Wer mit Windows arbeitet, stößt unweigerlich auch auf Fragen des Datenschutzes. Bereits Windows 10 hat zahlreiche Nutzungsdaten gesammelt. Mit Windows 11 erweitert Microsoft diese Datensammlung noch einmal.
Wie im ersten Teil dieser Beitragsreihe beschrieben, gibt das Support-Ende von Windows 10 einen guten Grund, das Betriebssystem zu wechseln. Dieser Teil der Beitragsreihe wird sich erst einmal kurz mit den Neuerungen von Windows 11 und dann etwas ausführlicher mit der Erweiterung der Datensammlung beschäftigen.
Was bietet Windows 11?
Technisch basiert Windows 11 auf Windows 10, bringt aber einige Veränderungen bei der Oberfläche, Bedienung und Systemintegration mit sich. Die Benutzeroberfläche wurde modernisiert und wirkt aufgeräumter. Beispiele hierfür sind die zentrierte Taskleiste und die abgerundeten Fenster. Für eine effizientere Fensterverwaltung wurde die Funktion „Snap Layouts“ eingeführt, mit der sich mehrere Fenster einfacher anordnen lassen. Auch die Integration von OneDrive wurde vertieft. Wichtige Benutzerordner wie Desktop, Dokumente und Bilder lassen sich nun noch enger mit der Cloud synchronisieren und die Sicherungseinstellungen sind direkt in die Systemsteuerung eingebunden.
Im Bereich Sicherheit setzt Windows 11 auf verpflichtende Hardware-Anforderungen wie TPM 2.0 und Secure Boot, um die Systemintegrität zu stärken. Darüber hinaus sind KI-Funktionen stärker ins System integriert, als in Windows 10. Copilot dient als kontextbezogener Assistent und funktioniert ähnlich wie ein in das System integrierter Chatbot. Die andere große KI-Funktion ist Recall. Recall erstellt automatisch eine durchsuchbare Chronik der Bildschirmaktivitäten, läuft lokal und ist standardmäßig deaktiviert. Derzeit ist Recall nur auf sog. Copilot+ PCs verfügbar. Das sind spezielle PCs mit einer verbauten NPU (Neuronale Recheneinheit). Eine NPU ist ein spezieller Prozessor, der besonders effizient Berechnungen durchführen kann, die für KI und maschinelles Lernen benötigt werden. Ob diese Funktion in Zukunft auch für herkömmliche PCs verfügbar sein wird, ist unklar.
Auch Windows 11 sammelt Daten
Bei Windows 11 wurde nicht nur an der Oberfläche und an der Sicherheit geschraubt, sondern ebenfalls bei der Datensammlung im Hintergrund, was bedeutet, dass jetzt mehr Daten gesammelt werden als zuvor. Sich hier einen Überblick zu verschaffen, ist nicht leicht. Zwar ist Microsoft bezüglich der Datensammlung transparenter als andere Big-Tech-Firmen, doch die Informationen dazu sind an vielen verschiedenen Orten zu finden, manchmal veraltet oder nicht vollständig. Für Laien ist es nur schwer nachvollziehbar, welche Daten bei der Nutzung von Windows 11 gesammelt werden. Daher folgt hier ein Überblick über die wichtigsten datenschutzrelevanten Themen.
Wer wissen möchte, welche Daten von Windows 11 erhoben werden, sollte sich zunächst einmal mit Windows 10 vertraut machen. Denn vieles, was Windows 11 sammelt, ist nicht neu. Die Werbe-ID etwa, eine eindeutige Kennung des eigenen Geräts, gibt es schon länger. Sie ist die wichtigste Quelle für personalisierte Werbung, da Nutzungsmuster somit ganz einfach app- und dienstübergreifend einem Nutzer zugeordnet werden können. Auch die Personalisierung des Startmenüs gab es schon in Windows 10.
Mit Windows 10 sind Telemetriedaten zu einem kontroversen Thema geworden. Seitdem werden Daten zum System und zur Nutzeraktivität ausgiebig erfasst. In älteren Windows-Versionen gab es nur optionale Fehlerberichte, bei denen die Nutzer entscheiden konnten, ob sie diese abschicken wollen. Zu den Telemetriedaten gehören u. a. Informationen zum verwendeten Gerät, zu installierten Apps, zu Fehlermeldungen und zur Software-Nutzung. Ebenso wird der Aktivitätsverlauf gespeichert und die eigenen Eingaben werden analysiert, um damit automatisch zu lernen, wie der Nutzer schreibt. Die Liste könnte noch viel detaillierter sein, aber das würde den Rahmen dieses Artikels sprengen.
Windows 11 baut auf diesem Fundament auf und erweitert es um weitere, aus Datenschutzsicht brisante, Themen. So wird etwa mittels „Find my device“ der Standort des Geräts verfolgt. Mit den entsprechenden Sensoren ist auch die Erkennung von Anwesenheit und Benutzerbewegungen möglich. Die Sammlung von Telemetriedaten wurde erweitert und es findet noch mehr Personalisierung statt, jetzt auch von Widgets, dem Suchmenü und dem Dateiexplorer. Dies ist nur aufgrund der Sammlung von Informationen, wie dem Nutzungsverhalten, möglich.
In der heutigen Zeit darf KI-Unterstützung natürlich nicht fehlen. Dadurch werden die Datenschutzbedenken noch einmal auf ein neues Level gehoben. Die dort erfassten Daten sind viel persönlicher als bspw. Telemetriedaten. Nutzern ist häufig nicht klar, dass bei der Benutzung von Chatbots, wie Copilot, ihre Eingaben und die Antworten zum Training der zugrunde liegenden Sprachmodelle benutzt werden können. Mit Microsoft 365 Copilot und Microsoft 365 Copilot Chat können Unternehmen sicherstellen, dass ihre Daten nicht für Trainingszwecke verwendet werden. Bei den Copilot-Versionen für Privatnutzer ist dieser Schutz nicht garantiert. Ob der Unternehmensdatenschutz aktiv ist, erkennen Sie anhand eines grünen Schildes am oberen Rand der Benutzeroberfläche. Es empfiehlt sich, dies vor der Verwendung zu überprüfen, da sich die Rahmenbedingungen im KI-Bereich momentan sehr schnell ändern. Beachten Sie zudem, dass bei aktiviertem Web Grounding (in Copilot integrierte Websuche über Bing), die Datenschutzbestimmungen von Bing gelten.
Das Training von KI-Modellen mit Ihren Daten ist ggf. ein riesiges Datenschutzproblem, da es nicht möglich ist, diese Daten einfach wieder aus einem Sprachmodell herauszubekommen. In welcher Form sie später wieder als Teil einer Antwort herauskommen, ist völlig unklar. Diese Sprachmodelle werden aufgrund der nicht gänzlich einsehbaren internen Prozesse auch als Blackbox bezeichnet. Nicht einmal die Entwickler selbst können das klar nachvollziehen. Deshalb sollten bei der Benutzung von Chatbots generell keine persönlichen oder vertraulichen Informationen eingegeben werden, sofern nicht sichergestellt ist, dass die eingegebenen Daten vertraulich behandelt und nicht zu Trainingszwecken verarbeitet werden. Recall ist noch problematischer, da es die gesamte Aktivität auf dem Bildschirm aufzeichnet und analysiert. Mehr dazu finden Sie in unserem Blogbeitrag zu Recall.
Wofür werden die gesammelten Daten verwendet?
Tatsächlich haben die ganzen Daten einen praktischen Nutzen. Mithilfe der Telemetriedaten kann Microsoft sein Betriebssystem verbessern, da das Unternehmen besser versteht, wie Windows benutzt wird und wo Probleme auftreten. Auch die Sicherheit kann verbessert werden, wenn der Microsoft Defender SmartScreen bspw. besuchte Websites oder Informationen über heruntergeladene Dateien an Microsoft sendet, um Schadsoftware oder Phishingversuche zu erkennen. Auch die Ortung eines verloren gegangenen Geräts dürften viele Nutzer als erwünschtes Feature ansehen. Ebenso kann der Komfort erhöht werden, wenn Einstellungen oder Dateien automatisch in der Cloud synchronisiert werden und somit auch auf anderen Geräten verfügbar sind.
Das Problem ist allerdings, dass viele dieser Informationen potenziell äußerst sensibel sein können. Einzeln betrachtet sind manche Daten, wie z. B. Telemetriedaten, meist relativ harmlos (Details zum Datenschutz bei Telemetrie- und Diagnosedaten finden Sie hier). In Kombination mit anderen Daten ergibt sich jedoch ein ziemlich genaues Bild über die Nutzer des PCs. Diese sollten sich deshalb ernsthaft Gedanken darüber machen, ob sie diese ganzen Daten wirklich bereitwillig an Microsoft geben möchten oder die Datensammlung einschränken wollen.
Was kann gegen die Datensammlung getan werden?
Wer sich vor neugierigen Blicken seines Betriebssystems schützen will, muss selbst aktiv werden. Für Privatpersonen führt der erste Weg in die Windows-Einstellungen, genauer gesagt zum Menüpunkt „Datenschutz und Sicherheit“. Dort lassen sich viele der beschriebenen Datensammelfunktionen abschalten oder zumindest einschränken, darunter personalisierte Werbung, Telemetriedaten und die Analyse durch den Microsoft Defender SmartScreen. Auch App-Berechtigungen lassen sich hier detailliert steuern. Mit diesen Einstellungen sollte sich jede Person einmal auseinandersetzen.
Jedoch ist hier leider nicht alles zu finden. Außerdem sind manche Einstellungen von der Windows-Edition abhängig. So ist es bspw. nur in der Enterprise Edition (für Unternehmen) möglich, die Telemetriedaten vollständig abzuschalten. In der Pro Edition ist dies nur eingeschränkt möglich. Workarounds dazu finden sich im SiSyPHuS-Projekt des BSI. In der Home Edition (für Privatpersonen) existiert dagegen nicht einmal ein Editor für die Gruppenrichtlinien. Dabei stellen die Gruppenrichtlinien, neben Registry-Einträgen, die zentrale Stellschraube dar, wenn der Wunsch ist, mehr zu tun, als die Windows-Einstellungen bieten. Wer auch in der Home Edition nicht auf Gruppenrichtlinien verzichten möchte, kann jedoch auf Drittanbieter-Tools und Skripte zugreifen. Diese werden allerdings nicht offiziell von Microsoft unterstützt.
Hier verläuft die Trennlinie zwischen den meisten Privatpersonen und Unternehmen. Für viele Privatpersonen dürfte die technische Hürde zu hoch sein, sich mit Gruppenrichtlinien und Registry-Einträgen auseinander zu setzen. Unternehmen hingegen wird angeraten die Datensammlung mittels Gruppenrichtlinien oder ggf. Intune einzuschränken. Der Grund ist, dass auf diesem Wege eine Einstellung für alle PCs im Netzwerk vorgenommen werden kann. Anders ist es bei vielen PCs kaum zu bewerkstelligen.
Gruppenrichtlinien – zentrale Kontrolle für ganze Netzwerke
Gruppenrichtlinien sind eine Verwaltungsfunktion von Windows, mit der Administratoren genau festlegen können, wie sich Betriebssysteme und Programme in einem Netzwerk verhalten sollen. Anstatt jeden PC einzeln zu konfigurieren, können Regeln einmalig im Active Directory oder auf einem lokalen Rechner definiert werden, bspw. kann die Telemetrie eingeschränkt oder die Kamera nur für bestimmte Anwendungen zugelassen werden. Diese Richtlinien werden beim Start oder bei einer Aktualisierung automatisch auf alle verbundenen Geräte angewendet. So lässt sich ein einheitliches Datenschutzniveau im ganzen Unternehmen sicherstellen.
Registry-Einträge – tief in den Systemeinstellungen
Die Windows-Registry ist eine zentrale Konfigurationsdatenbank, in der das Betriebssystem unzählige Konfigurationswerte speichert. Wird eine Einstellung über eine Gruppenrichtlinie vorgenommen, dann legt Windows tatsächlich einen Registry-Schlüssel an. Das Ändern der Registry erfordert Vorsicht, da falsche Werte das System beschädigen können. In speziellen Fällen, wie dem vollständigen Abschalten der Telemetrie, greifen Administratoren auf konkrete Registry-Schlüssel zurück – teils basierend auf Empfehlungen wie denen aus dem SiSyPHuS-Projekt des BSI für Windows 10.
Intune – moderne Verwaltung per Cloud
Microsoft Intune ist eine cloudbasierte Verwaltungsplattform für Unternehmen, mit der sich Endgeräte wie Windows-Rechner oder auch Smartphones zentral steuern lassen. Anstatt Einstellungen über lokale Gruppenrichtlinien auszurollen, werden sie in Intune als Profile definiert und automatisch an die verbundenen Systeme verteilt – auch wenn diese sich im Homeoffice oder unterwegs befinden. So können Administratoren beispielsweise bestimmte sicherheitsrelevante Einstellungen erzwingen, ohne dass die Geräte mit einem Unternehmensnetzwerk verbunden sein müssen.
Fazit
Es ist völlig nachvollziehbar, wenn die vielen Datenschutzoptionen in Windows 11 überwältigend wirken – zumal es in Wirklichkeit noch weit mehr Einstellmöglichkeiten gibt, als hier im groben Überblick gezeigt werden konnten. Unternehmen, die sich nicht allein durch dieses Dickicht aus Menüs, versteckten Schaltern und zusätzlichen Konfigurationen arbeiten möchte, können sich gezielt Unterstützung holen, um das System möglichst datensparsam einzurichten und dennoch wichtige Funktionen nutzen zu können. Wir haben ein praxisnahes Konzept entwickelt, das aufzeigt, welche Daten Microsoft sammelt und wie sich das unterbinden lässt. Bei Interesse am Konzept finden Sie hier die richtigen Ansprechpartner: dsn-group.de/informationssicherheit