In 2018 legte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) die Studie " „Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10“ vor, die die Telemetriekomponenten von Windows 10 analysierte. Das Fazit war, dass Windows 10 viele (Meta-)Daten nach Redmont übermittelt, ohne das der Nutzer wirklich Einfluss auf den Umfang der übertragenen Daten nehmen kann.
Das BSI hat daraufhin Maßnahmen vorgeschlagen, die die Übermittlung der Telemetriedaten eindämmen oder ganz verhindern. Dieses sind z. B. die „Deaktivierung vonTelemetrie-Dienst und ETW-Sessions“ oder das erstellen lokaler Firewall-Regeln. Die Maßnahmen sind sehr technisch und dürften die durchschnittlichen Nutzer oder Admin vor größere Herausforderungen stellen.
Microsoft hat auf diese Studie reagiert und begonnen, durch Nachbesserungen die Menge der übertragenen Telemetriedaten zu reduzieren. Die Anpassungen wurden mit laufenden Updates ausgespielt. Auf meinem Besuch mit einer Delegation des Cyber-Sicherheitsrat Deutschland in der Microsoft Firmenzentrale in Redmond am 13.11.2019, wurde dieses Vorgehen von Microsoft nochmal bestätigt.
Ferner wurden wir informiert, dass der BSI in einem Workshop mit Microsoft weitere Untersuchungen bzgl. der Übermittlung von Telemetriedaten in Windows 10 vorgenommen hat. Dieses scheinen aus Sicht des BSI deutliche Fortschritte aufgezeigt zu haben, so das mit einer Aktualisierung der obigen Studie von 2018 zu rechnen ist.
Umso verwunderlicher ist es, dass sich die Datenschutzkonferenz am 12.11.2019 nun ein Papier mit einem Prüfschema zur DSGVO-Kompatibilität von Windows 10 vorgelegt hat und im Kern zu dem Ergebnis kommt, dass Windows 10 nicht datenschutzkonform nutzbar ist, da keine Rechtsgrundlage für die Übertragung nutzerspezifischer Telemetriedaten nach Redmond nachgewiesen werden.
Lauft Dr. Lutz Hasse, Landesdatenschutzbeauftragter in Thüringen, befindet zu dem Prüfschema:
„Mit dem Prüfschema haben die Aufsichtsbehörden den Verantwortlichen zunächst ein Instrument an die Hand gegeben, mit dem sie prüfen können, ob die erforderlichen Voraussetzungen für einen Einsatz dieses Betriebssystems gewährleistet werden können. Der TLfDI wird über weitere Entwicklungen umgehend berichten.“
Schaut man sich das Prüfschema dann im Detail an, so muss man feststellen, dass es sehr abstrakt gehalten ist. Ich kann mir kaum vorstellen, dass ein einziges KMU in der Lage ist, mit diesem Prüfschema eine datenschutzkonforme Rechtsgrundlage für die Nutzung von Windows 10 im Sinne der Aufsichtsbehörden zu dokumentieren. Ich halte das Schema in der Praxis für faktisch unbrauchbar, da dass Ergebnis im Kern sowieso schon feststeht.
Man bekommt vielmehr den Eindruck, dass der Feldzug gegen Redmond nicht direkt mit Microsoft, sondern über die Nutzer, betroffen sein dürften maßgeblich öffentliche Stellen, ausgetragen wird. Dieses Vorgehen dürfte die Administratoren und Verantwortlichen über die Millionen Windows 10 Nutzer in Deutschland vor große Herausforderungen stellen.
Wünschenswert wäre es gewesen, wenn die Datenschutzkonferenz das Update der BSI-Studie abgewartet hätte, dann eine Entschließung gefasst hätte und so Unruhe bei den Nutzern von Windows 10 vermieden hätte.
Was ist Eure Meinung dazu?
EN-VERSION
In 2018, the German Federal Office for Information Security (BSI) presented the study „System Integrity, Logging, Hardening and Security Functions in Windows 10“, which analyzed the telemetry components of Windows 10. The conclusion was that Windows 10 transmits a lot of (meta-)data to Redmont without the user really being able to influence the amount of data transmitted.
The BSI then proposed measures to contain or completely prevent the transmission of telemetry data. These are, for example, the „deactivation of telemetry service and ETW sessions“ or the creation of local firewall rules. The measures are very technical and are likely to pose major challenges to the average user or admin.
Microsoft has responded to this study and started to reduce the amount of telemetry data transferred by making improvements. The adjustments were played out with ongoing updates. On my visit with a delegation of the Cyber Security Council Germany at the Microsoft headquarters in Redmond on 13.11.2019, this procedure was again confirmed by Microsoft.
We were also informed that the BSI had conducted further investigations into the transmission of telemetry data in Windows 10 in a workshop with Microsoft. From the point of view of the BSI, this seems to have shown clear progress, so that an update of the above study from 2018 is to be expected.
It is therefore all the more surprising that the Data Protection Conference on 12.11.2019 has now submitted a paper with a check schema for the DSGVO compatibility of Windows 10 and has come to the conclusion that Windows 10 cannot be used in a data protection-compliant manner since no legal basis for the transfer of user-specific telemetry data to Redmond has been proven.
Lauft Dr. Lutz Hasse, Data Protection Officer of the State of Thuringia, comments on the test scheme: „With the test scheme, the supervisory authorities have initially provided those responsible with an instrument with which they can check whether the necessary prerequisites for the use of this operating system can be guaranteed. The TLfDI will report on further developments immediately“.
If you look at the test scheme in detail, you will see that it is very abstract. I can hardly imagine that a single SME is in a position to use this check schema to document a data protection-compliant legal basis for the use of Windows 10 in the sense of the supervisory authorities. I consider the scheme to be virtually unusable in practice, since the result is already clear at its core.
Rather, one gets the impression that the campaign against Redmond will not be carried out directly with Microsoft, but via the users, who will probably be mainly public authorities. This procedure is likely to pose great challenges to the administrators and those responsible for the millions of Windows 10 users in Germany.
It would have been desirable if the data protection conference had waited for the update of the BSI study, then passed a resolution and thus avoided unrest among the users of Windows 10.
What is your opinion?
Prof. Dr. Andre Döring
CEO, Robin Data GmbH
https://www.robin-data.io
Sources:
Image cdnet
