{"id":314369,"date":"2025-08-09T00:15:28","date_gmt":"2025-08-08T22:15:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=314369"},"modified":"2025-08-09T08:30:35","modified_gmt":"2025-08-09T06:30:35","slug":"sicherheit-windows-hello-eher-nicht-fuer-business-verwenden-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/09\/sicherheit-windows-hello-eher-nicht-fuer-business-verwenden-2\/","title":{"rendered":"Sicherheit: Windows Hello – eher nicht f\u00fcr Business verwenden"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft bietet unter Windows 10 und Windows 11 ja eine biometrisch abgesicherte Anmeldung \u00fcber Windows Hello. Sich mittels Gesichtserkennung oder Fingerabdruck statt Passw\u00f6rtern sicher anmelden? Eher nicht, meinen deutsche Sicherheitsforscher, die in Unternehmensumgebungen vor einer Verwendung von Windows Hello warnen.<\/p>\n

<\/p>\n

\"\"Microsoft dr\u00e4ngt Windows-Nutzer nachdr\u00fccklich, statt Passw\u00f6rter zur Authentifizierung zu benutzen, sein biometrisches Windows Hello zu verwenden.<\/p>\n

Was ist Windows Hello?<\/h2>\n

Windows Hello\u00a0<\/a>ist eine Funktion von Windows, die es Benutzern erm\u00f6glicht, sich auf ihrem Ger\u00e4t mit biometrischen Daten (Gesicht, Fingerabdruck oder Iris) oder einer PIN anzumelden, anstelle eines herk\u00f6mmlichen Passworts.\u00a0Es bietet laut Microsoft eine pers\u00f6nlichere und sicherere M\u00f6glichkeit, sich bei Windows, Apps und Online-Diensten anzumelden<\/p>\n

Hello unterst\u00fctzt die Authentifizierung f\u00fcr Gesch\u00e4ftsanwender, sodass Unternehmens-PCs eine Verbindung zu Plattformen wie Entra ID oder Active Directory herstellen k\u00f6nnen, um den Zugriff auf Server zu erm\u00f6glichen. Dazu wird ein kryptografischer Schl\u00fcssel in einer Datenbank gespeichert, die mit dem Windows Biometric Service von Microsoft verbunden ist.<\/p>\n

Windows Hello ist eine Schnapsidee!<\/h2>\n

Die Verwendung von Windows Hello ist im Business-Bereich aber eine absolute Schnapsidee, wie deutschen die Sicherheitsforscher Dr Baptiste David und Tillmann Osswald von ERNW Research herausgefunden haben.\u00a0Denn die Sicherheitsforscher sind auf eine gravierende Schwachstelle gesto\u00dfen.<\/p>\n

Sicherheitsforscher auf der Black Hat 2025 in Las Vegas<\/h3>\n

The Register berichtet im Artikel\u00a0German security researchers say 'Windows Hell No' to Microsoft biometrics for biz<\/a> von deren Auftritt auf der\u00a0Black Hat-Konferenz in Las Vegas. Dort demonstrierten sie,\u00a0wie man das Hello-System knacken kann und wie ein lokaler Administrator oder jemand, der \u00fcber Malware oder andere Mittel Zugriff auf die Anmeldedaten hat, biometrische Informationen in einen Computer einspeisen kann, damit dieser jedes Gesicht oder jeden Fingerabdruck erkennt.<\/p>\n

Dr Baptiste David meldete sich mit einem Gesichtsscan an. Anschlie\u00dfend konnte Tillmann Osswald mit ein paar Zeilen Code einen Hello-Gesichtsscan, den er auf einem anderen Rechner erstellt hatte, in die Datenbank einf\u00fcgen und Davids Rechner entsperren. Das Ganze wurde live auf der B\u00fchne der Black Hat-Konferenz demonstriert.<\/p>\n

Die Krux mit dem Schutz der Daten<\/h3>\n

Die Windows API-Funktion CryptProtectData sch\u00fctzt zwar die Datenbank mit den biometrischen Informationen zum Hello-Login. Die Sicherheitsforscher fanden aber heraus, dass es f\u00fcr jemanden mit lokalen Administratorrechten m\u00f6glich ist, die Verschl\u00fcsselung mithilfe von Informationen aus der Software zu knacken.<\/p>\n

Microsoft verf\u00fcgt zwar auch \u00fcber Enhanced Sign-in Security (ESS), das auf einer h\u00f6heren Hypervisor-Vertrauensstufe (VTL1) arbeitet. Dadurch sollte der Angriff blockiert werden, spezielle, da ESS standardm\u00e4\u00dfig aktiviert ist. Leider unterst\u00fctzen nicht alle PCs diese Funktion, sagen die Sicherheitsforscher.<\/p>\n

The Register zitiert Osswald \"ESS ist sehr effektiv bei der Abwehr dieses Angriffs, aber nicht jeder kann es nutzen. Wir haben beispielsweise vor etwa anderthalb Jahren ThinkPads gekauft. Aber leider verf\u00fcgen diese nicht \u00fcber einen sicheren Sensor f\u00fcr die Kamera, da sie AMD-Chips und keine Intel-Chips verwenden.\"<\/p>\n

Folien von Vortr\u00e4gen der beiden Sicherheitsforscher und ein paar Informationen zu diesen Personen finden sich auf der Webseite Authenticating through Windows Hello for Business, a reverse engineering story<\/a>.<\/p>\n

Tillmann O\u00dfwald hat bereits am 15. Juli 2025 die Details dieses Angriffs auf die Gesichtserkennung von Windows Hello for Business (WHfB) im Blog-Beitrag\u00a0Windows Hello for Business \u2013 The Face Swap<\/a> offen gelegt. All-About-Security hatte das in diesem Artikel<\/a> aufgegriffen.<\/p>\n

Microsoft wird nicht fixen<\/h3>\n

Microsoft wurde zwar \u00fcber diese Schwachstelle informiert. Wegen der technischen Voraussetzungen, die f\u00fcr den Angriff erf\u00fcllt sein m\u00fcssen, gehen die Sicherheitsforscher nicht davon aus, dass dieses Problem behoben wird. Gegen\u00fcber The Register meinten die Sicherheitsforscher zudem, dass es schwierig sein wird, das Problem zu beheben. Ein Fix erfordere eine umfangreiche Neuprogrammierung des Codes erfordern oder den Versuch, das TPM-Modul zum Speichern der biometrischen Daten zu verwenden. Das sei\u00a0 vielleicht nicht m\u00f6glich.<\/p>\n

Die Empfehlung der Sicherheitsforscher lautete daher: Deaktivieren Sie die Biometriefunktion der Ger\u00e4te, Hello for Business ohne ESS verwendet wird und lassen Sie die Benutzer sich weiterhin per PIN anmelden.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft bietet unter Windows 10 und Windows 11 ja eine biometrisch abgesicherte Anmeldung \u00fcber Windows Hello. Sich mittels Gesichtserkennung oder Fingerabdruck statt Passw\u00f6rtern sicher anmelden? Eher nicht, meinen deutsche Sicherheitsforscher, die in Unternehmensumgebungen vor einer Verwendung von Windows Hello warnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,426,301],"tags":[4328,3288],"class_list":["post-314369","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314369","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=314369"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314369\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=314369"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=314369"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=314369"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}