47. BremSec-Forum: Wie Datenschutzkonform ist Windows 10?
Am 19. Juni traf man sich mal wieder zum 47. BremSec-Forum, welches vom IFIT organisiert wurde. Dabei stand im „Haus des Reichs“, bei der Senatorin für Finanzen, das Betriebssystem Windows 10 unter Datenschutzgesichtspunkten auf der Tagesordnung. Auch wenn Microsoft das Betriebssystem Windows 10 als das bisher sicherste erklärt, stellt der Einsatz in Unternehmen und Institutionen immer noch elementare Sicherheitsfragen bei professionellen Anwendern. Der Referent Dr. Martin Meints von Dataport, dessen Firma für die öffentliche Verwaltung u.a. in Bremen zuständig ist, stellte daher einmal seine Sicht der Dinge zu diesem Thema dar.
Dabei fokussierte er sehr stark auf die Telemetriedaten (Betriebsdaten), die Daten für das Update, für die Sicherheit des Betriebssystems bzw. zu Funktionsfehlern sowie für Nutzungs-Feedback enthalten. Zudem gibt es noch Funktionsdaten, welche Daten von Anwendungen und Diensten bereitstellen. Aussagen zu Telemetriedaten sind daher stark abhängig von dem verwendeten Betriebssystem. Microsoft behält sich vertraglich das Recht vor zu Änderungen bei den Telemetriedaten bei neuen Versionen. Eine Blockierung von Telemetriedaten kann sich daher auf Garantieansprüche auswirken. Zudem gibt es keine Betriebsstufe in der Windows keine Telemetriedaten übermittelt.
Die niedrigste Betriebsstufe nennt sich „Sicherheitsstufe“. In der höchsten Stufe „vollständig“ werden diverse Diagnoseinformationen weitergegeben, die auch sehr viele personenbezogene Daten enthalten, daher sollte immer die niedrigste Stufe eingestellt werden. Leider werden aber in der geringsten Sicherheitsstufe auch nicht die Daten angezeigt, welche im Detail ausgetauscht werden. Eine eigene Netzanalyse schlug außerdem fehl, da die Datenpakete aus Sicherheitsgründen verschlüsselt sind. Den betreffenden Rechner vom Netz zu nehmen, damit er keine Telemetriedaten senden kann, ist ebenfalls nicht praktikabel und wird auch vom Hersteller aus Stabilitätsgründen nicht empfohlen. Laut Microsoft sollen in jedem Fall in der untersten Betriebsstufe keine personenbezogenen Daten verschickt werden. Dies kann sich allerdings im Fehlerfall ändern.
Als Fazit wurde festgestellt, dass die Telemetrie nicht abgeschaltet werden kann. Microsoft betreibt keine Transparenz- und Kommunikationspolitik. Jede neue Release muss daher neu überprüft werden. Office365 macht zusätzlich die Datenschutz-Thematik problematisch, weil dafür immer die World-Cloud Azure von Microsoft zur Authentifizierung genutzt werden muss. Diese hält sich nicht an deutsche bzw. europäische Gesetze. Da die nationale deutsche Cloud von Microsoft aufgrund des zu hohen Datenschutz-Aufwands abgekündigt worden ist, kann Office365 im Grunde nicht DSGVO-konform eingesetzt werden. Daher sollte man weiterhin auf Office 2016/2019 setzen. Ob Microsoft solche Installationsversionen zukünftig noch anbieten wird, ist allerdings aufgrund der Strategieausrichtung des Konzerns fraglich.
Insgesamt war die Veranstaltung wieder sehr informativ und sehr gut besucht. Die DECOIT® GmbH beteiligte sich wieder aktiv und stellte auch die Frage, warum keine Alternative zu Microsoft in der Verwaltung in Betracht gezogen wird. Dies wird wohl die nächste Veranstaltung am 30. Oktober klären, da dann Open Source im Mittelpunkt steht.