In aktuellen Windows-Versionen klafft eine gefährliche Sicherheitslücke. Wer Windows 10 oder Windows Server 2016/2019 nutzt, sollte handeln: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, "das von Microsoft zur Verfügung gestellte Software-Update dringend umgehend zu installieren".
Die meisten Windows-Nutzer erhalten die Aktualisierung automatisch über die integrierte Update-Funktion des Betriebssystems. Um sicherzugehen, dass sie so schnell wie möglich installiert wird, können Nutzer in den Windows-Einstellungen den Menüpunkt "Update und Sicherheit" aufrufen und dort auf "Nach Updates suchen" klicken. Dann werden alle ausstehenden Aktualisierungen eingespielt.
Im aktuellen Fall schließt Microsoft eine Schwachstelle in der sogenannten CryptoAPI. Das ist eine Windows-Komponente, die kryptografische Funktionen steuert, also Verschlüsselung. Entwickler können über die Schnittstelle auf Sicherheitszertifikate zugreifen, um heikle Informationen zu verschlüsseln. Der Fehler erlaubt es Angreifern, Windows ein gültiges Sicherheitszertifikat vorzugaukeln. Damit könnten Kriminelle Schadsoftware installieren und tief ins System eindringen.
Das BSI stuft die Sicherheitslücke als "kritisch" ein, auch wenn es bislang keine Erkenntnisse gibt, dass sie aktiv ausgenutzt wird. Dass der Fehler ernst zu nehmen ist, zeigt die Art und Weise, wie sie an Microsoft gemeldet wurde: Ausgerechnet der US-Geheimdienst NSA wies das Unternehmen auf die Schwachstelle hin (PDF). Normalerweise nutzt die NSA solche Lücken selbst, um in Systeme einzudringen und Verdächtige zu überwachen.
"Sie sollten Ihr System unmittelbar jetzt patchen"
Bereits am Montag hatte der IT-Sicherheitsexperte Brian Krebs angekündigt, das kommende Windows-Update werde eine besonders kritische Schwachstelle schließen. Deshalb hätten US-Militär und Betreiber wichtiger Internet-Infrastruktur die Aktualisierung bereits vorab erhalten.
Viele bekannte IT-Sicherheitsforscher sind alarmiert, etwa Tavis Ormandy von Google. "Das ist ziemlich schlecht", schreibt er auf Twitter über die Schwachstelle. Fast wortgleich äußert sich der renommierte Fachmann Bruce Schneier auf einer Webseite: "Das ist wirklich schlecht, und Sie sollten Ihr System unmittelbar jetzt patchen, bevor Sie diesen Blogeintrag weiterlesen."
Anne Neuberger, die bei der NSA die Abteilung für Cybersicherheit leitet, sagte Schneier zufolge in einem Telefonat mit Journalisten, dass der Geheimdienst bereits in der Vergangenheit Sicherheitslücken in Windows an Microsoft gemeldet habe. Das sei aber das erste Mal, dass sich die NSA öffentlich dazu bekenne. Die Behörde wolle das Vertrauen der IT-Sicherheitsszene zurückgewinnen. In Zukunft werde die NSA ihre Erkenntnisse schneller und häufiger öffentlich teilen.
Früher nutzte die NSA Sicherheitslücken lieber selbst aus
Dass die NSA Microsoft alarmiert, ist nicht selbstverständlich. Nachdem die Hacker-Spezialeinheit der NSA namens "Tailored Access Operations" einen Programmierfehler in Windows entdeckt hatte, nutzte sie diesen jahrelang lieber selbst aus, ohne ihn zu melden. Schließlich geriet der "EternalBlue"-Exploit 2016 in die Hände der Hackergruppe The Shadow Brokers, die den Code veröffentlichte.
Kurz darauf nutzten Hacker die Sicherheitslücke, um die Trojaner WannaCry und Petya zu verbreiten. Die Schadsoftware befiel Hunderttausende Rechner und legte viele Unternehmen lahm. "Wir brauchen Regierungen, die sich des Schadens für Zivilpersonen bewusst sind, der aus dem Anhäufen und Ausnutzen solcher Software-Sicherheitsprobleme entsteht", sagte Microsofts Chefjurist Brad Smith damals.
