Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Dienstag, 23. Januar 2018

Betriebssysteme

Dauerbaustelle Windows 10

Von Christiane Schulzki-Haddouti | 19. Oktober 2017 | Ausgabe 42

Microsoft bietet mit der neuesten Version für Windows 10 mehr Sicherheit, doch in Sachen Datenschutz muss der Konzern noch nachbessern.

BU windows10
Foto: Microsoft

Neues im Herbst: Das aktuelle Update von Windows 10 wird seit Dienstag verteilt. Es bringt wichtige Neuerungen in Sachen Sicherheit.

Microsoft verteilt seit dem 17. Oktober ein neues Funktions-Upgrade von Windows 10. Die Version 1709 des Betriebssystems, auch „Fall Creators Update“ genannt, enthält eine Menge an größeren und kleineren Änderungen. Herausstechend sind die neuen Sicherheitsfunktionen: So enthält das „Windows Defender Security Center“ gleich zwei neue Sicherheitsmodule: Zum einen finden sich neue „Einstellungen für den Exploit-Schutz“, die Malware-Attacken auf bisher unentdeckte Sicherheitslücken erschweren soll. Zum anderen soll ein „überwachter Ordnerzugriff“ Erpressungssoftware gegen die Wand laufen lassen.

Damit hat Microsoft eine neue Berechtigungsebene eingezogen, die es nicht autorisierten Programmen unmöglich macht, Inhalte in Ordnern zu ändern. Damit werden Dokumente des Benutzers und öffentliche Ordner geschützt. Die neue Funktion muss allerdings vom Nutzer selbst aktiviert werden. Zusätzliche Ordner können über einen Dialog hinzugefügt werden. Programme, die „von Microsoft als unbedenklich eingestuft werden“, dürfen Inhalte der Ordner verändern. Der Defender Antivirus beurteilt dann alle anderen Programme. Nutzer können selbst Anwendungen zur Liste der erlaubten Programme hinzufügen oder per Gruppenrichtlinie schützen. Wobei es keine Möglichkeit gibt, einzelne Programme für einzelne Ordner freizugeben.

Neu ist auch ein Sicherheits-Feature für den Edge-Browser, der sogenannte „Windows Defender Application Guard“. Es ist allerdings nur für Windows 10 Enterprise verfügbar. Dabei handelt es sich um einen Browser-Modus für Mitarbeiter, der für alle Webseiten verwendet wird, die der Administrator nicht auf eine Whitelist gesetzt hat. Damit wird die Sitzung abgeschottet durchgeführt, womit verhindert wird, dass sich beim Surfen versehentlich Malware auf dem Rechner niederlässt und aktiv werden kann.

Das Upgrade wird regulär über das Update-Feature automatisch eingespielt. Bei älterer oder ungewöhnlicher Hard- oder Softwareausstattung kann es sein, dass der Nutzer das Update selbst anstoßen muss. Das nächste größere Update ist in sechs Monaten vorgesehen. Sicherheitspatches erfolgen wie immer regelmäßig separat.

Apropos Sicherheitspatch: Sicherheitsforscher von Googles Project Zero konnten vor Kurzem nachweisen, dass Microsoft zwar Sicherheitslücken in Windows 10 behebt – aber die gleichen Lücken in Windows 7 oder 8 nicht oder erst viel später schließt.

Die Forscher verglichen die wichtigsten Komponenten der drei Windows-Versionen vor und nach dem Einspielen von Updates. Dabei konnten sie über den Vergleich feststellen, dass Microsoft eine bestimmte Sicherheitslücke für Windows 10 gestopft, in Windows 7 und 8 aber offen gelassen hatte. Die Lücke beseitigte der Konzern erst, als die Forscher mit der Veröffentlichung drohten. Sie wiesen darauf hin, dass auch Angreifer über einen Vergleich der Programmversionen auf wenig bekannte Sicherheitslücken stoßen und diese dann möglicherweise unbegrenzt ausnutzen könnten.

Problem Datenschutz: Microsoft hat mit dem „Fall Creators Update“ das System aus der IT-Sicherheitsperspektive in etlichen Punkten verbessert. In Sachen Datenschutz muss der Konzern aber nachbessern. Erst vergangene Woche veröffentlichte die niederländische Datenschutzaufsichtsbehörde AP einen Prüfbericht, in dem sie zu dem Schluss kommt, dass Microsoft mit dem Betriebssystem gegen Datenschutzrecht verstößt.

Zentraler Kritikpunkt an den Windows-10-Varianten Home und Pro ist, dass Microsoft nicht klar genug darüber informiert, welche Daten es für welchen Zweck erfasst und auswertet. Die vorgelegten Erklärungen seien zu allgemein, weswegen für den Nutzer die Datenverarbeitung „nicht vorhersehbar“ sei. Entsprechend sei die erteilte Einwilligung ungültig. Die Niederländer stoßen sich auch daran, dass Microsoft es als Einwilligung wertet, wenn ein Nutzer eine Standardeinstellung während der Installation nicht selbst aktiv ändert. Dass sie dies als rechtswidrig beurteilen, kann auch Folgen für andere Produkte und Internetdienste nach sich ziehen, die dies ähnlich handhaben.

Augen auf auch beim aktuellen „Creators Update“: Die Datenschutzbehörde stellte nämlich fest, dass das Frühjahrs-Update frühere durch den Nutzer vorgenommene Privacy-Einstellungen zurücksetzte. Dies ist dann der Fall, wenn der Nutzer selbst den Download des Updates anstößt. Ob dies auch bei dem aktuellen Update der Fall ist, wurde noch nicht getestet.

Die niederländische Prüfung ging auch den an Microsoft übermittelten Daten nach. Der stellvertretende niederländische Datenschutzbeauftragte Wilbert Tomesen fasst die Ergebnisse so zusammen: „Es stellt sich heraus, dass Microsofts Betriebssystem jeden Schritt, den du an deinem Computer machst, verfolgt.“ Wenn der Nutzer die Datenübertragung nicht vollständig unterbindet, wird etwa der Link jeder besuchten Website über den Edge-Browser an Microsoft übermittelt. Auch Nutzungsdaten zu Zeit, Dauer und Ort werden von Apps an den IT-Konzern weitergeleitet, der dann personalisierte Werbung schaltet, falls der Nutzer kein Opt-out gewählt hat.

Microsoft deutete in einer ersten Reaktion an, nachbessern zu wollen. Dies wird wohl spätestens zum nächsten größeren Update der Fall sein. Die europäische Datenschutzgrundverordnung, die noch wesentlich strengere Anforderungen stellt, wird ab dem 25. Mai 2018 umgesetzt werden. Die niederländische Aufsichtsbehörde teilte vorsorglich mit, dass sie jedes Widerhandeln sanktionieren könne.

Glimpflicher ging vor einigen Wochen eine Prüfung des Bayerischen Landesamts für Datenschutzaufsicht von Windows 10 Enterprise aus. Weil Unternehmen ab einer gewissen Größe Datenschutzbeauftragte bestellen müssen, legte die Behörde weniger strenge Maßstäbe an die Verständlichkeit und leichte Umsetzbarkeit an. Entsprechend hält sie einen rechtskonformen Einsatz für möglich, wobei Microsoft noch mehrere Datenflüsse, die sich durch den Systemadministrator mit sogenannten Gruppenrichtlinien nicht unterbinden ließen, klären müsse. Die Erwartungshaltung der europäischen Datenschutzaufsichtsbehörden geht dahin, dass Microsoft für alle Systeme mindestens eine Gruppenrichtlinie bereitstellt, mit der sich Windows 10 komplett rechtskonform gestalten lässt.

stellenangebote

mehr