Microsoft droht DSGVO-Bußgeld

Behörden protestieren gegen Datensammelwut von Microsoft

26.11.2018
Von 
Jens Dose ist Editor in Chief von CIO. Seine Kernthemen drehen sich rund um CIOs, ihre IT-Strategien und Digitalisierungsprojekte.

Risiken und Gegenmaßnahmen

Trotz dieser ersten Schritte bestehen durch die Office-Services laut der DSFA weiterhin folgende Risiken für betroffen Personen:

  1. die rechtswidrige Speicherung sensibler, klassifizierter oder spezieller Datenkategorien sowohl in Metadaten als auch zum Beispiel in Betreffzeilen von E-Mails;

  2. unzureichende Kontrolle über untergeordnete Auftragsverarbeiter und faktische Auftragsverarbeitung;

  3. die fehlende Zweckbindung sowohl für die Verarbeitung historisch gesammelter Diagnosedaten als auch für die Möglichkeit, neue Arten von Ereignissen dynamisch hinzuzufügen;

  4. die Übermittlung von (allen Arten von) Diagnosedaten außerhalb des europäischen Wirtschaftsraums, während die aktuelle Rechtsgrundlage für Office ProPlus das Privacy Shield ist und die Gültigkeit dieser Vereinbarung Gegenstand eines Verfahrens vor dem Europäischen Gerichtshof ist;

  5. die unbestimmte Aufbewahrungsdauer von Diagnosedaten und das Fehlen eines Tools zum Löschen historischer Diagnosedaten;

  6. die falsche Qualifikation von Microsoft als Auftragsverarbeiter und nicht als Mitverantwortlicher im Sinne von Artikel 26 der DSGVO;

Um diese Risiken zu senken, empfiehlt die DSFA eine Reihe von Maßnahmen, die unterschiedlich komplex in der Umsetzung sind:

  • Übernehmen Sie die neuen Zero-Exhaust-Einstellungen.

  • Untersagen Sie zentral die Nutzung von Connected Services.

  • Untersagen Sie zentral die Möglichkeit für Benutzer, personenbezogene Daten an Microsoft zu senden, um "Office zu verbessern".

  • Verwenden Sie weder SharePoint Online noch OneDrive.

  • Verwenden Sie nicht die reine Web-Version von Office 365.

  • Löschen Sie regelmäßig das Active-Directory-Konto von Geheimnisträgern und erstellen Sie neue Konten für diese, um sicherzustellen, dass Microsoft die historischen Diagnosedaten löscht.

  • Erwägen Sie die Verwendung lokaler Konten (ohne Microsoft-Konto), um mit vertraulichen/sensiblen persönlichen Daten zu arbeiten.

  • Erwägen Sie, ein Pilotprojekt mit alternativer Software für bestimmte Funktionen durchzuführen, auch nachdem Sie eine DSFA hierfür vorgenommen haben. Dies würde im Einklang mit der Richtlinie der niederländischen Regierung stehen, offene Standards und Open-Source-Software zu fördern.

Eine weitere Möglichkeit besteht darin, den Internetzugriff vom Betriebssystem zu trennen. Dazu können die Internet-Rechner vom normalen Produktiv-Netzwerk getrennt werden. Das ist jedoch nicht nutzerfreundlich. Lösungen, die diese Netzwerktrennung auf Basis einer Virtualisierung vornehmen, bieten eine praktikablere Alternative. Hierbei wird auf dem Rechner eine virtuelle Maschine installiert, über die ein Online-Zugang via VPN möglich ist, die jedoch vom Betriebssystem getrennt ist. Dadurch kann kein Datenabfluss vom Rechner stattfinden. Ein Beispiel dafür ist der Browser in the Box (BitBox) von Rohde und Schwarz Cybersecurity, der 2011 von der Sirrix AG im Auftrag des BSI entwickelt wurde.

Windows 10 im Visier des BSI

Auch hierzulande wird Microsoft von den Behörden genauer unter die Lupe genommen. Das BSI untersucht gegenwärtig die Sicherheitseigenschaften von Windows 10. Die Analyse hört auf den Namen "SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10". Die ersten Ergebnisse der Behörde befassen sich mit der Übertragung von Telemetriedaten an die US-Server durch das Betriebssystem.

Die Problematik dabei ähnelt der von Office. Obwohl die Nutzer unterschiedliche Telemetrielevel einstellen können, ordnet der Telemetriedienst die vorhandenen Telemetriequellen diesen Leveln im laufenden Betrieb dynamisch zu. Hierfür lädt der Dienst mehrmals pro Stunde Konfigurationsdaten nach. Diese Einstellungen sind automatisch bei der Auslieferung von Windows 10 aktiviert.

Über die Einstellungen im Betriebssystem ist die Übertragung nicht vollständig deaktivierbar. Dazu sind umfangreiche und tiefgreifende technische Anpassungen notwendig, die das BSI in einer 27-seitigen Analyse (PDF) im Detail beschreibt. Laut Computerworld Schweiz müssen unter anderem verschiedene Microsoft-Dienste (unter anderem Windows-Update) deaktiviert oder spezielle Firewall-, DNS- sowie HTTP-Proxy-Einstellungen vorgenommen werden.

Weitere Ergebnisse aus der Studie wird das BSI zu einem späteren Zeitpunkt veröffentlichen. Die Analysen umfassen unter anderem Komponenten wie das Trusted Platform Module (TPM), VBS/DeviceGuard, die Windows Powershell, die "Application Compatibility Infrastructure", das Treibermanagement und den PatchGuard.