Das Betriebssystem Windows 10 steht seit seinem Erscheinen in der Kritik von Datenschützern – nicht gänzlich zu unrecht. Wir zeigen auf, worauf Unternehmen achten sollten. Denn Windows 10 kann arbeits- und datenschutzrechtliche Probleme verursachen.
Windows 10 steht in der Kritik der Datenschützer. Das System gebe zu viele Informationen über seine Benutzer preis, Verbraucher hätten zu wenige Möglichkeiten, um die Datenweitergabe zu kontrollieren. Stimmt das? Und wenn ja, was bedeutet das für den Einsatz von Windows 10 in Unternehmen?
Windows 10 im Visier von Datenschützern und Sicherheitsspezialisten
Vom Sprachassistenten Cortana über Updates bis hin zur Datenübermittlung finden sich viele Gegenstände der Kritik. Einige sollen näher beleuchtet werden.
Datenübermittlung unsicher
Microsofts Anwendungen arbeiten mittlerweile, wie das Betriebssystem generell, standardmäßig mit Cloud Computing. Zu den Daten, die regelmäßig an andere Server übermittelt werden, zählen u.a. Informationen über Anwendungen, Anfragen an den Sprachassistenten Cortana, besuchte URL, aber auch WLAN-Schlüssel, Passwörter und User-ID. Problematisch ist hierbei nicht nur, dass die Übermittlung voreingestellt ist und nicht abgestellt werden kann. Zum einen bleibt noch unklar, für wie lange Microsoft diese Daten speichert und wie sie genau verwendet werden. Der Konzern spricht lediglich von der Verbesserung des „Benutzererlebnisses“.
Zum anderen verzichtet Microsoft auf ein sog. Zertifikat-Pinning. Der auch „HTTP Public Key Pinning“ genannte Mechanismus sichert das HTTPS-Protokoll gegen Man-in-the-Middle-Angriffe mittels gefälschten Zertifikaten ab. Ein Verzicht darauf macht ein Abgreifen der Daten ohne großen Aufwand möglich. Gerade hier findet sich ein ernstzunehmender Risikofaktor für Unternehmen – nicht zuletzt wegen stetig steigender Fälle von Wirtschaftsspionage.
Windows 10 in Unternehmen – Verstoß gegen Arbeitnehmerrechte?
Der Umfang und die Art der an Microsoft übermittelten Daten können für Unternehmen aber nicht nur hinsichtlich ihrer Geschäftsgeheimnisse problematisch sein. Unter Umständen könnte der Einsatz von Windows 10 in Firmen gegen Arbeitnehmerrechte verstoßen. Das für Microsoft zuständige Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat diesbezügliche bereits eine Prüfung eingeleitet. Womöglich übermittle Windows 10 derart viele Daten und führe sie in einer Weise zusammen, dass die Erstellung eines Nutzerprofils des Arbeitnehmers denkbar ist.
Davon betroffen sind aber nur die Home- und die Pro-Version des aktuellen Betriebssystems. Die Enterprise-Version ermöglicht das völlige Abschalten des fraglichen Datenverkehrs, sodass zum Einsatz dieser Version im Unternehmen geraten werden kann.
Anfälligkeit für Cyber-Kriminalität
Windows 10 ist in einigen relevanten Punkten anfällig für gezielte und professionelle Cyber-Kriminalität. Das oben beschriebene Problem des fehlenden Zertifikat-Pinnings erlaubt das Mitlesen des Passwortes, bspw. beim Anlegen eines neuen Benutzeraccounts.
Zudem übermitteln die Office-Anwendungen von Microsoft faktisch sämtliche Daten: gesamter Pfad, Dateiformate und Benutzer. Die Sicherheitsforscher weisen auf ein durchaus ernstzunehmendes Problem hin. Ab einer kritischen umfangreichen Menge an Daten und dem zusätzlichen Einsatz von den genannten Man-in-the-Middle-Angriffen ist ein sog. (Reverse) Cloud Poisoning möglich. Dabei werden in den Datenverkehr zwischen Benutzer und Rechenzentrum bzw. Cloud falsche Daten eingespielt. Bei diesen Daten kann es sich um infizierte Links und Malware wie Spyware handeln. Cyber-Kriminelle können mit dieser Methode auch Dateien von strafrechtlicher Relevanz auf den Unternehmenscomputern hinterlegen und so massiven Schaden und Reputationsverlust herbeiführen.