Derzeit häufen sich die Meldungen, dass die Funktion „Microsoft Edge Secure Network“ gar kein VPN sei. Es stelle die Funktion nur für den Browser und nicht für das gesamte System bereit. Zudem wird nicht aller Verkehr getunnelt. Das hat Microsoft jedoch nie versprochen.

Der derzeitige Aufschrei geht zurück auf einen Beitrag auf X von einem jungen IT-Sicherheitsforscher namens Sooraj Sathyanarayanan. Dort schreibt er: „Ich habe eine gründliche Sicherheitsanalyse von Microsoft Edges ‚Secure Network VPN‘ gemacht“. Der Name lautet allerdings offiziell „Microsoft Edge Secure Network“ (auf Deutsch etwas ungelenk das „sichere Microsoft Edge-Netzwerk“). Die Beschreibung in den Browser-Einstellungen unter „Datenschutz, Suche und Dienste“ – „Sicheres Microsoft Edge-Netzwerk verwenden“ lautet tatsächlich „integriertes VPN, das vor Onlinetrackern schützt. Sie erhalten 5 GB kostenloses VPN pro Monat“. Etwas detaillierter ist nach Klick auf das Fragezeichen neben der Funktion zu lesen: „Secure Network ist ein integriertes VPN, mit dem Sie Ihre Netzwerkverbindungen gegen Online-Hacker absichern, sich vor Onlinetrackern schützen und Ihren Standort privat halten können. Sie erhalten jeden Monat 5 GB kostenlose sichere Netzwerkdaten, wenn Sie sich mit Ihrem Microsoft-Konto bei Edge anmelden“.

Tunnel für Klartext-Verbindungen im Browser

Sathyanarayanan erklärt, dass Edge Secure Network jedoch kein VPN sei. Es handele sich um einen „HTTP CONNECT“-Proxy, der auf Cloudflares Privacy-Proxy-Plattform aufsetzt. Lediglich Verkehr aus dem Edge-Browser werde getunnelt. Andere Anfragen des Systems wie DNS-Anfragen, E-Mail-Clients, Hintergrunddienste, Betriebssystemupdates, schlicht alles außerhalb von Edge bleibt weiterhin sichtbar. Schlimmer noch: Standardmäßig sei die „optimierte“ Einstellung vorausgewählt, die nur in öffentlichen WLANs oder beim Besuch unverschlüsselter HTTP-Seiten eingreift. Im heimischen Netz macht das VPN also beim Besuch von HTTPS-Seiten nichts, außer man stellt die Einstellungen um auf „Alle Seiten“. „Die meisten User werden das niemals machen, was bedeutet, die meisten User erhalten die meiste Zeit null Schutz“, führt der IT-Forscher aus. Ein weiteres Problem liegt darin, dass der Traffic ohne Verschlüsselung weiterlaufe, wenn die Verbindung zu Cloudflare-Servern ausfalle – ohne, dass Nutzer gewarnt würden.

Außerdem muss man sich mit einem Microsoft-Konto anmelden. Damit ist die eigene Identität mit der VPN-Nutzung verknüpft. Sofern ein Konto angemeldet ist, synchronisiert er die meisten Daten, den Verlauf, Passwörter, Favoriten, Formulardaten, Erweiterungen und geöffnete Tabs in allen Edge-Instanzen. Daher erfordere Edge Secure Network die vollständige Offenlegung der Identität der Nutzer. Zudem übernimmt Cloudflare das Routing. Alle 25 Stunden lösche das Unternehmen Diagnose- und Support-Daten. Microsoft behauptet, dass Cloudflare niemals die Konto-Identität sehe, und Cloudflare gibt an, dass es den Traffic nicht untersuche. Hier müssten Nutzer den Unternehmen vertrauen, da sie keine unabhängige Überprüfung vornehmen können und die Codebasis Closed Source sei.

Microsofts Angebot

Zwar sind die Beobachtungen korrekt. Allerdings behauptet Microsoft gar nicht, dass es sich um ein vollwertiges VPN handelt. Bereits bei der Vorstellung in einer Vorabversion von Microsoft Edge im April 2022 war der Nutzen des Quasi-VPNs im Webbrowser klar: „Der Datenverkehr ist damit auch bei Verbindungen, die nicht SSL-gesichert sind, nicht mehr abhörbar. Zudem verschleiert der Tunnel die eigene IP-Adresse, sodass Tracking erschwert wird. Der Tunnel wird über den CDN- und Internet-Security-Anbieter Cloudflare aufgebaut.“

Auf der verlinkten Webseite zu „Microsoft Edge Secure Network“ erklärt das Unternehmen auch die Voreinstellung, dass zur Begrenzung des Traffics nur unsichere Verbindungen über die VPN-Tunnel gehen. „Um Ihre zugewiesene VPN-Datenbandbreite zu schonen, werden Streaming-Seiten wie Netflix, Hulu, HBO und andere nicht über den Secure-Network-VPN-Dienst geleitet, es sei denn, Sie entscheiden sich dafür, das VPN für alle Seiten zu nutzen“, schreibt Microsoft dort.

Übertriebene Aufregung

Die Aufregung um die Microsoft-Edge-Funktion erscheint daher übertrieben. Interessierte müssen die Funktion überhaupt erst finden und aktivieren. Dass daraus aufgrund der Beschreibung die Erwartung erwächst, dass sämtlicher Traffic des Geräts über einen VPN-Tunnel geleitet wird, ist zumindest zweifelhaft. Bei anderen Webbrowsern mit integrierter VPN-Funktion erwartet das vermutlich ebenfalls niemand. Microsoft geht zudem offen damit um, dass Nutzer angemeldet sein müssen und Cloudflare den Dienst bereitstellt.

(dmk)

Der Dachverband europäischer Digitalorganisationen EDRi hat eine neue Kampagne zum Schutz von Verschlüsselung und privater Kommunikation gestartet. Hintergrund der Kampagne „Keep It Safe and Secure“ (KISS) ist, dass die verschlüsselte Kommunikation in der EU nicht nur durch die Chatkontrolle-Gesetzgebung unter Druck steht, sondern auch durch weitere Projekte.

Staatliche Akteure wie Polizeien und Geheimdienste begehren unter dem Deckmantel des Going-Dark-Narrativs Zugriff auf die Inhalte der Kommunikation. Außerdem beklagt EDRi, dass eine staatlich alimentierte Hacking-Industrie Menschen aus Aktivismus, Politik, Wirtschaft und Journalismus ins Visier nehme und die IT-Sicherheit aller Menschen gefährde.

Die EU hatte im letzten Jahr unter dem Schlagwort ProtectEU einen Fahrplan zum Ausbau der Überwachung vorgestellt. Die Angriffe auf die Verschlüsselung verstecken sich hinter der Formulierung „Rechtmäßiger Zugang zu Daten für Strafverfolgung“. Die Pläne sehen neben einem Angriff auf Verschlüsselung auch den Ausbau der Vorratsdatenspeicherung vor. Die EU-Kommission will noch im ersten Quartal eine Folgenabschätzung dazu veröffentlichen.

Schwachstellen und Hintertüren

Europol und andere Strafverfolgungsbehörden, so heißt es in der Kampagne, drängten unter anderem darauf, Hacking-Methoden zu legalisieren, welche die Verschlüsselung schwächen. Diese Methoden sind immer damit verbunden, Schwachstellen und Hintertüren in Hard- und Software einzubauen oder auszunutzen.

Zu den Methoden gehören wie bei der Chatkontrolle ursprünglich geplant das Client-Side-Scanning, bei dem Inhalte wie Texte, Bilder oder Videos auf einem Gerät oder in einem Kommunikationskanal schon vor der Verschlüsselung gescannt werden. Weitere Ansätze sind unsichere Verschlüsselungsmethoden, bei denen nicht nur die Kommunizierenden Schlüssel haben, sondern Behörden „Nachschlüssel“ zum Entschlüsseln der Kommunikation besitzen. Ein weiterer Ansatz sind Systeme, bei denen Behörden als unsichtbarer „Geist“ an verschlüsselter Kommunikation teilnehmen und die Kommunikation so mitlesen können.

Schutz von Verschlüsselung gefordert

In einer Petition fordern EDRi und die Bündnispartner der Kampagne von den EU-Abgeordneten Schutz von Verschlüsselung und ein Verbot von Staatstrojanern. Die massive Mobilisierung im Rahmen Chatkontrolle sei ein klares Zeichen dafür gewesen, dass den Menschen Verschlüsselung wichtig ist. „Wenn wir die Verschlüsselung verlieren, verlieren wir auch das Vertrauen in alles, was wir online tun, und gefährden damit die Sicherheit unserer demokratischen Gesellschaft, unserer Wirtschaft und unserer Menschenrechte“, heißt es weiter.

Microsoft hat ein „Playbook“ für den Umgang mit den im Juni 2026 auslaufenden Secure-Boot-Zertifikaten von Windows Servern herausgegeben. Es soll IT-Verantwortlichen in Organisationen helfen, die Zertifikate unter Windows-Server-Versionen auszutauschen, bevor sie im Juni ablaufen.

Ein aktueller Blog-Beitrag in Microsofts Techcommunity erklärt verfügbare Werkzeuge und Optionen. Die Autoren schränken ein, dass die Anleitung nicht auf Azure Local-Hosts, Windows-PCs oder Hyper-V-VMs der ersten Generation anwendbar ist.

Ablaufende Zertifikate: Manuelle Eingriffe nötig

Microsoft erklärt, dass die Secure-Boot-Zertifikate mit einer vordefinierten Laufzeit versehen sind, wie andere kryptografische Objekte auch. Der periodische Austausch helfe, aktuelle Sicherheitsanforderungen zu erfüllen. Daher müssen Organisationen sicherstellen, dass die Secure-Boot-CAs aus 2023 auf den Windows-Server-Systemen vorhanden sind, bevor die alten CAs aus dem Jahr 2011 ablaufen. „Systeme mit den CAs von 2011 laufen nach Juni 2026 Gefahr, mit einem geringeren Sicherheitsstatus zu arbeiten“, führen die Autoren aus.

Windows Server 2025 auf zertifizierten Server-Plattformen bringt bereits die 2023er-Zertifikate in der Firmware mit. Auf Servern, bei denen das nicht der Fall ist, müssen IT-Verantwortliche die Zertifikate manuell aktualisieren, da Windows Server sie nicht automatisch erhält. Anders als Windows-PCs, die die Secure-Boot-Zertifikatsupdates als Teil des Controlled Feature Rollout (CFR) im Rahmen der monatlichen Updates erhalten, erfordern Windows Server manuelle Eingriffe.

Microsoft liefert dann eine schrittweise, nachvollziehbare Anleitung. Sie beginnt mit Inventur und Vorbereitung der Umgebung. Anschließend geht sie weiter zur Überwachung und Prüfung des Secure-Boot-Status der Geräte und darauffolgend hin zur Anwendung benötigter OEM-Firmware-Updates vor den Zertifikatsaktualisierungen. Daran schließt sich die Planung und Begleitung der Secure-Boot-Zertifikatsverteilung an und schließlich endet sie mit Problemlösungen und dem Beheben üblicher Probleme.

Admins mit Windows-Servern im Netzwerk sollten die Anleitung studieren und deren Umsetzung in absehbarer Zeit in Angriff nehmen. Für Windows-Desktop-Systeme hat Microsoft bereits Ende Januar mit der Verteilung von aktualisierten Secure-Boot-Zertifikaten begonnen. Mit der Sensibilisierung für den anstehenden Zertifikatsaustausch hat Microsoft zudem bereits im Juni vergangenen Jahres angefangen.

(dmk)