Microsoft will im Enterprise-Umfeld helfen, die Maschinen mit ablaufenden Secure-Boot-Zertifikate aus dem Jahr 2011 zu identifizieren. Einige Hilfestellung für Netzwerke gab es bereits, nun soll auch der Microsoft Defender helfen, betroffene Geräte aufzuspüren und auf den aktuellen Stand zu bringen.

Im Message-Center der Windows-Release-Health-Notizen hat Microsoft jetzt die neue Funktion für den Microsoft Defender angekündigt. Es handelt sich um ein Dashboard, von dem aus IT-Verantwortliche in Netzen den Sicherheitsstatus ihrer betreuten Geräte einsehen können. Jetzt können IT-Teams an zentraler Stelle die Verbreitung der Secure-Boot-Zertifikate aus dem Jahr 2023 in ihrem Gerätepark einsehen, erklärt das Unternehmen. Ein Blog-Eintrag in der Techcommunity geht etwas detaillierter darauf ein.

Auswirkungen abgelaufener Secure-Boot-Zertifikate

Microsoft erklärt dort, dass Secure Boot die Integrität des Boot-Prozesses eines Geräts sicherstellt, indem nur vertrauenswürdige Software gestartet wird. Sofern Geräte keine neuen Zertifikate erhalten, können sie nicht in den Genuss neuer Sicherheitsmaßnahmen für den frühen Startvorgang kommen. Die Geräte starten weiterhin, können aber keine neueren Schutzmaßnahmen in der frühen Startphase des Systems mehr erzwingen. Im Verlauf der Zeit schwäche das die „Root of Trust“ des Geräts und setzt sie neuen Klassen von Angriffen aus, die vor dem Laden des Betriebssystems und der vollständigen Sicherheitskontrollen aktiv werden.

Konkret könnten bösartige oder manipulierte Boot-Komponenten nicht mehr zuverlässig blockiert werden, wenn sie nicht mit vertrauten Zertifikaten signiert sind. Geräte könnten nicht in der Lage sein, neue Secure-Boot-Richtlinien zu übernehmen, die vor neu entdeckten Bedrohungen beim Bootvorgang schützen sollen. Außerdem können Angreifer zur Startzeit Techniken zur Erlangung von Persistenz einsetzen, bevor traditionelle Sicherheitskontrollen greifen.

Um das zu verhindern, sollen IT-Verantwortliche einen Überblick erhalten, welche Geräte bereits erfolgreich das Update absolviert haben und welche Geräte noch Aufmerksamkeit diesbezüglich benötigen. Im Microsoft-Defender-Dashboard haben die Entwickler daher eine neue Empfehlung (Recommendations) eingebaut. Die unterteilt die Geräte in drei Klassen: „Exposed Devices“ vertrauen noch den alten Secure-Boot-Zertifikaten, ohne Vertrauen in die neueren Zertifikate. „Compliant Devices“ haben die neuen 2023er-Zertifikate und den signierten Boot-Manager. „Not applicable Devices“ hingegen haben Secure Boot deaktiviert oder unterstützen es nicht.

Aus dieser Empfehlungsansicht heraus können Admins sich „Exposed Devices“ genauer ansehen und herausfinden, welche Systeme noch Aufmerksamkeit benötigen. Filter lassen sich nach Betriebssystemplattform und Gerätekontext anwenden, um die Gegenmaßnahmen besser zu priorisieren. Die Gerätedaten lassen sich zudem exportieren, um sie mit Infrastruktur- und Plattform-Teams zu teilen. Natürlich lässt sich der Verteilungsprozess der Secure-Boot-Zertifikate damit überwachen. Microsoft schreibt nichts dazu, ob das mit Zusatzkosten verbunden ist.

Microsoft deckt damit nun unterschiedliche Netzwerkdimensionen ab. Auf den einzelnen Rechner hilft etwa die Windows-Sicherheits-App, den Status der Secure-Boot-Zertifikate auf der konkreten Maschine einzusehen. IT-Verantwortliche müssen insbesondere auf Windows-Servern jedoch selbst aktiv werden, dort verteilt Microsoft die neuen Zertifikate nicht mit automatischen Windows-Updates. Dass die Zertifikate auslaufen, darauf hat Microsoft bereits seit Juni 2025 aufmerksam gemacht. Die Vorbereitungen sollten Admins nun abschließen und zügig an die Verteilung der neuen Secure-Boot-Zertifikate gehen.

(dmk)

Seit März verbieten die USA nicht im Inland hergestellte, neue Routermodelle für den Verbrauchermarkt. Weil das gar keine wären, gibt es Ausnahmegenehmigungen. Einige wurden so flott erteilt, dass kaum vorstellbar ist, dass die offiziellen Voraussetzungen eingehalten wurden. Unterdessen weitet die Regulierungsbehörde FCC (Federal Communications Commission) den Umfang des Verbotes aus, schafft aber neue Unklarheiten.

Im Zentrum des US-Verbots steht eine geheime Feststellung nicht namentlich genannter US-Geheimdienste, wonach „consumer-grade routers” ein inakzeptables Risiko für die Nationale Sicherheit der Vereinigten Staaten oder die Sicherheit von US-Personen darstellten. In einer veröffentlichten Zusammenfassung wird auf IT-Angriffe verwiesen, die über Router gelaufen sind – allesamt über ausländische Router, da es inländische laut Definition ja nicht gibt. Bereits zugelassene Modelle dürfen weiter genutzt und verkauft werden. Ihre Software und Firmware darf nur noch bis 1. März aktualisiert werden, und das auch nur zu Sicherheits- oder Kompatibilitätszwecken.

Der Teufel steckt im Detail, und die FCC hat zentrale Fragen unbeantwortet gelassen. Vergangene Woche hat die Behörde Antworten auf bestimmte häufig gestellte Fragen (FAQ) veröffentlicht. Mehrfach geht es dabei um des Pudels Kern: Was genau ist ein „consumer-grade router”, und was nicht? Denn eine Liste gibt es ausdrücklich nicht.

Ausweitung auf Router für KMU

Eine kleine Tabelle bei der 24. von 25 FAQ überrascht mit der Angabe, dass sowohl „consumer” als auch „small and medium-sized business routers” erfasst sind. Das ist neu und widerspricht der Antwort auf Frage 8 „How are routers defined?”. Denn dort verweist die Behörde, so wie bisher, auf Sicherheitsvorschläge des Normierungsinstituts NIST (National Institute of Standards and Technology’s Internal Report 8425A), die sich auf „consumer-grade networking devices that are primarily intended for residential use and can be installed by the customer” beziehen – also „Vernetzungsgeräte für den Verbrauchermarkt, die in erster Linie für den Einsatz in Haushalten gedacht sind und vom Verbraucher installiert werden können.”

Solche Geräte werden durchaus auch von kleinen Unternehmen genutzt; doch sind „business routers” eben etwas anderes als „consumer” Router, die auch von Nicht-Verbrauchern verwendet werden. Sollte man meinen.

Wenigstens stellt die Tabelle klar, dass Handys mit WLAN-Hotspots nicht vom Verbot erfasst sind – reine Datenmodems für Mobilfunk aber sehr wohl, seien sie stationär oder mobil (beispielsweise mit WLAN-Hotspot). Ein technischer Grund für diese Differenzierung ist nicht ersichtlich. Kabelmodems mit Router fallen ebenso unter das Verbot wie vom ISP oder einem Profi in Haushalten installierte Router. Ausgenommen sind jedoch winzige Mobilfunkzellen (femtocells), Glasfaserterminals, und analoge Telefonadapter mit Ethernet-Buchse.

Was ist erfasst?

Wohl händeringend hat der Autor der 25. Frage nach einer Richtschnur gesucht: Gibt es eine Liste von Indikatoren, einen Test aller Umstände, oder Ebenen-basierte Kriterien unabhängig von NIST IR 8425A, die festlegen, ob ein Gerät ein consumer-grade router” ist? Antwort: „Nein.” Wieder verweist die FCC auf NIST IR 8425A, diesmal auf dessen Anhang C. Damit sind alle Klarheiten beseitigt.

Denn Anhang C befasst sich vorwiegend damit, wie Router in Verkehr gelangen (Spoiler: Kauf oder Miete!). Ansonsten erzählt er wenig Neues, wenn er ausführt, dass „consumer-grade” Geräte in Haushalten gefunden werden können, und dass ihr primärer Zweck der Einsatz dortselbst ist, nicht für „enterprise, industrial, etc.”, aber dass auch kleine Unternehmen consumer-grade Geräte verwenden könnten. Dazu kommt die Anmerkung, dass Hersteller von consumer-grade Geräten nicht annehmen können, dass der Nutzer über Expertise im Bereich IT-Sicherheit verfügt, oder in der Lage ist, signifikante Maßnahmen zur Absicherung des Produkts zu treffen.

Es folgen Verweise auf vier Dokumente Dritter: Zwei von Branchenverbänden und je eines der Regulierungsbehörde Singapurs und des deutschen Bundesamts für Sicherheits in der Informationstechnik (BSI TR-03148). Von diesen Vieren schließt nur Singapur vom Internet Provider gemietete Router von den Sicherheitsvorschlägen aus. Die Sicherheitsvorschläge dieser vier Gremien spielen für die FCC oder die Ausnahmegenehmigungen aber wiederum keine Rolle.

Was macht eine Infrastruktur eigentlich unabhängig? Für Michiel Leenaars von der NLnet Foundation liegt die Antwort nicht darin, woher die Technologie stammt, sondern ob sie kontrolliert und ersetzt werden kann. Ein Jahr, nachdem er Bedenken hinsichtlich fehlender EU-Finanzierung für Initiativen wie die seine geäußert hatte, reflektiert der Strategiedirektor der Stiftung darüber, was sich seitdem geändert hat und was Europa beim Aufbau eines souveränen digitalen Stacks immer noch falsch macht.

netzpolitik.org: Was unternimmt NLnet derzeit, um Open-Source-Infrastruktur zu fördern?

Michiel Leenaars: Wir schreiben offene Ausschreibungen aus, um offene Infrastruktur zu finanzieren. Auf allen Ebenen des Stacks, von Entwicklern offener Hardware-Chips bis hin zu Office-Suiten, Suchmaschinen und sozialen Medien wie Mastodon.

Die Leute klopfen einfach an unsere Tür und erzählen uns, was im Internet nicht stimmt, und wenn es eine gute Idee ist, helfen wir ihnen.

netzpolitik.org: Mit Geld?

Michiel Leenaars: Ja, aber auch mit Team-Entwicklung, rechtlichen Fragen, Leistungsoptimierung, Sicherheitsaudits, Lizenzkonformität, Barrierefreiheitsprüfungen …

Wir wollen sicherstellen, dass wir nicht nur über den Aufbau eines europäischen Stacks reden, sondern dass wir die Menschen, die ihn aufbauen, auch tatsächlich unterstützen. Im Grunde läuft es darauf hinaus, die Menschen zu bezahlen, die an Alternativen arbeiten. Und das so zu tun, dass es tatsächlich skalierbar ist.

Und es funktioniert. Wir haben bereits über 1.450 Projekte in rund 80 Ländern finanziert. Die kann man alle auf unserer Website einsehen. Und einige der besten Leute bewerben sich bei uns.

netzpolitik.org: Aber ihr seid ein kleines Team und habt ein begrenztes Budget. Wie schafft ihr das?

Michiel Leenaars: Ja. Wir sind ein winziges Team mit einem Budget von etwa 15 Millionen Euro pro Jahr. Das ist recht begrenzt im Vergleich zur Größe der Herausforderungen, die wir angehen wollen. Aber wir arbeiten mit gezielten Förderungen zwischen 5.000 und 50.000 Euro.

Kleine Budgets werden oft belächelt. Aber in den meisten Fällen besteht gar kein Bedarf an Milliardenprojekten. Man braucht lediglich einzelne Expert:innen, um die tatsächlichen Probleme zu lösen, und dass all diese Komponenten auf ganz bestimmte Weise zusammenpassen.

netzpolitik.org: Woher bekommt ihr euer Geld?

Michiel Leenaars: Es ist eine bunte Mischung. Der größte Teil stammt aus dem Programm „Next Generation Internet“ der Europäischen Kommission, das in den letzten Jahren unsere wichtigste Triebkraft war.

Es gibt ein Unternehmen namens Radically Open Security, das uns jedes Jahr seine Gewinne spendet. Wir erhalten auch Mittel von Regierungen wie der niederländischen und der französischen, sowie von ganz normalen Menschen, denen unsere Arbeit am Herzen liegt, also von privaten Spendern und gleichgesinnten Organisationen.

netzpolitik.org: Das Programm „Next Generation Internet“ wurde eingestellt. Wie sieht es aktuell mit der EU-Förderung für Open-Source-Projekte aus?

Michiel Leenaars: Es gibt nun eine Nachfolgeinitiative namens „Open Internet Stack“. Die Konturen davon sind noch vage, aber es ist enger gefasst und hat ein kleineres Budget. Wir stehen kurz vor dem Start des ersten Programms, und das wird es uns zumindest ermöglichen, einen Teil der anstehenden Arbeit weiter voranzutreiben.

Wir haben uns natürlich für die neuen Ausschreibungen für 2026 beworben. Wir hoffen, einen Teil dieser Mittel zu erhalten, aber diese Ausschreibungen sind massiv überzeichnet. Offenbar wollen viele Organisationen ebenfalls einen Teil dieses Budgets für ihre eigenen Projekte nutzen, aber ihnen ist nicht klar, dass dies das gesamte verfügbare Budget ist. Wir haben eine große Dringlichkeit, aber es ist ziemlich ungewiss, ob wir den Zuschlag erhalten werden.

Und für 2027 gibt es kein neues Budget. Ohne ein Eingreifen beispielsweise der EU-Kommissarin für digitale Souveränität wird die nächste Chance also der nächste EU-Haushalt sein, der Mehrjährige Finanzrahmen (MFR) im Jahr 2028. Da würde eine große Lücke klaffen.

netzpolitik.org: Die Europäische Kommission plant für Ende Mai eine Open-Source-Strategie. Was erwartet ihr davon?

Michiel Leenaars: Wir hoffen, dass die Strategie der Kommission alle langfristigen Interessen der europäischen Wirtschaft berücksichtigt und eine strategische Maßnahme zum Wohle der gesamten europäischen Gesellschaft entwirft, nicht nur zum eigenen Nutzen.

Die Schwierigkeit wird darin bestehen, sie in die Praxis umzusetzen.

netzpolitik.org: Die Kommission hat außerdem erklärt, dass der Open-Source-Sektor kommerzieller werden müsse. Stimmst du dem zu?

Michiel Leenaars: Ich denke, es gibt viele Wege, nachhaltig zu sein, und obwohl sich mit der Entwicklung und Wartung kritischer Infrastruktur sicherlich gesunde Gewinne erzielen lassen, gibt es nicht allzu viele Beispiele dafür, dass dies langfristig gut funktioniert. Da besteht ein Spannungsverhältnis.

Kollektive Modelle sind ein interessantes Modell. Man kann eine gemeinnützige Organisation haben, die von den Interessengruppen bezahlt wird. Wenn man sich ansieht, wie zahlreiche Internet-Knotenpunkte organisiert sind, erkennt man, dass solche kollektive Ansätze robust sind und gesunde, unabhängige Organisationen ermöglichen. Solange man genug Geld für den Betrieb erhält, muss man nicht nach Geschäftsmöglichkeiten suchen.

Unverzichtbare Software sollte als gemeinsames öffentliches Gut behandelt und kollektiv finanziert werden, damit sie sicher und nachhaltig gewartet werden kann, ohne den Anreizen kommerzieller Technologiemärkte zu unterliegen, extrem schnell zu agieren und Geld zu verdienen.

netzpolitik.org: Derzeit wird viel über das Konzept „Kaufe Europäisch“ diskutiert, also die Bevorzugung europäischer Anbieter bei der Beschaffung. Glaubst du, dass dies Europas digitale Souveränität stärken würde?

Michiel Leenaars: Jede Form von Abhängigkeit ist schlecht. Die Tatsache, dass etwas einem Unternehmen mit europäischer Anschrift gehört, macht es noch lange nicht vertrauenswürdig. Die Tatsache, dass man wechseln kann, wenn sie etwas Unrechtes tun, sorgt hingegen dafür, dass sie ehrlich bleiben.

Viele digitale Dienste sind heute eigentlich Pseudo-Infrastruktur. Messaging-Dienste wie WhatsApp oder Signal können jederzeit abgeschaltet werden, wenn ein einzelner Manager dies beschließt.

Wir hassen diese Idee. Deshalb finanzieren wir all diese Alternativen.

netzpolitik.org: Es spielt also keine Rolle, ob es sich um ein europäisches oder ein US-amerikanisches Produkt handelt, wenn es proprietär ist?

Michiel Leenaars: Ich denke, es hat Vorteile, Dienste in Europa zu hosten.

Wichtig ist jedoch die Rechtshoheit, nicht der Standort. Andere Rechtsordnungen können den Dienst nicht abschalten, sie haben keinen „Kill Switch“. Wenn Microsoft oder Amazon beispielsweise ein Rechenzentrum in Europa errichten, könnten sie dennoch gezwungen werden, den Dienst abzuschalten.

netzpolitik.org: Wie stehst du dann zur digitalen Souveränität?

Michiel Leenaars: Aus gesellschaftlicher Sicht bin ich der Meinung, dass zumindest die grundlegenden Dinge von niemandem abhängig sein sollten. Regierungen sollten ihre Infrastruktur besitzen.

Ich halte es für grundlegend, selbsterhaltend zu sein und die Bedingungen zu wählen, wie wir unsere Gesellschaft gestalten – ohne um Erlaubnis bitten zu müssen oder befürchten zu müssen, in unserer Funktionsfähigkeit eingeschränkt zu werden, weil jemand anderes dies so beschließt.

netzpolitik.org: Worauf sollte sich Europa konzentrieren, wenn es seine digitale Unabhängigkeit stärken will?

Michiel Leenaars: Europa muss in Open-Source-Infrastruktur und langfristige Wartung investieren.

Im Bereich der Künstlichen Intelligenz glaube ich, dass der Großteil der aktuellen Investitionen in KI eigentlich eine Desinvestition ist, weil man damit lediglich die Nvidia-Aktien in die Höhe treibt und dabei in eine Sackgasse läuft. Stattdessen sollten wir unsere Kapazitäten ausbauen, unsere eigenen Chips entwickeln und den Fokus auf die KI-Modelle richten, an die wir glauben.

Und wir müssen den wirtschaftlichen Ruin stoppen, der durch unsere unsinnige Abhängigkeit von gemieteten Computern und proprietärer Software entsteht – wenn man dem Geldfluss folgt, wird das absolut deutlich. Der Begriff „KI-Wettlauf“ ist verlockend, aber falsch: Es handelt sich nicht um einen fairen Sprint, sondern um langfristige wirtschaftliche Nachhaltigkeit und gesellschaftliche Gesundheit, die wir angesichts eines verzerrten und kaputten Marktes anstreben.

Wir müssen daher die Gesetzgebung durchsetzen, um schlechte Akteure zu entfernen, und Wettbewerber zur Interoperabilität zwingen. Der Digital Markets Act (DMA) muss seine Wirkung entfalten.