[Technik] (vzbv): Windows 10 - Überwachung bis zum letzten Klick

Keine zwei Wochen nach dem Release von Windows 10 verschärft sich die Kritik an dem Produkt. In einem Beitrag auf der Verbraucherzentrale Rheinland-Pfalz wird über die "wahren Kosten des neuen Betriebssystems" informiert. Wer den Standardeinstellungen und die Datenschutzbestimmungen von Microsoft folgt, hole sich eine "Abhörmaschine" ins Haus.

In der Tat sammelt Windows 10 ausführlicher Nutzerdaten als alle seine Vorgängerversionen. Im Text der Verbraucherzentrale heißt es, dass Windows 10 "den PC in eine Art private Abhöranlage verwandelt" und "nach Smartphones und Tablets jetzt auch am heimischen Schreibtischrechner oder Notebook eine umfassende Beobachtung erfolgt". Erhoben werden Beispielsweise Name, Alter, Geschlecht, Standort, Suchbegriffe, digitale Einkäufe, benutzte Programme, besuchte Webseiten und jegliche Form persönlicher Daten. Bilder, Schrift, Stimme und AV Vorlieben sind anhaltender Diagnose unterzogen.

Nach Ansicht der Verbraucherschützer werden Nutzer digitaler Geräte "immer mehr selbst zu einer Ware, die vermarktet wird", sagt Christian Gollner, Rechtsreferent der Verbraucherzentrale Rheinland-Pfalz.

Quelle: Winfuture

 

[TRON2]

Genau diese Daten werden mindestens seit Win7 gesendet. Ungefragt. Jetzt haben sie den Vorgang erstmal ..für ihre Begriffe... "transparent" gemacht. Und das legt man ihnen zur Last?
Am Rande: Bentz mal Siri auf iOS. Exakt das gleiche. Oder den Sprachassistenten auf Android... Da interessierts keinen, weil es nicht so prominent platziert ist.

Persönliche Daten jeglicher Art. Das ist mir neu. Bitte klär mich auf.

 

[Hector]

@TRON2:
Was du da beschreibst, sind Daten, die bei der Nutzung von z.B. Cortana oder anderen Diensten auftreten. Das ist abschaltbar.

Die Telemetriedaten beinhalten z.B. wie oft du das Startmenü öffnest, wie lange es offen ist, wie oft du Fenster minimierst etc. Unwichtiger Kram und schon lange so. Was passieren kann ist, dass wenn du z.B. die Stifteingabe benutzt und genau in diesem Moment schmiert das Programm mit einem kritischen Fehler ab, dass dann ein Wortfetzen (das kann jedes Wort sein) mit übertragen wird. z.B. an welcher Position der Cursor stand. Gegebenfalls kann man erkennen, dass genau da ein Sonderzeichen war in irgendeiner Codierung und deswegen der Fehler kam. Kann sein. Muss nicht. Das ist der schlimmste Fall.

 

[mathmos]

Weil es halt keine Alternative gibt (Stichwort Photoshop, 3Dmax, Microsoft ICE, Photomatix). Und bitte jetzt nicht mit den ganzen Hobbytools alla Gimp kommen, ich verdiene damit Geld und brauch die Tools. Den Kunden kann ich auch nicht vertrösten weil Wine das neue Photoshop CC abkacken lies o.Ä....

In deinem Fall (und auch in diversen anderen) mag das zutreffen. Kein Einspruch. Auf die Masse bezogen spielen Sachen wie Photoshop oder 3Dmax objektiv so gut wie keine Rolle. Da würden die "Hobbytools" x mal reichen. Oftmals ist es einfach nur "was der Bauer nicht kennt, frisst er nicht".

 

[Harley Quinn]

Zockt die "Masse" nicht regelmäßig PC Games, die nur auf Windows laufen?

 

[godlike]

Da Stimme auch ich dir zu. Die meisten würden wohl mit einem Ubutu + Officezeug locker leben können. Wird ja aber auch schon oft so in Firmen eingesetzt... Denke das wird auf jeden Fall auch noch mehr werden.

@ Harley die Masse zockt nicht. Die Masse schreibt ne Mail und surft etwas im Netz (Facebook)

 

[Kenobi van Gin]

Außerdem kann Microsoft auf Angaben zu Ihrer Person zugreifen, diese weitergeben und speichern, wenn Microsoft Grund zu der Annahme hat, dass dies erforderlich ist, um:

geltendes Recht einzuhalten oder auf ein Gerichtsverfahren zuständiger Behörden, z. B. von Strafverfolgungsbehörden oder anderen Regierungsbehörden, zu reagieren;

Okay, soweit so bekannt. MS kooperiert also mit den Behörden. Aber:

Kunden von Microsoft beispielsweise vor Spam oder Betrugsversuchen zu schützen oder gesundheits- bzw. lebensbedrohliche Risiken abzuwenden;

What?! Werd ich dann da überwacht und die schicken einen Krankenwagen vorbei, wenn ich mich umbringen will, oder die Polizei, wenn sie via Webcam sehen, dass bei mir eingebrochen wird?! Also diesen Unterpunkt und was da aufgrund der vagen Formulierung so alles drunter fallen kann finde ich etwas gruselig

 

[drfuture]

What?! Werd ich dann da überwacht und die schicken einen Krankenwagen vorbei, wenn ich mich umbringen will, oder die Polizei, wenn sie via Webcam sehen, dass bei mir eingebrochen wird?! Also diesen Unterpunkt und was da aufgrund der vagen Formulierung so alles drunter fallen kann finde ich etwas gruselig

Dabei geht es um dem Smartscreen Filter - der war in Windows 7 Bestandteil vom IE und ist seit Windows 8 Bestandteil im Kernel.
Jeder HTTP / HTTPS link wird beim Aufruf gegen eine Datenbank abgeglichen (Der link nicht der Inhalt) um dann bei bekannten Phishing, Malware usw. Links vor dem Zugriff zu warnen. Blockiert wird er erst mal auch nicht...
Früher war der Schutz eben nur bei Nutzung des IE gegeben - jetzt bei jedem Browser und jeder Software die Links aufruft.

Klar sind ABG immer sehr schwammig und weit gefasst - und zum großen Teil auch in Europa nicht mal gültig - aber das heißt im Umkehrschluss auch nicht zwingend das MS all das macht was sie laut der Regeln könnten

Allgemein ist die Frage wieviel Datenschutz und Privatsphäre ist Sinnvoll und Nötig? Und wohin bewegen wir uns - und sind wirklich die Firmen die treibende Kraft oder doch die Konsumenten?

 

[TRON2]

@TRON2:
Was du da beschreibst, sind Daten, die bei der Nutzung von z.B. Cortana oder anderen Diensten auftreten. Das ist abschaltbar.

Die Telemetriedaten beinhalten z.B. wie oft du das Startmenü öffnest, wie lange es offen ist, wie oft du Fenster minimierst etc. Unwichtiger Kram und schon lange so. Was passieren kann ist, dass wenn du z.B. die Stifteingabe benutzt und genau in diesem Moment schmiert das Programm mit einem kritischen Fehler ab, dass dann ein Wortfetzen (das kann jedes Wort sein) mit übertragen wird. z.B. an welcher Position der Cursor stand. Gegebenfalls kann man erkennen, dass genau da ein Sonderzeichen war in irgendeiner Codierung und deswegen der Fehler kam. Kann sein. Muss nicht. Das ist der schlimmste Fall.

Das ist nicht vollständig.

Schließlich werden wir auf personenbezogene Daten zugreifen, diese offenbaren und bewahren, einschließlich privater Inhalte (wie der Inhalt Ihrer E-Mails und andere private Mitteilungen oder Dateien in privaten Ordnern), wenn wir in gutem Glauben sind, dass dies notwendig ist, um:

1. geltende Gesetze einzuhalten oder auf gerichtliche Verfahren zu antworten, einschließlich denen von Strafverfolgungsbehörden oder anderen staatlichen Stellen

2. unsere Kunden zu schützen, zum Beispiel, um Spam oder Versuche, Nutzer der Dienste zu betrügen oder zu helfen, den Verlust von Leben oder schweren Verletzungen von Personen zu verhindern

3. den Betrieb und die Wartung der Sicherheit unserer Dienstleistungen zu erhalten, einschließlich einen Angriff auf unsere Computersysteme oder Netzwerke zu verhindern oder zu stoppen; oder

4. die Rechte oder das Eigentum von Microsoft, einschließlich der Durchsetzung der Bedingungen für die Nutzung der Dienste zu schützen - aber, auch wenn wir Informationen erhalten, dass jemand unsere Dienstleistungen für den Verkehr mit gestohlenem geistigen oder körperlichen Eigentum von Microsoft benutzt, werden wir Privatinhalte eines Kunden nicht selbst inspizieren, aber wir werden die Angelegenheit an die Strafverfolgungsbehörden weiterleiten.

Auch der Key der Festplattenverschlüsselung wird an MS weitergeleitet.

 

[TheSniperFan]

Ich bin ziemlich neugierig was denn da genau logschickt wird. Jemand hat hier gepostet das - selbst wenn man Alles was geht abstellt - immernoch jedes Mal Daten an MS gesendet werden wenn man im Startmenü tippt. Hier hat jemand mit einem Sniffer für HTTP/S mal nachgeschaut. Allerdings traue ich dem nicht, weil HTTP ja bei weitem nicht das einzige Protokoll für Datenaustausch im Internet ist.

Hätte hier eventuell jemand Lust dem tiefer auf den Grund zu gehen? Ich habe leider keine Windows 10 Installation und will nichts an meinem System ändern, bevor ich mir nächsten Monat eine SSD kaufe. Ich würde das nicht einfach auf dem Windows 10 Rechner mit Wireshark machen, sondern an einem anderen Rechner, wo MS absolut keine Möglichkeit hat irgendwie zu tricksen. Zudem sind VMs auch unzuverlässig weil es ja nichts Neues ist, dass sich Programme anders verhalten wenn sie eine VM erkennen. Klingt für Manche vielleicht ein wenig paranoid, aber wenn man schon nachschaut, dann bitte auch richtig.

Als Testaufbau hatte ich folgendes im Sinn:

• 2 Rechner (A: Windows 10, B: Linux)
• Beide Rechner im selben Netz
• B führt einen ARP-Spoofing Angriff auf A aus
• Auf B mittels Wireshark den Traffic analysieren und schauen ob da noch mehr ist als nur diese HTTPS Kommunikation

An die Netzwerk-Experten unter euch: Wäre das so zuverlässig?

 

[Hector]

@TRON2:
Natürlich. MS wird es sich nicht nehmen lassen, wenn du Kipo auf OneDrive und damit ihren Servern einlagerst, die Behörden zu informieren. Wenn die wegen irgendwas bei MS anklopfen, geben die raus, was da ist. Mehr steht da nicht. Und das macht jeder Konzern, zumindest US. Und auch hier gilt: Diese Regelungen galten schon lange vor Win10.

Bitlocker ist offen wie ein Scheunentor. Das sollte man eh nicht nutzen, wenn man um eine sichere Verschlüsselung bemüht ist.

 

[TRON2]

@TRON2:
Natürlich. MS wird es sich nicht nehmen lassen, wenn du Kipo auf OneDrive und damit ihren Servern einlagerst, die Behörden zu informieren. Wenn die wegen irgendwas bei MS anklopfen, geben die raus, was da ist. Mehr steht da nicht. Und das macht jeder Konzern, zumindest US.

Bitlocker ist offen wie ein Scheunentor. Das sollte man eh nicht nutzen, wenn man um eine sichere Verschlüsselung bemüht ist.

Dann ist ja so weit OK und keine Panikmache vielen Dank für Deinen Beitrag.

 

[KePa]

@TheSniperFan: Um im Netzwerkverkehr deines Labor-PCs "A" nicht aktiv rumpfuschen zu müssen, würde ich lieber ein Port Mirroring auf einem Managed Switch verwenden. Voraussetzung dafür ist natürlich, dass du einen Managed Switch hast.

Ich bezweifle allerdings, dass du mehr als reine Verbindungsstatistiken sehen wirst. Ist der Datenverkehr via TLS verschlüsselt, bräuchtest du den Private Key, um die Verschlüsselung rückgängig zu machen.
Das scheitert allerdings an zwei Dingen:
1. Du hast den Private Key nicht.
2. Wird die nachträgliche Entschlüsselung durch die sehr wahrscheinliche Verwendung von Perfect Forward Secrecy (laut Wikipedia verwendet MS diesen Standard für sämtliche Dienste seit Mitte 2014) nicht möglich sein slebst wenn du den Key hast.

Korrigiert mich, wenn ich falsch liege.

 

[drfuture]

@TRON2:
Bitlocker ist offen wie ein Scheunentor. Das sollte man eh nicht nutzen, wenn man um eine sichere Verschlüsselung bemüht ist.

Hast du dazu irgendwelche Quellen außer Gerüchte und Vermutungen und Hörensagen weil MS in den USA ansässig ist und es evtl. "logisch" klingt?

 

[Hector]

@drfuture: Kam in der Tat im Zuge von Snowden auf. Auf einschlägigen Foren kann man Tools für bzw....gegen Bitlocker für geringes Geld kaufen. Kann auf Arbeit aber nicht alles googlen, müsst ich daheim mal tun.

Privat kann man das natürlich nehmen, um sich vor Zugriff von Privat zu schützen. Oder auch vor der Polizweiwache 3 Blocks weiter. Aber viel mehr eben nicht.

 

[drfuture]

Zumindest die aussagen der Snowden Dokumente können wohl auch anders gesehen werden (http://motherboard.vice.com/read/us-spies-tried-to-crack-microsoft-windows-encryption-too) - die Info das Bitlocker nicht "gecknackt" ist findet man recht häufig - nicht nur in der Quelle. Von daher würden mich da echt noch mehr infos interessieren - evtl. dann Abends auch per PN wenn du infos zu Tools hast die man *erstehen* kann Da ich die verschlüsselung bisher als recht vernünftig erachte und eigentlich in 1-2 Jahren die ganze Firma darauf umstellen möchte - natürlich nur wenn ich eben keine Infos finde die dagegen sprechen.

 

[Hector]

Hast ja Recht damit und kannste ja auch wohl sicher tun. Man muss halt mal schauen, wozu man die eigenen Daten verschlüsselt auf die Platte legt und vor wem man diese schützen will. Meine Platte kann man nur entschlüsseln, wenn man vorm Rechner sitzt. Also ist mir erstmal vollkommen latte, ob der Key dazu iwo in einem Onlinespeicher liegt. Der nutzt keinem was, außer dieserjenige welcher bricht bei mir daheim physisch ein. (Sollte ich hier was übersehen, lass ich mich gerne korrigieren) Sehr unwahrscheinlich. Wozu verschlüssele ich persönlich? Nur, um bei einer eventuellen Hausdurchsuchung auf der sicheren Seite zu sein. Dazu reicht das. Somit wird das auch bei dir in der Firma locker reichen. Aber ich schreibs mir mal auf und wühle noch ein bisschen.

Aber gut, hier gings um Win10.

 

[Pleitgengeier]

Meine Platte kann man nur entschlüsseln, wenn man vorm Rechner sitzt. Also ist mir erstmal vollkommen latte, ob der Key dazu iwo in einem Onlinespeicher liegt. Der nutzt keinem was, außer dieserjenige welcher bricht bei mir daheim physisch ein. (Sollte ich hier was übersehen, lass ich mich gerne korrigieren) Sehr unwahrscheinlich.

Wozu verschlüssele ich persönlich? Nur, um bei einer eventuellen Hausdurchsuchung auf der sicheren Seite zu sein.

Und du glaubst, der Betreiber dieses Onlinespeichers würde den Schlüssel nicht rausrücken wenn die Polizei/Staatsanwaltschaft ihn anfordert?

 

[TRON2]

@Pleitgengeier:

Ich vermute mal, dass Dir reiner Glauben von halb wissenden Verbrauchern auch kein erkenntnisleitenden Gewinn bringt. Fakt ist, persönliche Daten können laut Nutzungsbestimmungen an diese Firma versendet werden. Ob Urlaubsfotos, Bewerbungsschreiben, Pron oder MP3 , selbst Passwörter der TrueCrypt Archive. Da kann man auch an den Register rumdocktoren wie man möchte, beim regulären Update kann es schon wieder anders aussehen. Also Fakt bleibt, die vzbv warnt Verbraucherinnen und Verbraucher eindringlich vor diesem Produkt.

 

[Novgorod]

Da ich die verschlüsselung bisher als recht vernünftig erachte und eigentlich in 1-2 Jahren die ganze Firma darauf umstellen möchte - natürlich nur wenn ich eben keine Infos finde die dagegen sprechen.

was spricht denn gegen eine erwiesenermaßen sichere open-source lösung (truecrypt & co.)? es ist ja nicht so, dass man beim thema verschlüsselung auf riesige frameworks und schnittstellen angewiesen ist und daher MS-zeug nutzen muss...

 

[mathmos]

@Novgorod:

TrueCrypt im Unternehmen ist umständlich zu administrieren, weil hier einfach kein "Management Center" vorhanden ist über die die einzelnen Rechner gewartet werden können. Für ein paar wenige Rechner kann man Turnschuh-Admin spielen. Aber wenn es mehr sind nicht wirklich.