telekom-Website von Haus aus.

Microsoft steht seit den Enthüllungen des NSA-Whistleblowers Edward Snowden in der Kritik. Der Konzern hat vom britischen "Guardian" eingesehenen NSA-Dokumenten zufolge dem US-Geheimdienst und dem FBI beispielsweise Zugriff auf vermeintlich verschlüsselte Internettelefonate über den Microsoft-eigenen Dienst Skype verschafft. Auch die Verschlüsselung von Chats und E-Mails auf Outlook.com soll Microsoft auf Wunsch der US-Sicherheitsbehörden umgangen haben.

Die "c't"-Journalisten beklagen: "Auf unsere Fragen, warum man zusätzlich einen dynamischen Nachlade-Mechanismus implementiert hat, antwortete Microsoft nicht."

Auf Nachfrage von SPIEGEL ONLINE verwies das Unternehmen auf einen Blog-Eintrag , der im Anschluss an die Microsoft-Enthüllungen aus Edward Snowdens Fundus veröffentlicht worden war. Darin heißt es unter anderem: "Microsoft gibt keiner Regierung direkten und uneingeschränkten Zugang zu den Daten unserer Kunden. Microsoft greift nur die spezifischen Daten heraus und gibt sie weiter, die von der relevanten juristischen Anordnung abgedeckt sind." Die Antwort auf die konkrete Nachfrage, ob Microsoft jemals Sicherheitsbehörden dabei unterstützt hat, eine SSL-Verschlüsselung auszuhebeln, steht noch aus.

Mehr lesen über

Microsoft Kryptografie NSA-Überwachung National Security Agency (NSA) Überwachung Tempora NSA-Programm Prism Computersicherheit Betriebssysteme

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren
Mehrfachnutzung erkannt
Bitte beachten Sie: Die zeitgleiche Nutzung von SPIEGEL+-Inhalten ist auf ein Gerät beschränkt. Wir behalten uns vor, die Mehrfachnutzung zukünftig technisch zu unterbinden.
Sie möchten SPIEGEL+ auf mehreren Geräten zeitgleich nutzen? Zu unseren Angeboten