Microsoft will im Enterprise-Umfeld helfen, die Maschinen mit ablaufenden Secure-Boot-Zertifikate aus dem Jahr 2011 zu identifizieren. Einige Hilfestellung für Netzwerke gab es bereits, nun soll auch der Microsoft Defender helfen, betroffene Geräte aufzuspüren und auf den aktuellen Stand zu bringen.

Im Message-Center der Windows-Release-Health-Notizen hat Microsoft jetzt die neue Funktion für den Microsoft Defender angekündigt. Es handelt sich um ein Dashboard, von dem aus IT-Verantwortliche in Netzen den Sicherheitsstatus ihrer betreuten Geräte einsehen können. Jetzt können IT-Teams an zentraler Stelle die Verbreitung der Secure-Boot-Zertifikate aus dem Jahr 2023 in ihrem Gerätepark einsehen, erklärt das Unternehmen. Ein Blog-Eintrag in der Techcommunity geht etwas detaillierter darauf ein.

Auswirkungen abgelaufener Secure-Boot-Zertifikate

Microsoft erklärt dort, dass Secure Boot die Integrität des Boot-Prozesses eines Geräts sicherstellt, indem nur vertrauenswürdige Software gestartet wird. Sofern Geräte keine neuen Zertifikate erhalten, können sie nicht in den Genuss neuer Sicherheitsmaßnahmen für den frühen Startvorgang kommen. Die Geräte starten weiterhin, können aber keine neueren Schutzmaßnahmen in der frühen Startphase des Systems mehr erzwingen. Im Verlauf der Zeit schwäche das die „Root of Trust“ des Geräts und setzt sie neuen Klassen von Angriffen aus, die vor dem Laden des Betriebssystems und der vollständigen Sicherheitskontrollen aktiv werden.

Konkret könnten bösartige oder manipulierte Boot-Komponenten nicht mehr zuverlässig blockiert werden, wenn sie nicht mit vertrauten Zertifikaten signiert sind. Geräte könnten nicht in der Lage sein, neue Secure-Boot-Richtlinien zu übernehmen, die vor neu entdeckten Bedrohungen beim Bootvorgang schützen sollen. Außerdem können Angreifer zur Startzeit Techniken zur Erlangung von Persistenz einsetzen, bevor traditionelle Sicherheitskontrollen greifen.

Um das zu verhindern, sollen IT-Verantwortliche einen Überblick erhalten, welche Geräte bereits erfolgreich das Update absolviert haben und welche Geräte noch Aufmerksamkeit diesbezüglich benötigen. Im Microsoft-Defender-Dashboard haben die Entwickler daher eine neue Empfehlung (Recommendations) eingebaut. Die unterteilt die Geräte in drei Klassen: „Exposed Devices“ vertrauen noch den alten Secure-Boot-Zertifikaten, ohne Vertrauen in die neueren Zertifikate. „Compliant Devices“ haben die neuen 2023er-Zertifikate und den signierten Boot-Manager. „Not applicable Devices“ hingegen haben Secure Boot deaktiviert oder unterstützen es nicht.

Aus dieser Empfehlungsansicht heraus können Admins sich „Exposed Devices“ genauer ansehen und herausfinden, welche Systeme noch Aufmerksamkeit benötigen. Filter lassen sich nach Betriebssystemplattform und Gerätekontext anwenden, um die Gegenmaßnahmen besser zu priorisieren. Die Gerätedaten lassen sich zudem exportieren, um sie mit Infrastruktur- und Plattform-Teams zu teilen. Natürlich lässt sich der Verteilungsprozess der Secure-Boot-Zertifikate damit überwachen. Microsoft schreibt nichts dazu, ob das mit Zusatzkosten verbunden ist.

Microsoft deckt damit nun unterschiedliche Netzwerkdimensionen ab. Auf den einzelnen Rechner hilft etwa die Windows-Sicherheits-App, den Status der Secure-Boot-Zertifikate auf der konkreten Maschine einzusehen. IT-Verantwortliche müssen insbesondere auf Windows-Servern jedoch selbst aktiv werden, dort verteilt Microsoft die neuen Zertifikate nicht mit automatischen Windows-Updates. Dass die Zertifikate auslaufen, darauf hat Microsoft bereits seit Juni 2025 aufmerksam gemacht. Die Vorbereitungen sollten Admins nun abschließen und zügig an die Verteilung der neuen Secure-Boot-Zertifikate gehen.

(dmk)

Was macht eine Infrastruktur eigentlich unabhängig? Für Michiel Leenaars von der NLnet Foundation liegt die Antwort nicht darin, woher die Technologie stammt, sondern ob sie kontrolliert und ersetzt werden kann. Ein Jahr, nachdem er Bedenken hinsichtlich fehlender EU-Finanzierung für Initiativen wie die seine geäußert hatte, reflektiert der Strategiedirektor der Stiftung darüber, was sich seitdem geändert hat und was Europa beim Aufbau eines souveränen digitalen Stacks immer noch falsch macht.

netzpolitik.org: Was unternimmt NLnet derzeit, um Open-Source-Infrastruktur zu fördern?

Michiel Leenaars: Wir schreiben offene Ausschreibungen aus, um offene Infrastruktur zu finanzieren. Auf allen Ebenen des Stacks, von Entwicklern offener Hardware-Chips bis hin zu Office-Suiten, Suchmaschinen und sozialen Medien wie Mastodon.

Die Leute klopfen einfach an unsere Tür und erzählen uns, was im Internet nicht stimmt, und wenn es eine gute Idee ist, helfen wir ihnen.

netzpolitik.org: Mit Geld?

Michiel Leenaars: Ja, aber auch mit Team-Entwicklung, rechtlichen Fragen, Leistungsoptimierung, Sicherheitsaudits, Lizenzkonformität, Barrierefreiheitsprüfungen …

Wir wollen sicherstellen, dass wir nicht nur über den Aufbau eines europäischen Stacks reden, sondern dass wir die Menschen, die ihn aufbauen, auch tatsächlich unterstützen. Im Grunde läuft es darauf hinaus, die Menschen zu bezahlen, die an Alternativen arbeiten. Und das so zu tun, dass es tatsächlich skalierbar ist.

Und es funktioniert. Wir haben bereits über 1.450 Projekte in rund 80 Ländern finanziert. Die kann man alle auf unserer Website einsehen. Und einige der besten Leute bewerben sich bei uns.

netzpolitik.org: Aber ihr seid ein kleines Team und habt ein begrenztes Budget. Wie schafft ihr das?

Michiel Leenaars: Ja. Wir sind ein winziges Team mit einem Budget von etwa 15 Millionen Euro pro Jahr. Das ist recht begrenzt im Vergleich zur Größe der Herausforderungen, die wir angehen wollen. Aber wir arbeiten mit gezielten Förderungen zwischen 5.000 und 50.000 Euro.

Kleine Budgets werden oft belächelt. Aber in den meisten Fällen besteht gar kein Bedarf an Milliardenprojekten. Man braucht lediglich einzelne Expert:innen, um die tatsächlichen Probleme zu lösen, und dass all diese Komponenten auf ganz bestimmte Weise zusammenpassen.

netzpolitik.org: Woher bekommt ihr euer Geld?

Michiel Leenaars: Es ist eine bunte Mischung. Der größte Teil stammt aus dem Programm „Next Generation Internet“ der Europäischen Kommission, das in den letzten Jahren unsere wichtigste Triebkraft war.

Es gibt ein Unternehmen namens Radically Open Security, das uns jedes Jahr seine Gewinne spendet. Wir erhalten auch Mittel von Regierungen wie der niederländischen und der französischen, sowie von ganz normalen Menschen, denen unsere Arbeit am Herzen liegt, also von privaten Spendern und gleichgesinnten Organisationen.

netzpolitik.org: Das Programm „Next Generation Internet“ wurde eingestellt. Wie sieht es aktuell mit der EU-Förderung für Open-Source-Projekte aus?

Michiel Leenaars: Es gibt nun eine Nachfolgeinitiative namens „Open Internet Stack“. Die Konturen davon sind noch vage, aber es ist enger gefasst und hat ein kleineres Budget. Wir stehen kurz vor dem Start des ersten Programms, und das wird es uns zumindest ermöglichen, einen Teil der anstehenden Arbeit weiter voranzutreiben.

Wir haben uns natürlich für die neuen Ausschreibungen für 2026 beworben. Wir hoffen, einen Teil dieser Mittel zu erhalten, aber diese Ausschreibungen sind massiv überzeichnet. Offenbar wollen viele Organisationen ebenfalls einen Teil dieses Budgets für ihre eigenen Projekte nutzen, aber ihnen ist nicht klar, dass dies das gesamte verfügbare Budget ist. Wir haben eine große Dringlichkeit, aber es ist ziemlich ungewiss, ob wir den Zuschlag erhalten werden.

Und für 2027 gibt es kein neues Budget. Ohne ein Eingreifen beispielsweise der EU-Kommissarin für digitale Souveränität wird die nächste Chance also der nächste EU-Haushalt sein, der Mehrjährige Finanzrahmen (MFR) im Jahr 2028. Da würde eine große Lücke klaffen.

netzpolitik.org: Die Europäische Kommission plant für Ende Mai eine Open-Source-Strategie. Was erwartet ihr davon?

Michiel Leenaars: Wir hoffen, dass die Strategie der Kommission alle langfristigen Interessen der europäischen Wirtschaft berücksichtigt und eine strategische Maßnahme zum Wohle der gesamten europäischen Gesellschaft entwirft, nicht nur zum eigenen Nutzen.

Die Schwierigkeit wird darin bestehen, sie in die Praxis umzusetzen.

netzpolitik.org: Die Kommission hat außerdem erklärt, dass der Open-Source-Sektor kommerzieller werden müsse. Stimmst du dem zu?

Michiel Leenaars: Ich denke, es gibt viele Wege, nachhaltig zu sein, und obwohl sich mit der Entwicklung und Wartung kritischer Infrastruktur sicherlich gesunde Gewinne erzielen lassen, gibt es nicht allzu viele Beispiele dafür, dass dies langfristig gut funktioniert. Da besteht ein Spannungsverhältnis.

Kollektive Modelle sind ein interessantes Modell. Man kann eine gemeinnützige Organisation haben, die von den Interessengruppen bezahlt wird. Wenn man sich ansieht, wie zahlreiche Internet-Knotenpunkte organisiert sind, erkennt man, dass solche kollektive Ansätze robust sind und gesunde, unabhängige Organisationen ermöglichen. Solange man genug Geld für den Betrieb erhält, muss man nicht nach Geschäftsmöglichkeiten suchen.

Unverzichtbare Software sollte als gemeinsames öffentliches Gut behandelt und kollektiv finanziert werden, damit sie sicher und nachhaltig gewartet werden kann, ohne den Anreizen kommerzieller Technologiemärkte zu unterliegen, extrem schnell zu agieren und Geld zu verdienen.

netzpolitik.org: Derzeit wird viel über das Konzept „Kaufe Europäisch“ diskutiert, also die Bevorzugung europäischer Anbieter bei der Beschaffung. Glaubst du, dass dies Europas digitale Souveränität stärken würde?

Michiel Leenaars: Jede Form von Abhängigkeit ist schlecht. Die Tatsache, dass etwas einem Unternehmen mit europäischer Anschrift gehört, macht es noch lange nicht vertrauenswürdig. Die Tatsache, dass man wechseln kann, wenn sie etwas Unrechtes tun, sorgt hingegen dafür, dass sie ehrlich bleiben.

Viele digitale Dienste sind heute eigentlich Pseudo-Infrastruktur. Messaging-Dienste wie WhatsApp oder Signal können jederzeit abgeschaltet werden, wenn ein einzelner Manager dies beschließt.

Wir hassen diese Idee. Deshalb finanzieren wir all diese Alternativen.

netzpolitik.org: Es spielt also keine Rolle, ob es sich um ein europäisches oder ein US-amerikanisches Produkt handelt, wenn es proprietär ist?

Michiel Leenaars: Ich denke, es hat Vorteile, Dienste in Europa zu hosten.

Wichtig ist jedoch die Rechtshoheit, nicht der Standort. Andere Rechtsordnungen können den Dienst nicht abschalten, sie haben keinen „Kill Switch“. Wenn Microsoft oder Amazon beispielsweise ein Rechenzentrum in Europa errichten, könnten sie dennoch gezwungen werden, den Dienst abzuschalten.

netzpolitik.org: Wie stehst du dann zur digitalen Souveränität?

Michiel Leenaars: Aus gesellschaftlicher Sicht bin ich der Meinung, dass zumindest die grundlegenden Dinge von niemandem abhängig sein sollten. Regierungen sollten ihre Infrastruktur besitzen.

Ich halte es für grundlegend, selbsterhaltend zu sein und die Bedingungen zu wählen, wie wir unsere Gesellschaft gestalten – ohne um Erlaubnis bitten zu müssen oder befürchten zu müssen, in unserer Funktionsfähigkeit eingeschränkt zu werden, weil jemand anderes dies so beschließt.

netzpolitik.org: Worauf sollte sich Europa konzentrieren, wenn es seine digitale Unabhängigkeit stärken will?

Michiel Leenaars: Europa muss in Open-Source-Infrastruktur und langfristige Wartung investieren.

Im Bereich der Künstlichen Intelligenz glaube ich, dass der Großteil der aktuellen Investitionen in KI eigentlich eine Desinvestition ist, weil man damit lediglich die Nvidia-Aktien in die Höhe treibt und dabei in eine Sackgasse läuft. Stattdessen sollten wir unsere Kapazitäten ausbauen, unsere eigenen Chips entwickeln und den Fokus auf die KI-Modelle richten, an die wir glauben.

Und wir müssen den wirtschaftlichen Ruin stoppen, der durch unsere unsinnige Abhängigkeit von gemieteten Computern und proprietärer Software entsteht – wenn man dem Geldfluss folgt, wird das absolut deutlich. Der Begriff „KI-Wettlauf“ ist verlockend, aber falsch: Es handelt sich nicht um einen fairen Sprint, sondern um langfristige wirtschaftliche Nachhaltigkeit und gesellschaftliche Gesundheit, die wir angesichts eines verzerrten und kaputten Marktes anstreben.

Wir müssen daher die Gesetzgebung durchsetzen, um schlechte Akteure zu entfernen, und Wettbewerber zur Interoperabilität zwingen. Der Digital Markets Act (DMA) muss seine Wirkung entfalten.

Vor dem Hintergrund aktueller Phishing-Kampagnen, die gezielt Messenger-Dienste und Politiker ins Visier nehmen, hat sich Bundestagspräsidentin Julia Klöckner (CDU) mit einem dringlichen Appell an die Mitglieder des Parlaments gewandt. In einem heise online vorliegenden Schreiben legt sie den Abgeordneten die Nutzung des Dienstes Wire ans Herz.

Die Bundestagsverwaltung stellt Wire aktiv zur Verfügung, um eine Alternative zu kommerziellen Plattformen wie WhatsApp oder Signal zu etablieren. Klöckner, die selbst von einer Phishing-Operation betroffen war, argumentiert mit formaler Sicherheit: Wire verfüge über eine Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und „ermöglicht vollständig Ende-zu-Ende-verschlüsselte Kommunikation“.

Die Bundestagspräsidentin verweist zudem auf den Anmeldeprozess: Anders als bei vielen Konkurrenten erfolge die Registrierung bei Wire ausschließlich über eine E-Mail-Adresse. Die private Handynummer bleibe außen vor, die verwendete E-Mail-Adresse sei für Dritte nicht sichtbar. Diese Architektur soll es Angreifern erschweren, erfolgreiche Phishing-Versuche zu starten, da ein zentrales Identifikationsmerkmal verborgen bleibt.

Neuer Standard für staatliche Geheimhaltung

Das BSI hat der Version „Wire Bund“ gerade auch die Freigabe für Daten der Geheimhaltungsstufe „Verschlusssache – nur für den Dienstgebrauch“ (VS-NfD) erteilt. Das erlaubt es Behörden, sensible Informationen innerhalb einer kontrollierten, behördeneigenen Infrastruktur auszutauschen. Wire-Geschäftsführer Benjamin Schilz sieht darin einen Schritt hin zu mehr digitaler Souveränität, die vom Zusammenspiel von zertifizierter Software und sicheren staatlichen Betriebsverfahren lebe.

Die neue Zulassung ist zunächst bis Ende 2028 befristet. Das liegt an den noch fehlenden Post-Quanten-Verfahren, die auch Angriffen durch Quantencomputer standhalten müssen. Trotz der Zertifizierungen bleibt ein Rest Skepsis. Kritiker geben zu bedenken, dass auch Wire kein Allheilmittel gegen Cyberangriffe sei. Phishing lasse sich nie ganz ausschließen. Angreifer könnten versuchen, über die leicht zu erratenden dienstlichen E-Mail-Adressen von Parlamentariern an die Login-Daten für den Messenger zu gelangen. So ließen sich Angriffsmuster wie bei den jüngsten Attacken auf Signal-Nutzer wiederholen.

Zwischen Verbotspolitik und Eigenverantwortung

Aus den Reihen der Konservativen kommen schärfere Töne. CDU/CSU-Vizefraktionschefin Andrea Lindholz (CSU) fordert ein Verbot von Signal für Abgeordnete und Mitarbeiter. Solche pauschalen Ansätze stoßen aber auf Unverständnis bei Experten, die darin eher ein mangelndes Verständnis für moderne digitale Kommunikationswege sehen.

Die Debatte verdeutlicht ein tieferliegendes Problem: Oft ist nicht die Technik die Schwachstelle, sondern der Mensch. Fachleute drängen daher auf mehr digitale Bildung für den politischen Apparat. Die Sicherheit im „Neuland“ Bundestag wird letztlich auch davon abhängen, wie souverän die Nutzer selbst mit ihren digitalen Instrumenten umgehen.

(vbr)