Windows 10: Die Anatomie der Telemetrie

Microsoft sammelt in Windows 10 an etlichen Stellen sogenannte Telemetrie-Daten - und kann sogar weitere anfordern. Forscher haben auf der Sicherheitskonferenz Troopers gezeigt, wie das System funktioniert, und wie es sich trotz fehlender Option deaktivieren lässt.

Artikel von veröffentlicht am
Das Telemetrie-System in Windows 10 sammelt allerhand Daten.
Das Telemetrie-System in Windows 10 sammelt allerhand Daten. (Bild: manseok/Pixabay)

Wie E.T. in Steven Spielbergs Kinofilm aus den 1980ern will auch Windows nach Hause telefonieren. Doch weder der Außerirdische E.T. noch Microsoft erklären, welche Daten auf welche Art und Weise übertragen würden. Das will das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit der Sicherheitsfirma ERNW in dem Forschungsprojekt Sisyphus herausfinden. Auf der Sicherheitskonferenz Troopers stellten die drei Sicherheitsforscher Maximilian Winkler, Dominik Phillips und Aleksandar Milenkoski vor, wie das Telemetrie-System funktioniert, und wie es sich deaktivieren lässt. Auch ihre weiteren Forschungsvorhaben sowie das aktuelle Windows 10 1809 waren Thema.

Inhalt:
  1. Windows 10: Die Anatomie der Telemetrie
  2. "Wir bauen eine Telemetrie, um die Telemetrie zu überwachen"

"Es gibt einen Trend zur Telemetrie," sagte Winkler. Diese finde sich in immer mehr Programmen. Mit ihr sammeln die Hersteller der Software Daten über den Zustand von Geräten oder Software. "Telemetrie ist nicht per se böse." Allerdings stelle sich die Frage, wer das Verhalten der Telemetrie steuere, und wo die Daten landeten. Aus diesem Grund untersuchen die Sicherheitsforscher das Telemetrie-Verhalten von Windows 10 seit zwei Jahren und können mittlerweile recht genau nachvollziehen, was dort passiert.

Viele Messpunkte im System

In ihrer Analyse der Windows-Telemetrie setzen sie auf die Windows 10 Version 1607, die von Microsoft länger supportet wird und bei der keine strukturellen Veränderungen vorgenommen werden (Long Term Service Branch). Alle Daten werden durch das Betriebssystem eingesammelt. Die Sicherheitsforscher unterscheiden zwischen einer primären Datensammlung und einer sekundären. Erstere ist in das System intergriert und sammelt die Daten an verschiedenen Messpunkten, die von den Entwicklern in verschiedene Programme und Dienste integriert wurden. Anschließend überträgt sie diese an Microsoft-Server. In einer Standardinstallation waren über 1.000 solcher Messpunkte aktiv - an denen wiederum verschiedene Daten ermittelt und an Microsoft gesendet werden.

Das System dahinter heißt Event Tracing for Windows oder kurz ETW. Ursprünglich wurde es für das Debugging von Software entwickelt, also für die Fehlersuche in Software. Entsprechend ausführlich und weitreichend sind die Informationen. Der USB-Messpunkt könne letztlich sogar als eine Art Keylogger missbraucht werden und die Tastatureingaben mitlesen, sagte Phillips.

Microsoft kann weitere Daten anfordern

Stellenmarkt
  1. Leitung (m/w/d) des EDV-Amtes
    Landkreis Stade, Stade
  2. Administrator IT-Infrastruktur (m/w/d)
    Stockmeier Chemie GmbH & Co. KG, Bielefeld
Detailsuche

Für weitaus kritischer halten die Forscher jedoch die zweite Variante, die sie sekundäre Datensammlung nennen. Wie ein Update-Mechanismus fragt Windows 10 in regelmäßigen Abständen im Microsoft-Backend nach Konfigurationsdateien und lädt diese - sofern vorhanden - herunter. Über diese werden weitere Informationen angefordert, beispielsweise zusätzliche Informationen über die Netzwerkkonfiguration oder ein Memory-Dump einer Software. "Das Ausführen von Tools oder zusätzlichen Funktion ist ein Risiko bezüglich Integrität und Kontrolle," sagte Phillips. Unter welchen Umständen das Backend welche Daten anfordere, sei nicht bekannt. Es ließen sich nur Vermutungen auf Basis der Forschungen anstellen - einen "Educated Guess" fasst Milenkoski zusammen.

Mit der neuen Windows-10-Version mit Langzeitsupport habe sich im Bereich der primären Datensammlung kaum etwas verändert. Die sekundäre Datensammlung sei jedoch ausgeweitet worden, was Umfang und Möglichkeiten angehe, sagte Winkler. Beispielsweise begrüßte die Sicherheitsforscher in 1607 noch die Meldung "Live-Kernel-Dumps sind im Moment noch nicht vorhanden. Das ist ein Platzhalter. Freu Dich". Mit 1809 ist der Platzhalter verschwunden und Live-Kernel-Dumps können von Microsoft angefordert werden. Genaueres könne man noch nicht sagen, die Forschung gehe weiter, erklärte Winkler. Dabei soll ihnen auch ein selbstentwickeltes Tool helfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
"Wir bauen eine Telemetrie, um die Telemetrie zu überwachen" 
  1. 1
  2. 2
  3.  


Tom01 02. Apr 2019

Windows ist mir zu frikelig. Das hat ja nicht mal einen vernünftigen Installer. Da ist...

vollstorno 31. Mär 2019

Folgendes via Powershell ausführen (falls Enterprise oder EDU/Core Edition): Set...

slacki 26. Mär 2019

Und anstatt aufzuklären, schreibst du einfach nur "schade, du hast kein Plan" ? Wie wäre...

Anonymer Nutzer 25. Mär 2019

... wäre somit also die beste Lösung. Da schwirren ja einige Listen durchs Netz. Muss man...



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

  2. Bluetooth-Tracker: Airtag-Firmware lässt sich komplett austauschen
    Bluetooth-Tracker
    Airtag-Firmware lässt sich komplett austauschen

    Die Apple Airtags lassen sich nicht nur klonen. Forscher können auch beliebige Sounds auf dem Bluetooth-Tracker abspielen.

  3. Playstation: Sony plant Filme, Serien und Mobilspiele - und die PS5 Pro?
    Playstation
    Sony plant Filme, Serien und Mobilspiele - und die PS5 Pro?

    Eine Verfilmung von Gran Turismo mit Starregisseur, Serien für God of War und Horizon: Sony hat viel vor. Zur PS5 Pro gibt es einen Leak.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K UHD günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /