Microsoft unter Beschuss: Veraltete Verschlüsselung ermöglicht Cyberangriffe

Microsoft gerät wegen seiner anhaltenden Unterstützung einer unsicheren Verschlüsselungsmethode massiv unter Druck. US-Senator Ron Wyden fordert eine Untersuchung der Handelskommission FTC und wirft dem Software-Riesen „grobe Cybersicherheitsnachlässigkeit“ vor.

Der Auslöser: Ein verheerender Ransomware-Angriff auf das Gesundheitssystem Ascension kompromittierte die Daten von 5,6 Millionen Menschen – möglich gemacht durch eine Verschlüsselungstechnologie aus den 1980ern, die Microsoft bis heute standardmäßig aktiviert lässt.

RC4-Verschlüsselung: Ein Sicherheitsrisiko seit Jahren bekannt

Im Zentrum der Kritik steht Microsofts Unterstützung des RC4-Verschlüsselungsverfahrens in Windows-Systemen. Cybersecurity-Experten betrachten diese Technologie seit über einem Jahrzehnt als gebrochen und unsicher.

Angreifer nutzen diese Schwachstelle durch eine Technik namens „Kerberoasting“. Dabei greifen sie das Kerberos-Authentifizierungsprotokoll in Microsofts Active Directory an – einem Kernelement der meisten Unternehmensnetzwerke. Hat ein Angreifer erst einmal Zugang zum Netzwerk erhalten, kann er verschlüsselte Service-Account-Zugangsdaten anfordern. Bei RC4-Verschlüsselung lassen sich diese offline knacken, wodurch Cyberkriminelle Passwörter privilegierter Konten stehlen können.

Die Folgen sind verheerend: Angreifer erhalten erweiterte Zugriffsrechte, können sich lateral durch das Netzwerk bewegen, Ransomware verbreiten und sensible Daten abgreifen.
Anzeige: Apropos Ransomware und defekte Systeme: Ein aktueller Windows?11?Boot?Stick kann im Notfall Leben retten – ob zur Reparatur, für eine Neuinstallation oder um Daten zu sichern. Ein kostenloser PDF?Ratgeber erklärt Schritt für Schritt, wie Sie den USB?Stick korrekt erstellen, welche Dateien Sie benötigen und welche Fehler Sie vermeiden sollten. Holen Sie sich jetzt das Werkzeug für den Ernstfall. Windows?11?Boot?Stick: Gratis?Anleitung herunterladen

Warnungen ignoriert: Behörden schlagen seit Jahren Alarm

US-Behörden wie die Cybersecurity and Infrastructure Security Agency (CISA), das FBI und die National Security Agency (NSA) warnen bereits seit Jahren vor den Gefahren von Kerberoasting. Die Internet Engineering Task Force (IETF) verbot RC4 bereits 2015 für das TLS-Protokoll.

Trotz dieser eindringlichen Warnungen bleibt RC4 in vielen Windows-Versionen standardmäßig aktiviert. Microsoft begründet dies mit Kompatibilitätsproblemen für Bestandskunden – eine Entscheidung, die Kritiker als Priorisierung der Abwärtskompatibilität über grundlegende Sicherheit bezeichnen.

Microsofts Reaktion: Zu wenig, zu spät?

Microsoft räumt ein, dass RC4 veraltet ist und rät von dessen Nutzung ab. Ein Unternehmenssprecher argumentiert, eine vollständige Deaktivierung würde „viele Kundensysteme zum Absturz bringen“. Zwar versucht Active Directory nicht standardmäßig RC4 zu verwenden, jedoch bleibt es aktiviert – und Angreifer können es gezielt anfordern.

Im Oktober 2024 veröffentlichte Microsoft einen technischen Blogbeitrag mit Anleitungen zur Entschärfung von Kerberoasting-Angriffen. Senator Wydens Büro kritisiert dies als unzureichend: Die Anleitung sei auf einer obskuren Webseite versteckt und nicht effektiv kommuniziert worden.

Zeitplan für Abhilfe: Besserung in Sicht?

Microsoft hat nun einen konkreteren Zeitplan angekündigt. RC4 soll in künftigen Updates von Windows 11 24H2 und Windows Server 2025 standardmäßig deaktiviert werden. Bei Neuinstallationen von Active Directory Domains mit Windows Server 2025 wird RC4 ab dem ersten Quartal 2026 standardmäßig ausgeschaltet.
Anzeige: Während Microsoft RC4 in Windows 11 24H2 standardmäßig abschalten will, lohnt es sich, den Umstieg sauber vorzubereiten. Ein Gratis?Report zeigt, wie Sie Windows 11 gefahrlos testen, Daten und Programme übernehmen und die wichtigsten Neuerungen nutzen – Schritt für Schritt und ohne Stress. Ideal, wenn Sie Sicherheitsfeatures frühzeitig überprüfen möchten. Windows 11 Starterpaket jetzt kostenlos anfordern

Für Sicherheitsexperten kommt dies jedoch viel zu spät. Sie fordern sofortiges Handeln und kritisieren Microsofts reaktiven Ansatz bei kritischen Sicherheitslücken.

Systemisches Problem: Profitables Sicherheitsgeschäft

Senator Wyden vergleicht Microsoft mit „einem Brandstifter, der seinen Opfern Feuerlöschdienste verkauft“. Das Unternehmen profitiere davon, teure Sicherheitslösungen zu verkaufen, um Risiken zu mindern, die durch die eigenen Standardeinstellungen entstehen.

Diese Kritik ist nicht neu. Bereits 2023 verurteilte das US Cyber Safety Review Board Microsoft scharf für eine Serie vermeidbarer Fehler, die zu einem Einbruch chinesischer Hacker in US-Regierungs-E-Mail-Konten führten. Der Bericht bezeichnete Microsofts Sicherheitskultur als „unzureichend“.

Experten sehen im RC4-Problem ein Symptom eines größeren Issues: eine Unternehmenskultur, die historisch Rückwärtskompatibilität über Sicherheit stellt. Obwohl moderne, sichere Verschlüsselungsstandards wie AES unterstützt werden, sind sie nicht immer die erzwungene Standardeinstellung.
Anzeige: Für alle, die aufgrund der Debatte um Microsofts Sicherheitsstandards eine Alternative prüfen möchten: Das Linux?Startpaket liefert eine vollständige Ubuntu?Version plus leicht verständliche Anleitung für die Parallelinstallation neben Windows. Sie testen schneller, stabiler und ohne Lizenzkosten – risikofrei und ohne Datenverlust. So gewinnen Sie Sicherheitsspielraum, ohne Ihren Windows?Alltag sofort umzubauen. Linux?Startpaket gratis sichern

Was Unternehmen jetzt tun müssen

Organisationen mit Windows-Umgebungen sollten nicht auf künftige Microsoft-Updates warten. IT-Administratoren wird dringend geraten, RC4 in ihren Active Directory-Umgebungen sofort zu deaktivieren. Dies erfordert Registry-Änderungen und sorgfältige Policy-Konfiguration, um sicherzustellen, dass nur starke Verschlüsselungsalgorithmen wie AES für Kerberos-Authentifizierung verwendet werden.

Die Untersuchung des Ascension-Angriffs läuft weiter, und die FTC prüft Senator Wydens Forderungen. Der Druck auf Microsoft, seinen Ansatz bei Standard-Sicherheitseinstellungen zu überdenken, dürfte sich weiter intensivieren.