Werbung
Der Bericht von Zeit Online, nachdem die Bundesregierung vor dem Einsatz von Windows 8 warnt, hat für rege Diskussionen gesorgt. Das Online-Portal bezog sich in seinem Text auf mehrere interne Dokumente von IT-Experten des Bundes, unter anderem beschäftigt beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Nach deren Einschätzung würde das Betriebssystem eine nicht verschließbare Hintertür enthalten, durch die Microsoft und die NSA Zugriff auf jeden unter Windows 8 laufenden Rechner hätten. Das Fazit des Bundeswirtschaftsministeriums: „Durch den Verlust der vollen Oberhoheit über Informationstechnik" seien "die Sicherheitsziele 'Vertraulichkeit' und 'Integrität' nicht mehr gewährleistet“ und „Der Einsatz der 'Trusted-Computing'-Technik in dieser Ausprägung … ist für die Bundesverwaltung und für die Betreiber von kritischen Infrastrukturen nicht zu akzeptieren“.
Drei Tage später hat das BSI den Bericht nun in Teilen zurückgewiesen. In einer Stellungnahme heißt es, man „warnt weder die Öffentlichkeit, deutsche Unternehmen noch die Bundesverwaltung vor einem Einsatz von Windows 8“. Allerdings relativiert das Bundesamt die Aussage an verschiedenen Stellen des gleichen Textes mehrfach. Denn unter anderem verweist man auf „einige kritische Aspekte im Zusammenhang mit bestimmten Einsatzszenarien, in denen Windows 8 in Kombination mit einer Hardware betrieben wird, die über ein TPM 2.0 verfügt“ und den „Verlust an Kontrolle über das verwendete Betriebssystem und die eingesetzte Hardware“. Gerade letzteres bedeute, dass „kritische Infrastrukturen“ besonderen Gefahren ausgesetzt sind. Denn hinter diesen verbergen sich laut BSI nicht nur Systeme in Unternehmen, sondern auch solche der Bundesverwaltung.
Im schlimmsten Falle, so die Einschätzung, seien Soft- und Hardware nicht mehr einsetzbar, eine Situation, die „weder für die Bundesverwaltung noch für andere Anwender akzeptabel“ sei. Abschließend heißt es, dass man gemeinsam mit der Trusted Computing Group und Hard- und Software-Herstellern nach „geeignete Lösungen“ für „kritische Infrastrukturen“ suche. Zwar werden die Begriffe Hintertür und NSA nicht verwendet, der Wortlauf der Erklärung ist allerdings unmissverständlich: Für Systeme mit sensiblen Daten ist Windows 8 im Zusammenspiel mit TPM (Trusted Platform Module) keine geeignete Lösung. Die Frage lautet deshalb, warum das BSI, das laut Zeit Online selbst Teile der ursprünglichen Dokumente verfasst hat, eben diese zurückweist, gleichzeitig aber exakt diese Gefahren im gleichen Atemzug wiederholt.
Update: Auf Nachfrage erklärte BSI-Sprecher Matthias Gärtner gegenüber Hardwareluxx, dass man den ersten Bericht aufgrund zweier Umstände in Teilen zurückweise. Denn einerseits handele es sich um eine noch nicht vorhandene Gefahr, da TPM 2 bislang nicht verabschiedet sei, zum anderen sei der Begriff „Warnung" im Falle des BSI juristisch klar definiert. Diese werden beispielsweise über das Portal "BSI für Bürger" ausgesprochen und beziehen sich auf konkrete Schwachstellen, die ausgenutzt werden können.
Gärtner bestätigte aber, dass es in Bezug auf den Bericht kritische Aspekte geben könnte, sollte TPM 2 wie geplant umgesetzt werden. Der Informationsaustausch, den das BSI mit verschiedenen Software-Herstellern betreibt, sei eine große Hilfe und stoße auf Seiten der Industrie auf Interesse, nicht zuletzt aufgrund der hierzulande vergleichsweise strengen Datenschutzgesetze.