Die niederländische Regierung gab kürzlich bei dem Compliance-Beratungsunternehmen Privacy Company eine Datenschutz-Folgenabschätzung (DSFA) für Microsoft Office ProPlus (Office 2016 MSI und Office 365 CTR) in Auftrag. Bei der Untersuchung der rund 300.000 behördlichen Arbeitsplätze kamen die Berater zu dem Schluss, dass Office eine "groß angelegte und verdeckte Erhebung personenbezogener Daten" durchführt. Damit verstoße Microsoft gegen die DSGVO. Der Softwareriese ist derzeit in Verhandlungen mit den niederländischen Behörden, um eine rechtskonforme Lösung zu entwickeln.
Heimlich, still und unaufhaltsam
"Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Personen in großem Umfang ohne jegliche öffentliche Dokumentation," heißt es in der Mitteilung von Privacy Company. Der vollständige DSFA-Bericht in englischer Sprache ist hier als PDF-Download verfügbar.
Demnach werden Daten von Anwendern der Produkte Word, Excel, PowerPoint und Outlook übermittelt, ohne das der User etwas davon merkt. In einem automatisierten Prozess sammelt Microsoft die Daten und verschickt sie paketweise an einen Server in den USA. Die Anwender werden nicht darüber informiert, wann das geschieht und um welche Daten es sich handelt. Dabei geht es nicht nur um Daten, die zum Betrieb unbedingt notwendig sind, sondern auch um potenziell sensible Informationen. Dazu schildert Privacy Company zwei Beispiele:
Wird ein Wort in Microsoft Word in der Online-Rechtschreibprüfung oder im Übersetzungsdienst nachgeschlagen, erfasst und übermittelt Office auch den Satz vor und nach dem Wort.
Microsoft sammelt nicht nur Nutzungsdaten mithilfe des eingebauten Telemetrie-Agenten, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Benutzer beispielsweise über die Office-Software auf einen Connected Service wie den Übersetzungsdienst zugreifen, kann Microsoft die Nutzungsdaten in systemseitig generierten Ereignisprotokollen speichern.
Laut Microsoft werden 23.000 bis 25.000 Arten von Ereignissen an die Office-Server geschickt und von 20 bis 30 Ingenieur-Teams bearbeitet. Zum Vergleich: Das Betriebssystem Windows 10 verschickt bei auf "voll" eingestellter Telemetrie-Erfassung lediglich 1.000 bis 1.200 Arten von Ereignissen an zehn Ingenieurteams.
Eine Übersicht von Microsoft, welche Arten von Informationen das Unternehmen über den Telemetrie-Agenten in Office sammelt, finden Sie hier. Ob die Darstellung den Tatsachen entspricht, kann jedoch nicht nachgeprüft werden, da die Übertragung verschlüsselt ist und Office nicht meldet, welche Informationen es genau jedes Mal an Microsoft-Server schickt. Die Übertragung lässt sich zum heutigen Zeitpunkt nicht vollständig abschalten.
Es kann durchaus sein, dass die abfließenden Daten tatsächlich nicht kritisch sind. Da sie nicht einsehbar sind, lässt sich das jedoch nicht eindeutig sagen.
Microsoft zeigt sich kooperativ
Als Reaktion auf die Vorwürfe der Niederländer hat Microsoft begonnen, mit der Behörden gemeinsam an Lösungen zu arbeiten. So schlagen sie den Administratoren in den Behörden vor, bestimmte kürzlich implementierte Einstellungen zur Telemetrie-Erfassung zu übernehmen, mit denen weniger Office-Daten übertragen werden (Zero Exhaust Settings). Zudem habe sich Microsoft verpflichtet, "weitere wichtige Maßnahmen zur Risikominimierung zu ergreifen."
Gegenüber The Register sagte ein Microsoft-Sprecher, der Konzern wolle, dass die Kunden ihre Daten selbst kontrollieren könnten. Man werde sicherstellen, dass Office ProPlus sowie andere Produkte und Services im Einklang mit der DSGVO und anderen geltenden Gesetzen stünden.
Risiken und Gegenmaßnahmen
Trotz dieser ersten Schritte bestehen durch die Office-Services laut der DSFA weiterhin folgende Risiken für betroffen Personen:
die rechtswidrige Speicherung sensibler, klassifizierter oder spezieller Datenkategorien sowohl in Metadaten als auch zum Beispiel in Betreffzeilen von E-Mails;
unzureichende Kontrolle über untergeordnete Auftragsverarbeiter und faktische Auftragsverarbeitung;
die fehlende Zweckbindung sowohl für die Verarbeitung historisch gesammelter Diagnosedaten als auch für die Möglichkeit, neue Arten von Ereignissen dynamisch hinzuzufügen;
die Übermittlung von (allen Arten von) Diagnosedaten außerhalb des europäischen Wirtschaftsraums, während die aktuelle Rechtsgrundlage für Office ProPlus das Privacy Shield ist und die Gültigkeit dieser Vereinbarung Gegenstand eines Verfahrens vor dem Europäischen Gerichtshof ist;
die unbestimmte Aufbewahrungsdauer von Diagnosedaten und das Fehlen eines Tools zum Löschen historischer Diagnosedaten;
die falsche Qualifikation von Microsoft als Auftragsverarbeiter und nicht als Mitverantwortlicher im Sinne von Artikel 26 der DSGVO;
Um diese Risiken zu senken, empfiehlt die DSFA eine Reihe von Maßnahmen, die unterschiedlich komplex in der Umsetzung sind:
Übernehmen Sie die neuen Zero-Exhaust-Einstellungen.
Untersagen Sie zentral die Nutzung von Connected Services.
Untersagen Sie zentral die Möglichkeit für Benutzer, personenbezogene Daten an Microsoft zu senden, um "Office zu verbessern".
Verwenden Sie weder SharePoint Online noch OneDrive.
Verwenden Sie nicht die reine Web-Version von Office 365.
Löschen Sie regelmäßig das Active-Directory-Konto von Geheimnisträgern und erstellen Sie neue Konten für diese, um sicherzustellen, dass Microsoft die historischen Diagnosedaten löscht.
Erwägen Sie die Verwendung lokaler Konten (ohne Microsoft-Konto), um mit vertraulichen/sensiblen persönlichen Daten zu arbeiten.
Erwägen Sie, ein Pilotprojekt mit alternativer Software für bestimmte Funktionen durchzuführen, auch nachdem Sie eine DSFA hierfür vorgenommen haben. Dies würde im Einklang mit der Richtlinie der niederländischen Regierung stehen, offene Standards und Open-Source-Software zu fördern.
Eine weitere Möglichkeit besteht darin, den Internetzugriff vom Betriebssystem zu trennen. Dazu können die Internet-Rechner vom normalen Produktiv-Netzwerk getrennt werden. Das ist jedoch nicht nutzerfreundlich. Lösungen, die diese Netzwerktrennung auf Basis einer Virtualisierung vornehmen, bieten eine praktikablere Alternative. Hierbei wird auf dem Rechner eine virtuelle Maschine installiert, über die ein Online-Zugang via VPN möglich ist, die jedoch vom Betriebssystem getrennt ist. Dadurch kann kein Datenabfluss vom Rechner stattfinden. Ein Beispiel dafür ist der Browser in the Box (BitBox) von Rohde und Schwarz Cybersecurity, der 2011 von der Sirrix AG im Auftrag des BSI entwickelt wurde.
Windows 10 im Visier des BSI
Auch hierzulande wird Microsoft von den Behörden genauer unter die Lupe genommen. Das BSI untersucht gegenwärtig die Sicherheitseigenschaften von Windows 10. Die Analyse hört auf den Namen "SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10". Die ersten Ergebnisse der Behörde befassen sich mit der Übertragung von Telemetriedaten an die US-Server durch das Betriebssystem.
Die Problematik dabei ähnelt der von Office. Obwohl die Nutzer unterschiedliche Telemetrielevel einstellen können, ordnet der Telemetriedienst die vorhandenen Telemetriequellen diesen Leveln im laufenden Betrieb dynamisch zu. Hierfür lädt der Dienst mehrmals pro Stunde Konfigurationsdaten nach. Diese Einstellungen sind automatisch bei der Auslieferung von Windows 10 aktiviert.
Über die Einstellungen im Betriebssystem ist die Übertragung nicht vollständig deaktivierbar. Dazu sind umfangreiche und tiefgreifende technische Anpassungen notwendig, die das BSI in einer 27-seitigen Analyse (PDF) im Detail beschreibt. Laut Computerworld Schweiz müssen unter anderem verschiedene Microsoft-Dienste (unter anderem Windows-Update) deaktiviert oder spezielle Firewall-, DNS- sowie HTTP-Proxy-Einstellungen vorgenommen werden.
Weitere Ergebnisse aus der Studie wird das BSI zu einem späteren Zeitpunkt veröffentlichen. Die Analysen umfassen unter anderem Komponenten wie das Trusted Platform Module (TPM), VBS/DeviceGuard, die Windows Powershell, die "Application Compatibility Infrastructure", das Treibermanagement und den PatchGuard.