2391879

Windows-Datenschutz auf BSI-Level - so geht's

17.04.2019 | 08:06 Uhr | Arne Arnold

Seit der Einführung von Windows 10 wird das Betriebssystem für seinen mangelnden Datenschutz kritisiert: Es werden zu viele Daten ins Internet gesendet. Nun hat das BSI nachgemessen und aufgedeckt, wie Sie den Datenversand komplett abstellen können.

Kritik am Datenschutz von Windows 10 hagelt es von Sicherheitsexperten, Bloggern und Firmen. Ein PC mit Windows 10, der aktuell keine Aufgabe zu erledigen hat, nimmt dennoch laufend Verbindungen zu Servern im Internet auf. Die Kritik ist nicht neu. Schon Windows XP wurde für seine sogenannte „Call-Home“-Funktionen kritisiert. Damals im Jahr 2001 waren einige Programme, etwa der Windows Media Player, für den unangemeldeten Kontakt ins Internet verantwortlich.

Was sich mit Windows 10 im Jahr 2015 geändert hat, war die schiere Menge an Verbindungen. In wenigen Stunden kommen schnell mehrere hundert Kontakte zu Internetservern zustande.

Der Bereich, der für die größte Aufregung sorgt, war und ist die die automatische Übertragung von Telemetriedaten. Standardmäßig ist diese Übertragung aktiviert. Die Funktion dahinter sammelt Informationen über die Sicherheitseinstellungen, Absturzberichte und die Nutzung von Windows-Programmen. Die Kritik war so heftig, dass sich Terry Myerson, Executive Vice President der Windows and Devices Group im September 2015 genötigt sah, Art und Umfang der gesammelten Daten zu erklären. Laut Myerson werden die persönlichen Daten gesammelt, um Funktionen wie Cortana, die ohne persönliche Informationen kaum funktionieren würden, für Nutzer zu verbessern. Andere Daten dagegen sollen potenzielle Bugs und Fehler aufspüren helfen und zu einer sichereren und verlässlicheren Windows-Umgebung führen. Den englischsprachigen Blogeintrag finden Sie hier .

Allerdings genügte diese Erklärung nicht, um die Kritiker zu beruhigen. Vor allem, nachdem ein Tester im Jahr 2016 rund 5500 Verbindungsversuche pro Tag von Windows 10 ins Internet gemessen hat . Wohl auch deshalb lieferte Microsoft später das Bordmittel Diagnosedatenanzeige nach. Sie zeigt, welche Daten Windows sendet. Wie Sie die Funktion nutzen, verrät der Kasten unten.

Windows-Datenschutz: Das ist seit dem Oktober Update neu

Windows 10: BSI zählt die Telemetriedaten

Das Bundesamt hat nachgemessen, wie viele Verbindungen Windows mit dem Internet herstellt.
Vergrößern Das Bundesamt hat nachgemessen, wie viele Verbindungen Windows mit dem Internet herstellt.

Die Offenlegungen von Microsoft, zum Beispiel mit dem Bordmittel Diagnosedatenanzeige, genügten vor allem Firmen und öffentlichen Einrichtungen nicht. Deshalb hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Telemetriedaten von Windows 10 angesehen. Die Untersuchung des BSI fand im Rahmen einer Studie statt. Sie nennt sich Sisyphus Win10: Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 . In dieser Studie wurden nicht nur die Telemetriedaten untersucht, sondern später auch das Trusted Platform Module (TPM) und die Powershell. Zu den Ergebnissen der Untersuchung der Telemetriedaten zählt, dass der Test-PC des BSI 422 Verbindungen ins Internet hergestellt hat. Das galt für die Datenschutzeinstellung „Vollständig“ unter „Windows-Logo –› Einstellungen –› Datenschutz –› Diagnose und Feedback –› Diagnosedaten“. Beim Umschalten auf „Einfach“ an dieser Stelle ließ sich der Wert nur auf 410 reduzieren. Vermutlich liegt der Wert bei der Einstellung „Vollständig“ bei einem normal benutzten Rechner deutlich höher.

Die BSI-Studie Sisyphus Win10 zeigt aber nicht nur, dass Telemetriedaten ins Internet wandern, sondern verrät auch, wie sich das unterbinden lässt, ohne deswegen auf automatische Windows-Updates verzichten zu müssen.

Das BSI scheint bei der Untersuchung übrigens recht gründlich gewesen zu sein, zumindest, so weit sich das über die Kosten erschließen lässt: Bisher hat die Studie über das Microsoft-Betriebssystem 1,37 Millionen Euro verschlungen. Das ergab eine Anfrage der Bundestagsfraktion „Die Linke“ an die Bundesregierung. Interessierte finden die gut lesbare BSI-Studie als PDF-Datei .

Spionage-Stopp für Windows

Sie können Windows 10 einfach verbieten, Telemetriedaten ins Internet zu senden. Dazu müssen Sie nur den Dienst „DiagTrack“ beziehungsweise „Benutzererfahrung und Telemetrie im verbundenen Modus“ abschalten. So geht’s: Geben Sie Dienste in die Windows-Suche ein oder starten Sie die Funktion über „Windows-Logo –› Windows System –› Systemsteuerung –› System und Sicherheit –› Verwaltung –› Dienste“.

Doppelklicken Sie in der Liste auf den Dienst „Benutzererfahrung und Telemetrie im verbundenen Modus“ in der Spalte „Namen“ und wählen Sie „Starttyp –› Deaktiviert“ und „Beenden“ und klicken Sie auf „Übernehmen“. Zusätzlich müssen Sie in der Registry unter „HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\AutoLogger-DiagTrack-Listener\Start“ auf den Wert 0 setzen.

Eine andere Möglichkeit, diesen Dienst und anderer „neugierige“ Funktionen in Windows zu deaktivieren, liefert die Freeware Shutup 10 . Um den Dienst DiagTrack über Shutup 10 zu deaktivieren, setzen Sie den Regler unter „Sicherheit –› Telemetriedaten deaktivieren (1 von 3)“ auf „ein“ (grün).

Wenn Sie wissen möchten, was hinter diesem Dienst, den Telemetriedaten und weiteren Onlineverbindungen steckt, erfahren Sie in nebenstehendem Beitrag.

Backup oder Wiederherstellungspunkt anlegen

Wenn Sie diesen Dienst beenden, versendet das System keine Telemetriedaten mehr.
Vergrößern Wenn Sie diesen Dienst beenden, versendet das System keine Telemetriedaten mehr.

Die Änderungen am Telemetriedienst machen eigentlich kein vorheriges Backup nötig. Denn Sie müssen nur einen Dienst abschalten und einen Registry-Schlüssel eintragen. Doch ist damit das Thema Datenschutzoptimierung auf vielen Systemen noch nicht abgeschlossen. Es empfehlen sich weitere Maßnahmen. Zur Sicherheit sollten Sie deshalb eine Sicherung anlegen.

Wiederherstellungspunkt: Am schnellsten erstellen Sie eine Systemsicherung über einen Wiederherstellungspunkt. Geben Sie dazu Wiederherstellungspunkt erstellen in die Windows-Suche ein und starten Sie das angezeigte Tool. Wählen Sie darin Ihr Systemlaufwerk aus und klicken Sie auf „Erstellen“.

Image: Mehr Sicherheit bietet allerdings eine System-Backup in eine Imagedatei auf einen externen Datenträger. Empfehlenswert dafür ist z.B. das Programm Acronis True Image.

Datenschutz: In Windows 10 Privatsphäre schützen

Telemetriedaten: Um diese Daten geht es beim Versand

Wer sich ansehen möchte, welche Daten genau an Microsoft übertragen werden, kann seit Windows 10 1803 dafür die Diagnosedatenanzeige nutzen. Wie das geht, verrät der Kasten unten. Die Anzeige ist allerdings alles andere als übersichtlich. Microsoft selbst gibt den Inhalt wie auch den Zweck der Telemetriedaten hier so an: „ Über Betriebsdaten (das heißt Telemetriedaten) stellen wir wichtige Betriebssystemdienste wie Windows Update für Sie bereit und bieten Unternehmenskunden die Möglichkeit, sich in die Entwicklung zukünftiger Windows-Versionen einzubringen. Wir können schnell auf Ihr Feedback reagieren und dieses berücksichtigen, um neue Features und bessere Qualität bereitzustellen. Funktionsdaten werden von spezifischen Anwendungen oder Komponenten von Windows erstellt und verwendet (zum Beispiel Cortana und Bing). Sie vermitteln Ihnen eine individuelle Erfahrung und tragen zur Steigerung Ihrer Produktivität und besseren Nutzung Ihrer Windows-Geräte bei.

Neben diesen allgemeinen Aussagen wird Microsoft auf der Website noch etwas konkreter. Sie erfahren, welche Daten über die Leitung gehen, wenn Sie unter „Windows-Logo –› Einstellungen –› Datenschutz –› Diagnose und Feedback“ die Einstellung „Diagnosedaten –› Standard“ beziehungsweise „Vollständige“ gewählt haben.

Telemetriedaten ausschalten per BSI-Empfehlung

Unter „Datenschutz –› Aktivitätsverlauf“ kann man das Senden des Browser-Verlaufs abschalten.
Vergrößern Unter „Datenschutz –› Aktivitätsverlauf“ kann man das Senden des Browser-Verlaufs abschalten.

Windows sammelt Ihre Telemetriedaten über ein System namens ETW (Event Tracing for Windows). Verschickt werden die Daten im ETW-System über den Dienst DiagTrack. Damit Ihr Windows also keine Telemetriedaten mehr ins Internet sendet, müssen Sie diesen Dienst beenden.

Geben Sie dafür Dienste in die Windows-Suche ein oder starten Sie die Funktion über „Windows-Logo –› Windows System –› Systemsteuerung –› System und Sicherheit –› Verwaltung –› Dienste“. Doppelklicken Sie in der Liste auf den Dienst „Benutzererfahrung und Telemetrie im verbundenen Modus“ (Dienstname DiagTrack) in der Spalte „Namen“ und wählen Sie „Starttyp –›Deaktiviert“ und klicken Sie auf „Übernehmen“ sowie auf „Beenden“ und „Ok“.

Zusätzlich müssen Sie laut BSI noch einen Key in der Registry ändern. Starten Sie dafür Regedit.exe über die Eingabe von Regedit in das Windows-Suchfeld. Gehen Sie dann zu „HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\WMI\Autologger\ AutoLogger-DiagTrack-Listener\Start“ und setzen den Wert auf 0.

Hinweis: Nach dem Beenden des Dienstes funktioniert das Tool Diagnosedatenanzeige nicht mehr, was aber nur logisch ist. Die BSI-Studie nennt unter Punkt 4 noch fünf weitere Methoden, wie Sie den Versand von Telemetriedaten ebenfalls stoppen können, etwa die Manipulation der DNS-Einstellung oder Firewall-Regeln. Die von uns ausgesuchte Methode erscheint uns allerdings am einfachsten.

In unserem Test erhielten wir trotz dieser Einstellungen Updates für den Windows-Defender, also dem Antivirenprogramm von Windows sowie Updates für Windows.

Übrigens: Für die Windows-Versionen Enterprise und Education gibt es eine einfachere Möglichkeit, das Senden der Telemetriedaten auf beinahe Null zu reduzieren. Interessierte finden die nötigen Infos dazu im BSI-Bericht .

Diagnosedaten-Viewer: Was weiß Microsoft über Sie?

Windows-Anmeldung: Microsoft-Konto meiden

Wer sich mit einem Microsoft-Konto anmeldet, sendet standardmäßig viele Daten.
Vergrößern Wer sich mit einem Microsoft-Konto anmeldet, sendet standardmäßig viele Daten.

Der Kardinalfehler für datenschutzsensible Windows-Nutzer ist eine Windows-Anmeldung per Microsoft-Konto. Denn wer sich mit einem Microsoft-Konto, also beispielsweise arne.arnold@outlook.com , in Windows anmeldet, der aktiviert die Synchronisation einer Vielzahl von Daten mit seinem Onlinekonto beim Microsoft. Das betrifft zum Beispiel Einstellungen in Windows, den Suchverlauf in Bing, den Browserverlauf in Edge sowie etliche Verläufe in Cortana und von Apps.

Grundsätzlich ist eine Anmeldung mit dem Microsoft-Konto durchaus nützlich. So werden etwa auch wichtige Windows-Einstellungen in die Cloud als Backup gespeichert oder zur Synchronisation mit anderen PCs bereitgestellt. Auch die Funktion „Mein Gerät suchen“, die einen PC oder ein Notebook per WLAN, IP-Adresse oder Funkzelle orten kann, funktioniert nur mit einer Anmeldung per Microsoft-Konto. Wer diesen Komfort behalten möchte, muss mit Einbußen beim Datenschutz leben. Immerhin kann man dann aber wenigstens trotzdem noch die digitale Assistentin Cortana deaktivieren (nächster Punkt).

Durch ein lokales Konto verliert man allerdings auch ein paar nützliche Funktionen.
Vergrößern Durch ein lokales Konto verliert man allerdings auch ein paar nützliche Funktionen.

Wer aber lieber den bestmöglichen Datenschutz anstrebt, wechselt die Windows-Anmeldung auf ein lokales Konto. Das geht über „Windows-Logo –› Einstellungen –› Konto –› Stattdessen mit einem lokalen Konto anmelden“. Existiert ein solches noch nicht auf Ihrem PC, können Sie es im nächsten Fenster direkt erstellen.

Cortana ausschalten: Weniger Daten fürs Internet

Die digitale Assistentin Cortana ist fest in Windows integriert, etwa hier in der Windows-Suche.
Vergrößern Die digitale Assistentin Cortana ist fest in Windows integriert, etwa hier in der Windows-Suche.

Ein weiterer Datensammler in Windows ist die digitale Assistenzfunktion Cortana. Ist sie aktiv, integriert sie sich zum Beispiel in die Windows-Suche (rechts unten neben dem Windows-Logo). Von dort aus übergibt sie Suchanfragen nicht nur ins lokale System, sondern auch ins Internet. Cortana ist fest mit Windows verdrahtet, sie lässt sich also nicht einfach deinstallieren. Windows bietet unter „Windows-Logo –› Einstellungen –› Cortana“ etliche Einstellmöglichkeiten zu Cortana und Datenschutz. Diese sind aber ähnlich schwer durchschaubar wie die Optionen unter „Datenschutz“ in den Windows-Einstellungen.

Wenn Sie Cortana abschalten möchten, geht das am besten per Registry, die Sie durch Eingabe von regedit in das Windows-Suchfeld starten. In der Registry wechseln Sie nun in der linken Leiste in den Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search” und ändern dort den Wert bei „AllowCortana“ auf 0. Sollte der Schlüssel oder der Eintrag nicht existieren, dann müssen Sie ihn jeweils manuell anlegen.

Diagnose-Viewer: Was weiß Microsoft über sie?

Anwender, die wissen wollen, welche Daten von Windows gesammelt und an Microsoft übertragen werden, können dafür die Funktion Diagnosedatenanzeige nutzen.

Microsoft bietet das Tool Diagnosedatenanzeige in seinen Einstellungen. Damit kann der Anwender einen Blick auf die Informationen werfen, die von Windows gesammelt und im Hintergrund an Microsoft übertragen werden.

Unter „Windows-Logo –› Einstellungen –› Datenschutz –› Diagnose und Feedback“ setzen Sie den Schalter unter „Diagnosedaten anzeigen“ auf „Ein“ und laden dann zur Diagnosedatenanzeige einmalig das Tool „Diagnosedaten-Viewer“ aus dem App-Store von Microsoft herunter. Der App-Store wird automatisch gestartet und zeigt das gewünschte Tool an, allerdings mit seinem englischsprachigen Namen „Diagnostic Data Viewer“. Künftig starten Sie das Tool über „Windows-Logo –› Einstellungen –› Datenschutz –› Diagnose und Feedback –› Diagnosedatenanzeige öffnen“ und sehen dort die von Windows gesammelten Telemetriedaten ein.

Allzu viel dürfen Sie aber nicht erwarten, da die Daten nicht im Klartext, sondern in Form von Listings angezeigt werden. Darüber hinaus werden die einzelnen Komponenten nicht mit ihren Windows-Bezeichnungen, sondern unter ihren jeweiligen Funktionsnamen aufgeführt, beispielsweise „Microsoft.Windows. HostActivityManager.Host_TerminateRequest“, „Wlan- MSM.WirelessScanResults“ oder „Tel- ClientSynthetic.Heart- Beat_5“.

Die Diagnosedatenanzeige verrät zwar, was Windows sendet, doch übersichtlich ist sie nicht.
Vergrößern Die Diagnosedatenanzeige verrät zwar, was Windows sendet, doch übersichtlich ist sie nicht.

Die Diagnosedatenanzeige liefert folgende Informationen: Allgemeine Daten: Zum Beispiel Name und Version des Betriebssystems, Geräte-ID, Geräteklasse oder die Auswahl der Diagnosestufe.

Konfigurationen und Eigenschaften: Zum Beispiel für Peripheriegeräte und Netzwerkverbindungen, Produkt- und Servicedaten zu Gerätestatus, Leistung und Zuverlässigkeit sowie zum Konsum von Audio- und Videodateien.

Daten zur Nutzung von Produkten und Dienstleistungen: Dazu zählen auch Informationen über die Nutzung des Geräts, des Betriebssystems und einzelner Dienste.

Software-Setup und Inventarisierung: Hierzu zählen etwa installierte Anwendungen, die Installationshistorie sowie Informationen über Geräte-Updates.

Um gezielt nach einem bestimmten Ausdruck zu suchen, etwa der SSID Ihres heimischen WLANs, der URL einer von Ihnen besuchten Webseite oder Ihrem Benutzernamen, tippen Sie den Begriff in das Eingabefeld und drücken die Eingabetaste. Die gesammelten Diagnosedaten lassen sich übrigens vollständig entfernen. Die dafür zuständige Funktion ist ebenfalls im Dialog „Diagnose und Feedback“ untergebracht. Nach einem Mausklick auf den Button „Löschen“ werden alle Daten entfernt und die Funktion „Diagnosedatenanzeige“ wird wieder deaktiviert. Zudem steht neben dem Button „Löschen“ das Datum, an dem die Diagnosedaten zuletzt entfernt wurden.

Wichtig: Nicht alle angezeigten Daten werden an Microsoft übertragen. Lediglich diejenigen Infos, die mit einem blauen Symbol gekennzeichnet sind, werden im Rahmen der als „Sampling“ bezeichneten Stichproben von Microsoft erfasst.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2391879