Bundesamt für Sicherheit in der Informationstechnik mit Stellungnahme zu Windows 8
von caschy | 5 Kommentare
Die Onlineausgabe der ZEIT hatte vorgestern einen ziemlich interessanten, aber auch diskussionswürdigen Titel veröffentlicht. Dem Magazin lägen Papiere des Bundesamts für Sicherheit in der Informationstechnik vor, in denen vor Windows 8 gewarnt wird. Stichwort: Trusted Computing Plattform und vielleicht sogar NSA-Backdoor. Damit hat man natürlich erst einmal Aufmerksamkeit geweckt.
Wer die Muße hat, darf sich den Titel gerne durchlesen. Kurz: TPM wäre ab 2015 verpflichtend und anscheinend nicht zu deaktivieren. Richtig ist: die Windows 8.1-Zertifizierung in Sachen Hardware schreibt ab 2015 einen TPM 2.0 Chip verpflichtend vor – allerdings kann dieser deaktiviert werden oder sein, er muss nicht mal bei Auslieferung aktiv sein, es ist lediglich die Empfehlung diesen aktiv auszuliefern. ”It is recommended the TPM state when shipped is enabled and activated“ (siehe auch). Die Behörden, die auf diese Voraussetzung Wert legen, können – wie in der Vergangenheit übrigens auch, entsprechende Lösungen bei den Herstellern ordern, die auf die speziellen Anforderungen zugeschnitten sind. Auch das Bundesamt für Sicherheit in der Informationstechnik nimmt nun Stellung zur Thematik.
[werbung]
Zitat:
Medien berichten derzeit zum Thema Windows 8 und Trusted Platform Module (TPM), dass die Bundesregierung vor Windows 8 warne. Der Berichterstattung zufolge halten „IT-Experten des Bundes Windows 8 für geradezu gefährlich“. In Medien wird unter anderem auf ein Papier des Bundeswirtschaftsministeriums (BMWi) verwiesen und konstatiert: „Die zuständigen Fachleute im Bundeswirtschaftsministerium, in der Bundesverwaltung und beim BSI warnen denn auch unmissverständlich vor dem Einsatz von Trusted Computing der neuen Generation in deutschen Behörden.“
Das Bundesamt für Sicherheit in der Informationstechnik teilt mit, dass man keinesfalls vor Windows 8 warne. Weder die Öffentlichkeit, deutsche Unternehmen noch die Bundesverwaltung. Das BSI sieht derzeit jedoch einige kritische Aspekte im Zusammenhang mit bestimmten Einsatzszenarien, in denen Windows 8 in Kombination mit einer Hardware betrieben wird, die über ein TPM 2.0 verfügt.
Weiterhin teilt man mit, dass der Einsatz von Windows 8 in Kombination mit einem TPM durchaus einen Sicherheitsgewinn bedeuten kann. Diesen Gewinn sieht man bei Anwendern, die sich aus verschiedenen Gründen nicht um die Sicherheit ihrer Systeme kümmern können oder wollen, sondern dem Hersteller des Systems vertrauen, dass dieser eine sichere Lösung bereitstellt und pflegt. Also nichts für unsere Staatsrechner.
Weiterhin heißt es:
Aus Sicht des BSI geht der Einsatz von Windows 8 in Kombination mit einem TPM 2.0 mit einem Verlust an Kontrolle über das verwendete Betriebssystem und die eingesetzte Hardware einher. Daraus ergeben sich für die Anwender, speziell auch für die Bundesverwaltung und kritische Infrastrukturen, neue Risiken. Insbesondere können auf einer Hardware, die mit einem TPM 2.0 betrieben wird, mit Windows 8 *durch unbeabsichtigte Fehler des Hardware- oder Betriebssystemherstellers, aber auch des Eigentümers des IT-Systems Fehlerzustände entstehen*,die einen weiteren Betrieb des Systems verhindern. Dies kann soweit führen, dass im Fehlerfall neben dem Betriebssystem auch die eingesetzte Hardware dauerhaft nicht mehr einsetzbar ist.
Damit diese Voraussetzungen auch weiterhin mit Windows und dem Trusted Platform Module erreicht werden können, bleibt das BSI mit der Trusted Computing Group ebenso wie mit den Herstellern von Betriebssystemen und Hardware im Austausch, um für die Anwender sowie auch für den Einsatz in der Bundesverwaltung und in kritischen Infrastrukturen geeignete Lösungen zu finden.
Was ich daraus lese: Man warnt doch vor TPM 2.0, aber eher durch die Blume. Windows 7 hat noch bis 2020 Support durch Microsoft und bis dahin werden sich die IT-Spezialisten des Landes sicherlich ihre Gedanken gemacht haben. Hardware-Hersteller müssen spezielle Lösungen anbieten, damit sensible Umgebungen, wie Behörden, einfach unantastbar sind, in jeglicher Form. Und wenn der Hardware-Hersteller oder der Systemanbieter keine Lösungen liefern, dann muss man alternativ tätig werden.
Microsoft, du hast es schon nicht leicht momentan!
*Fett markiert: Lacher im Text: Fehler können Fehler verursachen, aha!
Wird geladen ...
Naja, der Satz ist schon sinnvoll (wenn auch etwas verschwurbelt):
Es geht darum, dass bei einem Fehler (des Nutzers oder des Betriebssystems) eventuell nicht mehr auf den Rechner zugegriffen werden kann – also so, wie wenn du Daten verschlüsselst und dann das Passwort vergisst. Nur dass halt im Falle von TPM dann der ganze Rechner schrott ist.
Gibt es schon Rechner mit diesem Chip?
Wie kann ich sowas feststellen?
Hat das vielleicht was mit der fest hinterlegten W8-Lizenz auf neuen Rechnern ohne separate W8-Seriennummer zu tun?
Wie kann man sowas ausschalten?
Gibt es das auch schon in W7?
SOWAS wär jetzt mal interessant!
Ich frag‘ mich ob bei der Zeit eigentlich jeder seinen Müll abladen darf. So wie ich die Sache sehe wollte das BSI lediglich darauf hinweisen, dass TPM 2.0 eine Gefahr darstellt wenn es keine Möglichkeit mehr zu Abschaltung (Opt-Out) gibt. Das geht auch aus der Reaktion des BSI auf den Artikel hervor https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/Windows_TPM_Pl_21082013.html. Was das ganze gerede von NSA und Hintertüren angeht ist das mehr als wirr. Die NSA und BND kann mit Unterstützung von $beliebigerOShersteller$ auch ohne TPM Rechnersystem ausspähen (auch schon passiert). Mit nicht-deaktivierbarem TPM wird es natürlich schwerer solche Software zu analysieren und das hat das BSI ja auch erkannt. Letztendlich kann doch Linux auch keine Lösung, weil vermutlich aufgrund seiner offenen Struktur, gar keine TPM-Unterstützung vergeben wird.