Mit der Einführung von Windows 10 verfolgt Microsoft eine neue Unternehmensstrategie. Insbesondere neue cloudbasierte Dienste dienen der neuen Ausrichtung des Unternehmens, hin zu einem "Windows-as-a-Service". Damit das jeweilige Betriebssystem eine "personalisierte Computer-Umgebung" werden kann, werden Diagnose- und Nutzungsdaten - mit eindeutigen Identifizierungsmerkmalen der Nutzenden verknüpft - gesammelt und übertragen (vgl. Datenschutzerklärung von Microsoft (10/2017)).

Der tief verankerte und teilweise nicht beeinflussbare Datenaustausch zwischen Client und Herstellerinfrastruktur sind dabei wichtige und vor einem Einsatz unbedingt zu bewertende neue Aspekte im Vergleich zu den bisherigen Windows-Versionen. Unter Umständen können IP-Adressen mit ausreichend hoher Wahrscheinlichkeit einem Arbeitnehmer zugeordnet werden, über die anhand der Anzahl und Uhrzeit der Verbindungen zu einem Microsoft-Server Arbeitszeiten und Ähnliches in Erfahrung gebracht werden können (vgl. iX-Artikel "Kollateralgenerve" (6/2017)).

Versionshistorie

Autor: Christoph Becker (cb)

VersionDatumAutorenKommentar
1.02016-08-08cb
2.02017-11-17cbvollständig überarbeitet
2.12017-11-24cb
  • Abhängigkeit von zu Version passenden Konfigurationsempfehlungen hervorgehoben
  • Empfehlung von Installationen von vorkonfiguriertem Image ergänzt
  • "Windows Update Telemetrie einschränken" und "Zeitserver der Universität verwenden" ergänzt
2.22017-11-30cbMöglichkeit einer Aktualisierung einer bestehenden Windows-Version via vorkonfiguriertem Image hervorgehoben.
2.32017-12-01cbDatenschutzerklärung von Microsoft als Referenz aufgenommen.
2.42017-12-07cbAktualisierte Einschätzung der ZENDAS berücksichtigt.

Datenschutzkonformer Einsatz

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in einer koordinierten Aktion mit anderen europäischen Datenschutzaufsichtsbehörden Windows 10 Enterprise für den Unternehmenseinsatz begutachtet. Es kommt in ihrem Prüfbericht "Windows 10 Investigation Report" (09/2017) zu dem Ergebnis, "dass Windows 10 Enterprise bei Unternehmen durch gezielte Konfiguration ohne Datenschutzverstöße eingesetzt werden kann."

Gleichlautend mit dem BSI in ihren Empfehlungen zu "Telemetrie und Datenschutzeinstellungen" für "Clients unter Windows 10" (2017) merkt allerdings das BayLDA auch an, dass die Telemetriedienste, durch die Diagnose- und Nutzungsdaten mit eindeutigen Identifizierungsmerkmalen verknüpft in die USA übertragen werden, im Betriebssystem nicht vollständig abgeschaltet werden können.

Andere europäische Aufsichtsbehörden distanzieren sich von der Schlussfolgerung des BayLDA und fordern von Microsoft, Gruppenrichtlinien vorzulegen, mit der sich das System vollständig rechtskonform gestalten lässt (vgl. heise-Artikel "Niederländischer Datenschützer: Microsoft bricht mit Windows 10 Datenschutzrecht " (10/2017)).

Immerhin sorgt Microsoft mit ihrem Artikel "Manage connections from Windows operating system components to Microsoft services" (07/2017) für viel Transparenz und nennt Einstellungsmöglichkeiten, an denen sich die Verbindungen zwischen Client und Herstellerinfrastruktur konfigurieren lassen.

Die Zentrale Datenschutzstelle der baden-württembergischen Universitäten (ZENDAS) kritisiert in ihrem Themen-Artikel "Datenschutz unter Windows 10" (11/2017) ebenfalls die Aussage des BayLDA und erklärt, warum ein datenschutzkonformer Einsatz von Windows 10 derzeit nicht möglich sei.

Der IT-Juristen Johannes Nehlsen (Universität Würzburg) verdeutlicht in seiner Handreichung "Einsatz von Windows 10 an Hochschulen“ (01/2017), dass einem Arbeitgeber eine Angemessenheitsabwägung von Maßnahmen zum Schutz der informationellen Selbstbestimmungsrechte der Arbeitnehmer zugestanden werde. Eine (lediglich) datenschutzfreundliche Konfiguration durch Umsetzung von Empfehlungen und Leitfäden sei somit unter Umständen nicht grundsätzlich datenschutzrechtswidrig.

Konfigurationsempfehlungen

Der "Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen" (AKIF) hat sich diesem Sachverhalt angenommen und bietet mit ihrer "Orientierungshilfe zur datenarmen Konfiguration von Windows 10" (12/2016) eine Sammlung an Konfigurationsempfehlungen für Windows 10, um zumindest das Betriebssystem datenschutzfreundlich einzusetzen.

Technisch gesehen waren die bisherigen Versionsupdates Neuinstallationen mit Übernahme der Daten. Durch die Versionsupdates wurden in der Vergangenheit Datenschutzeinstellungen zurückgesetzt und es kamen neue datenschutzrechtlich relevante Einstellungen hinzu, die serienmäßig aktiviert wurden (vgl. heise-Artikel "Windows 10 Creators Update: Erste Upgrade-Erfahrungen" (04/2017)). Konfigurationsempfehlungen immanent ist jedoch, dass sie sich lediglich auf eine bestimmte Version von Windows 10 (Orientierungshilfe AKIF Version 1607, Prüfbericht BayLDA Version 1703) beziehen. Daher dürften Windows-10-Versionsupdates erst ausgeführt werden, wenn eine passende, zuverlässige Konfigurationsempfehlung vorhanden ist und entsprechend umgesetzt wurde. 

Am Besten dient immer ein selbst konfiguriertes Windows-Image als Basis für die Installation. Dieses abgespeckte Image sollte unerwünschte Anwendungen und Einstellungen gar nicht erst enthalten, wodurch von Anfang an ein wohl konfiguriertes System an das Netzwerk geht und nachträgliche Entfernen und Abändern erspart bleiben (vgl. iX-Artikel "Kollateralgenerve" (06/2017)). Eine Aktualisierung einer bestehenden Windows-Version ist so auch möglich, indem die "setup.exe" vom Image unter Windows aufgerufen wird (vgl. Microsoft-Artikel "How to Upgrade to Windows 10 [...]" (3/2017)).

Restrisiken behandeln

Wie bereits erwähnt, lässt sich die Telemtriedatenübermittlung jedoch nicht vollständig verhindern. Fraglich bleibt, ob und wie diese Restrisiken am Besten behandelt werden sollten. Im Folgenden seien eine Auswahl an Problemen und/oder Lösungsmöglichkeiten vorgestellt bzw. diskutiert:

Datenübermittlung auf Netzebene einschränken

Das BSI rät, durch geeignete Maßnahmen, etwa auf Netzebene, sicherzustellen, dass diese Daten nicht an Microsoft übertragen werden. IP- oder DNS-Adressen, die man als Endpunkt von Telemetrieübermittlungen vermutet, durch einen Paketfilter oder die HOSTS-Datei blockieren zu lassen, kann jedoch trügerischen Schutz bieten oder Sicherheitsprobleme mit sich bringen, weil Adressen schnell wechseln oder sich ihre Verwendungszwecke ändern können. Daher braucht es eine verlässliche Quelle. Microsoft selbst nennt in einem Artikel "Konfigurieren der Windows-Telemetrie in Ihrem Unternehmen" (04/2017)  zwei DNS-Endpunkte für das Hochladen der Telemetriedaten. Ob dies die einzigen Endpunkte für Telemetrieübermittlungen sind und ob der Empfang von Telemetriedaten ihr einziger Zweck ist, ist unklar.

Windows Update Telemetrie einschränken

Aus Datenschutzsicht scheint sinnvoll, dass nicht jeder Client direkt mit den Windows-Update-Servern kommuniziert, sondern mit einem internen Dienst (z.B. WSUS), der von Microsoft bereitgestellte Patches und Updates über das Internet bezieht und zur Verfügung stellt (vgl. iX-Artikel "Kollateralgenerve" (06/2017) und Microsoft-Dokument "Configure Windows telemetry in your organization" (05/2017)).

Zeitserver der Universität verwenden

Windows 10 verwendet für die Synchronisation der Uhrzeit von Haus aus den eigenen Zeitquellenserver. Die Universität Konstanz betreibt eigene Zeitserver (time.uni-konstanz.de), die stattdessen verwendet werden können, will man nicht auf die Microsoft-Server zurückgreifen.

Nachträgliche Automatisierung

Um die Konfiguration der teilweise mühsam auffindbaren Einstellungen zu erleichtern, können Werkzeuge zu Hilfe genommen werden. Die meisten dieser Tools erfüllen ohne Zweifel ihren Zweck, jedoch sollten der Einsatz und die Einstellungen wohl überlegt sein. Möglicherweise könnten solche Tools das System beschädigen, Funktionen einschränken oder gar bösartig sein.

Die Freeware "w10privacy" (http://www.winprivacy.de) ist ein von der ZENDAS "getestetes und für gut befundenes Tool". Hier gilt, besser nicht den Konfigurationsempfehlungen blind zu vertrauen sondern jede Einstellung gründlich zu testen.