PIRATEN entsetzt über weitere Hintertüren bei PC-Hersteller DELL



Wieder einmal erfahren wir von hausgemachten Sicherheitslücken bei neu erworbenen PC-Systemen. Diesmal trifft es den amerikanischen Hersteller DELL, der auf seinen Geräten offenbar fahrlässig ein eigenes Root-Zertifikat installiert. Entdeckt wurde dieses Zertifikat von rotorcowboy, einem Benutzer des Internetportals reddit. [1]

Das Informationsportal Heise Online bestätigt in einer aktuellen Warnung, dass dadurch ohne großen Aufwand sämtliche SSL/TLS-Verschlüsselung umgangen werden kann. So war es den Spezialisten von Heise möglich, zum Beispiel die Kommunikation beim Onlinebanking problemlos mitzulesen.[2]

Heute wurde eine weitere Schwachstelle bekannt, die das Bundesministerium für die Sicherheit der Informationstechnik (BSI) als schwerwiegend eingestuft hat. [3]
Auf DELL-Computern ist ein weiteres CA-Zertifikat mitsamt privatem Schlüssel entdeckt worden. Damit ist es jedem möglich, gültige Zertifikate auszustellen und die Verschlüsselung von Webseiten ad absurdum zu führen. DELL hat nach Bekanntwerden der Schwachstelle den Patch zum Löschen von eDellRoot zur Verfügung gestellt.

Sind zur Querfinanzierung vorinstallierte Programme auf neu erworbenen Computern in den meisten Fällen nur lästig und störend, kompromittieren solche Vorgehensweisen der Hardwarehersteller immer wieder die Sicherheit selbst versierter Anwender. Hierdurch werden die Systeme mühelos angreifbar und die Daten sowie die Privatsphäre der Anwender fahrlässig gefährdet. PIRATEN rufen die Hersteller dazu auf, hier mehr Sorgfalt walten zu lassen.

Stefan Körner, Bundesvorsitzender der Piratenpartei Deutschland führt aus: »Die Piratenpartei fordert die Hardwarehersteller auf, sich ihrer Verantwortung bewusst zu werden und ihre Kunden nicht länger solchen Gefahren auszusetzen. Microsoft zeigt seit 2014 mit dem Verkauf sogenannter ›Signatur Edition‹ Computern ohne die Dreingabe zusätzlicher Software, wie es gehen kann.«[4] [5]

Körner ergänzt: »Ein wirksamer Schutz der eigenen Daten und der Privatsphäre fängt auf dem heimischen PC an. Ist dieser von vornherein kompromittiert, so hilft auch keine noch so gut gemeinte Initiative der Regierung zum Ausbau des Verschlüsselungsstandortes Deutschland zum Schutz der Bürger und deren Privatsphäre.«

Quellen:
[1] Technology http://57361.seu1.cleverreach.com/c/16462542/a84dd2e4461-nydzzs
[2] Dell-Rechner mit Hintertür zur Verschlüsselung von Windows-Systemen http://57361.seu1.cleverreach.com/c/16462543/a84dd2e4461-nydzzs
[3] DSDTestProvider: Weiteres gefährliches Dell-Zertifikat entdeckt http://57361.seu1.cleverreach.com/c/16462544/a84dd2e4461-nydzzs
[4] "Windows Signature Edition": Microsoft verkauft Geräte mit (fast) sauberer Vorinstallation http://57361.seu1.cleverreach.com/c/16462545/a84dd2e4461-nydzzs
[5] http://57361.seu1.cleverreach.com/c/16462546/a84dd2e4461-nydzzs