Die Zeit about Windows8: First brave, then forced to shut up

[^rooker]

Recently. the German news paper "Die Zeit" published a very interesting article online, warning about Windows 8, titled :

Trusted Computing - Bundesregierung warnt vor Windows 8

translated: "Trusted Computing - Federal government warns about Windows 8"

The article started like this:

Windows 8 ist ein inakzeptables Sicherheitsrisiko für Behörden und Firmen, warnen Experten der Regierung. Das sogenannte Trusted Computing sei eine Hintertür für die NSA. Von Patrick Beuth.

Windows 8 darf in deutschen Behörden nicht eingesetzt werden, sagen IT-Experten. | © REUTERS/Lucas Jackson

The first sentence says:
"Windows 8 is an inacceptible security threat for public agencies and companies, experts of the government are warning"

Microsoft sued them, so they had not only change the headline, but also remove that teaser text:

Title:

Bundesbehörden sehen Risiken beim Einsatz von Windows 8

("Federal agencies see risks in the usage of Windows 8")

And starting with the new teaser:

Microsoft will bei Windows 8 den neuen Trusted-Computing-Standard nutzen. Experten der Bundesregierung haben darin ein Sicherheitsproblem für Behörden gesehen.

("Microsoft wants to use the new Trusted-Computing-Standard in Windows 8. Experts of the federal government have seen this as a security problem for public authorities")

A copy of the original text can be found on multiple places on the Internet, but I'll keep a copy here, too (see below).

Of course, the article (original or new) concentrates on security aspects, but it actually points out a very important issue which affects everyone using closed, proprietary systems.
Not only security, and not only Windows.

The official statement of the government agency "BSI" about this issue can be found online.

It contains true and important statements, such as:

Das BSI erachtet die vollständige Kontrolle über die eingesetzte Informationstechnik, die ein bewusstes Opt-In sowie die Möglichkeit eines späteren Opt-Outs beinhaltet, als grundlegende Voraussetzung für eine verantwortungsvolle Nutzung von Hardware und Betriebssystemen. [...]

Generell sollte es IT-Anwendern ermöglicht werden, einen selbstbestimmten und eigenverantwortlichen Umgang mit Informationstechnik zu pflegen. Dazu gehört beipielsweise auch die Möglichkeit, nach eigenem Ermessen alternative Betriebssysteme und Anwendungen einsetzen zu können.

Sorry, I'm too lazy to translate it fully at them moment, but it says something like:

The BSI considers it important, and a basic requirement, to have complete control over your IT-infrastructure in order to use hardware and operating systems reasonably.

Generally, all IT-users must be able to choose and define for themselves how to use IT-infrastructure and equipment. This also applies to be able to choose which operating systems and applications to use.

However, it is followed by some text like this:

Damit diese Voraussetzungen auch weiterhin mit Windows und dem Trusted Platform Module erreicht werden können, bleibt das BSI mit der Trusted Computing Group ebenso wie mit den Herstellern von Betriebssystemen und Hardware im Austausch, um für die Anwender sowie auch für den Einsatz in der Bundesverwaltung und in kritischen Infrastrukturen geeignete Lösungen zu finden.

Which says something like:

In order to maintain these prerequisites with Windows and the Trusted Platform Module in the future, the BSI stays in contact with the Trusted Computing Group and the vendors of operating systems and hardware, to find solutions for users as well as the usage within the federal agencies and critical infrastructures.

Blah.
If they would act according to their own conclusions mentioned above, they would have to question proprietary systems at all. Since this cannot happen in that order of magnitude, it simply means:

Vendors may continue business as usual.

Thanks.

[^rooker]

ZEIT ONLINE
Trusted Computing Bundesregierung warnt vor Windows 8

Windows 8 ist ein inakzeptables Sicherheitsrisiko für Behörden und Firmen, warnen Experten der Regierung. Das sogenannte Trusted Computing sei eine Hintertür für die NSA. Von Patrick Beuth
20. August 201316:34 Uhr

Windows 8 darf in deutschen Behörden nicht eingesetzt werden, sagen IT-Experten. | © REUTERS/Lucas Jackson

Wie vertrauenswürdig ist Microsoft? Für die Bundesverwaltung und alle deutschen Behörden, Unternehmen und Privatanwender, die auch in Zukunft mit dem Betriebssystem Windows arbeiten wollen, stellt sich diese Frage heute mehr denn je. Denn früher oder später müssten sie Windows 8 oder dessen Nachfolger verwenden. Aus internen Dokumenten, die ZEIT ONLINE vorliegen, geht aber hervor, dass die IT-Experten des Bundes Windows 8 für geradezu gefährlich halten. Das Betriebssystem enthält ihrer Ansicht nach eine Hintertür, die nicht verschlossen werden kann. Diese Hintertür heißt Trusted Computing und könnte zur Folge haben, dass Microsoft jeden Computer aus der Ferne steuern und kontrollieren kann. Und damit auch die NSA.

Trusted Computing ist alles andere als ein neues Phänomen. Seit rund zehn Jahren ist die Technik auf dem Markt. Vereinfacht gesagt, geht es dabei um den Versuch, den Rechner vor Manipulationen durch Dritte zu schützen, zum Beispiel vor Viren und Trojanern. Der Benutzer soll sich dabei um nichts mehr kümmern müssen. Um das zu erreichen, braucht es erstens einen speziellen Chip, der Trusted Platform Module (TPM) genannt wird, und zweitens ein darauf abgestimmtes Betriebssystem. Zusammen regeln sie unter anderem, welche Software der Nutzer auf einem Computer installieren darf und welche nicht. Wie das genau funktioniert und welche Funktionen sonst noch zum Trusted Computing gehören, wird zum Beispiel hier und hier erklärt.

Die Art und Weise, wie der Chip und das Betriebssystem zusammenarbeiten, ist standardisiert. Die entsprechende Spezifikation wird von der Trusted Computing Group (TCG) festgelegt. Die TCG wurde vor zehn Jahren von Microsoft, Intel, Cisco, AMD, Hewlett-Packard und Wave Systems gegründet – allesamt US-Unternehmen.

Die bisherige TPM-Spezifikation wird demnächst durch eine neue ersetzt, sie heißt kurz TPM 2.0. Was in Smartphones, Tablets und Spielekonsolen längst üblich ist, wird durch die Kombination von TPM 2.0 und Windows 8 auch auf PCs und Notebooks zum Normalfall: Hardware und Betriebssystem sind aufeinander abgestimmt, und der Hersteller des Betriebssystems legt fest, welche Anwendungen auf einem Gerät installiert werden können und welche nicht. Anders gesagt: Trusted Computing ist ein Weg, ein Digital Rights Management (DRM) durchzusetzen.
Patrick Beuth
© ZEIT ONLINE
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.
@patrickbeuth folgen@zeitonline_dig folgen

Microsoft könnte damit theoretisch bestimmen, dass kein Textverarbeitungsprogramm außer Microsoft Word unter Windows 8 funktioniert. Das kann wettbewerbsrechtlich problematisch sein. Es hat aber auch sicherheitsrelevante Folgen, eben weil der Nutzer keinen Einfluss auf das hat, was Microsoft erlaubt und was nicht. Drei Punkte sind dafür entscheidend: Erstens ist das TPM im Gegensatz zum bisherigen Standard künftig schon beim ersten Einschalten des Computers aktiviert. Wer den Computer in Betrieb nimmt, kann also nicht mehr selbst entscheiden, ob er die Trusted-Computing-Funktionen nutzen will (Opt-in). Zweitens ist künftig kein nachträgliches, vollständiges Deaktivieren des TPM mehr möglich (Opt-out). Drittens übernimmt das Betriebssystem die Oberhoheit über das TPM, im Fall eines Windows-Rechners also letztlich Microsoft.

Spätestens im Jahr 2015 wird praktisch jeder handelsübliche Computer mit Windows 8.x nach dem Standard TPM 2.0 funktionieren. Was Microsoft durch Aktualisierungen dann aus der Ferne mit dem System und damit dem ganzen Computer macht, ist für den Nutzer nicht vollständig zu überblicken.

Zusammengefasst verlieren die Nutzer eines Trusted-Computing-Systems die Kontrolle über ihren Computer. Das gehört zwar ein Stück weit zur Grundidee von Trusted Computing, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) hier sehr ausführlich erklärt. Das BIS empfiehlt Behörden, Unternehmen und Privatanwendern den Einsatz dieser Technik auch, sofern sie bestimmte Voraussetzungen erfüllt. Zu diesen Voraussetzungen aber gehören die Optionen des Opt-in und des Opt-out – und die fallen künftig weg.

"Vertraulichkeit und Integrität nicht gewährleistet"

Stattdessen könnte Microsoft festlegen, welche Programme noch auf dem Computer installiert werden können, bereits eingerichtete Programme nachträglich unbrauchbar machen und Geheimdiensten helfen, fremde Computer zu kontrollieren. Die zuständigen Fachleute im Bundeswirtschaftsministerium, in der Bundesverwaltung und beim BSI warnen denn auch unmissverständlich vor dem Einsatz von Trusted Computing der neuen Generation in deutschen Behörden.

So heißt es in einem internen Papier aus dem Wirtschaftsministerium von Anfang 2012: "Durch den Verlust der vollen Oberhoheit über Informationstechnik" seien "die Sicherheitsziele 'Vertraulichkeit' und 'Integrität' nicht mehr gewährleistet." An anderer Stelle stehen Sätze wie: "Erhebliche Auswirkungen auf die IT-Sicherheit der Bundesverwaltung können damit einhergehen." Die Schlussfolgerung lautet dementsprechend: "Der Einsatz der 'Trusted-Computing'-Technik in dieser Ausprägung … ist für die Bundesverwaltung und für die Betreiber von kritischen Infrastrukturen nicht zu akzeptieren."
Übersicht zu diesem Artikel
Seite 1/2 Vorwärts

Seite 1 Bundesregierung warnt vor Windows 8
Seite 2 Die NSA unterstützt den neuen Standard