"Wir empfehlen, die Telemetrie komplett abzuschalten"

Golem.de: Welchen Umgang empfehlen Sie mit der Windows-Telemetrie?

Winkler: Wir raten dazu, die Telemetrie komplett abzuschalten. Das steht auch so in unserer Härtungsempfehlung. Der Telemetriedienst kann einfach deaktiviert werden. Dann wird eine Übertragung von Daten unterbunden, solange er nicht wieder aktiviert wird.

Golem.de: Sie sagen, der Telemetriedienst kann einfach deaktiviert werden. Geht das wirklich so einfach?

Winkler: Ja, der Telemetriedienst ist kein Hidden Service. Im Englischen heißt der Dienst Diagtrack oder im Deutschen Dienst zur verbundenen Benutzererfahrung und ist letztlich dafür da, die auf dem lokalen System erfassten Daten an das Backend von Microsoft zu senden. Wenn man den Dienst deaktiviert, werden also die Daten zwar weiter gesammelt, aber nicht mehr an Microsoft gesendet.

Golem.de: Kann es vorkommen, dass sich der Telemetriedienst wieder von selbst aktiviert?

Winkler: Der Dienst schaltet sich nicht wieder selbst ein. Es kann aber passieren, dass zum Beispiel im Rahmen eines Updates ein Dienst - auch der Telemetriedienst - wieder aktiviert wird. Daher ist es erforderlich, die Abschaltung auch regelmäßig zu prüfen und - wie von uns empfohlen - Verbindungen zum Telemetrie-Backend netzwerkseitig zu unterbinden. Also die entsprechenden Domains im Router zu blockieren.

Golem.de: Können Daten aus der Vergangenheit nachgesendet werden, wenn der Telemetriedienst wieder aktiv wird?

Winkler: Die Datenerfassung innerhalb des lokalen Betriebssystems läuft auch nach der Deaktivierung des Telemetriedienstes weiter. Je nach Puffergröße werden aber diese Daten regelmäßig überschrieben. Es hängt also stark von der Auslastung des Systems und der Dauer der Dienst-Deaktivierung ab, wie groß dann die Lücke ist. Die im Puffer vorhandenen Daten werden aber nach Reaktivierung des Dienstes ausgelesen und gesendet. Deshalb empfehlen wir, das Telemetrie-Backend zu blockieren, dass auch dann nichts gesendet wird.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Golem.de: Das Vorgehen empfehlen Sie auch anderen Behörden. Wird das auch umgesetzt?

Winkler: Die Behörden sind in Deutschland, was ihre IT-Infrastruktur angeht, unabhängig. Sprich, die Behördenleiter entscheiden letztlich selbst, wie sie ihr IT-System umsetzen. Wir empfehlen da letztlich nur, was gemacht werden sollte, schreiben aber nicht vor.

Wir bekommen aber durchaus Feedback von Behörden, die wirklich versuchen, unsere Empfehlungen eins zu eins umzusetzen. Das sind auch nicht nur Bundesbehörden, sondern kommt durchaus auch aus den Ländern oder Kommunen. Da aber die IT-Landschaft in deutschen Behörden sehr heterogen ist, kann es durchaus sein, dass man im konkreten Fall vielleicht nach Alternativmaßnahmen suchen muss, die dann umgesetzt werden. Auch da werden wir immer wieder kontaktiert.

Golem.de: Eine Untersuchung der bayerischen Datenschutzbehörde hatte 2020 ergeben, dass Windows 10 Enterprise im Telemetrielevel Security keine Telemetriedaten an Microsoft mehr sendet - reicht das nicht aus?

Winkler: Das mag sicher zutreffen, dass Windows bei der Untersuchung unter Laborbedingungen keine Telemetriedaten mehr gesendet hat. Das Problem ist allerdings, dass die bereits erwähnte Konfigurationsdatei, die immer wieder von Microsoft geändert wird, festlegt, welche Daten von einem bestimmten Telemetrielevel erhoben werden.

Sprich, eine Analyse eines Telemetrielevels ist immer nur eine Momentaufnahme, weil das Level selbst kurze Zeit später schon ganz anders aussehen kann und andere Daten erfasst werden können als zum Zeitpunkt der Untersuchung. Deshalb raten wir dazu, den Dienst zu deaktivieren und zusätzlich die Telemetrie-Endpunkte netzwerkseitig zu blockieren. Dann kann man sich wirklich sicher sein, dass keine Daten gesendet werden.