Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Deutsche Behörden kaufen fleißig Software bei Microsoft. Dabei gibt es erhebliche Sicherheitsbedenken, die das US-Unternehmen wohl immer noch nicht ausräumen konnte. Unklar ist etwa, welche Daten an den Konzern fließen.

Zwar kaufen Bund, Länder und Gemeinden Betriebssysteme und Office-Programme mehrheitlich von Microsoft, erhebliche Sicherheitsbedenken sind aber bislang nicht ausgeräumt worden. Das haben Recherchen von c't, dem RBB und dem Journalistenteam Investigate Europe ergeben. Hintergrund ist ein Rahmenvertrag, den das Bundesinnenministerium 2015 zur Beschaffung von Microsoft-Produkten mit dem US-Konzern aushandelte. Davor hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) aber einen Forderungskatalog an Microsoft formuliert. Inwieweit dieser auch durchgesetzt wurde, ist immer noch unklar.

Verdeckte Karten bei Microsoft

Das BSI monierte in dem Katalog unter anderem, dass Microsoft "mutmaßlich unangenehme Fragen in aller Regel völlig ignoriert" und verlangte eine vertraglich gesicherte Kooperation des US-Softwarekonzerns. Überdies verlangte es technischen Änderungen, um die Daten der Bürger vor fremdem Zugriff zu schützen. Grundsätzlich sollen Windows-Rechner, die in Behörden eingesetzt werden, uneingeschränkt kontrollierbar sein.

Peter Batt, IT-Direktor des Bundes im Bundesinnenministerium, räumte ein, dass die Umsetzung des BSI-Forderungskatalogs im aktuell gültigen Rahmenvertrag nicht gelungen, sondern erst später "nachverhandelt" worden sei. Über nähere Details könne das BSI Auskunft erteilen, doch die Sicherheitsbehörde verweigerte Journalisten von c’t, rbb und Investigate Europe eine Antwort und verwies auf "vertrauliche Vereinbarungen".

Datenklau mit unsichtbarem Formular

Zum automatisierten Abgreifen der E-Mail-Adressen muss die Autofill-Funktion im Browser aktiv sein. Nachdem der Nutzer während des Anmeldeprozesses auf der betreffenden Webseite dem dauerhaften Speichern der Login-Daten im Browser zugestimmt hat, lauert ihm das Tracking-Skript auf einer beliebigen Unterseite derselben Domain auf. Dort erzeugt es ein unsichtbares Login-Formular – und wartet anschließend einfach ab, bis der Login-Manager die abgefragten Daten selbständig einträgt.

Verschlüsselte Kommunikation mit Microsoft

In der Praxis gibt es noch erhebliche Probleme: Der IT-Dienstleister Dataport hat für mehrere Bundesländer bereits rund 100.000 Standardarbeitsplätze unter Windows eingerichtet und testet derzeit Windows 10 im Pre-Rollout. Gegenüber c’t erklärte Martin Meints, der bei Dataport für die Sicherheit der eingesetzten Systeme verantwortlich ist, dass unter Windows 10 trotz vollständig abgeklemmter Online-Services noch immer einige verschlüsselte Datensätze an Microsoft übermittelt werden.

Microsoft hat gegenüber Dataport bis heute nicht erklärt, welche Daten genau übermittelt werden. Das Unternehmen warnte Meints stattdessen, dass wenn die Datenübertragung gekappt würde, die Systemstabilität nicht mehr gegeben sei. Meints erwartet nun von Microsoft eine Erklärung dazu, was das bedeutet: "Ich brauche mindestens Transparenz. Erst dann kann ich entscheiden, ob ich das akzeptieren kann." Auch die Bayerische Datenschutzaufsicht bemüht sich seit Monaten, die nicht zu beseitigenden Datenübertragungen zu klären. Bislang vergeblich.

...

Hier zum vollständigen Text

Herausgeber: heise.de

 


Weitere Datenschutz News

 

Gefährliche Trojaner-Welle Emotet legt ganze Firmen lahm 05.12.2018 Lesen
Passwörter im Klartext: 20.000 Euro Bußgeld nach DSGVO gegen Knuddels.de 23.11.2018 Lesen
Neue betrügerische Bewerbungsmail mit Erpressungstrojaner im Umlauf 07.11.2018 Lesen
DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen 23.10.2018 Lesen
Erpressungstrojaner verbreitet sich über gefälschte Bewerbungsmails 04.09.2018 Lesen
Bundescloud: Open-Source mit Nextcloud statt Dropbox oder Google Drive 19.07.2018 Lesen
Datenleck bei Domainfactory: Kunden sollen Passwörter ändern 07.07.2018 Lesen
Millionen Gmail-Nutzer betroffen: Externe App-Entwickler könnten E-Mails mitlesen 03.07.2018 Lesen
DSB-Meldung - online & sicher 22.05.2018 Lesen
3 von 4 Unternehmen verfehlen die Frist der Datenschutz-Grundverordnung 20.05.2018 Lesen
Datenschutz in der Cloud: US-Gerichtshof urteilt über Zugriff auf europäische Daten 28.02.2018 Lesen
Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 17.02.2018 Lesen
Tracking-Skripte klauen E-Mail-Adressen aus Web-Browsern 05.01.2018 Lesen
Neue EU-Datenschutzgrundverordnung: Vielen Firmen drohen böse Überraschungen 25.11.2017 Lesen
Uber verschwieg Daten-Diebstahl bei 50 Millionen Kunden 22.11.2017 Lesen