Wie vertrauenswürdig ist Microsoft? Für die Bundesverwaltung und alle deutschen Behörden, Unternehmen und Privatanwender, die auch in Zukunft mit dem Betriebssystem Windows arbeiten wollen, stellt sich diese Frage heute mehr denn je. Denn früher oder später müssten sie Windows 8 oder dessen Nachfolger verwenden. Aus Dokumenten, die ZEIT ONLINE vorliegen, geht aber hervor, dass die IT-Experten des Bundes Windows 8 für geradezu gefährlich halten. Das Betriebssystem enthält ihrer Ansicht nach eine Hintertür, die nicht verschlossen werden kann. Diese Hintertür heißt Trusted Computing und könnte zur Folge haben, dass Microsoft jeden Computer aus der Ferne steuern und kontrollieren kann. Und damit auch die NSA.
Trusted Computing ist alles andere als ein neues Phänomen. Seit rund zehn Jahren ist die Technik auf dem Markt. Vereinfacht gesagt, geht es dabei um den Versuch, den Rechner vor Manipulationen durch Dritte zu schützen, zum Beispiel vor Viren und Trojanern. Der Benutzer soll sich dabei um nichts mehr kümmern müssen. Um das zu erreichen, braucht es erstens einen speziellen Chip, der Trusted Platform Module (TPM) genannt wird, und zweitens ein darauf abgestimmtes Betriebssystem. Zusammen regeln sie unter anderem, welche Software der Nutzer auf einem Computer installieren darf und welche nicht. Wie das genau funktioniert und welche Funktionen sonst noch zum Trusted Computing gehören, wird zum Beispiel hier und hier erklärt.
Die Art und Weise, wie der Chip und das Betriebssystem zusammenarbeiten, ist standardisiert. Die entsprechende Spezifikation wird von der Trusted Computing Group (TCG) festgelegt. Die TCG wurde vor zehn Jahren von Microsoft, Intel, Cisco, AMD, Hewlett-Packard und Wave Systems gegründet - allesamt US-Unternehmen.
Diese Neuerungen bietet Windows 8
Windows 8 sieht schon auf den ersten Blick anders aus: Microsoft übernimmt aus seinem mobilen Betriebssystem das Kachel-Design. Auf dem Desktop liegen nun rechteckige Flächen, in denen Nutzer zum Beispiel Programme sortieren können. Und in den sogenannten Live-Kacheln werden Inhalte in Echtzeit aktualisiert – ob der Wetterbericht aus dem Netz oder die Mitteilung über neu eingetroffene E-Mails. Die bekannte Taskleiste samt dem mit Windows 95 eingeführten Startknopf verschwindet dagegen.
Microsoft hat Windows 8 für die Nutzung per Touchscreen angepasst. Anwender können mit den Fingern navigieren, wenn ihr Rechner einen berührungsempfindlichen Bildschirm hat, aber auch klassisch mit Maus und Tastatur. Dass beides in einem Gerät vereint sein kann, zeigen etliche neue Modelle, die Tablet-Computer und Notebook in einem sind.
Apple lässt grüßen: Microsoft hat für sein neues System den „Windows Store“ eingerichtet. Über die Plattform können Entwickler Apps verbreiten, die für Touchscreens optimiert sind. Auch Spiele werden angeboten.
Schon beim Start wird es deutlich: Microsoft integriert seine Cloud-Angebote nahtlos in das neue Betriebssystem. Nutzer können sich künftig mit ihren Daten vom Online-Dienst Windows Live am Rechner einloggen. Damit haben sie direkten Zugriff beispielsweise auf den Online-Speicher Skydrive, außerdem lassen sich die persönlichen Einstellungen und der Browser-Verlauf zwischen verschiedenen Rechnern synchronisieren.
Microsoft hat große Teile seines Software-Pakets Security Essentials in Windows 8 integriert. Der Wächter soll vor Viren und Trojanern schützen.
Mit Windows 8 unterstützt Microsoft erstmals nicht nur die traditionellen x86-Chips von Intel und AMD, die in PCs laufen: Erstmals läuft das Betriebssystem auch auf der ARM-Architektur. Diese kommt in Tablet-Computern zum Einsatz, etwa dem iPad, künftig aber auch im Surface, den Microsoft selbst auf den Markt bringt. So kann das Unternehmen in einem wichtigen Segment Fuß fassen.
Die bisherige TPM-Spezifikation wird demnächst durch eine neue ersetzt, sie heißt kurz TPM 2.0. Was in Smartphones, Tablets und Spielekonsolen längst üblich ist, wird durch die Kombination von TPM 2.0 und Windows 8 auch auf PCs und Notebooks zum Normalfall: Hardware und Betriebssystem sind aufeinander abgestimmt, und der Hersteller des Betriebssystems legt fest, welche Anwendungen auf einem Gerät installiert werden können und welche nicht. Anders gesagt: Trusted Computing ist ein Weg, ein Digital Rights Management (DRM) durchzusetzen.
"Vertraulichkeit und Integrität nicht mehr gewährleistet"
Microsoft könnte damit theoretisch bestimmen, dass kein Textverarbeitungsprogramm außer Microsoft Word unter Windows 8 funktioniert. Das kann wettbewerbsrechtlich problematisch sein. Es hat aber auch sicherheitsrelevante Folgen, eben weil der Nutzer keinen Einfluss auf das hat, was Microsoft erlaubt und was nicht. Drei Punkte sind dafür entscheidend: Erstens ist das TPM im Gegensatz zum bisherigen Standard künftig schon beim ersten Einschalten des Computers aktiviert. Wer den Computer in Betrieb nimmt, kann also nicht mehr selbst entscheiden, ob er die Trusted-Computing-Funktionen nutzen will (Opt-in). Zweitens ist künftig kein nachträgliches, vollständiges Deaktivieren des TPM mehr möglich (Opt-out). Drittens übernimmt das Betriebssystem die Oberhoheit über das TPM, im Fall eines Windows-Rechners also letztlich Microsoft.
Spätestens im Jahr 2015 wird praktisch jeder handelsübliche Computer mit Windows 8.x nach dem Standard TPM 2.0 funktionieren. Was Microsoft durch Aktualisierungen dann aus der Ferne mit dem System und damit dem ganzen Computer macht, ist für den Nutzer nicht vollständig zu überblicken.
Zusammengefasst verlieren die Nutzer eines Trusted-Computing-Systems die Kontrolle über ihren Computer. Das gehört zwar ein Stück weit zur Grundidee von Trusted Computing, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) hier sehr ausführlich erklärt. Das BIS empfiehlt Behörden, Unternehmen und Privatanwendern den Einsatz dieser Technik auch, sofern sie bestimmte Voraussetzungen erfüllt. Zu diesen Voraussetzungen aber gehören die Optionen des Opt-in und des Opt-out - und die fallen künftig weg.
FAQs: So werden die Deutschen überwacht
In Deutschland können nach dem Gesetz zur Beschränkung des Post- und Fernmeldegeheimnisses (G10) Telefonate abgehört werden, wenn ein entsprechender Beschluss eines Richters vorliegt. Dabei geht es in der Regel um schwere Straftaten oder um Friedens- und Hochverrat. Der Bundesnachrichtendienst ist bei der Auslandsspionage nicht auf einen Richterbeschluss angewiesen, muss aber darauf achten, bei seinen Aktionen keine deutschen Staatsbürger zu überwachen. Der NSA und anderen Auslandsgeheimdiensten geht es bei der Telefonüberwachung vor allem um sogenannte Metadaten, also um Informationen, wer mit wem wann telefoniert hat und von welchen Orten aus die Gespräche geführt wurden.
E-Mails haben den Charakter einer Postkarte. Sie können auf ihrem Weg durch das Netz von vielen Menschen mitgelesen werden, auch von Geheimdiensten. Dazu kommen Roboter, die erkennen sollen, ob es sich bei einer Mail um eine unerwünschte Spam-Nachricht oder eine relevante E-Mail handelt. Auch Anti-Virus-Programme der Provider checken eine E-Mail. Die Wahrscheinlichkeit, dass es sich bei einem ungebetenen menschlichen Mitleser um den Administrator des Netzwerks oder einen unfairen Kollegen handelt, ist deutlich höher, als dass ein Mitarbeiter vom BND oder der NSA am Werk ist.
Nach dem G-10-Gesetz über Eingriffe in das Brief-, Post- und Fernmeldegeheimnis darf der BND bis zu 20 Prozent der Kommunikation zwischen der Bundesrepublik und dem Ausland auf verdächtige Inhalte prüfen. Die Zahl der nach diesem Gesetz ausgeführten Überwachungsvorgänge hat von 6,8 Millionen im Jahr 2009 auf 2,9 Millionen 2011 und rund 800.000 im vergangenen und voraussichtlich auch im laufenden Jahr abgenommen. Dabei geht es jeweils um Fälle, in die auch deutsche Staatsangehörige involviert sind.
Die DE-CIX muss nach den G10-Bestimmungen beispielsweise in Strafverfahren bestimmte Daten herausgeben, wenn ein Richterbeschluss vorliegt. Die Betreiber dementieren energisch, dass die NSA oder andere Auslandsgeheimdienste heimlich auf die Datenleitungen zugreifen können und verweisen auf verschiedene technische Schutzvorrichtungen. Die für eine Überwachung im großen Stil notwendigen Kabelstränge würden auch allen auffallen.
Möglich ist das - vor allem, wenn es um Konfliktregionen wie Afghanistan, Iran oder Syrien geht. Offiziell bestätigt werden solche Aktionen aber nicht. Auf die Frage, ob auch Regierungen von Partnerstaaten wie den USA oder EU-Ländern ausspioniert werden, sagt Regierungssprecher Seibert: „Es gehört nicht zur Politik der Bundesregierung, befreundete Staaten in ihren Botschaften auszuforschen. Ich glaube, das versteht sich von selbst.“
"Vertraulichkeit und Integrität nicht gewährleistet"
Stattdessen könnte Microsoft festlegen, welche Programme noch auf dem Computer installiert werden können, bereits eingerichtete Programme nachträglich unbrauchbar machen und Geheimdiensten helfen, fremde Computer zu kontrollieren. Die zuständigen Fachleute im Bundeswirtschaftsministerium, in der Bundesverwaltung und beim BSI warnen denn auch unmissverständlich vor dem Einsatz von Trusted Computing der neuen Generation in deutschen Behörden.
So heißt es in einem Papier aus dem Wirtschaftsministerium von Anfang 2012: "Durch den Verlust der vollen Oberhoheit über Informationstechnik" seien "die Sicherheitsziele 'Vertraulichkeit' und 'Integrität' nicht mehr gewährleistet." An anderer Stelle stehen Sätze wie: "Erhebliche Auswirkungen auf die IT-Sicherheit der Bundesverwaltung können damit einhergehen." Die Schlussfolgerung lautet dementsprechend: "Der Einsatz der 'Trusted-Computing'-Technik in dieser Ausprägung ... ist für die Bundesverwaltung und für die Betreiber von kritischen Infrastrukturen nicht zu akzeptieren."
Die NSA unterstützt den neuen Standard
Aus einem anderen Dokument geht hervor, dass Windows 8 und dessen Nachfolger zusammen mit TPM 2.0 "bereits heute" nicht einsetzbar seien. Windows 7 immerhin könne "bis 2020 sicher betrieben werden". Danach müssten Lösungen für die IT-Systeme der Bundesverwaltung gefunden werden.
Nicht nur für die NSA eine Hintertür
Und in einer Bewertung des BSI heißt es, "bedingungsloses, vollständiges Vertrauen" in das Trusted Computing nach Maßgaben von TPM 2.0 sei nicht möglich.
Die Dokumente belegen, dass die Bundesregierung und die Bundesverwaltung durchaus versucht haben, den künftigen Standard in ihrem Sinne zu beeinflussen. Das ist in diesem jahrelangen Prozess auch üblich. Die Deutschen sind allerdings schlicht abgeblitzt. Andere haben bekommen, was sie wollten. Die NSA zum Beispiel. Bei einem der letzten Treffen der TCG und anderer Interessensvertretern soll Teilnehmern zufolge der Satz gefallen sein: "Die NSA ist einverstanden."
Nun ist der Geheimdienst offiziell auch für die IT-Sicherheit der US-Regierung zuständig, es ist also nicht überraschend, dass er sich einmischt. Dennoch dürften solche Sätze die Vertreter der Bundesregierung alarmiert haben. Schließlich gehört Microsoft zu jenen Unternehmen, die neu entdeckte Sicherheitslücken in ihren Produkten zunächst der US-Regierung mitteilen und erst später der Öffentlichkeit.
Die Versionen von Windows 8
Mit der neuen Windows-Version wird das Microsoft-Betriebssystem erstmals auch auf Geräten mit Chips auf Technologie des britischen Entwicklers ARM laufen. Sie dominieren heute in Smartphones und Tablets. Allerdings grenzt Microsoft die ARM-taugliche Version unter dem Namen Windows RT klar vom der klassischen PC-Variante Windows 8 ab. Zwischen ihnen gibt es einige Unterschiede. Mit den beiden eng verwandt ist das Smartphone-System Windows Phone 8.
Windows RT ist für die stromsparenden ARM-Prozessoren ausgelegt. Man kann die Software nicht separat kaufen, sondern nur vorinstalliert auf einem neuen Gerät. Von der Bedienung her sehen die beiden Versionen mit ihrem Kachel-Design auf den ersten Blick ziemlich identisch aus. Die Differenzen werden erst sichtbar, wenn man in den Desktop-Modus wechselt, der an das gewohnte Windows-Design anlehnt. In diesem Bereich werden auf Windows RT keine Programme von anderen Anbietern laufen. Das Betriebssystem unterstützt nur Apps aus Microsofts Windows Store. Die RT-Version von Windows Office enthält zudem bisher kein Outlook-Mailprogramm.
Das normale Windows 8 ist ein klassisches PC-Betriebssystem, das aber wegen der Touch-Oberfläche auch für Tablet-Computer mit der nötigen Prozessorleistung geeignet ist. Somit laufen auch klassische Windows-Programme wie Photoshop, Word oder Spiele auf dem System – anders als bei Windows 8 RT. Zudem gibt es eine Pro-Version, die einige Funktionen für Business-Kunden enthält.
Das Smartphone-Betriebssystem Windows Phone 8 verwendet ebenfalls das Kachel-Design, das schon beim Vorgänger Windows Phone 7 seine Premiere hatte. Es ist mit den anderen neuen Windows-Versionen verwandt, aber konsequent auf die kleineren Handy-Bildschirme zugeschnitten. Ein Sahnehäubchen sind die eingebauten Nokia-Kartendienste. Sie bieten neben Navigation auch die neue Funktion CityLens, bei der Informationen zum aktuellen Aufenthaltsort in den Bildschirm eingeblendet werden, wenn man die Kamera auf einen Straßenzug richtet.
Hintertür für die NSA und die Chinesen
Im Licht der Snowden-Enthüllungen braucht es dementsprechend wenig Fantasie, um TPM 2.0 und Windows 8 als eine Hintertür für die NSA anzusehen, die nur darauf wartet, geöffnet zu werden. Rüdiger Weis, Professor an der Beuth Hochschule für Technik in Berlin, hält das für absolut möglich. Der Kryptografie-Experte beschäftigt sich seit Jahren mit Trusted Computing und stellt der neuen Spezifikation ein vernichtendes Zeugnis aus: Auf mindestens drei Ebenen seien die neuen Trusted-Computing-Systeme angreifbar, sagt er im Gespräch mit ZEIT ONLINE. Man müsse davon ausgehen, dass die NSA die entsprechenden Rechner problemlos kompromittieren könnte - ebenso übrigens die Chinesen, wenn die TPM-Chips in China gefertigt würden.
Microsoft verteidigt seinen Ansatz: Das TPM sei standardmäßig aktiviert, weil die meisten Nutzer nun einmal Voreinstellungen akzeptierten. Müssten sie die Funktion erst selbst aktivieren, würde das dazu führen, dass viele ein weniger sicheres System nutzen würden. Regierungsvorgaben, die diese Option vorsehen, seien unklug. Laut Microsoft könnten die Hardware-Hersteller zudem durchaus Windows-Geräte bauen, in denen das TPM deaktiviert ist. Wer die volle Kontrolle über seinen Computer haben wolle, müsse eben ein solches Modell kaufen.
Falls die IT-Experten des Bundes keine solchen Geräte finden, die bezahlbar sind und auch sonst ihren Ansprüchen genügen, bleibt ihnen wohl nur der Weg, den zum Beispiel die Münchner Stadtverwaltung eingeschlagen hat. Auf deren Computern läuft ein Linux-Betriebssystem. Die schrittweise Umstellung von Windows auf Linux begann vor zehn Jahren und soll Ende 2013 abgeschlossen sein.
