Privacy Handbuch

Mit Windows 8.0 hat Microsoft begonnen, dass bei Smartphones akzeptierte Device- based Tracking auch bei PCs einzuführen. Ähnlich wie Google bei Android will Microsoft als einer der fünf größten Datensammler im Internet seine Datenbestände erweitern und besser personalisieren. Das war der Anfang.

Das Erstellen eines User-Account unter Windows 8.1 wurde ein echtes Dark Pattern. Der Nutzer wird massiv gedrängt, den User-Account auf dem Rechner mit einem Online Konto bei Hotmail oder Windows Live zu verbinden. Nur wenn man in der Eingabemaske falsche Angaben macht, findet man in der Fehlermeldung den unscheinbaren Link für das Erstellen eines User-Account ohne Online Konto bei Microsoft.
In Windows 10 wurde das Device-based Tracking weiter ausgebaut. Es wird für jeden Account auf dem Rechner eine "Unique Advertising ID" generiert. Diese ID wird auch Dritten zur eindeutigen Identifikation zur Verfügung gestellt.

In der neuen Privacy Policy von Microsoft (Juli 2015) steht außerdem:
We will access, disclose and preserve personal data, including your content (such as the content of your emails, other private communications or files in private folders), when we have a good faith belief that doing so is necessary ...
Privaten Daten, die Microsoft in der Standardkonfiguration sammelt:
- Persönliche Interessen, die sich aus dem Surfverhalten ergeben sowie aus den per Apps gesammelten Daten werden an Microsoft gesendet (eine Sport-App sendet die bevorzugten Teams, eine Wetter-App die häufig angefragten Städte...)
- Standortdaten aller Geräte mit Windows werden an Microsoft übertragen. Es wird bevorzugt GPS oder die WLANs der Umgebung genutzt, um den Standort so genau wie möglich zu bestimmen.
- Kontaktdaten der Freunde und Bekannten werden an Microsoft übertragen, wenn man Tools von Microsoft als Adressbuch nutzt.
- Inhalte von E-Mails, Instant Messages und Voice/Video Messages (z.B Skype) gehören ebenfalls zu den den Daten, die Microsoft sammelt.
- Der Windows Defender übermittelt alle installierten Anwendungen.
- Mit der digitalen Assistentin "Cortana" wird in der Standardkonfiguration eine Art Abhörzentrale eingerichtet, die das Wohnzimmer direkt mit Microsoft verbindet.
  
  Mit dem Anniversary Update zum 02. August 2016 wird es fast unmöglich gemacht, die aufdringliche, spionierende "Cortana" abzuschalten, da die digitale Assistentin die komplette Suche bereitstellt (sowohl lokal als auch im Web).
- Das Schreibverhalten wird analysiert und an Microsoft gesendet. Das Profil der typischen Tastenanschläge könnte zukünftig für die Identifikation bei Texteingaben in Webformularen oder Chats genutzt werden (Stichwort: Keystroke Biometrics).
- Die eindeutige UUID, die Windows bei der Kommunikation mit Microsoftservern sendet (z.B. bei Softwareupdates), wird vom NSA und GCHQ als Selektor für Taylored Access Operations (TAO) verwendet, um gezielt die Computer von interessanten Personen oder Firmen anzugreifen.
- Als besonderes Highlight gehören auch die automatisch generierten Recovery Keys der Festplattenverschlüsselung Bitlocker zu den Daten, die MS in seiner Cloud sammelt und NSA/FBI/CIA zur Verfügung stellt. (Crypto War 3.0?)
  
  Mit Windows 10 Pro oder Enterprise kann man den Upload des Recovery Key verhindern, indem man den Rechner einmal komplett verschlüsselt (mit Key Upload), dann die Verschlüsselung deaktiviert (damit muss das System wieder komplett entschlüsselt werden), den alten Recovery Schlüssel löscht und nochmal den Rechner komplett verschlüsselt. Erst beim zweiten Versuch wird man gefragt, ob man den Recovery Key evtl. lokal sichern möchte. Das kostet Zeit und ist auch wieder ein echtes Dark Pattern.
Wenn man es schafft, einen Benutzeraccount ohne Cloud Anbindung einzurichten und in den Einstellungen unter Datenschutz die Privacy Features aktiviert, kann man die Sammelleidenschaft etwas reduzieren aber nicht vollständig abstellen.
Experten des BSI warnten 2013 vor dem Einsatz von Windows 8 in Kombination mit TPM 2.0 und bezeichneten es als inakzeptables Sicherheitsrisiko für Behörden / Firmen. Nutzer eines Trusted-Computing-Systems verlieren nach Ansicht der Experten die Kontrolle über ihren Computer. (Das ist doch der Sinn von Trusted Computing - oder?)
Aus Sicht des BSI geht der Einsatz von Windows 8 in Kombination mit einem TPM 2.0 mit einem Verlust an Kontrolle über das verwendete Betriebssystem und die eingesetzte Hardware einher. Daraus ergeben sich für die Anwender, speziell auch für die Bundesverwaltung und kritische Infrastrukturen, neue Risiken.
T. Baumgärtner von Microsoft(!) erklärte in einer Antwort auf die BSI Empfehlung:
Das betrifft aber nur bestimmte Behörden, der Verfassungsschutz oder der BND sollten das System natürlich besser nicht nutzen.
[...]
Für normale Nutzer bietet das TPM 2.0 ein "enormes Plus an Sicherheit".
Ähmmm...

Microsoft ist seit 2007 Partner im PRISM Programm der NSA.