Dass Windows Telemetriedaten an Microsoft sendet, ist kein Geheimnis. Komplizierter wird es, wenn man es genauer wissen will. Mit der Frage, wie das Telemetriesystem von Windows eigentlich funktioniert, wie es sich weiterentwickelt und und welche Daten protokolliert werden, beschäftigt sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit rund fünf Jahren in seinem Projekt Sisyphus Win 10.
Analysiert wird vor allem mit einem hauseigenen Tool, welches das BSI kürzlich als Open-Source-Software veröffentlicht hat. So können nicht nur die Forscher, sondern auch Admins Licht ins Dunkel der Blackbox Telemetrie bringen. Wir sprachen mit dem Leiter des Sisyphus-Projektes, Maximilian Winkler, über das nun veröffentlichte Tool, Telemetrie und darüber,. wie man sie zuverlässig deaktivieren kann.
Golem.de: Warum ist Telemetrie schlecht?
Maximilian Winkler: Das Problem mit der Telemetrie ist letztlich, dass das Übertragen von Daten - einschließlich Nutzerdaten - eine Verletzung des Schutzziels Vertraulichkeit darstellt. Das muss natürlich immer derjenige, der das Betriebssystem einsetzt, selbst bewerten. Für uns in der Bundesverwaltung ist klar: Das darf nicht stattfinden. Das gilt nicht nur für Microsoft, sondern das wollen wir generell nicht. Deshalb müssen wir die Übertragung von Telemetriedaten unterbinden.
Für Firmen oder Privatnutzer bleibt die Kernfrage: Vertraue ich Microsoft oder einem anderen Hersteller und deren implementierter Telemetrie? Wenn ich das mit Ja beantworten kann, ist alles soweit okay, wenn nicht, muss ich aktiv werden. Neben der Vertraulichkeit geht es dabei aber natürlich auch um den Datenschutz.
Golem.de: Vor vielen Jahren hat das BSI mit dem Sisyphus-Projekt begonnen. Um was geht es Ihnen damit?
Winkler: Wir haben das Projekt 2017 gestartet und wollten erst mal eine Grundlage schaffen, mit der wir eigene Bewertungen und Aussagen zu Windows 10 treffen konnten. Neben der Telemetrie geht es uns vor allem um die Sicherheitsfunktionen von Windows, also beispielsweise Virtual Secure Mode oder auch die Powershell oder die TPM-Nutzung.
Unser Ziel war aber immer auch, den Windows-Nutzern Empfehlungen für den Umgang mit dem Betriebssystem zu geben, die vergleichsweise einfach umgesetzt werden können und einen praktischen Mehrwert bieten. Beispielsweise haben wir Empfehlungen zur Härtung von Windows 10 veröffentlicht, also wie man das System vernünftig gegen Angriffe absichert.
Golem.de: Wir hatten bereits 2019 über ihre damaligen Untersuchungsergebnisse gesprochen. Was ist seitdem passiert?
Winkler: Einiges. Wir haben eine Empfehlung zur Härtung und Protokollierung veröffentlicht. Die gibt es auch in Form von Gruppenrichtlinien, die von der BSI-Webseite heruntergeladen und direkt per Gruppenrichtlinienobjekten (GPO) in Windows 10 eingespielt werden können. Für unsere Empfehlungen und die Richtlinie haben wir bisher durchweg positive Resonanz erhalten. Auch viel Feedback, was man in Zukunft noch mit aufnehmen könnte.
Wir haben auch den Untersuchungsgegenstand ausgeweitet: Zum einen schauen wir uns Windows Appcompat an, also den Kompatibilitätsmodus von Windows, zum anderen das Treibermanagement, also den ganzen Prozess, wie Windows 10 Treiber findet und initialisiert.
Außerdem sind wir auf eine neuere LTSC-Version [Anm.d.Red.: Long-Term Servicing Channel, Windows-Version mit längerem Support] von Windows gewechselt. Hatten wir ursprünglich die Version 2016 (1607) analysiert, sind wir mittlerweile bei Version 2019 (1809). Seit kurzem gibt es mit 21H2 eine noch neuere LTSC-Version und Windows 11 gibt es natürlich auch.
Golem.de: Sie hängen mit der Analyse immer etwas hinterher?
Winkler: Ja, das liegt in der Natur der Sache. Die Analysen sind aufwendig und können erst beginnen, wenn eine neue Windows-Version veröffentlicht wurde. Deshalb untersuchen wir auch die LTSC-Versionen mit langem Support, Feature-Stabilität und seltenerem Versionswechsel, damit unsere Analysen nicht alle sechs Monate von einer neuen Version überholt werden. Bei den LTSC-Versionen haben unsere Ergebnisse einfach längere Gültigkeit.
Trotzdem sind wir natürlich mit unseren Analysen immer ein paar Jahre hintendran, insbesondere was die verwendeten Versionen bei den Endnutzern angeht. Das ist ein Problem. Da kommen wir aber einfach nicht hinterher mit unserer Analyse.
Golem.de: Windows 11 haben Sie entsprechend noch nicht untersucht?
Winkler: Nein, bisher noch nicht. Wir bereiten gerade ein Nachfolgeprojekt vor, das dann wahrscheinlich den Fokus auf Windows 11 legen wird. Das werde ich dann allerdings nicht mehr leiten, da ich in den Bereich Incident Response gewechselt bin.
Golem.de: Wie groß sind denn die Unterschiede zwischen den Windows-Versionen?
Winkler: Tatsächlich sind die technischen Unterschiede im Betriebssystem-Kern gar nicht so groß zwischen den Windows-10-Versionen oder zwischen Windows 10 und Windows 11. Insofern sind die Projektergebnisse, die wir haben, durchaus auch auf die anderen Versionen übertragbar.
Natürlich ändern sich auch einige Sachen. Zwischen den beiden Versionen, die wir untersucht haben, liegen drei Jahre. Da haben wir gesehen, was sich geändert hat. Beispielsweise hat sich an den Messpunkten und der Datenerhebung manches verändert, die Konfiguration ist verbessert worden, aber die grundlegenden Funktionalität ist stabil geblieben. Es ist letztendlich eine Weiterentwicklung, die Microsoft hier vorgenommen hat. Es gibt aber auch Komponenten wie die Analyse der TPM-Integration, an der sich in den drei Jahren gar nichts geändert hat.
