BSI nimmt Sicherheit von Windows unter die Lupe

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterzieht die Sicherheit von Windows 10 ausführlichen Analysen, die den sicherheitskritischen Funktionen des Betriebssystems gelten. Auf Basis des Projekts SiSyPHuS Win10 (Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10) soll eine Bewertung von Gesamtsicherheit und Restrisiken bei der Nutzung des auch von der Bundesverwaltung eingesetzten Betriebssystems erfolgen.

Aufbauend auf der umfangreichen Untersuchung will das BSI außerdem passende Härtungsempfehlungen sowie praktische Hinweise für einen sicheren Einsatz geben. Im Rahmen des Projekts erstellte Skripte und Tools stellt die Behörde auf GitHub sowie Unterseiten der Projektkapitel zum Download bereit.

Die Untersuchung gilt Windows 10 in Version 1607, 64 Bit, deutsche Sprache aus dem Long Term Servicing Channel (LTSC). Die Sicherheitsexperten nehmen Telemetriekomponenten, TPM, die Nutzung von UEFI Secure Boot, Komponenten von „Device Guard“ und „Virtualization Based Security“, Powershell, Windows Script Host, sowie Universal Windows Apps unter die Lupe.

Veröffentlicht wurde jetzt zuerst ein Projektteil mit der Analyse von Telemetrie in Windows 10, die die Funktionen des Event Tracing for Windows zur Erhebung von Daten nutzt – laut Microsoft für Diagnostik und Verbesserungen. Die Studie konstatiert dabei nüchtern „berechtigte Vorsicht und Skepsis“ von Datenschützern und vielen Organisationen gegenüber dem Umfang der von Microsoft erhobenen Daten, der Sicherheit ihrer Übertragung sowie ihrer Speicherung und Verarbeitung. Da eine einfache Überwachung des Dienstes – etwa über die Ereignisanzeige – unmöglich war, beschreibt die Studie das Vorgehen zur Analyse von Telemetrie-Aktivität.

Die Angriffsfläche verringern könnte den BSI-Experten zufolge eine Deinstallation des Telemetrie-Frameworks, weil ausführbare Dateien entfernt würden, die mit höheren Rechten ausgeführt werden und entsprechend anfällig für Angriffe zur Privilegienerhöhung sein können. Sie könnten eventuell auch von Angreifern auf dem System ausgenutzt werden, um an weitere Daten zu gelangen.

Das BSI gibt eine Reihe von Empfehlungen zur Deaktivierung beziehungsweise Reduktion der erhobenen Telemetriedaten, deren Umsetzung allerdings entsprechend versierte Nutzer voraussetzt. Die Vor- und Nachteile dieser System- und Netzwerk-basierten Maßnahmen gehen aus einer übersichtlichen Tabelle hervor. Ihre Wirksamkeit wurde über einen Zeitraum von mindestens 48 Stunden je Maßnahme verifiziert.

In die Kritik steht auch die Sammlung von Microsoft-Office-Telemetriedaten. Sie verletzt die europäische Datenschutzgrundverordnung (DSGVO), wie niederländische Behörden ermittelten. in einem letzte Woche vorgelegten Bericht stufen sie die Übermittlung von Telemetriedaten als „großangelegte und verdeckte Sammlung von persönlichen Daten“ ein. Die Datensammlung erfolge verdeckt, weil Microsoft seine Nutzer nicht ausreichend darüber informiere. Darüber hinaus kritisierten die Datenschützer, dass Microsoft zwar die Dokumente von niederländischen Office-Nutzern auf Servern in der EU ablege, die Telemetriedaten würden jedoch in die USA verschickt. Bedenken bestehen nun bei der niederländischen Regierung auch bezüglich des Einsatzes von Microsoft Office auf mehr als 300.000 Behördenrechnern.