Die Zeit hat darüber berichtet, dass IT-Experten der Bundesregierung vor Windows 8 warnen und damit für viel Wirbel gesorgt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat umgehend mit einer Stellungsnahme reagiert.
Darin wird erklärt, dass das BSI weder die Öffentlichkeit, deutsche Unternehmen noch die Bundesverwaltung vor einem Einsatz von Windows 8 warnt.
Es wird aber eingeräumt, dass man derzeit jedoch einige kritische Aspekte im Zusammenhang mit bestimmten Einsatzszenarien sieht, in denen Windows 8 in Kombination mit einer Hardware betrieben wird, die über ein TPM 2.0 verfügt.
Grundsätzlich verteufelt wird TPM aber nicht. Es bringt nach Einschätzung des BSI bestimmten Nutzergruppen durchaus einen Sicherheitsgewinn. Als Beispiel werden Anwender genannt, die sich nicht selbst um die Sicherheit ihrer Systeme kümmern wollen, sondern lieber dem Systemhersteller vertrauen.
In der Stellungsnahme räumt der BSI auch ein, dass der Einsatz von Windows 8 in Kombination mit TPM 2.0 mit einem Verlust an Kontrolle über das verwendete Betriebssystem und die eingesetzte Hardware einher geht. Das birgt neue Risiken für Anwender, speziell auch für die Bundesverwaltung und kritische Infrastrukturen.
Als "Horroszenario" wird der Fall beschrieben dass durch unbeabsichtigte Fehler des Hardware- oder Betriebssystemherstellers oder des Nutzers, Fehlerzustände entstehen können. Die können so fatal sein, dass ein weiterer Betrieb des Systems verhindert und sogar die eingesetzte Hardware dauerhaft unnutzbar wird.
Eine solche Situation sei weder für die Bundesverwaltung noch für andere Anwender akzeptabel. Weiter ist nicht auszuschließen, dass der neue TPM-Mechanismus auch von Angreifern für Sabotageakte genutzt wird.
Das BSI fordert im Fall von TPM ein bewusstes Opt-In sowie die Möglichkeit eines späteren Opt-Outs. Das sei grundlegende Voraussetzung für eine verantwortungsvolle Nutzung von Hardware und Betriebssystemen.
In einigen Nachrichten zur Sache ist davon die Rede, dass das BSI seine Warnung vor Windows 8 dementiert. Das kann ich der Stellungsnahme so nicht entnehmen. Es wird halt einfach klargestellt, dass Windows 8 nicht pauschal verteufelt wird.
Es geht eben nur darum vor möglichen Risiken zu warnen. Wer sich ein Urteil machen will, dem bleibt es nicht erspart, sich durch die 267seitige Dokumentation der Trusted Platform Library Architecture (PDF) zu kämpfen. Heise verweist diesbezüglich auf den Abschnitt 13.3. Aus dem geht hervor, dass die Bereitstellung eines Opt-Out nicht untersagt wird. Es ist Sache der Hersteller, ob sie das anbieten oder nicht.
Weiter berichtet Heise, dass der Zeit wohl ein internes Papier der Bundesregierung vorlag, in dem deutlich schärfer "gegen Windows 8" formuliert wurde, als es in der jetzigen Stellungsnahme der Fall ist. Die jetzt veröffentliche Stellungsnahme bringt also nicht unbedingt Klärung, was nun Sache ist. Man wird das weiter verfolgen müssen.