Projekt »Windows seziert«: BSI veröffentlicht Sicherheitsanalysen von Windows Hello for Business

foto magnific ki

Unternehmen, Verwaltung und die Bevölkerung sind auf sichere Betriebssysteme angewiesen. Sicherheitslücken in Betriebssystemen sind daher ein bedeutendes Cybersicherheitsrisiko für Staat, Wirtschaft und Gesellschaft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Auftrag, Bewertungen von IT-Systemen und -Komponenten vorzunehmen und Empfehlungen zu deren Einsatz und sicheren Konfiguration auszusprechen.

 

Um tiefgreifende Analysen verschiedener sicherheitsbezogener Komponenten in den Betriebssystemen Microsoft Windows 10 und Windows 11 durchzuführen, hat das BSI das Projekt »Windows seziert« gestartet. Als erstes Ergebnis des Projekts wurden heute Analysen zu »Windows Hello for Business« (WHfB) veröffentlicht.

 

Das BSI analysiert in »Windows seziert«, wie der Authentifizierungsablauf mit Windows Hello for Business technisch funktioniert: Die Analyse beschreibt den Ablauf der Identitätsprüfung, den Windows-Biometriedienst sowie die Schnittstelle »Windows Biometric Framework« (Nutzung von Fingerabdruck- oder Gesichtserkennung). Zudem wird die Verwaltung und Aufbau der Biometrie-Datenbank und die erweiterte Anmeldesicherheit »Enhanced Sign-in Security« (ESS) erläutert. Außerdem zeigt die Analyse, wie WHfB in Unternehmen eingeführt wird, welche Konfigurationsmöglichkeiten es für Administratoren gibt und wie Sicherheitsvorfälle erkannt und protokolliert werden können. Ergänzend werden mögliche Angriffsszenarien und passende Gegenmaßnahmen aufgezeigt.

 

Auf Grundlage der Analysen kann das BSI mehrere Empfehlungen zur Absicherung von Windows Hello for Business ableiten: So sollte unter anderem zur Risikominimierung der ESS-Modus (Sicherheitsmodus Enhanced Sign-in Security) aktiviert werden. Dieser erfordert spezielle, kompatible Hardware («sichere Sensoren«). Des Weiteren sollte, um die Gefahr der gegenseitigen Identitätsübernahme zu verringern, pro Gerät nur eine Person registriert werden. Darüber hinaus werden Härtungsmaßnahmen wie der Einsatz von Trusted Platform Module (TPM) mit Brute-Force-Schutz und eine Festplattenverschlüsselung empfohlen.

 

Basierend auf diesen Analysen sind IT-Sicherheitsbeauftragte und Administratorinnen und Administratoren in der Lage, zu bewerten, ob Windows Hello for Business für den Einsatz in ihren Szenarien geeignet ist und wie eine sichere Konfiguration vorgenommen werden kann. In den kommenden Monaten werden zahlreiche weitere Veröffentlichungen, z. B. Analysen zu »Protected Process Light« (PPL) und »Control Flow Guard« (CFG), mit Ergebnissen aus dem Projekt »Windows seziert« folgen.

 

[1] https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/Windows-seziert/windows-seziert_node.html

 

888 Artikel zu „Sicherheit Windows“

Digitaler Weckruf: Sicherheitsgefährdung durch Windows 10

Der 14. Oktober 2025 markierte das Ende der Sicherheitsupdates für Windows 10. Für Schätzungen zufolge weltweit rund 400 Millionen PCs stellt dies ein Risiko dar [1]. Denn ab diesem Tag bleiben Schwachstellen ungepatcht, was Systeme zum Einfallstor für Cyberangriffe macht. Besonders kritisch ist dies für kleine und mittlere Unternehmen (KMU), die oft nicht über die…

Keine Panikmache: Zukünftige Sicherheit von Windows 7

Dass Microsoft den Support für Windows 7 einstellt, kommt für Experten nicht überraschend. Dennoch schrillen nun vielerorts plötzlich die Alarmglocken. Vor allem die Frage der Sicherheit treibt viele User – egal ob geschäftlich oder privat – um.   Andreas Müller, Director DACH bei Vectra, wagt einen sachlichen Blick auf den Status Quo und zu erwartende…

Bundesamt für Sicherheit in der Informationstechnik untersucht Sicherheitseigenschaften von Windows 10

Das Betriebssystem Windows 10 sendet umfangreiche System- und Nutzungsinformationen an Microsoft. Eine Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows ist technisch zwar möglich, für Anwender aber nur schwer umzusetzen.   Das ist das Ergebnis einer Untersuchung der zentralen Telemetriekomponente von Windows 10, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt hat.…

VPN-Nachfolger Privileged Access Security im Kommen – Steigende IT-Sicherheitsrisiken erfordern Umdenken beim Fernzugriff Externer

Die breite Nutzung von VPN vergrößert das Risiko von Cyberangriffen, da klassische VPN-Modelle weitreichenden Netzwerkzugang gewähren und schwer zu kontrollieren sind. Organisatorische Schwächen sowie das exponentielle Wachstum vernetzter Geräte (IoT) erhöhen das Risiko für Kompromittierungen zusätzlich. Privileged Access Security (PAS) bietet als granulare, zeitlich begrenzte, protokollierte und Zero-Trust-kompatible Alternative stärkere Sicherheit, Nachvollziehbarkeit und Kontrolle. Nicht zuletzt wegen des regulatorischen Drucks und Cyberbedrohungen wird Privileged Access Management zunehmend als Ersatz für traditionelle VPN-Lösungen betrachtet. Als Vendor und Customer Privileged Access Management wird PAM eingesetzt, um Zugriffe Externer abzusichern.

FIFA schrammt knapp an schwerem IT-Sicherheitsvorfall vorbei

…wäre da nicht die Hartnäckigkeit eines ethischen Hackers in Japan gewesen.   Die FIFA hat sich mit einer schwerwiegenden Sicherheitslücke, über die Bobdahacker gestern berichtete, beinahe ein Eigentor geschossen. Der japanische Hacker fand heraus, dass sich jedermann einfach mit einem Ausweis auf der offiziellen FIFA-Agentenplattform registrieren konnte. Durch eine fehlerhafte clientseitige Rollenprüfung im Backend konnte…

Sichtbarkeit in der Netzwerksicherheit: Vom blinden Fleck zur kontrollierten Abwehr

Die Bedeutung von Sichtbarkeit in der Netzwerksicherheit kann nicht hoch genug bewertet werden, da viele Unternehmen ihre tatsächliche Geräte- und Systemlandschaft nicht vollständig kennen, was Risiken erhöht. Moderne Netzwerke bestehen aus IT, OT, IoT und IoMT, was eine vollständige Kontrolle und Erkennung aller Geräte erfordert, zumal viele Geräte nicht verwaltet oder schwer zu patchen sind.…

Cybersicherheit: Lohnt sich der KI-Aufwand für kleine Sicherheitsteams?

Kurzfazit KI bringt Nutzen, wenn sie konkrete Engpässe adressiert (z. B. Priorisierung, Triage, Mustererkennung) und sauber in Prozesse eingebettet ist. Viele »KI«-Funktionen erzeugen sonst vor allem Zusatzaufwand: neue Workflows, mehr Komplexität und mehr Pflegebedarf. Für KMU sind zwei Wege realistisch: gezielte Integration in die eigene Security-Toolchain oder Auslagerung an einen MDR-Anbieter – jeweils mit klaren Prüffragen…

Deep Observability: Transparenz schaffen und gestresste Sicherheitsteams entlasten

IT-Sicherheit hat immer auch eine menschliche Dimension: Überlastete Teams und gestresste Mitarbeiter können dazu führen, dass Unternehmen nicht rechtzeitig auf Bedrohungen reagieren. Ein besonders kritischer Stressfaktor ist dabei die in letzter Zeit wachsende Komplexität durch revolutionäre Technologien wie KI, neue Infrastrukturen etwa Hybrid Cloud und immer mehr Tools. Unternehmen müssen jetzt dafür sorgen, dass ihre…

Durch Automatisierung wird Sicherheit zum Wettbewerbsvorteil

Warum Automatisierung der Schlüssel zur digitalen Zukunft ist. Mit dem Inkrafttreten der EU-Richtlinie NIS2, des Cyber Resilience Act und nationaler Vorgaben wie dem Digitalgesetz (DigiG) wächst der Druck auf Unternehmen spürbar. Sie müssen nachweisen, dass ihre Datenflüsse sicher, nachvollziehbar und regelkonform sind – andernfalls drohen Bußgelder, Reputationsschäden und der Verlust geschäftskritischer Partner. Vor diesem Hintergrund…

Sicherheitsprognosen 2026: Auf welche Phishing-Techniken sich Unternehmen vorbereiten sollten

Im Jahr 2025 prägten vor allem die Kombination aus KI, sich kontinuierlich weiterentwickelnden Phishing-as-a-Service (PhaaS)-Kits und immer ausgefeilteren Techniken zur Verbreitung von Phishing und zur Umgehung von Sicherheitsmaßnahmen die Phishing-Landschaft. Die Threat-Analysten von Barracuda gingen beispielsweise noch vor einem Jahr davon aus, dass PhaaS-Kits bis Ende 2025 für die Hälfte aller Angriffe mit dem Ziel,…

Robuste Informationssicherheit und durchgängige Compliance

Wie Controlware mit externen Informationssicherheitsbeauftragten (eISB) bei der Einhaltung regulatorischer Vorgaben unterstützt.   Angesichts strenger regulatorischer Vorgaben wie NIS2 und einer zunehmend dynamischen Cyber-Bedrohungslage stehen Unternehmen unter Druck, ihre sensiblen Daten angemessen zu schützen. Hier empfiehlt das BSI die Benennung eines dedizierten Informationssicherheitsbeauftragten (ISB). Doch die damit verbundenen Kosten und der Mangel an Fachkräften stellen…

Malware, Betrug, Scams und Datendiebstahl: Massive Sicherheitslücken

Cybersicherheitsverhalten, KI-Bedenken und Risiken von Verbrauchern weltweit. 14 Prozent der Befragten fielen im letzten Jahr digitalem Betrug zum Opfer. Soziale Medien überholen E-Mail als bevorzugten Angriffsvektor von Cyberkriminellen. KI-Betrug wird zur wachsenden Sorge der Verbraucher.   Die neue 2025 Consumer Cybersecurity Survey von Bitdefender gibt Einblicke in zentrale Verhaltensweisen, Praktiken und Bedenken im Bereich der…

KI-Browser: Komfort oder kritischer Sicherheitsblindfleck?

»Ich habe nichts angeklickt. Der Browser hat das von selbst gemacht.« Das hörte ein Sicherheitsanalyst, nachdem der KI-gestützte Browser eines Benutzers ohne Erlaubnis auf sensible Daten zugegriffen hatte. KI-Browser sollen das digitale Leben einfacher machen. Marktprognosen zeigen, dass sie schnell wachsen – von 4 Milliarden US-Dollar im Jahr 2024 auf fast 77 Milliarden US-Dollar im…

IT-Sicherheit im öffentlichen Sektor

Das Whitepaper behandelt die Herausforderungen und Strategien zur IT-Sicherheit im öffentlichen Sektor in Deutschland bis 2025, insbesondere im Hinblick auf Cyberangriffe auf Kommunen.   Cyberangriffe auf den öffentlichen Sektor Die Zahl der Cyberangriffe auf kommunale Einrichtungen in Deutschland hat stark zugenommen und stellt eine ernsthafte Bedrohung dar. Städte und Landkreise in Deutschland sind zunehmend Ziel…