Hintertür für die NSA?

Windows hat eine klaffende Sicherheitslücke in der SSL-Verschlüsselung

Das dynamische Zertifikate-Update in Windows gefährdet die SSL-Verschlüsselung. Durch die versteckte Windows-Funktion könnten Geheimdienste wie die NSA Emails, Online-Banking und Internetnutzung ausspähen.

NSA-Hintertür: Es gibt eine Sicherheitslücke in der SSL-Verschlüsselung von Windows.

© Sergey Nivens - Fotolia.com

NSA-Hintertür: Es gibt eine Sicherheitslücke in der SSL-Verschlüsselung von Windows.

Nach den Enthüllungen von Edward Snowden zu dem NSA-Abhörprogramm PRISM und der Zusammenarbeit von Microsoft und der NSA steht die Datensicherheit bei der Internetnutznung zunehmend in der Kritik. Nun decken zwei Mitarbeiter des c't-Magazins eine weitere Sicherheitslücke für potentielle Spionageaktionen auf.

Dabei geht es um die SSL-Verschlüsselung, mit deren Hilfe die Verbindungen im Netz und somit signifikante Daten vor Fremdnutzung und Einblicken Dritter geschützt werden sollen. Allerdings sind diese Verschlüsselungen scheinbar nicht so vertrauenswürdig, wie bisher angenommen. Seit einigen Jahren hält Microsoft offenbar ein Hintertürchen offen, bewusst oder unbewusst.

"Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen". So die Kollegen vom c't-Magazin . Bei diversen https-Verbindungen und dem Übertragen von sensiblen Daten kommen Zertifikate zum Einsatz, die von bestimmten Zertifizierungsstellen, sogenannten Certificate Authorities (CA), validiert werden müssen. Diese Stammzertifikate werden von jedem Browser mit einer Liste verglichen. Der Internetexplorer, aber auch Googles Chrome und Apples Safari greifen dabei auf die Microsoft-eigene Liste von Windows zu.

Das wäre auch nicht weiter problematisch, wären da nicht die dynamischen Zertifikate-Updates (Automatic Root Certificate Updates), welche Microsoft bereits vor einigen Jahren ins Leben gerufen hat und seitdem als Standardeinstellung implementiert. Diese Updates ermöglichen es, die Liste individuell zu aktualisieren, falls das benötigte Zertifikat gerade nicht zur Hand ist. Der ganze Prozess findet im Systemhintergrund statt, ohne dass der Nutzer etwas davon mitbekommt, geschweige denn, dass Zertifikate-Donloads akzeptiert werden müssen.

In den letzten Jahren kamen den Automatic Root Certificate Updates nicht viel Aufmerksamkeit entgegen. Mit den derzeitigen Informationen über die NSA, PRISM und Co. liegt jedoch nahe, dass diese Hintertür seitens Microsoft geradezu eine Einladung für Spähprogramme und Geheimdienste sein könnte. Umgangen werden kann die Sicherheitslücke durch eine Gruppenrichtlinie, die sich mit dem Editor gpedit.msc erstellen lässt. Dies sei laut c't dem Laie allerdings nicht zu empfehlen, da es zu größeren Problemen beim Surfen kommen kann. Eine Alternative wäre das Surfen mit Mozillas Firefox, der auf eine eigene Struktur zugreift und von automatischen Updates nicht betroffen ist. Tipp: Wie Sie Ihre E-Mails sicher verschlüsseln , um sich vor der NSA zu schützen, das erfahren Sie hier.

Mehr zum Thema

Sexy Frau räkelt sich auf Ledersofa
The Fappening 2

Am Wochenende sind erneut Nacktbilder weiblicher Promis aufgetaucht, die aus deren iCloud-Accounts entwendet wurden. Jennifer Lawrence trifft es dabei…
Dropbox, Filesharing, Online-Dienst
Cloud-Passwörter geleakt

Unbekannte sollen die Daten von 7 Millionen Dropbox-Nutzern im Netz veröffentlicht haben. Der Cloudspeicher-Dienst versichert, dass die eigenen…
Whatsapp - blaue Haken
Blaue Haken

MIt blauen Haken zeigt Whatsapp nun, ob eine Nachricht gelesen wurde. Viele Nutzer reagieren erbost - andere nehmen das Update mit Humor.
Telekom-Logo
Telekom-Rechnung

Die Deutsche Telekom warnt wieder vor E-Mails, die sich als Telekom-Rechnungen tarnen. Mittlerweile existieren sogar Schreiben, in denen Betroffene…
Facebook-Logo
Verbraucherzentrale reicht's

Die neuen Facebook-Nutzungsbedingungen verstoßen laut Verbraucherschützern gegen deutsches Recht. Der Verbraucherzentrale Bundesverband mahnt…