Gratis
26. März 2019 - Office-Computing

Telemetriedaten von Windows 10 auf der Spur

Drucken

Windows 10 überträgt Informationen über den Computer und dessen Nutzung an Microsoft. Das ist bekannt und auch bereits häufiger von Datenschützern kritisiert worden. Auf einer Konferenz haben Experten gezeigt, wie das System funktioniert und wie es sich deaktivieren lässt.

Welche Daten überträgt Windows 10 an Microsoft? Windows 10 ist bekannt für seine Datensammlungen (Bild: iStock.com / spooh)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit der Sicherheitsfirma ERNW das Forschungsprojekt Sisyphus ins Leben gerufen. Es soll zeigen, wie das Telemetrie-System unter Windows 10 funktioniert und wie es sich deaktivieren lässt.

Unter Telemetrie versteht man die Übertragung von Messwerten von einem Punkt an eine entfernte Empfangsstelle, die die Daten sammelt und gegebenenfalls auch auswertet.

Die drei Sicherheitsforscher Maximilian Winkler, Dominik Phillips und Aleksandar Milenkoski haben auf der Sicherheitskonferenz Troopers den aktuellen Stand präsentiert.

Primäre und sekundäre Datensammlung

Die Forscher untersuchen seit zwei Jahren die Telemetrie von Windows 10, genauer die Version 1607 aus dem Long-Term Servicing Branch (LTSB).

An dieser Version nimmt Microsoft keine strukturellen Änderungen vor. Das prädestiniert sie einerseits besonders für den Einsatz in Unternehmen. Zum anderen macht es diese Version aber für die Forschung interessant.

Die Forscher unterscheiden bei der Telemetrie zwischen einer primären und sekundären Datensammlung. Die primäre Datensammlung ist in das System integriert und sammelt die Daten an Messpunkten, die Entwickler in Programme und Dienste integriert haben. Diese Daten werden an Microsoft-Server übertragen. In einer Standardinstallation waren über 1.000 solcher Messpunkte aktiv.

Das System dahinter heißt Event Tracing for Windows (ETW). Eine der Aufgaben ist die Fehlersuche in Programmen.

Die erhobenen Informationen sind umfangreich und weitreichend. Wie die Forscher herausgefunden haben, könnten Angreifer den Messpunkt der USB-Schnittstelle sogar als eine Art von Keylogger missbrauchen.

Sekundäre Datensammlung erscheint kritischer

Bei der sekundären Datensammlung fragt Windows 10 in regelmäßigen Abständen auf dem Server von Microsoft nach Konfigurationsdateien und lädt diese herunter. Darüber werden dann zusätzliche Informationen abgefordert.

Das halten die Forscher für weitaus kritischer. Denn es sei nicht bekannt, unter welchem Umständen das System weitere Daten anfordere.

Forscher entwickeln Tool, um Telemetrie zu überwachen

Laut des Medienberichts von der Forschungskonferenz ist es das Ziel der Forscher, eine Telemetrie zu bauen, die die Telemetrie überwacht. Nur so ließe sich analysieren, wie kritisch die gesammelten Informationen sind.

Ist die Entwicklung des Tools abgeschlossen, soll es kostenfrei der Öffentlichkeit zur Verfügung stehen.

Abstellen der Übertragung fast unmöglich

Die drei Sicherheitsforscher haben bereits mehrere Varianten entwickelt, um die Datensammlung zu unterbinden oder einzuschränken. Nachhaltig ist bisher noch keine davon, weil Microsoft regelmäßige Änderungen an den Mechanismen vornehme.

Wer beispielsweise in der Firewalls die URLs der Server blockiere, müsse das System manuell stets weiter pflegen, weil sich die Adressen ebenfalls ändern.

Eine Methode, die sicher sei, aber in der Praxis wohl kaum umsetzbar ist, weil damit eine Reihe von Programmen nicht mehr richtig funktionieren würde, besteht darin, das Betriebssystem zu isolieren und ihm den Zugang zum Internet zu nehmen.

Stephan Lamprecht