Interessante Betrachtung der aktuellen Debatte um den Datenschutz unter Windows 10

Sebastian Pohl - 12. Februar 2016

In letzter Zeit wird wieder verstärkt berichtet wie unmöglich es sei Windows 10 davon abzuhalten private Daten zu versenden. So berichtet Forbes vor einigen Tagen darüber, das ein relativ anonymer Voat Nutzer in einem aufwändigen Testaufbau nachweisen konnte das Windows 10 in kürzester Zeit, selbst wenn alle Option zur Privatspäre maximal paranoid eingestellt sind, Unmengen an Verbindungsversuchen zu Microsoft unternimmt.

Den ursprünglichen Bericht fand man übrigens hier. Die Vergangenheitsform ist angebracht da sowohl der Benutzer als auch der Beitrag mittlerweile nicht mehr existieren. Der Forbes Artikel ist allerdings noch verfügbar und verweist dorthin.

Sieht man einmal von der etwas fragwürdigen Quelle ab, klingt diese Berichterstattung bis zu diesem Punkt eher beunruhigend. Beschäftigt man sich weiter mit der Materie und weis ein klein wenig über Netzwerke, fallen einige Dinge auf. Da ich darin kein Experte bin, möchte ich mich im folgenden auf den Artikel „When it comes to Windows 10 privacy, don’t trust amateur analysts“ von Ed Bott für ZDNet beziehen.

Bott verweist zuerst auf die ungeklärte Identität der Quelle und beschreibt dann den Versuchsaufbau. Der genannte Voat Nutzer hat Windows 10 in der Enterprise Edition auf einem Linux Notebook in einer virtuellen Maschine installiert. Das Betriebssystem läuft also auf einem simulierten Computer. Weiterhin hat er seinen Router dahingehend konfiguriert, das alle Verbindungsversuche aus diesem simulierten Rechner geblockt und protokolliert werden.

Das ist bereits ein grundlegendes Problem denn wenn ein Computer bereits bei der Herstellung einer Verbindung scheitert werden keinerlei Daten übertragen. Im Prinzip ist es vergleichbar mit der Benutzung eines Handys das kein Netz hat, man kann Nummern wählen sooft man möchte, erreichen wird man niemanden. Und analog zum Verhalten eines Menschen wird der Computer es später noch einmal versuchen. Es ist also sehr fraglich wie viele der registrierten Verbindungsversuche tatsächlich aufgetreten wären, hätte der Router sie nicht von vorn herein geblockt.

Da der Originaltext nicht mehr verfügbar ist kann ich den folgenden Abschnitt nur aus dem oben genannten ZDNet Artikel zitieren:

The raw numbers come out as follows: in an eight hour period Windows 10 tried to send data back to 51 different Microsoft IP addresses over 5500 times. After 30 hours of use, Windows 10 expanded that data reporting to 113 non-private IP addresses. Being non-private means there is the potential for hackers to intercept this data. I’d argue this is the greatest cost to owning Windows 10.

Der Voat Nutzer hat also in acht Stunden über 5500 Verbindungsversuche an 51 verschiedene Microsoft IP Adressen registriert. Und nach 30 Stunden kamen noch 113 nicht-private IP Adressen dazu die er als Gefahrenpotential einstuft. Nicht vorenthalten möchte ich dem Leser hier den direkten Kommentar von Ed Bott dazu:

I might have to pause here for a second to allow those of my readers with networking experience to try to make sense of those last two sentences. Don’t even try. It’s gibberish.

Man soll sich gar nicht erst die Mühe machen die letzten zwei Sätze zu verstehen, es ist Geschwafel. Die Rohdaten sind zwar mittlerweile nicht mehr verfügbar, Bott liefert aber eine Analyse dazu, zusammengefasst kommt dabei heraus:

  • 602 Verbindungsversuche zur IP 192.168.1.255
    Das ist die Broadcastadresse im lokalen Netzwerk, der Rechner versucht also nur allen anderen zu sagen das er da ist.
  • 630 Versuche mit dem lokalen DNS zu kommunizieren.
    Diese Anfragen gehen an den lokalen Router und sind normalerweise dazu da anzufragen ob der DNS Server bestimmte Rechner kennt oder um festzustellen ob überhaupt eine Verbindung zum Internet besteht. Details zu DNS kann man hier nachlesen.
  • 1619 Versuche die IP Adresse 94.245.121.253 zu erreichen.
    Der ursprüngliche Nutzer konnte mit dieser Adresse nichts anfangen, Bott kann sie aber als Teredo Server von Microsoft identifizieren. Dieser Server stellt IPv6 Adressen für Rechner die nur eine IPv4 Adresse haben zur Verfügung und ist von Microsoft selbst dokumentiert.
  • 3 Verbindungen über Port 123 durch das Network Time Protokoll
    Der Rechner versucht seine Uhrzeit zu stellen.
  • 549 Verbindungsversuche über Port 80
    Dieser Port ist für HTML vorgesehen und ist eine Abfrage von Daten eines externen Servers. Der Rechner versucht also von außen etwas zu bekommen. Außer der Anfrage werden keine Daten gesendet.

Bott identifiziert einen Teil der Verbindungen als Versuche über Content Delivery Networks Daten zu bekommen und weist daraufhin, das dies durchaus Windows Kacheln sein können die Inhalte aktualisieren wollen oder Updates für den Windows Store. Er schliesst diesen Abschnitt mit folgenden Worten:

We can, however, safely conclude that none of those connections would involve any „spying.“

Seiner Einschätzung zufolge sind alle diese Verbindungen nicht als Sammeln von privaten Daten zu klassifizieren.

Übrig bleiben ca. 2100 Verbindungen die auf Port 443 aufgebaut werden möchten. Auf diesem Port werden HTTPS, also gesicherte Verbindungen, geführt. Da keine dieser Verbindungen zustande gekommen ist, gibt es auch keine Möglichkeit über den potentiellen Inhalt eine Aussage zu treffen. Allerdings werden darüber bspw. die Anfragen an das Lizensierungssystem von Microsoft gesendet, das bekanntermaßen ungemütlich werden kann wenn es keine Verbindung bekommt. Bott vermutet das 1700 der Versuche zu diesem Fall gehören, da sie alle in einem engen IP Bereich von Microsoft landen. Weiterhin werden eine Reihe Updates über diese Verbindungen ausgeliefert, nicht nur für Windows selbst sondern auch für den Store, Windows Defender, SmartScreen, OneDrive und andere Dienste.

All das schließt natürlich nicht aus, das in diesen gesicherten Verbindungen auch nutzerspezifische Daten übertragen worden wären, der Testaufbau macht es aber unmöglich darüber zu urteilen und die daraus folgende Berichterstattung dient lediglich dazu weiteres Mißtrauen gegenüber Microsoft zu erzeugen.

Ich habe diesen Artikel nicht geschrieben um Position für Microsoft zu beziehen sondern um die Sachlage auch einmal aus einer anderen Richtung zu beleuchten. Vielleicht nimmt auch irgendjemand das mal zum Anstoß eine fundierte Analyse des „Schnüffelverhaltens“ von Windows 10 durchzuführen.

Der englische Originaltext ist hier: http://www.zdnet.com/article/when-it-comes-to-windows-10-privacy-dont-trust-amateur-analysts/

Der Forbes Artikel hier: http://www.forbes.com/sites/gordonkelly/2016/02/09/windows-10-data-tracking-spying-levels/#370f4ed97aa9

Und das ursprüngliche Voat Posting hier: https://voat.co/v/technology/comments/835741