← Alle Schadenbeispiele

eDellRoot: Dells fatales Werks-Zertifikat

von freeze4me.com · 2026-03-23
eDellRoot Dell Zertifikat Man-in-the-Middle MITM-Angriff Root-Zertifikat HTTPS-Sicherheit

Dell lieferte Laptops mit einem selbstsignierten Root-Zertifikat samt privatem Schlüssel aus – jeder konnte damit verschlüsselte Verbindungen mitlesen.

eDellRoot: Dells fatales Werks-Zertifikat

Der Vorfall

Im November 2015 entdeckten Sicherheitsforscher ein verheerendes Sicherheitsproblem auf Dell-Laptops: Der Hersteller hatte auf zahlreichen Modellen – darunter die beliebten Inspiron- und XPS-Reihen – ein selbstsigniertes Root-Zertifikat namens eDellRoot vorinstalliert. Das allein wäre schon bedenklich gewesen. Der eigentliche Skandal aber war: Dell lieferte gleich den privaten Schlüssel mit – und dieser war auf allen betroffenen Geräten identisch.

Das bedeutete im Klartext: Jeder, der den privaten Schlüssel kannte (und nach der Veröffentlichung kannte ihn die ganze Welt), konnte sich als beliebige HTTPS-Webseite ausgeben. Online-Banking, E-Mail, soziale Netzwerke – jede vermeintlich verschlüsselte Verbindung konnte abgefangen und mitgelesen werden, ohne dass der Browser eine Warnung anzeigte.

Dell hatte das Zertifikat eigentlich für seinen Support-Service Dell Foundation Services installiert, um die Service-Tag-Nummer des Geräts an den Online-Support zu übermitteln. Eine Komfortfunktion, die zu einer der gravierendsten Sicherheitslücken in der Geschichte der PC-Hersteller wurde.

Der Vorfall erinnerte stark an Superfish, eine ähnliche Schwachstelle auf Lenovo-Laptops wenige Monate zuvor. Beide Fälle zeigten, dass Hersteller durch vorinstallierte Software die grundlegende Sicherheitsarchitektur von Windows aushöhlen konnten.

Wie der Angriff funktionierte

Die eDellRoot-Schwachstelle ermöglichte einen klassischen Man-in-the-Middle-Angriff (MITM) in mehreren Stufen:

Stufe 1 – Die Voraussetzung: Dell installierte das eDellRoot-Zertifikat im Windows-Zertifikatsspeicher als vertrauenswürdige Stammzertifizierungsstelle. Windows und alle darauf laufenden Browser (Chrome, Edge, Internet Explorer) vertrauten damit automatisch jedem Zertifikat, das mit dem eDellRoot-Schlüssel signiert war. Firefox war als einziger verbreiteter Browser nicht betroffen, da er seinen eigenen Zertifikatsspeicher verwendet.

Stufe 2 – Der Angriff: Ein Angreifer im selben Netzwerk – beispielsweise in einem öffentlichen WLAN im Café, Hotel oder Flughafen – konnte mit dem öffentlich bekannten privaten Schlüssel gefälschte Zertifikate für beliebige Webseiten erstellen. Wenn Du Dich mit Deinem Dell-Laptop über ein solches Netzwerk bei Deiner Bank anmeldetest, sah die Verbindung für Deinen Browser vollkommen legitim aus – grünes Schloss, keine Warnung.

Stufe 3 – Das Abfangen: Der Angreifer konnte nun sämtlichen HTTPS-Verkehr entschlüsseln, mitlesen und sogar verändern. Benutzernamen, Passwörter, Bankdaten, private Nachrichten – alles lag im Klartext vor. Der Angreifer konnte auch Schadsoftware in heruntergeladene Dateien einschleusen, indem er den Datenverkehr manipulierte.

Stufe 4 – Die Nachladung: Besonders gefährlich wurde es, wenn der Angreifer die MITM-Position nutzte, um Malware einzuschleusen. Updates von Softwareprogrammen konnten abgefangen und durch infizierte Versionen ersetzt werden. Der Rechner lud dann im Glauben, ein legitimes Update zu installieren, Schadsoftware herunter – signiert mit einem Zertifikat, dem Windows blind vertraute.

Stufe 5 – Die Persistenz: Das eDellRoot-Zertifikat war tief im System verankert. Selbst wenn Du es manuell löschtest, installierte der Dell Foundation Service es beim nächsten Neustart erneut. Dell hatte einen Wiederherstellungsmechanismus eingebaut, der das Zertifikat hartnäckig am Leben hielt.

Warum Virenscanner versagten

Virenscanner waren gegen die eDellRoot-Schwachstelle aus strukturellen Gründen machtlos:

Kein Virus im klassischen Sinn: Das Zertifikat war keine Malware. Es war eine von Dell signierte, „legitime" Systemkomponente. Kein Virenscanner der Welt hätte Software eines der größten PC-Hersteller als Bedrohung eingestuft – zumindest nicht vor der öffentlichen Enthüllung.

Verschlüsselung war gebrochen, nicht umgangen: Der Angriff fand auf der Ebene der Verschlüsselungsinfrastruktur statt. Virenscanner prüfen Dateien auf der Systempartition und im Arbeitsspeicher, aber sie können nicht feststellen, ob ein Root-Zertifikat vertrauenswürdig ist oder nicht. Das ist Aufgabe des Betriebssystems – und Windows vertraute eDellRoot.

MITM-Angriffe sind unsichtbar: Wenn ein Angreifer den Datenverkehr über ein gefälschtes Zertifikat umleitet, sieht für den Virenscanner auf dem Rechner alles normal aus. Die Daten kommen verschlüsselt an, werden entschlüsselt und verarbeitet. Dass auf dem Weg dorthin jemand mitgelesen hat, ist lokal nicht feststellbar.

Der Wiederherstellungsmechanismus: Selbst Sicherheitstools, die das Zertifikat als problematisch erkannten und entfernten, scheiterten am automatischen Wiederherstellungsmechanismus von Dell. Nach jedem Neustart war das Zertifikat zurück.

So hätte Deep Freeze geschützt

Deep Freeze hätte in diesem speziellen Fall auf einer anderen Ebene geschützt als bei klassischer Malware – und zwar bei den Folgeangriffen, die durch die Schwachstelle ermöglicht wurden:

Eingeschleuste Malware überlebt keinen Neustart. Der gefährlichste Aspekt von eDellRoot war, dass Angreifer über MITM-Angriffe Schadsoftware auf den Rechner schleusen konnten – getarnt als legitime Downloads oder Updates. Mit einer eingefrorenen Systempartition werden alle diese nachgeladenen Dateien beim Neustart entfernt. Der Angreifer müsste bei jeder Sitzung von vorn beginnen.

Manipulierte Systemdateien werden zurückgesetzt. Wenn ein Angreifer über die MITM-Position Systemdateien veränderte oder Hintertüren installierte, stellt Deep Freeze beim nächsten Reboot den Originalzustand wieder her. Persistente Backdoors sind damit ausgeschlossen.

Der mehrstufige Angriff wird unterbrochen. Das typische Angriffsszenario – Zertifikat ausnutzen, Dropper einschleusen, Payload nachladen, Persistenz herstellen – scheitert in Stufe drei und vier. Der Dropper wird beim Reboot gelöscht, die Payload verschwindet, und die Persistenzmechanismen greifen nicht.

Zusätzliche Schutzschicht unabhängig vom Zertifikatsproblem. Während das Zertifikat selbst (als Teil des Auslieferungszustands) auch auf einem eingefrorenen System vorhanden wäre, kann ein Angreifer die Schwachstelle nicht dauerhaft ausnutzen. Jede Sitzung beginnt sauber, ohne Spuren vorheriger Kompromittierungen.

Die Lehre

  • Vorinstallierte Hersteller-Software ist ein massives Sicherheitsrisiko. Dell, Lenovo und andere Hersteller haben wiederholt bewiesen, dass ihre Zusatzsoftware die Windows-Sicherheit untergräbt statt sie zu verbessern.
  • Root-Zertifikate sind mächtige Waffen. Wer ein vertrauenswürdiges Root-Zertifikat kontrolliert, kontrolliert die gesamte verschlüsselte Kommunikation des Rechners. Ein einziges kompromittiertes Zertifikat macht HTTPS wertlos.
  • Komfortfunktionen können katastrophale Nebenwirkungen haben. Das Zertifikat diente lediglich der Service-Tag-Übermittlung – ein Feature, das kein Nutzer je aktiv vermisst hätte.
  • Virenscanner erkennen keine architekturellen Schwachstellen. Wenn die Sicherheitsinfrastruktur selbst kompromittiert ist, helfen dateibasierte Schutzmaßnahmen nicht weiter.
  • Deep Freeze schützt vor den Folgen solcher Schwachstellen: Auch wenn die Grundursache (das Zertifikat) im Auslieferungszustand enthalten ist, verhindert eine eingefrorene Systempartition, dass Angreifer die Schwachstelle für dauerhafte Kompromittierungen nutzen können.

Nie wieder Opfer von Malware?

Deep Freeze macht Deinen PC immun gegen Viren, Ransomware und ungewollte Änderungen. Ein Neustart genügt.

So schützt Du Deinen PC →

← Alle Schadenbeispiele

Weitere Schadenbeispiele

Deep Freeze entdecken

Mehr erfahren →