Lange Liste: Der IT-Sicherheitsbeauftragte Jens Syckor von der TU Dresden zeigt, wieviele Daten-Verbindungen nach außen ein Rechner mit aufgespieltem Windows 10 in der LTSB-Variante während eines Tages aufbaut, ohne dass der Benutzer irgendeine Aktion ausgelöst hat. Foto: Heiko Weckbrodt
Analyse der TU Dresden: Auch bei strengsten Datenschutz-Einstellungen baut das Betriebssystem mindestens 14 Datenverbindungen pro Tag zu Microsoft auf
Dresden, 14. März 2016. Selbst erfahrene Computernutzer haben kaum eine Chance, dem Betriebssystem „Windows 10“ abzugewöhnen, „nach Hause zu telefonieren“. Das hat eine Analyse der Stabsstelle Informationssicherheit und weiterer Experten der Technischen Universität Dresden (TUD) ergeben. „Die von Microsoft dafür vorgesehenen Schieberegler reichen nicht aus, um einen nach deutschem und europäischen Recht ausreichenden Datenschutz einzustellen“, schätzte IT-Sicherheitsbeauftragter Jens Syckor von der TUD-Stabsstelle ein.
Mindestens 14 Verbindungen im Leerlauf
Auch nachdem die Informatiker diese sichtbaren und weitere unsichtbare Datenschutz-„Schrauben“ festgezogen hatten, nahm das Betriebssystem innerhalb eines Tages im Leerlauf noch immer mindestens 14 Verbindungen zu Microsoft-Servern auf und übermittelte verschlüsselt Informationen. Zudem sendete das System bereits während des Installationsprozesses Daten gen USA, ohne dass der Nutzer dies beeinflussen konnte.
Umsatzprognose für Cloud-Computing in Deutschland. Grafik: Bitkom
Microsoft: „Datenschutz ist zentral für Windows 10“
„Datenschutz ist zentral für Windows 10 und das Betriebssystem wurde mit dieser Vorgabe entwickelt“, betonte Felix Böpple von der deutschen Microsoft-Pressestelle auf Anfrage. Aber: „Wir erheben eine begrenzte Anzahl an Informationen, um eine sichere und verlässliche Funktionsweise von Windows 10 zu gewährleisten. Dies umfasst beispielsweise anonyme Device IDs, Device-Typen oder Crash-Daten zu Programmabstürzen. Dies umfasst jedoch nicht ihre Daten oder Dateiinhalte. Zudem unternehmen wir mehrere Schritte, um die Sammlung von Daten, die Nutzer direkt identifizieren (Name, Email-Adresse, Account ID), zu vermeiden.“
Absturz kann zum Versand persönlicher Daten führen
Allerdings schloss Felix Böpple einen Versand persönlicher Daten nicht ganz aus. „Windows 10 kann Diagnose- und Nutzungsdaten an Microsoft senden. Diese Berichte können, entsprechend der festgelegten Einstellung, persönliche Informationen enthalten: „Wird unter ,Diagnose und Nutzungsdaten’ die Option ,vollständig’ gewählt, werden Diagnosefunktionen aktiviert, die zusätzliche Daten vom Gerät erfassen, beispielsweise Systemdateien oder Speicher-Snapshots“, erläuterte Felix Böpple. „Diese Daten enthalten möglicherweise unbeabsichtigt Teile von Dokumenten, an denen beim Auftreten eines Problems gearbeitet wurde.“ Allerdings betonte er auch: „Sollte ein Fehlerbericht persönliche Informationen enthalten, werden diese nicht dazu verwendet, Nutzer zu identifizieren, zu kontaktieren oder gezielt Werbung zu schalten.“
TU-Stabsstelle: Datenversand gen USA nicht auszuschließen
„Windows 10 ist in seiner Funktionalität und Stabilität durchaus ein gutes Betriebssystem“, betonte der TUD-Datenschutzbeauftragte Matthias Herber. Aber in der Standard-Installationsvariante könne er dieses Betriebssystem den Akademikern für den dienstlichen Gebrauch nicht empfehlen. Dann nämlich müsse der Nutzer davon ausgehen, dass nicht nur eigene personenbezogene Daten auf Servern in den USA landen, sondern auch Informationen über Dritte.
Abb.: Microsoft
Abfluss gen Microsoft-Cloud „datenschutzrechtlich nicht akzeptabel“
Daher haben die Stabsstelle und das Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) eine speziell vorkonfigurierte „Windows 10 LTSB“-Version für die Verwendung in der TUD vorbereitet, die für Uni-Mitarbeiter gratis für dienstliche Zwecke beim ZIH erhältlich ist. Auch diese Version „telefoniere nach Hause“, betonte Matthias Herber, sei in dieser Hinsicht aber auf ein Minimum eingeschränkt. „Wir schreiben den Forschern und Studenten natürlich nichts vor“, sagte Herber. „Aber es muss jedem Nutzer bis hin zur Sekretärin, die ja auch personenbezogene Daten auf ihrem Windows-PC verarbeitet, klar sein: Dass solche Daten letztlich in einer Microsoft-Cloud in den USA landen, ist datenschutzrechtlich nicht akzeptabel.“
Die Forderung der TUD-Experten an Microsoft ist daher: „Das Unternehmen sollte eine Version bereitstellen, in der standardmäßig alle Datenübertragungen auf Aus gestellt sind und wahlweise eingeschaltet werden können – und nicht umgekehrt“, so Herber. Mit dieser Forderung stehe er nicht allein da.
Autor: Heiko Weckbrodt
Das Testdesign:
Für ihre Analyse hatten Jens Syckor und Matthias Herber von der TUD-Stabsstelle für Informationssicherheit gemeinsam mit Dr. Erasmus Scholz von der zentralen Uni-Verwaltung und Raffael Kozerski vom Vodafone-Stiftungslehrstuhl PCs versuchsweise mit zwei Installationsversionen des neuen Microsoft-Betriebssystems ausgestattet: einmal mit „Windows 10 EDU“, das vor allem für Forscher und Studenten gedacht ist, und zweitens mit „Windows 10 LTSB“ (Long Term Servicing Branch). Letzteres ist eher für den Unternehmens-Einsatz gedacht und enthält bereits einige datenschutzrechtlich problematische Dienste wie die Sprachassistentin Cartana oder den App-Store nicht.
Nachdem das System installiert war, rückten die Tester alle entsprechenden Schieberegler von Windows 10 auf strengen Datenschutz (also nach links), schalteten außerdem unter der Haube des Betriebssystems weitere Datenverbindungen in der sogenannten „Registry“ ab. Danach rührten sie den PC einen Tag lang nicht mehr an und protokollierten nur alle Signale nach außen. Ergebnis: Die EDU-Variante von Windows 10 baute binnen 24 Stunden 49 Verbindungen auf, ohne dass der Nutzer irgendeine Aktion ausgelöst hatte, die LTSB-Version immerhin noch 14 Verbindungen.
Weil das System diese Verbindungen verschlüsselt herstellt, ist für den Nutzer nicht ersichtlich, welche Daten da an Microsoft übermittelt werden. Aus den Analysen lässt sich aber schlussfolgern, dass es sich mindestens um sogenannte Telemetrie-Daten handelt, mit denen Microsoft zum Beispiel Programmaufrufe, Speicherverbrauch und PC-Diagnosedaten abgreift. Bei Express-Installationen stellt das System auch Verbindungen zu zahlreichen anderen Servern und Diensten auf, zum Beispiel zu Werbungs-Verteilnetzwerken. hw
-> Hinweis: Eine kürzere Variante dieses Artikels ist ursprünglich im Uni-Journal 2/16 der TU Dresden erschienen und ist hier im Netz zu finden.
Zum Weiterlesen:
Werbung und Suchanfragen in Windows 10 verknüpft
Dresdner Informatiker bauen Honigfalle für Cyberangreifer
Ihre Unterstützung für Oiger.de!
Ohne hinreichende Finanzierung ist unabhängiger Journalismus nach professionellen Maßstäben nicht dauerhaft möglich. Bitte unterstützen Sie daher unsere Arbeit! Wenn Sie helfen wollen, Oiger.de aufrecht zu erhalten, senden Sie Ihren Beitrag mit dem Betreff „freiwilliges Honorar“ via Paypal an:
Vielen Dank!