Datenschutz

Windows 10: Datenschutzbehörden prüfen, BSI ist zufrieden.

Sollte die öffentliche Verwaltung trotz Datenschutzbedenken mit Microsoft-Produkten arbeiten? Nach Überprüfungen durch europäische Datenschutzbehörden will sich auch die deutsche Aufsicht positionieren. Das Bundesamt für Sicherheit in der Informationstechnik sieht hingegen keinen weiteren Handlungsbedarf.

Fließen Daten aus der öffentlichen Verwaltung an Microsoft? CC-BY-NC-ND 2.0 Nat and Paula

Microsoft steht weiterhin in der Kritik, zu viele Informationen über Nutzung und Nutzer:innen seiner Produkte und Anwendungen abzugreifen. Seit langem gibt es Bedenken, dass Informationen auch aus der öffentlichen Verwaltung abfließen könnten, die in Europa mehrheitlich auf Microsoft setzt. Nach der niederländischen und der europäischen Datenschutzaufsicht wollen sich nun auch die deutschen Behörden den Problemfall nochmal vornehmen.

Seit einigen Wochen untersucht die EU-Datenschutzbehörde EDPS, ob die Verträge der EU-Dienststellen mit Microsoft den geltenden Datenschutzbestimmungen entsprechen. Es bestehe der Verdacht, dass personenbezogene und andere sensible Informationen aus der EU-Verwaltung an Microsoft abfließen könnten. Das teilte die Behörde in einer Pressemitteilung Anfang April mit. Unter anderem soll erhoben werden, welche Microsoft-Produkte derzeit überhaupt bei EU-Institutionen verwendet werden.

2018 hatte eine Untersuchung des niederländischen Justizministeriums der Enterprise-Version von Microsoft Office zahlreiche Verstöße gegen die Datenschutzgrundverordnung (DSGVO) festgestellt: „Microsoft sammelt systematisch Daten in großem Umfang über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook“, fasste es die Datenschutzberatungsfirma PrivacyCompany zusammen, die die Studie im Auftrag des Justizministeriums durchführte.

Datenschutzrechtliche Bedenken auch in Deutschland

In Deutschland kritisierte bereits die damalige Datenschutzbeauftragte Andrea Voßhoff in ihrem Tätigkeitsbericht 2015/16 (pdf) „das intransparente Vorgehen von Microsoft“ und die Tatsache, dass „die Übertragung und Verarbeitung personenbezogener Daten auf Serversystemen von Microsoft in den USA nicht verhindert werden“ könne.

Mittels Telemetrie übermittelt Windows10 Daten an Microsoft, um zu prüfen, ob das Betriebssystem auf den einzelnen Computern richtig arbeitet oder vereinzelte Anpassungen notwendig sind. Da PCs meist mit dem Internet verbunden sind, findet beinahe permanent eine Übertragung von Daten ohne deutlichen Hinweis von Microsoft statt und es gibt keine Möglichkeit, sie ganz abzuschalten.

Eine im Jahr 2017 durchgeführte Überprüfung durch das Landesamt für Datenschutzaufsicht in Bayern, wo Microsoft seinen Deutschlandsitz hat, blieb weitgehend folgenlos. Durch eine umfangreiche Prüfung von Windows 10 durch das Bundesamt für Informationssicherheit (BSI) kam 2018 wieder Bewegung in die Sache. In der Untersuchung „SiSyPHuS Win10“ stellte das BSI vergangenen November fest, dass das Betriebssystem „umfangreiche System- und Nutzungsinformationen“ an Microsoft sendet und dies durch Nutzer:innen kaum zu unterbinden sei. Gegenüber netzpolitik.org forderten daraufhin führende Netzpolitiker:innen die Datenschutzbehörden zum Handeln auf.

Datenschutzbehörden bereiten „Dialog mit Microsoft“ vor

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat nun Anfang April den Beschluss gefasst, eine Positionierung zum datenschutzkonformen Einsatz von Windows10 zu erarbeiten. Bereits in der Auftragsbeschreibung stellt die DSK fest, dass jedes Update des Betriebssystems dazu führen kann, „dass Konfigurationseinstellungen verändert werden“. Damit müsse deren datenschutzrechtliche Zulässigkeit erneut geprüft werden, auch weil dadurch datenschutzfreundliche Einstellungen verloren gehen könnten. Die Positionierung der DSK soll als Grundlage für einen „Dialog mit Microsoft zu datenschutzrechtlichen Fragestellungen“ unter Federführung der bayerischen Behörde dienen.

Ob die Untersuchung auch Konsequenzen für den Einsatz von Microsoft-Produkten in der öffentlichen Verwaltung haben wird, ist noch unklar. Auf Anfrage zu dieser Thematik verwies der Bundesschutzbeauftragte, Ulrich Kelber, gegenüber netzpolitik.org jedenfalls auf das gemeinsame Vorhaben der Datenschutzbehörden. Darüber hinaus teilte Kelber mit, die in der Bundesverwaltung zum Einsatz kommende Software und in diesem Zusammenhang auch Microsoft-Produkte zu überprüfen.

Öffentlich bekannt ist derweil nicht mal, welche Microsoft Produkte in welchen Behörden überhaupt genutzt werden. Mit einer Kleinen Anfrage erbat die Linksfraktion kürzlich Informationen zu Betriebssystemen und IT-Sicherheit von der Bundesregierung. Der genaue Umfang und die Art der Produkte und Anwendungen von Microsoft in der öffentlichen Verwaltung wird jedoch aus Sicherheitsgründen nicht bekannt gegeben. Auch werden die Office-Pakete, die in den Ministerien zum Einsatz kommen, als „VS – Nur für den Dienstgebrauch“ eingestuft und sind öffentlich nicht einsehbar.

BSI: „Alle Systeme können sicher betrieben werden“

Das BSI selbst, das mit seiner SiSyPHuS-Untersuchung die Bedenken neu befeuert hat, sieht in Hinblick auf die IT-Sicherheit der öffentlichen Verwaltung keinen weiteren Handlungsbedarf. Ein Sprecher des BSI erklärte gegenüber netzpolitik.org, dass zwar grundsätzlich bei jeglicher Nutzung von IT-Systemen die Sicherheitsrisiken zu betrachten seien und „Microsoft-Produkte durch ihre hohe Verbreitung eine besondere Bedeutung“ erhalten würden. Weitere Schritte als Konsequenz aus der Untersuchung seien jedoch nicht geplant.

Um Datenabflüsse aus Behörden zu verhindern, empfiehlt das BSI der Bundesverwaltung den Einsatz von Windows-10-Clients in einer speziellen Konfiguration, die die kontinuierliche Übertragung von Daten unterbindet. „Grundsätzlich können praktisch alle IT-Systeme je nach Einsatzumgebung und Einsatzzweck sicher betrieben werden“, so der Sprecher.

12 Ergänzungen
  1. Wäre es nicht am einfachsten, den Behördenrechnern eine Whitelist auf Systemebene vorzuschalten? Wann immer dann ein Dienstrechner nach Hause telefonieren will, heisst die Firewallregel „Drop OUT“ und schon ist Ruhe!

    iptables -A OUTPUT -d mircosoftIPadresse -j DROP
    ansonsten: ipfire.org
    Hier zu Haue telefoniert nichts einfach irgendwo hin.

    1. Das mag bei Win7 vielleicht noch funktioniert haben. Die Cloud-Anbindung ist inzwischen obligat.
      Auch gibt es nicht DIE Microsoft IP-Adresse. Sie müssten schon konsequenterweise alle kooperierenden CDNs blocken angefangen bei Akamai mit unangenehmen Nebenwirkungen für diverse Features und andere Dienste.

      Man hätte bereits vor 20 Jahren damit beginnen sollen in internationaler Kooperation ein eigenes Distro für Behörden zu entwickeln, auch im Hinblick auf Lizenzkosten für Server und Workstations. Wahrscheinlich macht man deshalb alles zur Verschlusssache. Allein die Verlängerung des Supports für alte Windows-Versionen wird den Steuerzahler Millionen kosten.

  2. „Grundsätzlich können praktisch alle IT-Systeme je nach Einsatzumgebung und Einsatzzweck sicher betrieben werden“, so der BSI-Sprecher.

    Das ist ein formal und inhaltlich korrekter Satz, wobei jedes Wort wohlüberlegt gesetzt wurde. Dementsprechend ist es ratsam sein Hirn zu benutzen, denn lesen können reicht nicht. Man muss auch verstehen können, bzw. verstehen wollen. Dem entsprechend wäre noch zu definieren, was jeweils für einen sicheren Betrieb in unterschiedlichen ‚Einsatzumgebungen‘ zu fordern wäre.

    Auch ‚Einsatzzwecke‘ sind höchst unterschiedlich. Es macht schon einen Unterschied, ob man auf digitaler Shopping-Tour unterwegs ist, oder ob man als Teil der kommerziellen Werbeindustrie Sicher an seine Tracking-Daten gelangen kann.

    „Microsoft-Produkte durch ihre hohe Verbreitung eine besondere Bedeutung“ erhalten würden. Weitere Schritte als Konsequenz aus der Untersuchung seien jedoch nicht geplant.
    Wozu auch? Wer sich entschlossen hat, Windows-10 einzusetzen, der hat den bequemsten Weg gewählt, und alle Sorgen an der Garderobe abgegeben. Windows-10 ist mit herkömmlichen Betriebssystemen nicht mehr vergleichbar, denn es ist Cloud-basiert. Dementsprechend ist kann eine Windows-10-Installation sich am Mittwoch grundlegend von der unterscheiden, wie sie noch am Dienstag war. Und das ist möglich ohne dass der Windows10-Nutzer irgendeinen Event selbst auslösen müsste, und diese Nutzer finden das gut, weil sie sich um nichts mehr kümmern müssen, außer um ausreichende Deckung auf dem Bankkonto.

    Und Microsoft-Produkte haben „durch ihre hohe Verbreitung eine besondere Bedeutung“ für staatliche Organe, die einen sicheren Transportweg für ihre Überwachungsinstrumente benötigen. Die Daten auf der Cloud, der Rechner fremd-gewartet, da würde eine Selbstadministration den Einsatzzweck gefährden und die Einsatzumgebung wäre nicht mehr so sicher … [für wen?]

  3. Win10 wird in staatlichen Institutionen nicht nur in der Verwaltung eingesetzt, sondern auch an anderen Orten, wo eine entsprechend ausführliche Bearbeitung der Systeme nur selten eingepreist ist. Allgemein bildende und Berufsschulen sind, im speziellen hinsichtlich des Kinder- und Jugendschutzes, gefährdete Gebiete. Eine Informationsdurchreichung oder auch nur Technische Richtlinie aus Richtung der Verwaltungs-IT gibt es nicht.
    Die Ausstattung der Schulen mit vor-Ort IT ist eher dürftig bis nicht vorhanden.

  4. Selbstverständlich seht Sicherheit bei der Speicherung ihre Daten bei Microsoft an erster Stelle.
    Daher sprechen wir Microsoft und seinen Produkten grundsätzlich unser Vertrauen aus.

  5. Ich bin immernoch der Meinung ein Bundeslinux wäre günstiger und besser zu warten. Das Geld was man an Microsoft zählt könnte man in die Verbesserung von Linux stecken.

    1. Es fliessen viele Million an MS,aber nur eine Million wurde in der EU freigegeben für Sicherheitstests für Open Source.
      Und da lese ich wenig was da derzeit passiert ist ….

      Wobei der Bund eigentlich auch Beschlüsse hätte , Open Source zu fördern,
      aber die machten das eher fürs Papier, verlogen wie sie sind.
      opengpg , knoppix wurde mal gefördert, aber jetzt nicht mehr.

      prof. knoppix bastelt weiter, ist ok , aber nicht bestens durchdacht
      mit seinen ganzen änderungen ,die neue version jedoch sehr schnell einsatzfähing und
      gut für USB Booter etc…
      opengpg / g10 code kann sich über wasser halten ,liedert aber weltweit beste software!
      EIner unserer letzten Kämper für Sicherheit!

      Kauft doch mal ein https://puri.sm/

  6. „empfiehlt das BSI der Bundesverwaltung den Einsatz von Windows-10-Clients in einer speziellen Konfiguration, die die kontinuierliche Übertragung von Daten unterbindet. „Grundsätzlich können praktisch alle IT-Systeme je nach Einsatzumgebung und Einsatzzweck sicher betrieben werden“,“

    Stellt das BSI eine solche „Konfiguration“ bereit? Meines Wissens nach gibt es eine solche Konfiguration gar nicht.

    Es gibt (gab?) ein Tool von einem Aktivisten im FSFE-Umfeld, das sämtliche Telemetrie durch entsprechende Registry-Änderungen und sonstige Systemeinstellungen automatisch abschaltet.

    Aber:

    1. Der Entwickler hat das Projekt selbst aufgegeben, weil das Tool nie 100% wasserdicht war, und immer wieder weitere Windows-Subkomponenten ausgefallen sind, die auch noch deaktiviert werden mussten.

    2. Obwohl das ein Freizeitprojekt war, konnte das BSI mit all ihren finanziellen Möglichkeiten nicht einmal etwas ansatzweise Vergleichbares herstellen.

    Obige Aussage lässt mich daher an der fachlichen Kompetenz des BSI in Bezug auf Windows 10 stark zweifeln.

    1. Guter Punkt!

      Frage an das Netzpolitik.org-Team: Würde es Sinn machen, dass ihr als Journalisten an das BSI offiziell nach dieser Windows-10-Konfiguration anfragt? Sie behaupten ja, dass es diese Konfiguration gibt, also haben sie die hoffentlich auch auf Anfrage parat …

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.