Konfigurationsempfehlungen
Der "Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen" (AKIF) hat sich diesem Sachverhalt angenommen und bietet mit ihrer "Orientierungshilfe zur datenarmen Konfiguration von Windows 10" (12/2016) eine Sammlung an Konfigurationsempfehlungen für Windows 10, um das Betriebssystem zumindest datenschutzfreundlich einzusetzen.
Ergänzend dazu sei auf die Analyse der Telemetriekomponenten in Windows 10 der Firma ERNW GmbH im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) verwiesen, welche ebenfalls Empfehlungen zur sicheren Konfiguration und Deaktivierung von Telemetrie in Windows 10 ausspricht.
Zu Bedenken gilt, dass manche Einstellungen zwar die Privatsphäre der Nutzer stärker schützen, sich jedoch nachteilig auf die IT-Sicherheit und/oder den Komfort auswirken können (vgl. Video von Mark Heitbrink "Windows 10: Datenschutz aktivieren und Telemetriedaten verhindern" 09/2017). Daher müssen die potenziellen Auswirkungen von Konfigurationsempfehlungen immer kritisch in den Kontext der eigenen Anforderungen und Voraussetzungen gesetzt werden.
Gründliche Vorbereitung von Versionssprüngen
Konfigurationsempfehlungen immanent ist, dass sie sich lediglich auf eine bestimmte Version von Windows 10 (Orientierungshilfe AKIF sowie "SiSyPHuS Win10": Version 1607, Prüfbericht BayLDA: Version 1703) beziehen.
Durch die Versionsupdates wurden zudem in der Vergangenheit Datenschutzeinstellungen zurückgesetzt und es kamen neue datenschutzrechtlich relevante Einstellungen hinzu, die serienmäßig aktiviert wurden (vgl. heise-Artikel "Windows 10 Creators Update: Erste Upgrade-Erfahrungen" (04/2017)) (technisch gesehen waren die bisherigen Versionsupdates Neuinstallationen mit Übernahme der Daten).
Daher dürften Windows-10-Versionsupdates erst ausgeführt werden, wenn eine passende, zuverlässige Konfigurationsempfehlung vorhanden ist und entsprechend umgesetzt wurde.
Am Besten dient immer ein selbst konfiguriertes Windows-Image als Basis für die Installation. Dieses abgespeckte Image sollte unerwünschte Anwendungen und Einstellungen gar nicht erst enthalten, wodurch von Anfang an ein wohl konfiguriertes System an das Netzwerk geht und nachträgliche Entfernen und Abändern erspart bleiben (vgl. iX-Artikel "Kollateralgenerve" (06/2017)). Eine Aktualisierung einer bestehenden Windows-Version ist so auch möglich, indem die "setup.exe" vom Image unter Windows aufgerufen wird (vgl. Microsoft-Artikel "How to Upgrade to Windows 10 [...]" (3/2017)).
Restrisiken behandeln
Wie bereits erwähnt, lässt sich die Telemtriedatenübermittlung jedoch nicht vollständig verhindern. Fraglich bleibt, ob und wie diese Restrisiken am Besten behandelt werden sollten. Im Folgenden seien eine Auswahl an Problemen und/oder Lösungsmöglichkeiten vorgestellt bzw. diskutiert:
Datenübermittlung auf Netzebene einschränken
Das BSI rät, durch geeignete Maßnahmen, etwa auf Netzebene, sicherzustellen, dass diese Daten nicht an Microsoft übertragen werden. IP- oder DNS-Adressen, die man als Endpunkt von Telemetrieübermittlungen vermutet, durch einen Paketfilter oder die HOSTS-Datei blockieren zu lassen, kann jedoch trügerischen Schutz bieten oder Sicherheitsprobleme mit sich bringen, weil Adressen schnell wechseln oder sich ihre Verwendungszwecke ändern können. Daher braucht es eine verlässliche Quelle. Microsoft selbst nennt in einem Artikel "Konfigurieren der Windows-Telemetrie in Ihrem Unternehmen" (04/2017) zwei DNS-Endpunkte für das Hochladen der Telemetriedaten. Ob dies die einzigen Endpunkte für Telemetrieübermittlungen sind und ob der Empfang von Telemetriedaten ihr einziger Zweck ist, ist unklar.
Windows Update Telemetrie einschränken
Aus Datenschutzsicht scheint sinnvoll, dass nicht jeder Client direkt mit den Windows-Update-Servern kommuniziert, sondern mit einem internen Dienst (z.B. WSUS), der von Microsoft bereitgestellte Patches und Updates über das Internet bezieht und zur Verfügung stellt (vgl. iX-Artikel "Kollateralgenerve" (06/2017) und Microsoft-Dokument "Configure Windows telemetry in your organization" (05/2017)).
Zeitserver der Universität verwenden
Windows 10 verwendet für die Synchronisation der Uhrzeit von Haus aus den eigenen Zeitquellenserver. Die Universität Konstanz betreibt eigene Zeitserver (time.uni-konstanz.de), die stattdessen verwendet werden können, will man nicht auf die Microsoft-Server zurückgreifen.
Nachträgliche Automatisierung
Um die Konfiguration der teilweise mühsam auffindbaren Einstellungen zu erleichtern, können Werkzeuge zu Hilfe genommen werden. Die meisten dieser Tools erfüllen ohne Zweifel ihren Zweck zum Schutz der Privatsphäre, jedoch sollten der Einsatz und die Einstellungen wohl überlegt sein. Möglicherweise könnten solche Tools das System beschädigen, Funktionen einschränken oder gar bösartig sein.
Die Freeware "w10privacy" (http://www.winprivacy.de) ist ein von der ZENDAS "getestetes und für gut befundenes Tool". Auch hier gilt, besser nicht den Konfigurationsempfehlungen blind zu vertrauen, sondern jede Einstellung gründlich zu testen und die potenziellen Auswirkungen auf die IT-Sicherheit und/oder den Komfort kritisch in den Kontext der eigenen Anforderungen und Voraussetzungen zu setzen.