Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat zwei Jahre nach dessen Einführung das Betriebssystem Windows 10 Enterprise einem Test unterzogen. Das Amt kommt zu dem Ergebnis, dass ein datenschutzkonformer Einsatz von Windows 10 in der geprüften Version bei bayerischen Unternehmen möglich sei. Mit welchen Einstellungen, zeigt der veröffentlichte Bericht.

Jeder, der sich mit Datenschutz auseinandersetzt, wird sich schon gefragt haben, wie es möglich ist, daß Windows 10 uneingeschränkt mit dem deutschen Datenschutzrecht verträglich ist und demzufolge zum Beispiel im Unternehmensumfeld eingesetzt werden kann. Schon kurz nach Veröffentlichung der ersten Releases wurden Beschwerden (etwa von der Verbraucherzentrale NRW) laut, die Microsoft eine ungebremste Sammelwut an Benutzerdaten nachsagten.

Viele der Voreinstellungen, die bei der Installation des Betriebssystems vorgenommen werden, lassen diesen Verdacht auch verständlich erscheinen. Zwar hat Microsoft mit den letzen Updates (vor allem im Creators Update) etwas zurück gerudert, aber ganz will man in Redmond nicht auf den Einblick in die Privatsphäre ihrer Kunden verzichten.

Mag man das als Privatkunden-Vieh noch klaglos hinnehmen, so entwickeln Unternehmen dabei üblicherweise eine größere Empfindlichkeit, zumal, wenn sie auch noch in sicherheitskritischen Bereichen ihr Geld verdienen. Umso erstaunlicher ist es, dass Windows bei den meisten Firmen schon lange zum Standard auf dem Desktop gehört. Ebenso wie der Mitbewerber mit dem Apfel-Logo sollten Produkte, die Verhaltensprofile der Nutzer erstellen können, aus Datenschutzgründen nicht im Unternehmensrahmen eingesetzt werden.

Datenschützer untersuchen Windows 10

Deshalb ist es erfreulich, dass sich eine Datenschutzbehörde (nach dem BSI) auch einmal mit diesem Thema auseinandersetzt. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat – zwei Jahre nach Einführung von Windows 10 – am 18.9.2017 den “Windows10 Investigation Report” vorgelegt. Er versucht in einer im Hause eigens dafür erstellten Testumgebung herauszufinden, wie umfangreich Windows 10 Daten nach außen schleust und wie stark diese Aktivitäten vom Nutzer selbst unterbunden werden können.

“Das BayLDA hat in einer koordinierten Aktion mit den Datenschutzaufsichtsbehörden von Frankreich, Niederlande, Slowenien, Ungarn, Spanien und Großbritannien das Betriebssystem Windows 10 geprüft. Während die anderen Länder vorwiegend das von Privatpersonen genutzte Windows 10 Home und Pro und so beispielsweise die Fragen zum Einverständnis des Nutzers bezüglich Werbe-Cookies und Tracking-IDs behandelt haben, hat das BayLDA Windows 10 Enterprise für den Unternehmenseinsatz begutachtet”, schreibt das Amt in seiner Mitteilung.

Test nur an Windows 10 Enterprise

Der Test des BayLDA untersucht ausdrücklich nur die Enterprise-Version von Windows 10. In der Untersuchung geht es dann interessanterweise auch nicht primär um die rechtliche Betrachtung und Datenschutzaspekte, sondern darum, mit welchen Einstellungen der Gruppenrichtlinien (also der Policy-Richtlinien in Windows) Windows das “nach-Hause-telefonieren” abgewöhnt werden kann.

Testaufbau des Bayerische Landesamt für Datenschutzaufsicht (BayLDA)

Dazu hat das Amt eine Teststellung aufgesetzt. Windows 10 wird dabei in einer virtuellen Maschine installiert und dessen gesamter Datenverkehr durch einen parallel angelegten Proxy auf einer Debian-VM geleitet. Der Proxy ist ein mitmproxy, der mit einem eigenen, zwischen geschobenen SSL-Zertifikat ermöglicht, auch verschlüsselten Datenverkehr offen zu legen. In dieser Teststellung könnte der Proxy bereits während des Starts des Betriebssystems alle Internetzugriffe protokollieren.

Der Test wurde zweimal durchgeführt

Das Landesamt hatte leider etwas Pech im Testverlauf. Sie mussten den Test leider zweimal durchführen, weil ihnen der zwischenzeitlich veröffentlichte “creators update” alle Ergebnisse zunichte machte. Der Test wurde also im März 2017 mit der Win10 Enterprise Version Build 14393 durchgeführt und anschließend im Mai 2017 mit der Win10 Enterprise Version Creators Update – Build 15063. Aber auch hier ist ein Vergleich aufschlussreich.

Katz und Maus-Spiel

Wenn ich den Bericht richtig gelesen habe, wird in der Vorbereitung zum Test schon einiges durchlaufen: Windows wird installiert und mit allen Betriebssystem-Updates versorgt. Die dabei übertragenen Daten werden nicht protokolliert. Anschließend werden 44 (!) Policies (in den “Administrative Templates”) verändert, um Dienste und Apps (zum Beispiel Cortana oder Windows Defender) zu unterbinden. Das derart manipulierte Betriebssystem wird anschließend neu gestartet.

Fragen über Fragen

Auch hier stellen sich mir wieder Fragen. Laut Bericht (in Punkt 1.2) beginnt jetzt nach dem Start die Protokollierung der Internetzugriffe von Windows 10 auf die Internetserver. Dazu werden das Startmenü geöffnet und zwei Suchbegriffe eingegeben. Nach diesem Vorgang ist der erste Testdurchgang bereits wieder beendet.

In der Auswertung zeigt sich, dass insgesamt 24 (creators update: 12) verschiedene Serverzugriffe initiiert wurden. Diese werden überwiegend von den Start-Kacheln ausgelöst und mit einer gewagten Konstruktion unterbunden (indem eine eigene “StartLayout.xml”-Datei eingebunden wird). Zusätzlich wird eine windows group-policy geändert.

Im zweiten Durchgang widerholen die Tester den Vorgang, starten zusätzlich den Edge-Browser, den Explorer und entpacken damit eine zip-Datei. Erstaunlicherweise werden hierbei 26 weitere Zugriffe (creators update: 18) auf Internet-Server protokolliert. Im dritten Durchgang werden noch 13 Zugriffe (creators update: 4) registriert. Zusammenfassend läßt sich feststellen, dass nach intensiver Beschäftigung mit dem Innereien des Betriebssystems dessen Ausgasungen wesentlich reduzieren lassen.

Steiniger Weg zum Ziel

Insgesamt ist der Test also sehr ergiebig, wenn auch nicht unbedingt als erfolgreich zu bezeichnen. “The result of this investigation is that via Windows Group Policy settings most data traffic can be stopped. […] However, parts of the Windows Updates and some Telemetry and Security functions still could not be deactivated by us in this investigation via Windows Group Policies”, schreibt das Amt dann auch in der Zusammenfassung des Reports.

Der Bericht zeigt in der vorliegenden Fassung lediglich, auf welche Server zugegriffen wurde, jedoch nicht, welche Daten zwischen ihnen und dem loklalen System ausgetauscht wurden (und aus dem lokalen System zu den Servern flossen). Das wäre natürlich besonders spannend.

Man gibt sich deshalb bescheiden und konstatiert: “Nevertheless, this investigation was very useful for us to record that there can be ways to restrict the data transmission behavior of Windows 10. On the basis of this examination, we believe that it may well be possible that European data controllers can use Windows 10 in compliance with data protection. But for us, not all relevant points have been clarified through this examination.”

Ob Windows 10 damit datenschutzkonform eingesetzt werden kann, ist mit dem Satz “may well be possible” nicht abschließend beantwortet. Auch ist der betriebene Aufwand reichlich hoch angesetzt für den Einsatz in einem üblichen Kundenumfeld.

(Nicht die) letzte Frage

Dabei fragt die Untersuchung leider auch nicht, ob der Einsatz zahlreicher Funktionen im aktuellen Windows vom Anwender gewünscht oder etwa für den jeweiligen Einsatz (im Unternehmen oder auch im privaten Umfeld) sinnvoll ist, sondern erklärt den ausufernden Bedarf an Datenexkursion mit deren programmtechnischer Konstruktion:

“Viele der hinzugekommenen Features bei Windows 10 benötigen jedoch eine Anbindung an das Internet, so dass es zwangsläufig zu Datenübertragungen an Microsoft während des Nutzungsvorgangs dieser Komponenten kommen kann – z. B. durch die neue Sprachassistenz „Cortana“. ” Anders ausgedrückt: Was der Hersteller sich dabei denkt, wird schon so richtig sein. Dieser Ansicht muss man bekanntlich nicht folgen.

 

  • Pro: Testverfahren nachvollziehbar offengelegt, Ergebnisse transparent dokumentiert
  • Contra: Einsatzempfehlung zum datenschutzkonformen Einsatz nicht durchgängig nachvollziehbar

 

Links: