[English]Die Übertragung von Telemetriedaten an Microsoft ist in der Enterprise-Version des Windows 10 November 2019 Update (Version 1909) komplett abschaltbar. Das hat eine Analyse des Bayerischen Landesamts für Datenschutzaufsicht ergeben.
Rückblick: Windows 10 Telemetriedatenerfassung
Windows 10 und die Telemetriedatenerfassung ist ja ein Streitpunkt in vielen Debatten. Bisher war es so, dass das BSI Windows 10 als ‘Datenschutz-Unfall’ einstufte (siehe BSI-Einstufung: Windows 10 ist ein ‘Datenschutz-Unfall’). Datenschützer forderten von Microsoft, dass die Datenübertragung in Windows 10 abschaltbar sein müsse.
Im November 2019 gab es dann den Beschluss der Datenschutzkonferenz zum Windows 10 Datenschutz. Dort wurde auch ein Prüfschema ‘Datenschutz bei Windows 10’ durch die Datenschutzkonferenz verabschiedet. Dieses Schema soll Verantwortlichen, die Windows 10 bereits einsetzen oder dies beabsichtigen, in die Lage versetzen, eigenständig die Einhaltung der rechtlichen Vorgaben der DSGVO in ihrem konkreten Fall zu prüfen und zu dokumentieren. Allerdings war auch der Tenor:
Die Datenschutzbeauftragten von Bund und Ländern sehen wenig Spielraum, Microsofts Betriebssystem Windows 10 rechtskonform zu nutzen.
Bisher war es so, dass sich viele Aussagen auf eine Einstufung des BSI bezogen (BSI-Einstufung: Windows 10 ist ein ‘Datenschutz-Unfall’). Das BSI ließ seinerzeit die Windows 10 Enterprise LTSC 1607 auf Telemetriedatenübertragung prüfen. Ergebnis war, dass die Telemetriedatenübertragung nicht ganz abgeschaltet werden konnten.
Unter dem Aspekt, dass sich die Datenschutzaufsichtsbehörden schon seit längerer Zeit mit der Übermittlung von Telemetriedaten von Windows 10 Rechnern an Microsoft beschäftigt haben, wurde von der Datenschutzkonferenz eine Unterarbeitsgruppe des Arbeitskreises Technik „Windows 10“ gegründet. Diese sollte eine datenschutzrechtliche Bewertung der Datenflüsse an Microsoft erstellen.
Neue Einstufung durch Bayern
Die Kollegen von deskmodder sind auf den Tätigkeitsbericht 2019 des Bayerisches Landesamt für Datenschutzaufsicht gestoßen. Auf Seite 22 des PDF-Berichts geht es um ‘Windows 10 und Telemetriedaten’.
Diese Facharbeitsgruppe hat im Dezember 2019 zu einer Laboranalyse von Windows 10, unter Federführung des Bayerischen Landesbeauftragten für den Datenschutz getroffen. Ebenfalls waren Mitarbeiter von Microsoft eingeladen (von denen über 10 Personen, überwiegend aus dem technischen Bereich, von Microsoft aus den USA gekommen sind), um alle technischen Fragen, die bei der Laboranalyse aufkommen könnten, zu beantworten.
Im Labor wurde ein Testszenario mit einem Windows 10 Enterprise Version 1909 auf die Datenflüsse zu Microsoft untersucht. Es wurden alle Datenflüsse von diesem Rechner noch innerhalb des Labornetzes mittels einer Man-inthe-Middle-Analyse aufgezeichnet. Beim Test wurde das Windows 10-System mit von Microsoft offiziell zur Verfügung gestellten Informationen und Tools so konfiguriert, dass das Telemetrielevel „Security“ eingestellt war. Ziel war es, möglichst alle Telemetriedatenflüsse zu unterbinden.
Im Rahmen dieser Labor-Analyse wurde festgestellt, dass die Telemetriedaten vom Windows 10 Enterprise V1909 Testsystem komplett deaktivierbar sind. Ausschließlich Aufrufe an (Microsoft-)Server, die aktuelle kryptographische Zertifikate liefern, waren durch diese Konfiguration nicht abschaltbar, da diese für einen tagesaktuellen sicheren Betrieb eines Windows 10-Systems (z. B. bei Rückruf eines ungültig gewordenen SSL-Wurzelzertifikates) erforderlich sind, schreiben die Datenschützer. Aber auch diese Aufrufe können durch gezielte Systemkonfigurationen unterbunden werden (wird aus Sicherheitsgründen nicht empfohlen).
Vom Ergebnis, schreiben die Bayrischen Datenschützer, konnte bei diesem Treffen in unserem technischen Labor festgestellt werden, dass die datenschutzrechtlich kontrovers diskutierten Telemetriedaten bei Einsatz der Enterprise Version (und damit auch bei der Education-Version) im überprüften Szenario deaktivierbar sind.
Die Schlussfolgerung der Datenschützer: Sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar.
Wie dagegen der Einsatz von Windows 10 Pro bei Verantwortlichen zu bewerten ist, bei dem die Telemetriedaten zwar reduziert, aber bekanntlich nicht komplett abgeschaltet werden können, könnte möglicherweise ein weiterer Arbeitsauftrag der Datenschutzkonferenz (DSK) werden, meinen die Datenschützer.
Anmerkung auf Grund der Diskussionen: Ein Persilschein ist das übrigens nicht, denn laut ‚Prüfschema Windows 10‘ muss der Datenschutzverantwortliche der jeweiligen Behörde/Institution/Firma sicherstellen, dass Windows 10 nach jedem Funktionsupdate DSGVO-konform ist. Und wenn dann noch Office dazu kommt, wird das zu drehende Rad noch größer.
Und noch etwas: Diese Einstellung müsste Standard in allen Windows 10 Enterprise-Versionen sein, sowie sauber dokumentiert sein. Es wird also noch einiges Wasser den Rhein hinunter rauschen, bis das Thema in trockenen Tüchern ist.
Trotzdem: Interessante Information für Leute, die für den Einsatz von Windows 10 in Unternehmensumgebungen verantwortlich sind.
Ähnliche Artikel:
Windows 10-Datenschutzsplitter: Die Krux mit der Telemetrie …
BSI-Einstufung: Windows 10 ist ein ‘Datenschutz-Unfall’
Datenschützer fordert: Microsoft muss die Windows 10 Datenübertragung abschalten
Was soll auch anderes dabei heraus kommen, wenn die Datenschutzbehörde des Bundeslandes, in dessen Hauptstadt Microsoft zufälligerweise seine Europazentrale hat, eine Untersuchung von Windows 10 hinsichtlich der Möglichkeit zur DSGVO-konformen Konfiguration vornimmt? Außerdem wird ausgerechnet die Version des Betriebssystems getestet, die die besten Möglichkeiten zur DSGVO-konformen Konfiguration bietet.
Wenn hier nicht die sprichwörtlichen schwarzen Koffer im Spiel sind dann zumindest doch die Einsicht, dass gewisse Sachzwänge bestehen und deshalb nicht sein kann was nicht sein darf. Was sollen die Verantwortlichen denn machen, wenn Windows 10 NICHT Datenschutzkonform zu betreiben ist? In drei Jahren (bis zum Ende von Windows 7 ESU) ein Staats-Linux aufsetzen? Ist wohl kaum zu schaffen.
Das kommt dabei heraus, wenn man die Zeichen der Zeit nicht erkennt und solche strategisch wichtigen Entscheidungen auf die lange Bank schiebt bzw. bis heute immer noch nicht angeht.
Na, haben wir den Alu-Hut schon aufgesetzt?
manche(r) braucht halt seine Simbl-Schublade.
Sonst pipi-langstrumpf-welt (widde wie sie mir gefaellt) nix gutt… :P
Nun ja, es ist eine Facharbeitsgruppe, imho besetzt mit Leuten aus diversen Bundesländern. Im Labor wurde lediglich untersucht: Ist die Telemetrie abstellbar oder nicht.
Dass der in den Behörden/Betrieben Datenschutzverantwortliche bei jedem installierten Funktionsupdate von Windows 10 Enterprise sicherstellt, dass die zugrunde gelegten Prämissen noch gelten, sollte diesem Personenkreis bekannt sein – ist ja Bestandteil des Prüfschemas Windows 10. Es hat sich also nur ein winziges Steinchen geändert – und Windows 10 Pro ist nach wie vor außen vor.
Na, wer weiß: Autos hat man auch auf Einhaltung der Abgaswerte getestet, und die Prüfer waren weder Dilettanten noch haben sie absichtlich gemogelt… Aber trotzdem war das, was hinten rauskam, nur auf dem Prüfstand sauber, nicht aber im wirklichen Betrieb.
Exakt!
Was der PC in einer Testumgebung macht, sofern er sie erkennt, kann das Gegenteil von dem sein, was er macht, wenn er sich in einer Firma wähnt.
Ich glaube auch, dass es sehr schwierig ist ein aussagekräftiges Testszenario aufzusetzen. Nicht alle Telemetrie- oder sonstige Funktionen, die Daten an MS oder deren Beauftragte schicken, sind ständig und in allen Situationen aktiv.
Da wird sehr viel mit geplanten Tasks gearbeitet, die nur sporadisch starten und dann auch nur unter bestimmten Bedingungen tatsächlich Daten verschicken. Und was dann noch hartcodiert in irgendwelchen Diensten und Treibern steckt weiß ja auch kein Mensch so wirklich genau. Ob selbst MS da noch den Überblick hat, kann man sich schon fragen. Und wenn ja, ob sie es auch zugeben.
Dass MS bereits eine Erkennung für Testumgebungen in Windows eingebaut hat glaube ich z.Z. noch nicht. Dafür ist das Thema noch zu neu. Außerdem (s.o.) ist das auch noch gar nicht notwendig, da MS den Prüfern z.Z. erst sagen muss, nach was, mit welchen Methoden und unter welchen Bedingungen sie denn suchen sollen.
Naja, dann lässt man die Kiste eben mal ne Woche an und sniffert gleichzeitg per Portmirroring am Switch mit.
Wir nutzen W10 Enterprise auch und haben alle Telemetrie deaktiviert. Es funktioniert. Das Thema wird überbewertet.
Inwiefern wird das Thema überbewertet? Für Kleinstbetriebe und Kleinunternehmen rentiert sich die Enterprise-Lösung nicht. Sie zahlen für Leistungen, die sie schlichtweg nicht brauchen, mit denen sie oftmals auch nichts anfangen können. Niemand kauft sich einen Porsche für einen kleinen Arbeitsweg, wenn ein günstigeres Auto es auch tut.
Dass Microsoft daran interessiert ist möglichst viele Unternehmen in den Enterprise-Suiten zu steuern, ist bekannt, aber für viele Geschäftskunden eben auch unwirtschaftlich.
MS will Geld verdienen. Verstehe das Problem jetzt nicht.
Natürlich will Microsoft Geld verdienen. Daran ist auch nichts verwerflich.
Unternehmen müssen allerdings wirtschaftlich handeln. Da macht es keinen Sinn Software zu kaufen, deren Leistungsumfang über Bedarf liegt. Wie schon gesagt, man kauft keinen Porsche für einen kurzen Arbeitsweg, wenn ein günstigeres Auto es auch tut. Für einen Drei-Mann-Betrieb als Beispiel fallen auf 5 Jahre Nutzungszeit deutlich höhere Kosten mit Windows 10 Enterprise E3 / E5 an als ein Einmalkauf von Windows 10 Pro.
Wie hoch ist denn die Differenz bei 3 Mann auf 5 Jahre?
Die Bewertung unterliegt dem bei euch zuständigen Datenschutzverantwortlichen – und nicht Dritten in Foren oder Blogs ;-).
Die Bewertung der DSGVO-Konformität oder die Wirtschaftlichkeit?
Telemetrie ausgeschaltet und die Kiste soll nicht mehr nach Hause telefonieren? Ja ja… Die Erde ist eine Scheibe, Radioaktivität gibt es nicht, oder schon mal welche gesehen?…
Das war doch noch was mit Ccleaner? Wurde auch in diesem Blog präsentiert :-)
Ccleaner? Schlangenöl!
Ich verweise ja auf den Link wegen der Telemetrie, die einfach so eingeführt wurde, und man nicht ausschalten konnte. Bzw. es geht, wenn man Ccleaner den Zugang zum Internet sperrt. Ich habe das gemacht, auch mit fast allen anderen Programmen
Allerdings kan man Ccleaner nutzen, um was zu machen damit, oder um sein System zu shreddern. Mit einer Pistole kann man auch auf alles schiessen.
Also muss man „Schutzgeld“ für die Enterprise zahlen, um nicht auspioniert zu werden. Dass die Telemetrie damit wirklich deaktiviert wird, glaub ich persönlich nicht.
Für Unternehmen ist dieses Schutzgeld generell sinnvoll, denn darüber werden auch andere Sicherheitsfunktionen freigeschaltet, ich nenne mal Applocker als Beispiel.
Die Diskussion ist eigentlich völlig irrelevant, MS hat dafür zu sorgen das jede Windows 10 Version oder auch jede Office Variante DSGVO Konform ist, egal ob diese in Geschäftlich oder im Privatbereich eingesetzt wird.
Sollte MS dies als „Feature“ der teureren Enterprise Version verkaufen und die anderen Versionen dahingehend beschneiden, sollte jemand MS mal klar machen das Datenschutz kein optionales Feature ist, sondern Grundvoraussetzung in jeder Software die in der EU im Umlauf gebracht wird.
Nun ja, ist eine Vorstellung. Die Gesetzeslage ist eine andere: Der Datenschutzverantwortliche hat sicherzustellen, dass eingesetzte Produkte DSGVO-konform sind. Die arme Sau kann sich kaum gegen den Druck wehren, dass eine bestimmte Lösung als alternativlos dargestellt wird. Und nun?
PS: Ohne die obige Diskussion hätte ich nix, aber auch überhaupt nix bewegt – imho.
Ich hoffe es wird ein PDF geben mit den zu setzenden GPO Einstellungen, so wie es das damals beim Investigation-Report gab
Die IT-Industrie hat von der Auto-Industrie gelernt: Der Abgasskandal wird in der IT-Industrie kopiert. Wenn der PC merkt, dass er in einer Testumgebung ist, verhält er sich anders.
Paranoia oder echte Zweifel?
Kurze Anmerkung: Die Verschwörungstheorien bringen uns hier nicht weiter. Der Beitrag zeigt eine neue Erkenntnis auf – nicht mehr und nicht weniger. Zur datenschutzrechtlichen Bewertung durch die Verantwortlichen (auch im Kontext mit Office365.com) hatte ich oben im Text was geschrieben.
Privatleute sind daher erst einmal vor, da diese kaum zwingend auf Win 10 und Office 365 angewiesen sein sollten.
Interessant wären Stellungnahme der Datenschutzverantwortlichen in Behörden und Firmen, wie die das aktuell handhaben.
ich klemm mir alles, außer, wegen autoindustrie (und dem anstehenden urteil im lizenzstreit)..
ob und wie oracle java, welches ja gewerblich nicht mehr ohne (kostenpflichtige) lizenz verwendet werden darf, dies „erkennt“ und durchsetzt, wäre auch mal nen artikel wert.
Es könnte sein, dass ein Missverständnis vorliegt.
Ich wollte nicht deinen Beitrag kritisieren, sondern das Verhalten von Microsoft, das in deinem Beitrag geschildert wird.
Ich habe es auch nicht als Kritik verstanden – aber die Beiträge zerfleddern Fachfremd.
Es wäre ja wirklich spannend, wenn Kommentare aus der Praxis kämen, die skizzieren, wie das derzeit in Firmen rechtlich gewertet/gehandhabt wird.
Und das Management läuft dann mit Apple- oder Android-Devices herum. Wie schaut es da eigentlich aus mit Telemetrie? Da wird der Desktop auf jeden einzelnen Bit zerlegt, die mobilen Geräte werden gefühlt „übersehen“. Wieviel Daten schickt denn ein iPad oder iPhone oder ein Android nach Hause? Weiß man das überhaupt? Kann man diese Geräte DSGVO-konform betreiben?
Das soll jetzt kein Sarkasmus sein, ich weiß es wirklich nicht. Was weiß man über diese Geräte bezüglich DSGVO?
Das ist ein Nebenkriegsschauplatz und kann gerne unter Diskussion verfolgt werden. Hier im Thread geht es originär um ‚Windows 10‘ und Telemetrie – danke für dein Verständnis.
In der EULA zu Windows 10 steht mit großer Wahrscheinlichkeit detailiert, dass man durch Nutzung des Produktes auch dem Versand von Telemetriedaten zustimmt. Muss man denn zwingend die Telemetrie abschalten können, wenn man der Nutzung bereits zugestimmt hat?
Exemplarisch könnte man das auf die Nutzung einer Webseite übertragen, die Cookies verwendet oder Analysedaten speichert, die aber keine Möglichkeit zum opt-out bietet. Zum Beispiel die Webseite, auf der wir uns gerade befinden und die wir trotzdem sehr gerne besuchen.
Um die Formulierung aus der Datenschutzerklärung zu übertragen:
„Durch eine Änderung der Einstellungen an Ihrer Firewall können Sie die Übertragung von Cookies deaktivieren oder einschränken.“
:)
Wenn man das jetzt wohlwollend betrachtet, dann haben sie gezeigt, dass es ohne Telemetrie geht. Per default ist das wahrscheinlich nicht so eingestellt und es bleibt die Frage was die vielen Heimnutzer und kleinen Firmen ohne Enterprise davon haben.
Das kann ich für unsere Hochschullizenzen verneinen. In unseren Enterprise Versionen ist in der Gruppenrichtlinie, nach einer Neuinstallation, der Defaultwert für die Datenübertragung auf den Wert 0 voreingestellt.
Wir haben Windows Server 2019 und Windows 10 LTSC 2019 im Einsatz und mit größerem Aufwand im Proxy bzw. der Firewall und den GPOs bekommt man selbst das datenschutzkonform.
Was hier bei der ganzen Diskussion um Windows 10 fehlt, ist MS Office. In den C2R Installationen (ab Office 365/2019 gibts ja nur noch C2R) und ohne weitere Konfiguration ist das eine reine Dauerkommunikation mit MS-Servern. Die letzten Versionen wurden ja wegen der DSGVO schon angepasst. Frage: Wurden diese neueren Versionen eigentlich nochmal auf ihre Datenschutzkonformität überprüft? Oder ist das nur ein Hoffen, dass die neuen GPO-Einstellungen auch wirken?
MS sollte gezwungen werden, die EP und LTSC Version einzeln an Jedermann zu verkaufen. Weiterhin die Einstellmöglichketen zur Telemetrie direkt per einfachen Wahlschalter in den Bereich Datenschutz zu implementieren. MS sollte gezwungen werden, dass die dort getroffenen Einstellung keinesfalls durch Updates verändert werden!
Info an Betreiber: Es ist nicht dolle, dass, wenn man das Häkchen hier beim Datenschutz vergisst, der gesamte Text rausfliegt.
Sobald ein Edge benutzt wird, ein aktuelleres MS Office (>2013) oder gar eine Cloudlösung wie Office 365 läuft, wird dann doch wieder munter nachhause telefoniert. Möglicherweise kann man das auch wieder abstellen, aber MS kalkuliert halt mit der Faulheit und Nachlässigkeit der Masse.
Ich sehe das so, daß man vertrauliche Daten auf keinen Fall auf einem W10-Rechner speichern kann. Selbst einem Windows7 oder 8 würde ich nur sehr begrenzt vertrauen, persönlich fahre ich auf W7 die SecurityOnly-Schiene, aber als Firma mit sensiblen Daten, vertraulichen Konstruktionspläenen, usw müsste man Windows-Rechner entweder vom Netz abklemmen (und nur kontrollliert ans Netz lassen) oder die Daten gar nicht erst auf solchen Rechnern speichern. Mir ist schon klar, daß Linux und *BSD auf einem PC mit UEFI-Bios, Intel ME, Router (alle standardmässig fernwartbar, vom Provider und Diensten), usw auch keine echte Sicherheit bieten können. Sowohl unsere Hardware als auch Software sind unsicher, wenn der Gegner ein Geheimdienst oder ein größerer Konzern ist, damit muss man sich anfreunden. Soll aber kein Plädoyer für unzureichenden Datenschutz sein. Die MS-Telemetrie gehört komplett verboten, wenn überhaupt, dann sollte jedesmal die ausdrückliche Zustimmung der Nutzer eingeholt werden müssen.
Netzfund!
Hier eine Anleitung um den Datenschutz bei Windows10 1909 mit Boardmitten zu maximieren. Die Beschreibung erfolgt nach Bestpractices Microsoft, sowie den Datenschutz-Studien des BSI sowie dem Land Bayern. Das Dokument ist als Knowledge gedacht – nicht als blindes Kopie/Paste Werkzeug. Alle Settings sind nochmals auf die eigenen Bedürfnisse zu prüfen.
Hinweis – die GPO-Settings lassen sich einmalig umsetzen, und dann via lgpo.exe auf beliebige Windows 10 Pro/Enterprise-Systeme exportieren/imortieren.
Hinweis – die GPO-Settings überleben FunktionsUpgrades, dh nach neuen Funktionsupgrades müssen nur die neuen GPO-Funktionalitäten nachgepflegt werden.
!!Auszug!!
====================================================================
Zur besseren Lesbarkeit Links zur unten aufgeführten Dokumentation:
https://paste.debian.net/1125003/
https://nopaste.linux-dev.org/?1281734
https://nopaste.dnshome.org/?9db33e7ac4c2ae53#GCWoYGvFCU1F47hCMf3HEzs9AAfGKUVjjA5hdBrmPrjf
GPO: gpedit.msc
====================================================================
GOOGLE: gpo excel list windows
https://docs.microsoft.com/de-de/windows/privacy/manage-connections-from-windows-operating-system-components-to-microsoft-services
https://www.lda.bayern.de/media/windows_10_report.pdf
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/AP4/SiSyPHuS_AP4_node.html
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/Analyse_Telemetriekomponente.pdf?__blob=publicationFile&v=4
====================================================================
====================================================================
Computerconfiguration > Administrative Vorlagen > Netzwerk >
====================================================================
> Schriftarten > Schriftartenanbieter aktivieren > DEAKTIVIERT
====================================================================
Computerconfiguration > Administrative Vorlagen > Startmenü und Taskleiste>
====================================================================
> Benachrichtigungen > Netzwerkverwendung für Benachrichtigungen deaktivieren > AKTIVIERT
====================================================================
Computerconfiguration > Administrative Vorlagen > System >
====================================================================
Der Rest im Original siehe Link.
https://www.heise.de/forum/c-t/Kommentare-zu-c-t-Artikeln/FAQ-Windows-10-fuer-Umsteiger/Windows-10-1909-Pro-Datenschutz-mit-Boardmitteln-Best-Practices/posting-35889539/show/#posting_35889539
Sollte der Linkt tot sein, mich bitte benachrichtigen.
Habe die Anleitung gesichert.
mira.bellenbaum at gmx punkt net