Willkommen im Jahr 2008! – Datensicherheit bei Windows 10
Manchmal denkt man sich, man habe schon alles gesehen und erlebt – und dann kommt Microsoft daher und sorgt für Erstaunen. Dass Windows 10 geschwätzig ist, weiß inzwischen wohl jeder, das Ausmaß und der Grad der Abhörsicherheit sind jedoch einen genauen Blick wert. Stellen Sie sich einfach vor, Datensicherheit sei eine Limbostange. Nach letzten Berichten würde Microsoft diese Stange mit Windows 10 mit Schmackes selbst in Kopfhöhe reißen. Was Windows 10 alles verschickt und weshalb wir wieder im Jahr 2008 sind, wurde gerade neu aufgerollt.
Kürzlich fanden die Internet Security Days statt, ein Treffen von Experten zum Thema Datensicherheit. Im Gegensatz zur Präsentation neuer Apple-Produkte, wo fehlende Geräte-Anschlüsse in den Nachrichten als echte Innovation bejubelt werden, berichtet hier nur die Fachpresse und selbst das zögerlich. Hier reden keine Frontmänner milliardenschwerer Unternehmen, sondern „nur“ Fachleute - und das passt nun mal nicht in das normale News-Format. Schade! Denn hier werden dort Fragen diskutiert, die unser alle (Daten-)Sicherheit und Privatsphäre betreffen.
Dabei gibt es zwei altbekannte Probleme, deren Ausmaß im Jahr 2016 noch immer erstaunt: Was alles gesammelt wird und wie sorglos es übermittelt wird. Wir alle kennen das Microsoft-Mantra: Daten werden nur gesammelt, um „das Benutzerlebnis zu verbessern“ und natürlich - um etwas Werbung zu machen. Das mag man bei bestimmten Telemetriedaten (Diagnose- und Nutzungsdaten) noch halbwegs verstehen, Cortana wird nur mit persönlichen Daten befüttert wirklich nützlich, wenn man sie denn nutzen will. Wozu braucht man aber z.B. meinen WLAN-Schlüssel? Falls ein Microsoft-Mitarbeiter zufällig unter meinem Balkon steht und mal kurz online muss? Wieso müssen Informationen über alle installierten Programme automatisch übermittelt werden, selbst wenn sie keinerlei Fehler verursachen, auf die Microsoft reagieren müsste? Wer z.B. ein heikles Filesharing-Programm installiert – Microsoft bekommt den Bericht darüber sofort.
Ebenso rätselhaft bleibt, weshalb Office-Programme (ab 2013) komplette Pfade plus Dateiformat, Titel und auch den Autor auf die Server schicken. Das war mir neu! Was lokal auf dem Rechner liegt und lokal bleiben soll, gehört nicht in die Cloud, auch nicht der Titel! Der Browser-Verlauf, für viele Menschen der Inbegriff des Privaten, wird von Edge ebenso übermittelt. Nutzen Sie die Funktion „Hello“, mit der man mittels biometrischer Daten wie Fingerabdruck oder Gesichtserkennung angemeldet ist, wandert auch alles auf die Server. Natürlich streng anonym, wenn man sich auch nicht näher dazu äußern mag, wie man das bewerkstelligt. Wie lange alles gespeichert bleibt, bleibt auch Firmengeheimnis.
Bislang geht es darum, wie weit man Microsofts Verschwiegenheit selbst vertrauen mag, doch das ist nicht allein. Denn das Betriebssystem sendet nicht nur viel, es nutzt dabei nicht mal die besten Sicherheitsstandards. Die Übertragungs-Verschlüsselung ist mangelhaft, weil gefälschte Zertifikate nicht erkannt werden. Experten haben bereits erfolgreiche „Man In The Middle“-Angriffe simuliert, dieser Datenstrom kann also abgehört werden. Doch das allein ist es nicht: Die Daten können nicht „nur“ belauscht, sondern auch manipuliert werden. Was von Ihnen in die Cloud gehen soll, könnte man nach Belieben verändern, hochladen und käme dann beim nächsten Abgleich auf den Rechner zurück, ein unschöner Gedanke. Es gibt bessere, sichere Alternativen, doch Microsoft nutzt sie nicht.
Davon unberührt führt die Sammelwut gerade dazu, dass intensiv überprüft wird, ob es überhaupt länderübergreifend legal ist, Windows 10 in Firmen und Behörden einzusetzen. Besonders in Ländern der Europäischen Union, wo die Überwachung von Arbeitnehmern streng reguliert ist, könnte Microsoft hier gegen geltendes Recht verstoßen. Deutsche und französische Behörden üben aktuell schweren Druck auf Microsoft aus. Denkt man aber weiter, bleibt für mich die große Frage: Weshalb wird der "private Bürger" hier weniger geschützt als der "arbeitende Bürger"?
Die Teilnehmer der Internet Security Days kamen zu dem Schluss, dass Windows in der aktuellen Version hinter die Datenschutz- und Sicherheitsstandards von 2008 zurückgefallen sei. Wer viel und unsicher in die Cloud versendet, hat es wohl nicht anders verdient. Microsoft muss sich fragen lassen, welche Daten wirklich nötig sind, um die Funktionsfähigkeit und Effektivität des Systems zu gewährleisten. Denn wenn selbst schon die oftmals trägen, eher technikfremden Behörden alarmiert sind, treibt man es eindeutig zu bunt. Das sollte auch Microsoft verstehen - und handeln.
