Wussten Sie, dass ein Standard-Windows sehr viele Daten an Microsoft sendet, unter anderem die Telemetriedaten der User? Wenn Sie den Telemetriedienst abschalten möchten, sollten zuerst ein paar wichtige Dinge wissen und bedenken!
Warum Sie die Telemetriedienste von Windows 10 / Windows 11 abschalten sollten
Ein Windows-10- oder Windows-11-System übermittelt pro Woche hunderte Datenpakete mit Telemetrieinformationen an die Server von Microsoft. Zumindest dann, wenn es sich um ein „ab Werk“ installiertes System handelt, das nicht sicher konfiguriert wurde. Diese Erkenntnis erhielten wir, als wir im August 2022 den System Activity Monitor (SAM) des BSI testeten.
Im Februar 2023 ging eine Welle der Empörung durchs Netz, als ein Video des PC Security Channels zeigte, dass ein gewöhnliches Windows 11 zahlreiche weitere Daten neben den Telemetriedaten übermittelt – und das sofort nach der Installation. Seitdem fragen sich viele IT-Administratoren, wie sie die “Windows Spionage” unterbinden können.
Eine sehr gute Lösung ist die sogenannte Systemhärtung. Hierbei werden unter anderem die Telemetriedienste deaktiviert und der “Datenstrom” gestoppt. Mit Erfolg, wie es unsere Tests belegen!
Welche Telemetriedaten übermittelt Windows an Microsoft?
Die Telemetriedienste sind in Windows 10 und Windows 11 fest integriert. Die Systemdienste (zum Beispiel die Connected User Experiences & Telemetry, auch DiagTrack genannt) erfassen automatisch Diagnose- und Nutzungsdaten und senden diese verschlüsselt an Microsoft-Server.
Was genau steht in den Datenpaketen? Das weiß nur Microsoft. Laut den offiziellen Informationen dienen die Telemetriedaten der Sicherheit, Fehleranalyse und Weiterentwicklung von Windows. In den Paketen könnten sich jedoch auch Informationen befinden, die zur Nachverfolgung der Nutzer und für Werbezwecke eingesetzt werden.
Warum sollten Sie eine “Telemetrie-Härtung” durchführen?
✅ Zahlreiche IT-Regularien und -Normen fordern ein Secure Configuration Management oder ganz konkret eine Systemhärtung (System Hardening). Dazu gehören unter anderem BSI Grundschutz, NIS2, DORA, TISAX und die ISO27001.
✅ Auch Cyber-Versicherungen verlangen derartige Maßnahmen bei ihren Kunden. Ansonsten sind keine oder nur rechte teure Policen möglich.
✅ Das deutsche Betriebsverfassungsgesetz verbietet Tracking-Technologien, die Rückschlüsse auf das Verhalten von Mitarbeitern zulassen.
✅ Zudem könnte es sein, dass die Compliance-Verantwortlichen in Ihrem Unternehmen es nicht möchten, dass Ihre Windows-Systeme ständig Daten an Microsoft senden.
Weshalb sollten Sie den Telemetriedienst NICHT einschränken?
Möchten Sie den Windows-Telemetriedienst nun sofort deaktivieren? Handeln Sie nicht überstürzt. Denn das könnte beispielsweise diese Folgen haben:
🛑 Wenn Sie die Telemetrie einschränken oder abschalten, wirkt sich das auf den Betrieb von Intune aus. Der Diagnosedienst kann dann keine Daten mehr sammeln.
🛑 Wenn Sie den Telemetriedienst so einschränken, wie es von den CIS Benchmarks gefordert wird, kann es zu Problemen bei Inplace-Updates kommen.
Das bedeutet, dass Sie eine bewusste Entscheidung für oder gegen die Windows-Telemetrieübertragung treffen müssen. Betrachten Sie dabei in Ruhe alle Vor- und Nachteile!
Was ist bei der Deaktivierung noch zu beachten?
Die Umsetzung kann sehr zeitaufwändig sein. Denn Sie müssen nicht nur die Windows-Systemeinstellungen gemäß aktueller Standards wie den CIS Benchmarks oder den BSI-Empfehlungen anpassen, sondern auch diverse Applikationen wie Edge, Chrome und die Office-Programme sicher konfigurieren. Das ist sehr ressourcenintensiv, besonders wenn Sie manuell oder per GPOs vorgehen.
Was Sie außerdem mit einplanen müssen: Wie stellen Sie sicher, dass die Konfigurationsanpassungen in ein paar Wochen oder Monaten noch aktiv sind? Wo halten Sie den IST- und SOLL-Zustand der „Telemetrie-Härtung” fest? Wie können Sie bei Audits schnell die erforderlichen Reports erstellen?
Sie sehen: Es ist sinnvoll, ein professionelles Hardening-Tool zu nutzen, das die Telemetriedienste “per Knopfdruck” über Ihre gesamte Systemlandschaft hinweg abschaltet und alle Änderungen festhält. Eine solche “Abkürzung” ist der Enforce Administrator.
⏬ Features & Leistungen:
Enforce Administrator Produktbroschüre (PDF)
Sie möchten mehr über die sichere Telemetrie-Konfiguration und -Deaktivierung erfahren?
Schauen Sie sich diese Folge unserer Webinar-Serie “Hardening Insights” an:
In knapp 30 Minuten erfahren Sie alles Wichtige über “Telemetrie-Härtung”, mit Fachwissen direkt aus der Praxis. Unter sehen Sie, wie Sie mit dem kostenlosen AuditTAP den Hardening-Status festhalten können. Mehr dazu auch in diesem Video:
Haben Sie noch Fragen?
Wollen Sie mehr über Systemhärtung wissen? Oder möchten Sie wissen, wie Sie mit Tools wie dem AuditTAP und dem Enforce Administrator eine Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!
Bilder: Freepik, BSI