Bedenken

Windows 8: Bundesregierung warnt vor behördlichem Einsatz

Trusted Computing Module erlaubt Zugriff auf Systeme
AAA
Teilen

Die Trusted Computing Group als Wurzel der SicherheitDie TCG als Wurzel der Sicherheit Die Bundes­regierung ist skep­tisch, was den Ein­satz von künf­tigen Windows-8-PCs in sicher­heits­rele­vanten Ein­rich­tungen anbe­langt, das berich­tet Zeit Online unter Berufung auf Doku­mente aus dem Wirtschafts­ministerium und des Bundes­amtes für Sicher­heit (BSI). Ein zen­traler Punkt ist dabei das Trusted Platform Module (TPM), das dazu gedacht ist, nur vertrauens­würdige Anwen­dungen auf einem Rechner auszu­führen. Es handele sich dabei aber um eine Techno­logie, die von ameri­kanischen Geheim­diensten - namentlich der NSA - beein­flusst worden sein könnte.

Trusted Platform Module ist fest im Rechner verbaut

Trusted Computing ist keine neue Technik. Sie dient dazu, auf einem Computer eine sichere Umgebung einzurichten, in der Regeln durchgesetzt werden können, nach denen Daten behandelt werden. Definiert wird der mehr als zehn Jahre alte Standard von der Trusted Computing Group. Sie wurde von verschiedenen amerikanischen Firmen gegründet. In den meisten Rechnern ist ein Chip eingebaut, der kryptografische Funktionen bereitstellt, das Trusted Platform Module, kurz TPM.

Dieses ist dabei so verbaut ist, dass es quasi untrennbar mit dem Computer verbunden, also beispielsweise auf dem Motherboard verlötet oder in einen anderen Chip integriert. Heute wird die Technik beispielsweise in Microsofts Laufwerksverschlüsselung Bitlocker eingesetzt. Der zur Entschlüsselung nötige Schlüssel wird dabei im TPM gespeichert.

TPM als Möglichkeit zur Durchsetzung von DRM

Die Spezifikationen, nach denen das Trusted-Plattform-Modell arbeitet, werden - wie erwähnt - vor allem von amerikanischen Firmen erarbeitet. Auch der Geheimdienst NSA, für die Sicherheit amerikanischer Behörden zuständig, soll ein Wörtchen mitgesprochen haben. Bei einem Treffen der Trusted Computing Group soll laut Zeit Online der Satz gefallen sein: "Die NSA ist einverstanden". Außerdem werden viele der Chips in China gefertigt. Es besteht folglich die Möglichkeit, dass die Hardware manipuliert ist, sodass auch die chinesische Regierung Zugriff auf die Rechner erhalten könnte.

Da das Betriebssystem die Funktionen des TPM steuert, könne letztlich Microsoft bestimmen, welche Software auf einem Computer ausgeführt werden darf. Denkbar wäre also, das TPM zum Durchsetzen von DRM - Digital Rights Management - zu nutzen. Der Hersteller des Betriebssystems könnte zum Beispiel festlegen, dass nur noch ein Programm aus seinem Hause auf dem Rechner installiert werden darf. Das ist vor allem aus wettbewerbsrechtlicher Sicht problematisch.

Ab 2015: Windows-Zertifizierung nur wenn TPM 2.0 unterstützt wird

Trusted-Computing-Module-Verwaltung auf einem Windows-8-Rechner Trusted-Computing-Module-Verwaltung auf einem Windows-8-Rechner Ab Januar 2015 fordert Microsoft zudem, dass Hersteller den TPM-2-Standard umsetzen, damit ihre Rechner für Windows zertifiziert werden. Das heißt, dass diese Technik vermutlich künftig schon von Haus aus aktiviert ist, der Nutzer sich also nicht entscheiden kann, ob er die Technik nutzen will oder nicht. Wer nachschauen will, ob die Technik bereits jetzt auf seinem Rechner aktiviert ist, der kann über den Ausführen-Dialog von Windows nach Eingabe des Befehls tpm.msc das Konfigurationsfenster aufrufen. Bei unserem Testrechner wurde uns gemeldet, dass kein solches Modul gefunden wurde. Hierbei sei aber darauf hingewiesen, dass Einstellungen an dieser Stelle nur verändert werden sollten, wenn das nötige Hintergrundwissen vorhanden ist. Microsoft selbst warnt, dass eine Deaktivierung des Moduls zu einem weniger sicherem System führe.

Trusted Platform: Diese Risiken sieht die Bundesregierung

Da der Einsatz eines TPM nicht von Haus aus eine böse Sache ist, empfiehlt das BSI Privatanwendern den Einsatz eines solchen Systems, solange wie beispielsweise sichergestellt werden kann, dass der Nutzer den vollen Zugriff auf seinen Computer zurückerlangen kann [Link entfernt] . Die Möglichkeit des Opt-Out fallen aber in der kommenden Spezifikation weg. Windows 7 ist laut den Dokumenten bis 2020 einsetzbar. Dann endet der offizielle Support von Microsoft für das Betriebssystem.

Aufgrund der erwähnten Bedenken warnen sowohl das BSI als auch das Bundeswirtschaftsministerium laut Zeit Online vor einem behördlichen Einsatz von Trusted-Computing-Systemen. In einem Papier von 2012, das der Zeitung vorliegt finden sich Sätze, wie: "Durch den Verlust der vollen Oberhoheit über Informationstechnik" seien "die Sicherheitsziele 'Vertraulichkeit' und 'Integrität' nicht mehr gewährleistet." oder "Erhebliche Auswirkungen auf die IT-Sicherheit der Bundesverwaltung können damit einhergehen."

Das Papier kommt zu dem Schluss, dass "der Einsatz der 'Trusted-Computing'-Technik in dieser Ausprägung ... für die Bundesverwaltung und für die Betreiber von kritischen Infrastrukturen nicht zu akzeptieren" ist. Ab 2020 müsse eine alternative Lösung für die IT-Infrastruktur der Verwaltungen gefunden werden. Die Münchener Stadtverwaltung hat die Umstellung ihrer Systeme auf ein Linux-basiertes Betriebssystem fast abgeschlossen.

Teilen

Mehr zum Thema Windows 8