Big Brother Bill

Microsofts heimliche ID-Nummern - angeblich eine Panne

Trends & News | News

Dieses Mal war Microsoft wirklich allen voraus: Während Datenschützer noch heiß über die eingebrannte Seriennummer des Pentium III und die davon vielleicht irgendwann ausgehende Gefahr diskutieren, haben die Redmonder ihre Kunden längst heimlich numeriert und offenbar Identifikationsnummern in einer Datenbank gesammelt.

"Genau das, was die Leute von Intels ID-Nummern befürchten, hat Microsoft schon in Betrieb", sagte Richard M. Smith, Präsident der Software-Firma Phar Lap, in einem Interview mit c't. Smith ist es zu verdanken, daß die seit langem umherschwirrenden Gerüchte über heimliche Datenschnüffelei bei Microsofts Online-Registrierung jetzt eine faktische Grundlage haben.

Ausgangspunkt war Smiths Beobachtung, daß seine Word- und Excel-Dokumente einen versteckten "Fingerabdruck" enthielten: die Adresse der in seinem PC eingebauten Netzwerkkarte. "Yikes! Die Ethernet-Adapter-Adressen (oder MAC-Adressen) sind 48-Bit-Zahlen, die genauso einmalig sind wie die Pentium-III-Seriennummern", schrieb Smith Anfang März in einer Newsgroup. Dieselbe Nummer fand er ein paar Tage später in der Log-Datei des Registration Wizard. Daraufhin äußerte Smith den Verdacht, daß sie dabei auch an Microsoft übermittelt worden sei.

In Redmond schrillten die Alarmglocken, als die New York Times Smiths Entdeckung in einem Artikel über Datenschutzprobleme in den Zusammenhang mit der umstrittenen Pentium-III-Seriennummer stellte. Ja, es gebe einen Globally Unique Identifier (GUID), der die MAC-Adresse enthalten könne, bestätigte Microsoft-Manager Robert Bennet der Zeitung. Weiter behauptete er, der GUID werde aber nur dann bei der Registrierung übertragen, wenn der Anwender ausdrücklich die Option "Systemdaten mit Registrierung einsenden" ausgewählt habe. Dies sei vorgesehen, um Kunden besser bei der Diagnose von PC-Problemen helfen zu können.

Danach wurden die Einlassungen Stück um Stück korrigiert: Es sei eventuell möglich, daß die Nummer auch dann übermittelt werde, wenn der Anwender die Option abgeschaltet habe, räumte Bennet im nächsten Interview (mit Associated Press) ein: "Wir prüfen das. Wenn es so ist, ist es ein Bug. Wenn es wirklich so ist, werden wir das unbedingt reparieren." Ähnlich lautete auch noch der Tenor einer offiziellen Stellungnahme, die Microsoft am vergangenen Montag im Web veröffentlichte. Am Montagabend schließlich bestätigte Andréas Berglund, Microsoft-Manager für International Marketing, gegenüber c't ganz definitiv: Ob der Anwender will oder nicht, der GUID wird bei der Online-Registrierung immer zum Microsoft-Server geschickt. Ein unabsichtlicher Fehler im Software-Design sei das, versicherte er. "We are really sorry."

Daß die heimliche Übertragung trotz einschlägiger Verdächtigungen nicht früher aufgedeckt wurde, liegt daran, daß die Daten verschlüsselt werden. Wir haben jedoch nach einigen Experimenten einen Weg gefunden, das Verschlüsseln zu verhindern ([#k2 siehe Kasten]). So können zumindest versierte Anwender den Datentransfer beobachten und sind in diesem Punkt nicht mehr auf blindes Vertrauen angewiesen.

Die versteckten GUIDs in den vom Anwender gespeicherten Dokumenten, deretwegen Microsofts angebliche Panne aufflog, sind also nur ein Zipfel der Wahrheit. Sie waren wohl sogar ursprünglich für einen guten Zweck konzipiert: nämlich dazu, das Verknüpfen solcher Dokumente in Netzwerken zu ermöglichen. "Das hatten sie anscheinend damit vor, aber sie haben es nie umgesetzt", sagte Smith zu c't.

Wir haben GUIDs vereinzelt auch in EMails gefunden, die mit Microsofts Outlook verschickt worden waren. Andererseits wurden vereinzelt Fälle berichtet, in denen sie in DOC- und XLS-Dateien fehlten. Wovon die Kennzeichnung abhängt, blieb bis zum Redaktionsschluß unklar. Sie ist jedenfalls nicht auf Windows 98 beschränkt: Mit Office 97 erstellte Dokumente, die unter Windows 95 oder unter Windows NT erzeugt wurden, waren ebenfalls mit GUIDs verziert. Wir fanden sie auch in Word- und Powerpoint-Dateien, die wir unter einer Vorabversion von Windows 2000 anlegten. Und wir entdeckten sie vereinzelt in Cookies, die nicht von Microsoft stammten; einige Webmaster haben den idealen Identifikator also bereits für sich entdeckt.

Wie es aussieht, werden die GUIDs stets bei der Installation eines der Microsoft-Anwendungsprogramme erzeugt. Mit dem ebenfalls 128bittigen System-GUID stimmen sie in den letzten sechs Byte überein: Dort steht entweder die MAC-Adresse der Netzwerkkarte oder - falls kein Adapter installiert ist - eine ersatzweise gebildete, mit hoher Wahrscheinlichkeit gleichfalls eindeutige Nummer. Den Algorithmus hat Microsoft von der Open Software Foundation übernommen und lediglich ein wenig erweitert.

Die GUIDs in den Dokumenten stellen natürlich an sich bereits ein Datenschutzproblem dar: Durch Vergleich mit anderen Dateien, deren Herkunft bekannt ist, ließe sich etwa der Autor eines Word-Dokuments auch dann ermitteln, wenn er dies nicht wünscht und die entsprechenden Angaben in den "Datei-Eigenschaften" gelöscht hat. Was Polizei und Staatsanwaltschaft begrüßen mögen, weil sich auf diesem Wege möglicherweise ein anonymer Absender dingfest machen läßt, ist sicherlich nicht jedem Word-Benutzer recht.

Wesentlich brisanter ist aber die Frage, wozu Microsoft die übermittelten ID-Nummern nutzt. Anhand einer umfassenden Datenbank mit GUIDs und Personendaten wäre die Firma jedenfalls in der Lage, die Herkunft jeder markierten Datei zu ermitteln. So ließe sich etwa feststellen, welcher registrierte Windows-98-Anwender mit nicht registrierten Microsoft-Applikationen arbeitet. Auch wenn das nach heutigem Stand noch ohne Konsequenzen bliebe, vermutet Smith, daß die Redmonder auf diesem Wege heimlich ein Verfahren zum Aufspüren von Raubkopierern vorbereiten wollten. Microsoft weist den Verdacht zurück.

Das ist noch nicht alles: Bei der Registrierung richtet Microsoft auf dem PC ein individuelles "Cookie" inklusive eines GUID ein, das fortan bei jedem Besuch auf einer Microsoft-Website abgefragt wird. Er ist nicht identisch mit dem GUID, der bei der Registrierung übermittelt wird, aber Microsoft könnte beide in einer Datenbank abgleichen. Jedenfalls stellt das Microsoft-Cookie offenbar ein weiteres weltweit eindeutiges Merkmal dar, anhand dessen jeder registrierte Kunde im Internet identifiziert werden kann. Microsoft hat damit also bereits die Infrastruktur für ein System etabliert, gegen das die vermeintliche Gefahr durch Intels Seriennummern sich geradezu niedlich ausnimmt.

Die Redmonder weisen - kaum überraschend - jede unlautere Absicht weit von sich. Bennet: "Microsoft hat diese Identifizierung oder irgendeine andere auf keinen Fall verwendet, um das Nutzerverhalten zu verfolgen oder Marketing zu machen." Im nächsten Service-Pack soll nun das Registrierprogramm von Windows 98 geändert werden, so daß es keine GUIDs mehr heimlich überträgt. Auch Office 2000 soll keine GUIDs mehr in die Dateien schreiben. Bis dahin sollen Anwender sich mit Hilfe eines Tools, das Microsoft bei Redaktionsschluß dieser Ausgabe allerdings noch nicht bereitgestellt hatte, unerwünschter GUIDs entledigen können. Außerdem will Microsoft alle "versehentlich" gesammelten Daten aus seinen Datenbanken löschen.

Die Frage bleibt, warum Microsoft es erst darauf ankommen ließ, erwischt zu werden. Angesichts der scharfen Debatte um die Seriennummer des Pentium III, die in den USA immerhin zu Boykottaufrufen und einem Verbotsantrag bei der Federal Trade Commission geführt hat - ist es da plausibel, daß die Verantwortlichen in Redmond keine Ahnung von den wesentlich brisanteren Mechanismen hatten, die in ihre Software und das Registrierverfahren implementiert sind?

Richard M. Smith jedenfalls glaubt an diese Version nicht: "Meine Meinung ist, das haben sie in voller Absicht eingebaut."(ps)

[1] http://www.microsoft.com/asf/spec3/c.htm

[#anfang Seitenanfang]


Die MAC-Adresse ist normalerweise nur auf dem eigenen Rechner und im eigenen Netzwerkstrang (LAN) verfügbar. Da die Kennung mittelbar auch den Inhaber der Netzwerkkarte identifiziert, dürfte sie nach den deutschen Datenschutzgesetzen als schutzwürdig gelten. Damit müßte Microsoft den Anwender vor dem Übertragen und Speichern informieren.

Die obligatorische Zustimmung zur Weitergabe der Nutzerinformationen an Tochtergesellschaften könnte gegen einen weiteren Grundsatz des TDDSG verstoßen: "Der Dienstanbieter darf die Erbringung von Telediensten nicht von einer Einwilligung des Nutzers in eine Verarbeitung oder Nutzung seiner Daten für andere Zwecke abhängig machen ..."

Der für Microsoft Deutschland zuständige oberste bayerische Datenschützer für den "nicht-öffentlichen Bereich", Ministerialrat Christian Wilde, teilte mit, der Sachverhalt werde zur Zeit rechtlich geprüft, er könne noch keine öffentliche Stellungnahme abgeben.

Laut TDDSG ist der Nutzer "berechtigt, jederzeit die zu seiner Person ... gespeicherten Daten unentgeltlich beim Diensteanbieter einzusehen. Die Auskunft ist auf Verlangen des Nutzers auch elektronisch zu erteilen." Wer wissen will, was Microsoft bei der Registrierung genau erfaßt hat, kann also einfach mal nachfragen.

[#anfang Seitenanfang]


Der Assistent zur Online-Registrierung in Windows 98 kommuniziert mit einem speziellen Server bei Microsoft - ähnlich wie ein Browser mit einem Web-Server. Beim ersten Kontakt antwortet der Server mit einem Redirect und drückt dem Client ein Cookie auf. Dieses Cookie enthält eine spezielle GUID, die in den Protokolldateien der Registrierung "MSID" heißt. Jede weitere Kommunikation erfolgt unter Bezug auf diese MSID.

Die Online-Registrierung benutzt anscheinend Teile des Internet Explorer. Stellt man dort eine höhere Sicherheitsstufe ein, wird vor der Cookie-Übergabe nachgefragt. In der Standardeinstellung jedoch gelangt das Cookie unbemerkt auf die Platte. Der Benutzer ist bei Zugriffen auf die microsoft.com-Domain jederzeit persönlich identifizierbar.

Wer noch drastischer in die Sicherheitseinstellungen eingreift und dem Internet Explorer jede Art Verschlüsselung verbietet, kann mit geeigneten Mitteln sogar die Kommunikation bei der Registrierung belauschen. Dazu ist ein sogenannter Packet Sniffer nötig. Er protokolliert den Datenverkehr mit der Außenwelt.

Im Klartext bekommt man dann die Daten zu sehen, die Windows 98 bei der Online-Registrierung nach Redmond schickt. Es sind tatsächlich dieselben, die Windows 98 unverschlüsselt in einer Protokolldatei aufführt (im Temp-Verzeichnis der Windows-Installation die Datei regwiz.log). Bei unseren Versuchen wurde stets die erzeugte GUID als sogenannte HWID übertragen.

Die MSID als zweite eindeutige ID-Nummer dient der Identifizierung der Person. Die HWID hingegen ist eine an die Windows-Installation auf einem bestimmten Rechner gebundene Nummer (bei einer Neuinstallation wird sie neu erzeugt).

Anzeige
Anzeige