Harsche Kritik müssen sich Microsoft und die TÜV Informationstechnik GmbH (TÜViT) von dem schwäbischen Softwerker und Sicherheitsspezialisten Wolfgang Redtenbacher gefallen lassen. Er bezweifelt, dass sichergestellt sei, dass bei der Zwangsaktivierung von Office beziehungsweise Windows XP keine vertraulichen Nutzerdaten an Microsoft übermittelt werden.Im November 2001 hatte Microsoft mittels einer eigens vom TÜViT durchgeführte Studie behauptet, den Nachweis geführt zu haben, dass Office XP und Windows XP keine vertraulichen Daten an Microsoft übermitteln würden. Allerdings konnte niemand die Studie einsehen; der TÜV stellte lediglich eine 16 Seiten umfassende Zusammenfassung ins Netz. Die Kritik an der Datenübermittlung direkt nach Redmond blieb bestehen. Wolfgang Redtenbacher, der von einigen Unternehmen beauftragt worden war, die Stichhaltigkeit der TÜV-Studie zu überprüfen, kritisiert die Studie in vier Punkten und kommt zum Schluss, die Prüfer hätten nicht analysiert, ob vertrauliche Daten an Microsoft übermittelt wurden, sondern die Vertrauenswürdigkeit des Verfahrens bereits vorausgesetzt. Die vier inkriminierten Punkte lauten: 1) Es „erfolgte keine Prüfung, ob die inspizierten Code-Teile auch wirklich mit den ausgeführten Code-Teilen übereinstimmten". 2) „Es erfolgte keine unabhängige Prüfung der vorbereiteten Registrierungs-/Aktivierungsdaten." Zwar ließen sich die Prüfer von Microsoft eine Software geben, mit der dann gezeigt wurde, dass allein die für Produktaktivierung relevanten Daten übermittelt werden. Doch „eine Inspektion der verschlüsselten Daten durch ein von Microsoft zur Verfügung gestelltes Programm hat diesbezüglich keine Aussagekraft", so Rettenbacher. Durch die Prüfung mit dem Microsoft-Tool wurde nicht ausgeschlossen, „dass dieses Programm möglicherweise nur die offiziellen Registrierungs-/Aktivierungsdaten für TÜViT anzeigt und die anderen Informationen stillschweigend überspringt." 3) „Es erfolgte keine Prüfung, ob die bei der Registrierung bzw. Aktivierung übertragenen Daten wirklich nur aus der vorbereiteten Registrierungsdatei und den Internet-Protokollbefehlen bestanden." Die TÜViT-Prüfer ignorierten, warum die übertragene Datenmenge deutlich größer war als die vorgeblichen Nutzdaten. Zwar fiel ihnen der Unterschied auf, aber sie verzichteten auf eine Analyse, ob der Unterschied "durch eine uneffiziente Protokollnutzung oder etwa durch ´zusätzliche Nutzdaten´ entstand", bemängelt Redtenbacher. 4) „Es erfolgten keine Maßnahmen zur Sicherstellung der zeitlichen Stabilität des Prüfergebnisses. Rettenbacher kritisiert, dass die Prüfer nicht präzise gesagt hatten, für welche Version ihre Prüfung erfolgte, sondern lediglich allgemein in ihrer Zusammenfassung behaupten: „Die Produktaktivierung ist vertrauenswürdig." Diese Vorgehensweise widerspräche international verbindlich vorgeschriebenen Standards.Redtenbacher schließt, dass „auf Grund der fachlichen Mängel der TÜViT-Prüfung leider weiterhin die unklare Situation aus der Zeit vor der TÜViT-Studie" besteht. „Sofern Microsoft die Befürchtungen der Datenschützer und Konsumenten wirksam ausräumen möchte, müßte daher eine Prüfung beauftragt werden, die den "Stand der Technik" im Sicherheitsbereich nicht nur für sich beansprucht, sondern auch tatsächlich konsequent umsetzt."(wl)
17.04.2002
Harsche Kritik müssen sich Microsoft und die TÜV Informationstechnik GmbH (TÜViT) von dem schwäbischen Softwerker und Sicherheitsspezialisten Wolfgang Redtenbacher gefallen lassen. Er bezweifelt, dass sichergestellt sei, dass bei der Zwangsaktivierung von Office beziehungsweise Windows XP keine vertraulichen Nutzerdaten an Microsoft übermittelt werden.Im November 2001 hatte Microsoft mittels einer eigens vom TÜViT durchgeführte Studie behauptet, den Nachweis geführt zu haben, dass Office XP und Windows XP keine vertraulichen Daten an Microsoft übermitteln würden. Allerdings konnte niemand die Studie einsehen; der TÜV stellte lediglich eine 16 Seiten umfassende Zusammenfassung ins Netz. Die Kritik an der Datenübermittlung direkt nach Redmond blieb bestehen. Wolfgang Redtenbacher, der von einigen Unternehmen beauftragt worden war, die Stichhaltigkeit der TÜV-Studie zu überprüfen, kritisiert die Studie in vier Punkten und kommt zum Schluss, die Prüfer hätten nicht analysiert, ob vertrauliche Daten an Microsoft übermittelt wurden, sondern die Vertrauenswürdigkeit des Verfahrens bereits vorausgesetzt. Die vier inkriminierten Punkte lauten: 1) Es „erfolgte keine Prüfung, ob die inspizierten Code-Teile auch wirklich mit den ausgeführten Code-Teilen übereinstimmten". 2) „Es erfolgte keine unabhängige Prüfung der vorbereiteten Registrierungs-/Aktivierungsdaten." Zwar ließen sich die Prüfer von Microsoft eine Software geben, mit der dann gezeigt wurde, dass allein die für Produktaktivierung relevanten Daten übermittelt werden. Doch „eine Inspektion der verschlüsselten Daten durch ein von Microsoft zur Verfügung gestelltes Programm hat diesbezüglich keine Aussagekraft", so Rettenbacher. Durch die Prüfung mit dem Microsoft-Tool wurde nicht ausgeschlossen, „dass dieses Programm möglicherweise nur die offiziellen Registrierungs-/Aktivierungsdaten für TÜViT anzeigt und die anderen Informationen stillschweigend überspringt." 3) „Es erfolgte keine Prüfung, ob die bei der Registrierung bzw. Aktivierung übertragenen Daten wirklich nur aus der vorbereiteten Registrierungsdatei und den Internet-Protokollbefehlen bestanden." Die TÜViT-Prüfer ignorierten, warum die übertragene Datenmenge deutlich größer war als die vorgeblichen Nutzdaten. Zwar fiel ihnen der Unterschied auf, aber sie verzichteten auf eine Analyse, ob der Unterschied "durch eine uneffiziente Protokollnutzung oder etwa durch ´zusätzliche Nutzdaten´ entstand", bemängelt Redtenbacher. 4) „Es erfolgten keine Maßnahmen zur Sicherstellung der zeitlichen Stabilität des Prüfergebnisses. Rettenbacher kritisiert, dass die Prüfer nicht präzise gesagt hatten, für welche Version ihre Prüfung erfolgte, sondern lediglich allgemein in ihrer Zusammenfassung behaupten: „Die Produktaktivierung ist vertrauenswürdig." Diese Vorgehensweise widerspräche international verbindlich vorgeschriebenen Standards.Redtenbacher schließt, dass „auf Grund der fachlichen Mängel der TÜViT-Prüfung leider weiterhin die unklare Situation aus der Zeit vor der TÜViT-Studie" besteht. „Sofern Microsoft die Befürchtungen der Datenschützer und Konsumenten wirksam ausräumen möchte, müßte daher eine Prüfung beauftragt werden, die den "Stand der Technik" im Sicherheitsbereich nicht nur für sich beansprucht, sondern auch tatsächlich konsequent umsetzt."(wl)