Das Rootkit Windows 10

SicherheitSicherheitsmanagement
SicherKMU Logo (Grafik: ITespresso)

Schon kurz nach der Markteinführung von Windows 10 wurde Kritik an Microsofts neuem Umgang mit der Privatsphäre seiner Nutzer laut. Joachim Jakobs macht sich für SIcherKMU Gedanken, was die schrittweise durchgesickerten Informationen für Anwender in Firmen bedeuten.

Seit 29. Juli wird Windows 10 an Heimnutzer verteilt. Und seit August gibt’s die Software für Firmenkunden. Juhuuu! Leif Oberste-Berghaus, Business Unit Director des Bereiches FIT Enterprise Solutions Microsoft bei Freudenberg IT ist begeistert. Am Ende einer längeren Lobeshymne kommt er zu dem Ergebnis: “Alles in allem ist Windows 10 ein im Wortsinne nachhaltiges Betriebssystem, ökologisch durchdacht von A bis Z – und damit eine echte Zukunftsinvestition.”

Das Rootkit Windows 10 ist Thema von SicherKMU im September 2015 (Grafik: ITespresso)

Zwei Wochen nach dem Beginn von Microsofts Verteilaktion soll die Zukunftsinvestition bereits auf 50 Millionen Rechnern zu finden gewesen sein. Und 40 Prozent der Firmen wollen Windows 10 in den nächsten zwölf Monaten einführen. Ist ja auch kein Wunder bei diesen günstigen Konditionen: Die Migration in Firmen mit fünf Computern kostet lediglich 222,93 Euro! Geschenkt!

Wenn da nur nicht dieser klitzekleine Haken wäre: Unternehmer müssen sich fragen, wieso Microsoft auf einmal so günstige Konditionen bietet. Mutiert der Konzern zur Sozialhilfeinstitution? Mitnichten!

Im “Microsoft-Servicevertrag” räumt sich der Konzern seit 1. August das Recht ein, die “Nutzung unerlaubter Hardware-Peripheriegeräte” zu verhindern. Die Verbraucherzentrale Rheinland-Pfalz (VZ-RLP) hält dem Unternehmen außerdem vor, den Computer in eine “private Abhöranlage” zu verwandeln: “Nicht nur Werbung, sondern auch Vertragskonditionen, Preise und Rabatte können grundsätzlich an die Konsum- und Verhaltensprofile angepasst werden. In der Folge werden Verbraucher am Markt ungleich behandelt, was die Suche nach günstigen und geeigneten Angeboten erschweren kann”, kritisiert Verbraucherschützer Christian Gollner.

Doch auch das ist legal, denn vertragsgemäß gewähren die Nutzer”Microsoft eine weltweite und lizenzgebührenfreie Lizenz für geistiges Eigentum zur Nutzung Ihrer Inhalte”. Das soll dazu dienen, “die Produkte und Dienste von Microsoft zu verbessern”.

Update 29. September 11 Uhr 50: Es gibt in Bezug hierauf neue Entwicklungen. Microsoft hat jetzt eine Website mit Erklärungen veöffentlicht, in denen Umfang und Sinn des Datensammelns noch einmal behandelt werden. Details dazu gibt es bei ITespresso hier.

Eine solche Verbesserung scheint Microsoft nach eigenen Angaben in der Personalisierung von Werbung zu erkennen. Nun warnen die Verbraucherschützer davor, dass der Konzern dazu Details über Gewohnheiten, Bedürfnisse sowie die Kaufkraft des Einzelnen in Erfahrung und anschließend vermarkten könnte. So ist es denkbar, dass Versicherer und andere Dienstleister den Kunden künftig personalisierte Preise anbieten – etwa durch Analyse der Preissensibilität des potenziellen Neukunden.

Vor dem Hintergrund ist die Vielfalt der Anwendungen interessant, für die der Microsoft Servicevertrag gilt: Stattliche 82 Programme stehen auf der Liste – etwa die Suchmaschine “Bing”, die Sprachsteuerung “Cortana”, die Gesundheitsplattform “HealthVault“, die Büroanwendungen von Microsoft Office, das Nachrichtenportal MSN.com, Outlook, die Telefoniesoftware Skype und die Spielekonsole XBox.

Nun beteuert der Anbieter, keine Inhalte seiner Nutzer für die Werbung zu nutzen. Damit sind aber Analysen nicht ausgeschlossen, wie, mit wem und wo jemand kommuniziert. Im vergangenen Herbst kritisierte der Britische “Inquirer” eine Testversion von Windows 10: Damit sei Microsoft auch in der Lage, Tastatureingaben und Mausbewegungen zu verfolgen.

Wenn also jemand seine Firmenstrategie mit Word verfasst, kennt der Konzern nicht nur die Pläne des Unternehmens, sondern weiß auch, wie schnell die Zielperson mit zwei oder zehn Fingern tippt, wie lang die Finger auf den Tasten sind und Vieles mehr. Ein Master-Absolvent einer Kanadischen Universität will vor Jahren herausgefunden haben, dass man so auf die Gemütsverfassung des Tippenden schließen kann. Die Firmenstrategie einerseits, der Zugang zum Oberstübchen der Handelnden Personen andererseits sowie Erkenntnisse über Aufbau- und Ablauforganisation der Firma, ihrer Lieferanten und Kunden könnten die gesamte Wirtschaft vollständig transparent machen. Die Informationen aus den Firmen lassen sich ergänzen mit den Daten aus den privaten Rechnern der Beteiligten.

Doch damit nicht genug: Windows nutzt nicht nur die Tastatur, sondern kann auch per Sprache bedient werden – die dazu entwickelte virtuelle Assistentin ‘Cortana’ nutzt Orts- und Kalenderdaten, stöbert in Mails und berücksichtigt die installierten Apps. Die Sprache wird in die USA übertragen und dort erkannt. Erkennen kann man nicht nur, wenn der Sprecher scheinbar grundlos die Zeitformen der Verben wechselt – man soll sogar daraus schlußfolgern können, dass er lügt. Dazu kommt die “Prosodie” der Sprache – dazu gehören Wort- und Satzakzent, Intonation, Satzmelodie, Tempo, Rhythmus und die Pausen beim Sprechen. Microsoft bestätigt, “personalisierte Sprachmodelle” anzulegen – um die Spracherkennung zu verbessern. Ab Herbst soll Cortana außerdem Mimik und Gesten erkennen können.

Da ist die Telefoniesparte der Gates-Firma schon weiter: Wenn jemand ein nur 30 bis 120 Sekunden langes Selbstporträt skyped, kann von ihm nach Erkenntnis italienischer Wissenschaftler anhand seiner Mimik in Mundwinkeln und Augenbrauen ein Persönlichkeitsbild gezeichnet werden. Damit soll sich feststellen lassen, wie ‘begeisterungsfähig’, ‘selbstsicher’, ‘streitbar’, ‘gewissenhaft’ und ‘offen’ die Zielperson ist.

Microsoft will dem Nutzer einen ‘persönlicheren Zugang’ zur Technik verschaffen. Es wirkt, als ob der Konzern gleichzeitig darauf hofft, einen tiefgreifenden Zugang zur Persönlichkeit des Nutzers zu erhalten und diese beliebig ausschlachten zu können.

So scheint sich die Wahrnehmung von Freudenberg-Direktor Leif Oberste-Berghaus zu bestätigen: Mit Windows 10 hat Microsoft eine echte Investition in die eigene Zukunft unternommen, die sich jetzt amortisieren soll. Die Microsoft-Pressestelle äußert sich auch auf mehrfache Nachfrage nicht zu diesem Thema. Andreas Marx, Geschäftsführer des unabhängigen IT-Sicherheitsinstituts AV Test (Magdeburg) empfiehlt den Nutzern, die gewählten Voreinstellungen zur Privatsphäre beim Installieren im Zweifel abzulehnen.

Da stellt sich einmal mehr das Problem proprietärer Software – der Kunde weiß nicht, was seine Software tatsächlich tut. Un da beunruhigt das Nachrichtenportal ‘ars technica’ doppelt mit seiner Erkenntnis, das Betriebssystem telefoniere auch dann ‘nach Hause’, wenn die entsprechenden Optionen ausdrücklich abgelehnt wurden.

Da Microsoft nicht über Aktualisierungen informiert, ist der Konzern jederzeit in der Lage, neue (Überwachungs-)Funktionen ohne Wissen des Nutzers hinzuzufügen. Da drängt sich der Eindruck auf, dass es sich bei Windows 10 um ein Rootkit handelt. Mittlerweile beschäftigen sich die Behörden mit dem Thema – etwa in der Schweiz und in Rußland. Sebastian Kraska, Anwalt und Gründer des Instituts für IT-Recht (IITR) in München, empfiehlt insbesondere Ärzten, Anwälten, Steuerberatern und anderen Geheimnisträgern, “auf die Nutzung von Windows 10 zu verzichten”, bis der Datenfluss zu Microsoft geklärt ist.

Der Autor

Autor (Bild: Shutterstock/BrAt82)

Joachim Jakobs hat das Buch “Vernetzte Gesellschaft. Vernetzte Bedrohungen – Wie uns die künstliche Intelligenz herausfordert” verfasst, das im September im Cividale-Verlag erscheint. Bei ITespresso betreut er die Kolumne SicherKMU, die Verantwortlichen im Mittelstand Themen vermittelt und Strategien aufzeigt, wie sie ihrer Aufgabe besser nachkommen können.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU