Test: Wie viele Telemetrie-Daten spionieren Windows 10 und Windows 11 wirklich aus?

Mit einem vom BSI veröffentlichten Tool lässt sich überprüfen, wie viele Telemetrie-Informationen ein ungesichertes Windows 10 oder Windows 11 an Microsoft sendet. Wir haben es ausprobiert und sind zu erstaunlichen Ergebnissen gekommen.

Wichtig: Den “Datenhunger” von Microsoft einschränken!

Was haben E.T., Windows 10 und Windows 11 gemeinsam? Alle möchten gerne nach Hause telefonieren. Doch im Fall der Betriebssysteme ist das “Telefonieren” keine gute Sache. Microsoft selbst begründet das Sammeln von Daten damit, dass Anwendungen “störungsfrei und sicher” arbeiten sollen. Das Unternehmen führt an verschiedenen Stellen seine Begründungen aus – zum Beispiel hier und  hier.

Deutsche Sicherheitsbehörden (wie das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI) und Sicherheitsexperten sehen das anders: Es werden Nutzer- und Nutzungsdaten gesammelt, die den Einsatz von Anwendungen und damit am Ende die Anwender gläserner machen. Genau das soll ja laut der Datenschutz-Grundverordnung (DS-GVO) vermieden werden. Das Prinzip dahinter heißt Datensparsamkeit.

Die Tatsache, dass ein Windows 10/11 “ab Werk” ziemlich viel Daten “nach Hause” funkt, ist kein Geheimnis. So war immer klar, dass der amerikanische Konzern aus Redmond ein Interesse an den Telemetrie-Daten seiner Nutzer hat. Diese werden bei einem unkonfigurierten oder auch nur rudimentär konfigurierten Windows automatisch gespeichert, an Microsoft-Server gesendet und dort ausgewertet.

Doch wie viel Informationen sammelt ein eingeschalteter Telemetrie-Dienst? Das lässt sich nun mit einem neuen Open-Source-Tool – dem System Activity Monitor (SAM) – des BSI herausfinden.

Von einer Sisyphus-Arbeit zur Telemetrie-Überwachung

Das BSI untersucht seit vielen Jahren zusammen mit Kooperationspartnern die neuen Microsoft-Betriebssysteme. Im Rahmen von SiSyPHuS (Studie zu den Themen Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen) kommen regelmäßig neue Erkenntnisse ans Licht. Daraus leitet das BSI unter anderem wichtige Vorschläge ab, wie Sie Windows 10 sicherer machen können. Leider gibt es aktuell für Windows 11 noch nicht wirklich belastbare Informationen.

Eine recht frische Veröffentlichung nennt sich Telemetrie Monitoring Framework (TMFW). In dem über 30 Seiten langen Dokument erklärt das BSI, wie Sie den System Activity Monitor (SAM) einsetzen. SAM ist ein kostenloses Tool, um die Recording-Profile von Windows 10 und Windows 11 zu untersuchen.

Das heißt: Es wird damit im Windows-eigenen Eventlog (“Ereignisanzeige”) transparent, wie oft und wie viele Daten der Windows-eigene Telemetrie-Dienst erfasst, um diese dann an Microsoft-Server zu senden.

Wie startet man den System Activity Monitor?

SAM finden Sie auf der offiziellen Seite des BSI (direkter Download hier als ZIP-Datei),  den Quellcode gibt es auf Azure DevOps.

Installiert wird das Tool wie jede andere Windows-Anwendung. Allerdings gibt es zwischendurch einen Warnhinweis, den Sie kurz lesen und dann bestätigen müssen. Das Tool ist nämlich nicht signiert, die Windows-Funktion “SmartScreen” bringt deswegen einen Warnhinweis.

Installation von BSI SAM (Screenshot: Microsoft)

Nachdem Sie das Tool installiert haben, müssen Sie ein Recording-Profil hinzufügen. Wir haben dazu einfach die mitgelieferte Datei “SAMRecordingProfileExample.samp ” verwendet.

Über den Powershell-Befehl “.\sam.exe -list” sehen Sie die Liste mit den Recording-Profilen und die dazugehörigen IDs. Wählen Sie Nummer 1 aus – und los geht’s!

Der Start von BSI SAM über Powershell (Screenshot: FB Pro GmbH)

Tipp: Klicken Sie die Blog-Bilder an, um sie in voller Größe zu sehen.

Check: So viele Daten sendet der Telemetrie-Dienst wirklich an Microsoft

Sind die Telemtrie-Funktionen von Windows 10 und Windows 11 wirklich so schlimm wie ihr Ruf? Wir haben es überprüft.

Der Testaufbau

Für unseren Test haben wir SAM auf mehreren gleichwertigen Notebooks installiert. Hierbei handelte es sich um vier voll gepatchte Lenovo ThinkPads, zwei mit Windows 10 und zwei mit Windows 11. 

Alle Notebooks hatten eine uneingeschränkte Internetverbindung, auf Netzwerkebene waren keine Filtermaßnahmen umgesetzt. Dafür haben wir zwei System gehärtet.

Die genutzte Konfiguration war eine Verschmelzung verschiedener Hardening-Vorgaben (unter anderem vom BSI und CIS). Diese haben wir zusammengestellt und über das Hardening-Tool Enforce Administrator konfiguriert.  Da das BSI noch keine aktualisierten Empfehlungen für Windows 11 herausgegeben hat, verwendeten wir überall die Vorgaben für Windows 10.

Der Testaufbau sah dann folgendermaßen aus:

Windows 10 inkl. August-Patches Windows 11 inkl. August-Patches SAM-Tool installiert Hardening konfiguriert
System 1 X X
System 2 X X X
System 3 X X
System 4 X X X

Während unseres Test arbeiteten wir zirka eine Woche lang mit den beiden Notebooks ganz normal weiter.

Die Auswertung der Ergebnisse

Was kam bei unserem Test heraus? Die Ergebnisse sehen Sie in dieser Tabelle:

Windows 10 ungehärtet Windows 10  gehärtet Windows  11  ungehärtet Windows  11
gehärtet
Datenübertragung festgestellt Ja Nein Ja Nein

Das ungehärtete Windows-11-System sendete in einer Woche 448 Datenpakete an Microsoft. Hier ein Ausschnitt als Screenshot:

Windows 11 Telemetrie-Test - das Ergebnis auf einem ungehärteten System (Bild: FB Pro GmbH)

Das Windows 11 mit Systemhärtung blieb dagegen “stumm”, es kam zu keiner einzigen Übertragung der Telemetrie-Daten.

Windows 11 Telemetrie-Test - das Ergebnis auf einem gehärteten System (Bild: FB Pro GmbH)

Bei den beiden Windows-10-Geräten erhielten wir ähnliche Ergebnisse: Während das gehärtete Notebook keine Informationen an Microsoft übertrug, zeigte SAM auf einem Windows 10 ohne Systemhärtung einen regen “Funkverkehr”. Teilweise wurden bis zu 15 Mal pro Stunde Daten versendet!

Wie sollten Sie nun handeln?

Wie erwartet überträgt der Telemetrie-Dienst eines ungehärteten Win10/11-Systems jede Menge Daten. Wie genau mit diesen Daten umgegangen wird und was genau in diesen verschlüsselten Datenpaketen enthalten ist, ist nach aktuellem Stand unklar. Diese Daten kann Microsoft bspw. dazu nutzen, um mehr über Sie heraus zu finden. Ob man das als Privatperson möchte, das sei jedem selbst überlassen.

Die DS-GVO verpflichtet Unternehmen jedoch zur Datensparsamkeit. Es dürfen nur so wenig Daten wie möglich an Dritte übermittelt werden.

Unsere Empfehlung: Schalten Sie die Telemetrie-Dienste von Windows 10 und Windows 11 ab ! Derart reduzieren Sie aktiv die Haftungsrisiken nach DS-GVO.

Zusätzlich ist es ein Muss, alle Systeme professionell und dauerhaft zu härten. Dadurch werden automatisch der Telemetrie-Dienst und weitere unnötige, aber datenhungrige Funktionen deaktiviert. Ansonsten können ungewollt Informationen abfließen – über Ihre Mitarbeiter, über Ihr Unternehmen und unter Umständen über Ihre Kunden.

Zudem sind ungehärtete Systeme ein leichteres Einfallstor für Hacker und andere Cyber-Kriminelle. Sie nutzen Schwachstellen aus, die unter anderem durch Systeme in Standard-Konfiguration vorhanden sind. Das Einschleusen von Spionage-Tools und Malware wird damit Angreifern viel zu leicht gemacht. Derart können schnell Folgen entstehen, die einen hohen und teuren Schaden nach sich ziehen. Welcher Geschäftsführer möchte das?

Wie lässt sich eine Systemhärtung implementieren?

Zuerst einmal muss ein Status Quo ermittelt werden: Wie gut sind die vorhandenen Systeme aktuell gehärtet? Das Ergebnis lässt sich mit dem kostenlosen AuditTAP herausfinden.

Wenn klar ist, welchen Status in Bezug auf sichere Systemkonfiguration herrscht, gilt es, besser zu werden. Das heißt, Sie haben eine Systemhärtung durchzuführen. Und es sind Maßnahmen einzuleiten, um die Härtung dauerhaft und voll automatisiert aufrecht zu erhalten. Das ist zum Beispiel mit der Enforce Suite möglich.

Benötigen Sie Unterstützung bei der Systemhärtung? Unser Team von System-Hardening-Experten steht Ihnen gerne mit Rat und Tat zur Seite. Kontaktieren Sie uns ganz unverbindlich für eine Anfrage!

Kontakt aufnehmen

Bilder: Freepik, Microsoft, FB Pro

Schreibe einen Kommentar