Menü

Microsoft erhält Datenschutz-Gütesiegel für Lizenzprüfungsfunktion

Von
vorlesen Drucken Kommentare lesen 141 Beiträge

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat Microsoft eine Unbedenklichkeitserklärung für das umstrittene Programm Windows Genuine Advantage (WGA) ausgestellt. Die Datenschützer haben das Verfahren, das die Autorisierung von Lizenzen für Windows XP oder Windows Server prüft und dabei nach Erkenntnissen von heise Security zahlreiche Informationen nach Redmond funkt, am heutigen Montag mit einem Datenschutz-Gütesiegel ausgezeichnet. Die Begutachtung erfolgte durch die beim ULD anerkannten Prüfstellen TÜV Informationstechnik (TÜViT) sowie die Firma 2B Secure, einen Ableger der Firma 2B Advice.

Die Gutachter haben dem Datenschutzzentrum zufolge insbesondere untersucht, welche Daten im Rahmen von WGA vom Rechner des Nutzers an Microsoft übermittelt werden und wie diese von den Redmondern verarbeitet werden. Dabei bestätigten die Prüfer, dass das Programm in großem Stil Daten zur Identifizierung des Rechners in die Microsoft-Zentrale überträgt. Deren Personenbeziehbarkeit werde aber durch den Einsatz unterschiedlicher Hash-Verfahren und durch organisatorische Festlegungen innerhalb Microsofts unterbunden, heißt es in einem öffentlichen Kurzgutachten (PDF-Datei) zu der Zertifizierung. Dadurch werde auch im Nachhinein keine Identifizierung von Nutzern durch Microsoft möglich. Der Softwareriese hatte zuvor bereits wiederholt beteuert, dass er die per WGA und bei Update-Prozessen gesammelte Informationen nicht nutze, um Anwender zu identifizieren oder zu kontaktieren. Beim Verdacht auf Softwarepiraterie würden die Kennung und der Schlüssel zu einem Produkt aber gespeichert bleiben.

Achim Berg, Vorsitzender der Geschäftsführung von Microsoft Deutschland, kündigte bei der Annahme des Gütesiegels an, dass das Unternehmen in Ergänzung zu den intensiven internen Prüfungen auch künftig externe Zertifizierungen und Prüfungen zur Sicherstellung des Datenschutzes durchführen lassen werde. Man wolle den Kunden "ein besonders hohes Niveau an Sicherheit bieten, wenn es um den Schutz ihrer Privatsphäre geht". Berg unterstrich, dass Microsoft als international tätige Firma nach den höchsten Standards für den Datenschutz strebe, wie sie in Europa gälten. Der ULD-Leiter Thilo Weichert begrüßte, dass Microsoft "offensichtlich die Bedeutung eines proaktiven Datenschutzes zur Vertrauensbildung bei der Kunden erkannt hat". Mit der Zertifizierung werde Transparenz für die Kunden geschaffen und ihnen die Einhaltung der Zweckbestimmung der für die Lizenzprüfung in die USA übermittelten Daten versichert.

Das ULD hatte Microsoft im Februar bereits mit einem ersten Gütesiegel ausgezeichnet, damals für die beiden Dienste "Microsoft Update Service 6.0" und "Windows Server Update Service 2.0". Klaus Brunnstein, Präsident der International Federation for Information Processing und langjähriger Informatikprofessor an der Universität Hamburg, vermisste bei den Gutachtern damals aber die erforderliche Weitsicht. Ein Zertifikat für eine isolierte Funktion in einem nicht isolierbaren Umfeld stellte eine "Irreführung der Anwender" dar, bemängelte der Sicherheitsexperte. Für Windows-Systeme hat Brunnstein angesichts "exzessiver Protokollierung von Profilen" unter Einbeziehung sensitiver Nutzerdaten "erhebliche Bedenken" in puncto Datenschutzkonformität. Das ULD habe damit seinen guten Ruf aufs Spiel gesetzt.

Zur WGA-Echtheitsüberprüfung siehe auch:

(Stefan Krempl) (jk)