Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck

[English]So hatten sich die Strategen von Microsoft das sicher nicht gedacht. Microsoft kommt mit Windows 10 erneut in den USA und in Deutschland unter Beschuss. Die Electronic Frontier Foundation (EFF) hat eine Kampagne “Fix It Already!” gestartet, in der auch Microsoft mit Windows 10 vorkommt. Und Digitalexperten der Städte und Gemeinden rebellieren wegen dem kaum kontrollierbaren Transfer umfassender Nutzerdaten in Windows 10 und Office 365.


Anzeige

Kritik der EFF an Microsoft und Windows 10 Home

Die Electronic Frontier Foundation (EFF) hat eine Kampagne “Fix It Already!” in den USA gestartet, mit der Tech-Firmen gedrängt werden, unerwünschte Funktionen so anzupassen, dass die Sicherheit von Produkten erhöht werde. Eine der Firmen, die im Fokus der Kampagne steht, ist Microsoft. Der Hintergrund: Microsoft überträgt bei Windows 10 die Schlüssel für die Datenträgerverschlüsselung an eigene Server. Konkret geht es der EFF, die diese Seite aufgesetzt hat, um die Funktion Device Encryption unter Windows 10 Home Edition.

Windows 10 Home Edition wird mit einer integrierten Geräte-Verschlüsselungslösung geliefert, jedoch nur für einige Benutzer. Die so genannte “Geräteverschlüsselung” funktioniert nur, wenn die Geräte über eine bestimmte Hardware verfügen und Benutzer sich mit einem Microsoft-Konto anmelden. Das bedeutet, dass Nutzer Microsoft mit den Sicherungsschlüsseln vertrauen müssen. Laut EFF ist dies ein schlechtes Verschlüsselungsdesign von Microsoft: Benutzer sollten ihre Verschlüsselungscodes niemals an einen Dritten weitergeben müssen.

Andere Versionen von Windows 10 erfordern keine Sicherung des Schlüssels auf den Servern von Microsoft. Möglicherweise finden einige Windows-10-Heimanwender es vielleicht hilfreich, einen Sicherungsschlüssel auf den Servern von Microsoft zu speichern. Dann können sie den Inhalt ihrer Computer wiederherstellen, selbst wenn sie ihre Passwörter vergessen haben. Aber andere Benutzer haben möglicherweise Bedenken und sind möglicherweise nicht technisch versiert genug, um den Backup-Schlüssel zu entfernen und einen neuen zu generieren.

Die Forderung der EFF: Aus diesem Grund sollte Microsoft Windows 10 Home Edition so aktualisieren, dass alle Benutzer in der Lage sind, ihre Geräte mit integrierten Tools zu verschlüsseln. Diese Tools sollten es nicht erfordern, Klimmzüge zu unternehmen, um Microsoft die hochgeladenen Schlüssel zu entziehen und zu ändern, so dass die Geräte nicht ohne Zustimmung des Nutzers zu entschlüsseln sind. (via)

Windows 10/Office 365: Digitale Souveränität ade

Kommunale IT-Dienstleister befürchten mit Windows 10 und Office 365 einem Verlust der Datensouveränität und sehen handfeste Probleme im Hinblick auf den Einsatz dieser Produkte in der kommunalen Verwaltung. Die Digitale Souveränität seit gefährdet, so die Bundesarbeitsgemeinschaft der Digitalexperten von Städten und Gemeinden – heise.de hat am Wochenende hier berichtet. Im Medium “Vitako aktuell” enthält die Ausgabe 01/2019 einen Themenschwerpunkt ‘Digitale Souveränität – Die Daten im Blick’. Bereits das Editorial hat es in sich – Dr. Ralf Resch, Vitako-Geschäftsführer, schreibt:

Warum sollten etwa Firmen mit Sitz außerhalb der EU personenbezogene Daten sammeln dürfen, ganze Betreffzeilen einer E-Mail in Drittstaaten transferieren und möglicherweise mit weiteren persönlichen Nutzerdaten verknüpfen können? Offensichtlich, weil sie niemand daran hindert. Allerdings verstößt dies gegen Prinzipien der digitalen Souveränität – und auch hier zeichnen sich Veränderungen ab.

Resch geht auf die Studie zur Datenschutzkonformität von Windows 10 und Office 365 aus den Niederlanden ein (siehe Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO) und schreibt, dass man dort zu einem eindeutigen Ergebnis kommt:

Beide Softwarelösungen widersprechen in ihrer jetzigen Form der europäischen Datenschutz-Grundverordnung. Auch das Fazit der Vitako-Facharbeitsgruppe zu Windows 10 geht in diese Richtung. Zusätzlich machen die Support-Politik von Microsoft und die schwer kontrollierbare Übermittlung von Nutzerdaten an den Hersteller das Betriebssystem zu einem kostspieligen Unsicherheitsfaktor für Kommunen (Seite 10 des Hefts).

Das ist schon eine fette Breitseite gegen Microsoft, die dort von der Vitako-Facharbeitsgruppe in Bezug auf Windows 10 abgeschossen wird.

Abhängigkeit von Microsoft wird beklagt


Werbung

Der Hintergrund: Unter kommunalen IT-Dienstleistern steigt die Sorge um die Datensouveränität, besonders hinsichtlich aktueller Softwareprodukte von Microsoft. Der amerikanische IT-Gigant beherrscht mit Windows und der Office-Suite die Computersysteme auch in der öffentlichen Verwaltung.

Mit dem 2015 vorgestellten Windows 10 und mit Office 365 tauchen nun, laut dem Vitako-Artikel, handfeste Probleme auf. Beide Produkte, das ist allgemein bekannt, setzen auf Cloud-Computing und auf transatlantischen Datenverkehr im großen Stil. Und beide Produkte verstoßen in ihrer heutigen Form gegen die europäische Datenschutz-Grundverordnung – der Vitako-Artikel bezieht sich auf die Untersuchung des niederländischen Justizministeriums.

Forderungen der kommunalen IT-Dienstleister

Den Vitako-Autoren ist auch klar, dass Microsoft eine marktbeherrschende Dominanz hat und man nicht sofort alle Windows-/Office-Systeme ausknipsen kann. Aber die Beispiele LiMux sowie der Ausstieg der Niedersächischen Finanzverwaltung aus Linux, hin zu Windows und Office ist da eher die falsche Marschrichtung.

Betrifft jetzt keine kommunale IT, passt aber ganz gut. Am Wochenende wurde bekannt, dass die deutsche Polizei Aufnahmen von Body-Cams auf Amazon AWS speichern. Das alles, weil es in Deutschland angeblich keine zertifizierten Anbieter gebe. In diesem Kommentar (ich kann es nicht verifizieren) gibt es beim ITZ (IT-Dienstleister des Bundes) entsprechende Server, die sogar AWS-kompatibel sein sollen. Zeigt, wie sorglos man in solchen Bereichen ist.

Im Artikel ‘Rauschender Daten(ab)fluss’ werden die Ergebnisse einer Datenschutzfolgenabschätzung thematisiert (Seite 8). Zitat aus dem Artikel:

Sobald man sich aber für Microsoft Office 365 oder die Azure-Cloud-Dienste entscheidet, wird aus der Bindung oft eine Abhängigkeit. Es droht ein Lock-in-Effekt.

Alternative Lösungen zu finden, da gibt sich der Artikelautor realistisch, ist schwierig, zeitaufwendig und kostenintensiv. Aber man schreibt, dass Microsoft zumindest bei niederländischen Behörden fast eine Monopolstellung erlangt hat. Dadurch sei Microsoft beispielsweise in der Lage, die Preise zu erhöhen oder den Kunden dazu zu drängen, zusätzliche Features zu erwerben.

Die Forderung der kommunalen IT-Dienstleister ist glasklar: Abhängigkeiten sind einzuschränken beziehungsweise besser zu verteilen. Angeführt wird, dass der Flugzeugbauer Airbus angekündigt, dass 130.000 Mitarbeiter von Microsoft Office auf Googles Firmensoftware G  Suite wechseln. Das ist zwar auch eine Cloud-Lösung eines US-Unternehmen. Dies wäre keine Lösung für die kommunale IT – aber Airbus reduziert so auch seine Abhängigkeit gegenüber Microsoft.

Vitako fordert vor diesem Hintergrund industriepolitische Initiativen, die dazu beitragen, die Abhängigkeit von einzelnen Anbietern zu verringern. Im Artikel formuliert man ganz klare Erwartungen der kommunalen Dienstleister und Handlungsaufträge an die öffentliche IT aller föderalen Ebenen:

  • Es ist sofort darauf abzustellen, dass alle Hersteller, deren Software zum Einsatz kommt, die Bestimmungen des nationalen und europäischen Datenschutzrechts einhalten.
  • Es muss auch gesichert sein, dass technologische Vorteile zum Beispiel von Cloud-Lösungen auch dann nutzbar sind, wenn die Speicherorte in der EU liegen.
  • Auf längere Sicht sollte die digitale Souveränität auch als Projekt verstanden werden, das in eine andere Architektur des heutigen IT-Arbeitsplatzes mündet.

Auf Seite 12 fordert ein Artikel, dass Souveränität Kern jeder Digitalstrategie sein muss. Zur staatlichen Souveränität bei der Digitalisierung gehören ein umsichtiger Umgang mit ausländischen Infrastrukturkomponenten und ein Management der Abhängigkeiten. Alles Sachverhalte, die bisher nicht zu erkennen ist. Insgesamt ist dieses Vitako-Heft wohl als Brandbrief an die Verantwortlichen in der Politik zu sehen, dass die Hütte lichterloh brennt. Ein Umdenken und Umsteuern wird gefordert – wie ich es in dieser Klarheit bisher noch nicht gesehen habe. Bleibt die Frage, ob es nicht fast schon zu spät ist – oder kippt die Stimmung mit Einführung von Windows 10 und Office 365 jetzt – quasi der Tropfen, der das Fass zum Überlaufen bringt?

Ähnliche Artikel:
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
BSI-Einstufung: Windows 10 ist ein ‘Datenschutz-Unfall’
Windows 10: Datenschutz-Infosplitter …
Windows 10 und das Datenschutzproblem in Firmen


Anzeige
Dieser Beitrag wurde unter Office, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck

  1. MBR sagt:

    So ganz nachvollziehen kann ich die Argumentation dann doch nicht.

    Die Wiederherstellungsschlüssel sind da so eine Sache. Gerade bei Windows 10 Home dürfte der Anteil derjenigen, die den Schlüssel wirklich notieren und sicher aufbewahren meiner Meinung nach sehr klein sein. Gut, man könnte dem Nutzer hier die Wahl lassen. Aber seien wir doch mal ehrlich: Da wurde der Schlüssel mal nicht aufgeschrieben und die Daten sind weg. Und wie schnell wird da eine Klage gegen Microsoft eingereicht, dass die Formulierung mit dem Warnhinweis nicht deutlich genug war. Alle diese Themen zur Souveränität gehen immer von mündigen Nutzern aus. Genau das möchte ich zum großen Teil hier bestreiten. Hat eigentlich schonmal jemand die Verschlüsselungscodes von iPhones in Deutschland gesehen?

    Zum Thema Office365: Kann sein, dass man sich am Datentransfer stört, hier sollte aber differenziert werden, um welchen Datenverkehr es sich handelt. Geht es um Inhalte? Ja natürlich, es wird ja explizit eine Cloud-Lösung betrieben. Wie soll das denn bitte ohne Datenübertragung gehen?
    Und auch ganz wichtig zu wissen, wird aber hier nirgends erwähnt: Admins des Office365-Tenants können einstellen, wo die Daten gespeichert werden sollen. Eine Option ist hier Westeuropa, was in unserem Fall dann in Amsterdam ist. Also gerade in den Niederladen, dessen Verwaltung sich hier beschwert! Es gab auch einmal das Angebot der Deutschland-Cloud (Office365 in Deutschland von der Telekom gehostet). Das wollte nur keiner haben. Gut, es gab wohl auch das eine oder andere technsiche Problem, aber das hätte sich lösen lassen.

    Was mich jedoch auch noch stört: Da wird als Alternative von einem Institut der Wechsel zu Google vollzogen. Und das soll jetzt besser sein? Das ist meiner Meinung datenschutztechnisch noch schlimmer als Microsoft!

    Solange es keinen erstzunehmenden Anbieter aus europäischer Hand gibt, kann man noch so laut schreien, aber man wird an den amerikansichen Anbietern nicht vorbei kommen. Open Source ist bei Cloud-Themen meiner Meinung nach (noch?) kein Thema, da hierfür immer ein Hoster benötigt wird, die vorhandene Software allein reicht hier nicht. Zumal ich behaupte, dass die Art der Integration zwischen den Diensten von Office365 bei OpenSource bei weitem nicht gegeben ist (zumindest nicht ohne Einrichtungsaufwand, der wieder massiv Geld kosten dürfte).

    • ATR sagt:

      Richtig lesen und verstehen hilft manchmal: Die Aussage “Da wird als Alternative von einem Institut der Wechsel zu Google vollzogen. Und das soll jetzt besser sein?”
      Der angesprochene wurde nicht aufgeführt, weil er technisch oder logischbesser wäre, sondern in diesem konkreten Fall weil dadurch die Abhängigkeit von einem einzigen Anbieter (= Microsoft) vermieden wird.
      Das Verlassen bzw. nutzen nur eines Anbieters führt zu dem Risiko, das dieser bei vollständiger Anhängigkeit beliebig seine Preise erhöhen kann ohne das der Kunde dagegen etwas tun kann (weil er keine Alternative in Vorbereitung hat).

  2. Ralf Lindemann sagt:

    Zu spät ist es nicht. Die Politik hat als Gesetzgeber alle Hebel in der Hand, die Situation zu verändern. Die Europäische Union ist groß und wirtschaftlich stark genug, Änderungswünsche nicht nur anzumelden, sondern auch durchzusetzen. Das hat die Einführung der Datenschutzgrundverordnung gezeigt. Was fehlt, in der deutschen Politik, aber auch auf europäischer Ebene, ist das Bewusstsein, dass die Vorherrschaft US-amerikanischer IT-Konzerne ein Problem ist. Entsprechend fehlt es am politischen Willen, die Situation und Marktverhältnisse im IT-Sektor ändern zu wollen. Dass die Bundespolizei sich für Amazon-Server entschieden hat, ist ein Armutszeugnis und schlagendes Beispiel für die Selbstvergessenheit deutscher IT-Politik. Noch anspruchsloser geht es fast nicht.

    • Al CiD sagt:

      “Die Politik hat als Gesetzgeber alle Hebel in der Hand, die Situation zu verändern.”
      Richtig, die Hebel gibt es schon länger… fehlt nur noch einer, der sie bedient bzw. bedienen will!

      Die Datenschutz-Problematik wurde wissentlich in nationalen Hände (in Deutschland sogar in den einzelnen Bundesländer) belassen mit europäischer Zuständigkeit für die meisten USA-Unternehmen in Irland, die (Irland Batenschutzbehörde) – nebenbei erwähnt – sich absolut NICHT interessiert und willens zeigt, EU-Recht durch zu setzen (speziell DSGVO als auch Besteuerung) .

      Außer heißer Luft ist in Sachen MS (und FB/WhatsApp) wenig bis gar nichts passiert.

      .

    • ATR sagt:

      Was nützen die Politiker-Hände an den Hebeln, wenn sie damit nicht umgehen können oder bar jeden Fachwissens unfähige Entscheidungen treffen (siehe LiMux in München und der Fehltritt für die Finanzämter in Niedersachsen).
      In beiden Fällen hatte man auf Alternativen zu Microsoft und Open Source gesetzt und Politker haben ohne erkennbaren Grund und vor allem ohne Not (und leider auch ohne ausreichende Sachkenntnisse) diesen Vorteil (und die BSI-Empfehlung) aus der Hand gegeben und wirft sich mit Inbrunst die offenen Arme von Microsoft.
      Die Entscheidungen müssen auf sachlichen Gründen fussen, nicht auf persönlichen Eitelkeiten oder ienem nur halb verstandenen Artikel aus einem Manager-Magazin; ansonsten wird das nix!

  3. Werbung

  4. ThBock sagt:

    Beim Uploaden stört sich die EU an jedem kleinen Fussel, und bei Windows & MS Office ist alles egal.
    Tja, da fliesst halt Geld…

    • Herr IngoW sagt:

      Schlimmer (Google/Android) bzw. gleich (Apple) zu MS/Windows ist es ja auch bei allen anderen so, auch bei OpenSource.
      Von irgendwas muss der Schornstein ja rauchen.
      Manche Daten werden ja auch genutzt, um die Funktion des Betriebssystems oder anderen Programmen zu sehen.
      Bei der Cloud wäre es natürlich wünschenswärt, wenn die Speicher in jedem Land selbst stehen würden. Um sicher zu gehen müssen dann alle Betriebe, Behörden, Regierungen ihre Daten auf eigenen Servern/Speichern ablegen, was dann wieder richtig Geld kostet, das dann nicht ausgegeben soll.

      • Wursctwassertrinker sagt:

        @ Herr IngoW:

        “Schlimmer (Google/Android) bzw. gleich (Apple) zu MS/Windows ist es ja auch bei allen anderen so, auch bei OpenSource.
        Von irgendwas muss der Schornstein ja rauchen.”

        Schwachsinn, die zu sparenden Lizenzkosten mal in fähige Programmierer stecken und ein eigenes europäisches System entwickeln (z.B. Linux oder BSD als Basis) – für die öffentliche Hand und frei zugänglich für Betriebe und Privatpersonen. Wo ist das Problem?

  5. 1ST1 sagt:

    “Angeführt wird, dass der Flugzeugbauer Airbus angekündigt, dass 130.000 Mitarbeiter von Microsoft Office auf Googles Firmensoftware G Suite wechseln. Das ist zwar auch eine Cloud-Lösung eines US-Unternehmen. Dies wäre keine Lösung für die kommunale IT – aber Airbus reduziert so auch seine Abhängigkeit gegenüber Microsoft. ”

    Vom Teufel zum Belzebub!

  6. Roland Moser sagt:

    “…Kommunale IT-Dienstleister befürchten mit Windows 10 und Office 365 einem Verlust der Datensouveränität und sehen handfeste Probleme im Hinblick auf den Einsatz dieser Produkte in der kommunalen Verwaltung…”
    Muss man mit Office 365 arbeiten? Nein, man muss nicht. Gruss von einem Normalverbraucher.

    • Ulf sagt:

      Nein, man muss *noch* nicht mit Office 365 arbeiten. Es ist aber absehbar, dass es nach Office 2016 bzw. 2019 (das schon keinen längeren Support-Zeitraum mehr bietet als Office 2016!) keine weitere Kaufversion mehr geben wird.

  7. Bernard sagt:

    Was hat Vitako nur?

    In Niedersachsen ist Windows hochwillkommen.

    Ohne jeden vernünftigen Grund.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.