Windows 10 verzichtet beim Datensammeln auf wichtige Zertifikate

Ausgerechnet bei Microsofts eigenen Diensten wurden in Windows 10 unsichere Zertifikate implementiert, die sich einfach fälschen lassen. Darauf müssen Sie achten.

» Von Simon Gröflin , 18.08.2015 07:06.

weitere Artikel

Die Installation von «Windows» ist einfacher geworden. So einfach, dass schon kurz nach Erscheinen der neuen Windows-Version Kritik zur Datensammelwut laut wurde. Denn «Windows 10» telefoniert auch häufiger nach Hause. Das ist besonders dann der Fall, wenn man bei der Express-Installationsvariante alle Voreinstellungen arglos übernimmt. Selbst wer nachträglich die Datenschutzeinstellungen anpasst, hat noch immer eine Telefonleitung im Haus, die sogar abgehört werden könnte. Denn ausgerechnet bei eigenen Diensten wie «OneDrive» setzen die Redmonder nach einem Bericht von «Heise» auf veraltete Sicherheitszertifkate. So heftet Microsoft beim Übertragen von URLs und Nutzereinstellungen nur ein im Betriebssystem hinterlegtes Zertifikat (von der Certificate Authority, CA) an.

OneDrive unter Windows 10: unsicherer als Dropbox

Die SSL-Verbindung kommt zwar zustande, Microsoft kontrolliert aber in diesem Fall nur, ob es sich um ein solches Zertifikat handelt, das im Betriebssystem von der Zertifizierungsstelle hinterlegt wurde. Dritte könnten dadurch dem System lediglich eine bekannte CA unterjubeln und die Verbindung «mithören». Im schlimmsten Fall könnten so Passwörter in der Cloud unverschlüsselt abgefangen oder sogar Browser-Sessions belauscht werden. Googles «Chrome»-Browser und «Firefox» setzen mit dem sogenannten «Certificate Pinning» schon länger auf sicherere Standards. Bei diesem Verfahren wird die ganze «CA» eines Dienstes oder Teile davon über die zu übermittelnden Pakete angeheftet. Ein untergeschobenes Zertfikat würde dort sofort auffallen. Der «Edge»-Browser soll sich diesen Sicherheitsstandard teils zunutze machen, jedoch nur im Zusammenhang mit «Dropbox».

Lesen Sie auf der nächsten Seite: «Privatsphäre schützen»

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.