Nach den Enthüllungen von Edward Snowden zu dem NSA-Abhörprogramm PRISM und der Zusammenarbeit von Microsoft und der NSA steht die Datensicherheit bei der Internetnutznung zunehmend in der Kritik. Nun decken zwei Mitarbeiter des c't-Magazins eine weitere Sicherheitslücke für potentielle Spionageaktionen auf.
Dabei geht es um die SSL-Verschlüsselung, mit deren Hilfe die Verbindungen im Netz und somit signifikante Daten vor Fremdnutzung und Einblicken Dritter geschützt werden sollen. Allerdings sind diese Verschlüsselungen scheinbar nicht so vertrauenswürdig, wie bisher angenommen. Seit einigen Jahren hält Microsoft offenbar ein Hintertürchen offen, bewusst oder unbewusst.
"Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen". So die Kollegen vom c't-Magazin . Bei diversen https-Verbindungen und dem Übertragen von sensiblen Daten kommen Zertifikate zum Einsatz, die von bestimmten Zertifizierungsstellen, sogenannten Certificate Authorities (CA), validiert werden müssen. Diese Stammzertifikate werden von jedem Browser mit einer Liste verglichen. Der Internetexplorer, aber auch Googles Chrome und Apples Safari greifen dabei auf die Microsoft-eigene Liste von Windows zu.
Das wäre auch nicht weiter problematisch, wären da nicht die dynamischen Zertifikate-Updates (Automatic Root Certificate Updates), welche Microsoft bereits vor einigen Jahren ins Leben gerufen hat und seitdem als Standardeinstellung implementiert. Diese Updates ermöglichen es, die Liste individuell zu aktualisieren, falls das benötigte Zertifikat gerade nicht zur Hand ist. Der ganze Prozess findet im Systemhintergrund statt, ohne dass der Nutzer etwas davon mitbekommt, geschweige denn, dass Zertifikate-Donloads akzeptiert werden müssen.
In den letzten Jahren kamen den Automatic Root Certificate Updates nicht viel Aufmerksamkeit entgegen. Mit den derzeitigen Informationen über die NSA, PRISM und Co. liegt jedoch nahe, dass diese Hintertür seitens Microsoft geradezu eine Einladung für Spähprogramme und Geheimdienste sein könnte. Umgangen werden kann die Sicherheitslücke durch eine Gruppenrichtlinie, die sich mit dem Editor gpedit.msc erstellen lässt. Dies sei laut c't dem Laie allerdings nicht zu empfehlen, da es zu größeren Problemen beim Surfen kommen kann. Eine Alternative wäre das Surfen mit Mozillas Firefox, der auf eine eigene Struktur zugreift und von automatischen Updates nicht betroffen ist. Tipp: Wie Sie Ihre E-Mails sicher verschlüsseln , um sich vor der NSA zu schützen, das erfahren Sie hier.