Windows 10 verzichtet beim Datensammeln auf wichtige Zertifikate

Die Installation von Windows 10 ist einfacher geworden. So einfach, dass schon kurz nach Erscheinen der neuen Windows-Version Kritik zur Datensammelwut laut wurde. Denn Windows telefoniert auch häufiger nach Hause. Das ist besonders dann der Fall, wenn man bei der Express-Installationsvariante alle Voreinstellungen arglos übernimmt. Selbst wer nachträglich die Datenschutzeinstellungen anpasst, hat noch immer eine Telefonleitung im Haus, die sogar abgehört werden könnte. Denn ausgerechnet bei eigenen Diensten wie OneDrive setzen die Redmonder nach einem Bericht von «Heise» auf veraltete Sicherheitszertifkate. So heftet Microsoft beim Übertragen von URLs und Nutzereinstellungen nur ein im Betriebssystem hinterlegtes Zertifikat (von der Certificate Authority, CA) an.

Die SSL-Verbindung kommt zwar zustande, Microsoft kontrolliert aber in diesem Fall nur, ob es sich um ein solches Zertifikat handelt, das im Betriebssystem von der Zertifizierungsstelle hinterlegt wurde. Dritte könnten dadurch dem System lediglich eine bekannte CA unterjubeln und die Verbindung «mithören». Im schlimmsten Fall könnten so Passwörter in der Cloud unverschlüsselt abgefangen oder sogar Browser-Sessions belauscht werden. Googles Chrome-Browser und Mozilla Firefox setzen mit dem sogenannten Certificate Pinning schon länger auf sicherere Standards. Bei diesem Verfahren wird die ganze CA eines Dienstes oder Teile davon über die zu übermittelnden Pakete angeheftet. Ein untergeschobenes Zertfikat würde dort sofort auffallen. Der Edge-Browser soll sich diesen Sicherheitsstandard teils zunutze machen, jedoch nur im Zusammenhang mit Dropbox.