Es wurde schon viel berichtet über die massiven Datenschutzverstöße bei Windows 10. Die aktuelle Ausgabe des Magazins iX gießt noch mehr Öl ins Feuer und spricht sogar von möglicher Verletzung von Arbeitnehmerrechten.

DATENSTAUBSAUGER WINDOWS 10

Laut Lukas Grunwald, CTO beim Osnabrücker Sicherheitsspezialist Greenbone, werden nicht nur regelmäßig Telemetriedaten über die Rechnerverwendung, Cortana-Anfragen und aufgerufene URLs in die Microsoft-Cloud übermittelt, sondern auch WLAN-Schlüssel, Passwörter und User-IDs. Diese Einstellungen sind so auch „ab Werk“ bei Windows 10 voreingestellt und kann auch in der Endbenutzerversion nicht geändert werden.

UNSICHERE ÜBERMITTLUNG

Als ob das nicht schon schlimm genug wäre, verzichtet man im Hause Microsoft auf Zertifikat-Pinning, was den Nutzer im höchsten Maße angreifbar durch „Man-in-the-Middle“ Attacken macht. Einzig der Microsoft App-Store und das Windows-Update sind laut iX davon nicht betroffen.

VERSTÖSST WINDOWS 10 GEGEN DEUTSCHES RECHT?

Dies lässt sich wohl nur vor Gericht in Gänze klären. Es spricht allerdings einiges dafür. Die Problematik steckt im Umfang und der Art der an Microsoft in die USA übertragenen Daten. Wie iX herausfand „schicken die Office-2013- und -2016-Programme Access, OneNote, PowerPoint, Project, Publisher, Vision und Word im Rahmen der Übermittlung von Telemetriedaten den gesamten Klickpfad nebst zugehörigen Daten wie Dateiformaten, Titel und Autor in die US-Rechenzentren.“
In Kombination mit den – aufgrund mangelnder Sicherheit – sehr wahrscheinlichen „Man-in-the-Middle“ Attacken lassen sich falsche Telemetriedaten einspielen. Wie Grunwald feststellt „steht sowohl dem Stören der Cloud-Dienste von Microsoft als auch etwa dem Unterschieben von Links zu Mal- und Spyware bis hin zum Installieren strafrechtlich relevanter Dokumente nichts im Weg. (…) Das Problem: Diese Datenübermittlung ist durch die auf unter 50 Seiten geschrumpften Lizenzbestimmungen von Microsoft (EULA) gedeckt. Allerdings stellt sich nach Meinung von Datenschutzexperten die Frage, ob eine so weit gehende Erfassung und Übermittlung von Arbeitnehmerdaten deutschen Gesetzen entspricht oder nicht mindestens der Zustimmung des Betriebsrates bedürfte. (…) Da bei der Home- und Pro-Version das Übersenden der Telemetriedaten nicht abgestellt werden kann, lassen diese sich streng genommen nicht konform zu deutschen Arbeitnehmerrechten und den damit einhergehenden Datenschutzregeln einsetzen.“

SCHADEN EINDÄMMEN

Mit ein paar Handgriffen kann man zumindest ein wenig Abhilfe schaffen: Am besten direkt die Synchronisierungsfunktion zwischen den Rechnern und die Windows-Defender bezogenen Schutzmechanismen komplett abschalten. Letzte sendet nämlich nicht nur Malware-Verdachte an Microsoft, sondern auch eine Liste aller installierten Programme. Grunwald rät Unternehmen, die Windows 10 einsetzen des Weiteren: „Administratoren [sollten] die Datenübermittlung abschalten. Allerdings funktioniert das nur mit der Enterprise-Lizenz. Details zeigt die Tabelle, die entsprechenden Einstellungen sind über den Pfad ‚Computer Configuration –> Administrative Templates –> Windows Components –> Data Collection and Preview Builds‘ zu finden. „