Windows 10 verzichtet beim Datensammeln auf wichtige Zertifikate

Ausgerechnet bei Microsofts eigenen Diensten wurden in Windows 10 zu unsichere Zertifikate implementiert, die sich einfach fälschen lassen. Darauf müssen Sie achten.

von Simon Gröflin 17.08.2015 (Letztes Update: 18.08.2015)

Die Installation von Windows 10 ist einfacher geworden. So einfach, dass schon kurz nach Erscheinen der neuen Windows-Version Kritik zur Datensammelwut laut wurde. Denn Windows telefoniert auch häufiger nach Hause. Das ist besonders dann der Fall, wenn man bei der Express-Installationsvariante alle Voreinstellungen arglos übernimmt. Selbst wer nachträglich die Datenschutzeinstellungen anpasst, hat noch immer eine Telefonleitung im Haus, die sogar abgehört werden könnte. Denn ausgerechnet bei eigenen Diensten wie OneDrive setzen die Redmonder nach einem Bericht von «Heise» auf veraltete Sicherheitszertifkate. So heftet Microsoft beim Übertragen von URLs und Nutzereinstellungen nur ein im Betriebssystem hinterlegtes Zertifikat (von der Certificate Authority, CA) an.

OneDrive unter Windows 10: unsicherer als Dropbox

Die SSL-Verbindung kommt zwar zustande, Microsoft kontrolliert aber in diesem Fall nur, ob es sich um ein solches Zertifikat handelt, das im Betriebssystem von der Zertifizierungsstelle hinterlegt wurde. Dritte könnten dadurch dem System lediglich eine bekannte CA unterjubeln und die Verbindung «mithören». Im schlimmsten Fall könnten so Passwörter in der Cloud unverschlüsselt abgefangen oder sogar Browser-Sessions belauscht werden. Googles Chrome-Browser und Mozilla Firefox setzen mit dem sogenannten Certificate Pinning schon länger auf sicherere Standards. Bei diesem Verfahren wird die ganze CA eines Dienstes oder Teile davon über die zu übermittelnden Pakete angeheftet. Ein untergeschobenes Zertfikat würde dort sofort auffallen. Der Edge-Browser soll sich diesen Sicherheitsstandard teils zunutze machen, jedoch nur im Zusammenhang mit Dropbox. 

Auf der nächsten Seite geben wir Ihnen Tipps, wie Sie sich vor dem aktuellen Sicherheitsdebakel im Moment so gut wie möglich schützen können. 

Nächste Seite: Privatsphäre schützen,Telemetrie abschalten

Seite 1 von 2
       
       

    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.