Ist Microsofts Zwangsaktivierung wirklich vertrauenswürdig?

Neue Studie wirft erneut die Frage auf, ob Microsoft vertrauliche Daten sammelt

Eine neue Studie bezweifelt, dass tatsächlich keine vertraulichen Daten bei der Zwangsaktivierung von Office XP oder Windows XP an Microsoft übermittelt werden. Dies hatte eine im November 2001 veröffentlichte und von Microsoft in Auftrag gegebene Studie der TÜV Informationstechnik (TÜViT) GmbH ergeben, wonach Office XP und Windows XP keinerlei vertrauliche Daten an Microsoft übermitteln.

Artikel veröffentlicht am ,

In einer umfangreichen Analyse erläutert Wolfgang Redtenbacher seine Zweifel an der TÜViT-Studie. Er wurde von einigen sicherheitsbewussten Unternehmen zur Analyse der TÜViT-Studie beauftragt und arbeitet unter anderem für die Deutsche Akkreditierungsstelle Technik (DATech). Nach Ansicht von Redtenbacher haben die Prüfer von TÜViT gar nicht analysiert, ob vertrauliche Daten an Microsoft übermittelt wurden, sondern haben die Vertrauenswürdigkeit des Verfahrens bereits vorausgesetzt.

Stellenmarkt
  1. (Senior) Expert Development (m/w/d) Backend SAP-Commerce / Hybris
    Fressnapf Holding SE, Düsseldorf
  2. IT-Systemadministrator (m/w/d)
    Verwaltungsgesellschaft der Akademie zur Förderung der Kommunikation mbH, Stuttgart
Detailsuche

In seiner aktuellen Analyse kritisiert Wolfgang Redtenbacher vor allem vier "fachliche Mängel, von denen jeder einzelne die Prüfaussage völlig zunichte machen kann". Demnach "erfolgte keine Prüfung, ob die inspizierten Code-Teile auch wirklich mit den ausgeführten Code-Teilen übereinstimmten". Auch wurden die Registrierungs- und Aktivierungsdaten nicht unabhängig geprüft, weil Microsoft TÜViT dazu ein Tool zur Verfügung stellte, um zu zeigen, dass nur für die Produktaktivierung relevante Daten übermittelt werden. Redtenbacher bewertet das folgendermaßen: "Eine Inspektion der verschlüsselten Daten durch ein von Microsoft zur Verfügung gestelltes Programm hat diesbezüglich keine Aussagekraft, da nicht durch eine Prüfung ausgeschlossen worden war, dass dieses Programm möglicherweise nur die offiziellen Registrierungs-/Aktivierungsdaten für TÜViT anzeigt und die anderen Informationen stillschweigend überspringt."

Als dritten Kritikpunkt ließen die TÜViT-Prüfer unberücksichtigt, warum die übertragene Datenmenge deutlich größer war als die vorgeblichen Nutzdaten, so Redtenbacher. Den Prüfern fiel der Unterschied zwar auf, sie verzichteten aber auf eine Analyse, ob der Unterschied "durch eine uneffiziente Protokollnutzung oder etwa durch 'zusätzliche Nutzdaten' entstand", bemängelt Redtenbacher. Als ebenfalls unseriös stuft er ein, dass die TÜViT-Studie nicht angibt, für welchen Zeitraum das Ergebnis gilt, wie es internationale Standards verlangen.

So kommt Wolfgang Redtenbacher zu dem Ergebnis, dass "auf Grund der fachlichen Mängel der TÜViT-Prüfung leider weiterhin die unklare Situation aus der Zeit vor der TÜViT-Studie" besteht. Wie er weiter erklärt, gaben die TÜViT-Prüfer auf Nachfrage sogar zu, dass nicht nach internationalen Normen und Regelwerken geprüft wurde, sondern "es sich in Wirklichkeit um TÜViT-interne Regelwerke gehandelt hatte, die sich lediglich nach der subjektiven Einschätzung der TÜViT-Prüfer an anerkannten Normen 'orientiert' hätten".

Mit der Markteinführung von Office und XP und schließlich Windows XP implementierte Microsoft eine Produktaktivierung, die von Anwendern verlangt, die Installations-ID der Software an Microsoft per Internet oder Telefon zu übermitteln. Daraufhin gibt Microsoft einen Freischaltcode aus, der die zeitlich unbegrenzte Nutzung der Software auf dem betreffenden System ermöglicht. Folgt der Anwender dieser Zwangsaktivierung nicht, kann die Software nach 30 Tagen nicht oder nur mit Einschränkungen weiter verwendet werden.

Datenschützer fanden heraus, dass bei der Produktaktivierung Datenmengen von 72 KByte an Microsoft übermittelt werden. Die Produkt-ID besteht hingegen nur aus einem 50-stelligen Code, wozu keine Textmenge von 72 KByte übermittelt werden muss, was immerhin 18 DIN-A4-Seiten Text entspricht. Die mit der Bekanntgabe einhergehenden Verunsicherungen bei den Konsumenten wollte Microsoft ausräumen und beauftragte die TÜViT mit der Überprüfung der Vorwürfe. Das Ergebnis wurde in vielen Medien als Beweis herangezogen, dass bei der Produktaktivierung der Microsoft-Produkte keine vertraulichen Daten an Microsoft übermittelt werden, was nun mit der aktuellen Analyse wieder in Frage gestellt wurde. Die vollständige Studie sieht Microsoft als vertraulich an, so dass nur eine Kurzfassung der Studie im PDF-Format erhältlich ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Gamefreak 24. Jan 2005

Hat jemand einen regiestrirung code für windows xp home edition

Richard 14. Aug 2003

Im Übrigen - auch zu den obigen Beiträgen -: Es ist ohne Unterstützung durch MS so gut...

Richard 14. Aug 2003

@MaroonD: Schlaf weiter. Selbstverständlich würden die Daten lediglich - fast kostenlos...

Klaus Werner 10. Nov 2002

"Wenn man keine Ahnung hat, einfach mal Fresse halten..." Die Typen mit Kim Schmitz...



Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Pakete: DHL-Preiserhöhung könnte Amazon Prime verteuern
    Pakete
    DHL-Preiserhöhung könnte Amazon Prime verteuern

    DHL Paket erhöht die Preise für Geschäftskunden. Das könnte Auswirkungen auf den Preis von Amazon Prime haben.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /