Totalüberwachung und Sicherheits-Albtraum für Windows-Nutzer durch Copilot+ Recall

Als Video ansehen
Bereitgestellt über YouTube

Totalüberwachung und Sicherheits-Albtraum für Windows-Nutzer durch Copilot+ Recall

Videobeitrag, Windows DMW007

Dass Windows seit Jahren zunehmend neugieriger wird, ist nicht neu. Doch „Recall“ aus Copilot+ toppt alles: „Security-Alptraum“ wird es von unabhängigen Sicherheitsexperten genannt. Selbst ehemalige Microsoft-Mitarbeiter sehen damit die Sicherheit des Windows-Ökosystems völlig untergraben und raten davon ab. Dieser Beitrag wirft einen Blick darauf, was Windows-Nutzer diesmal erwartet.

Was ist „Recall“?

Microsoft ist bekanntlich voll in den Hype um künstliche Intelligenz eingestiegen und setzt dafür auf Prozessoren mit NPU-Einheit.1 Sie ist auf maschinelles Lernen optimiert und soll daher effizienter sein, als Prozessor (CPU) und Grafikprozessor (GPU). Dass man dort zukünftig überall „KI“ einbauen will, wurde spätestens mit der Ankündigung im Januar deutlich: Die Standard-Tastatur soll mit einer Copilot-Taste ausgestattet werden.2

Auf der Entwicklerkonferenz Build 2024 stellte Microsoft kürzlich die neuesten Funktionen vor. Unter anderem soll der Edge-Browser Videos von YouTube in Echtzeit übersetzen können.3 Diese sind jedoch großteils untergegangen, weil der Konzern mit einer anderen Funktion schockiert: Copilot+ bringt nichts geringeres als die endgültige Totalüberwachung für Windows Nutzer. Konkret erstellt Copilot+ automatisch Bildschirmfotos vom gesamten Bildschirm im Sekundentakt. Sie werden von einer „Künstlichen Intelligenz“ analysiert, damit sämtliche Inhalte durchsucht werden können.4

Die (an sich sinnvolle) Idee

Für diese Suche gibt es keine Anwendungsgrenzen mehr. Bisher muss der Nutzer wissen, wo die gewünschten Inhalte liegen: Habe ich eine Webseite im Browser aufgerufen? Dann durchsuche ich dessen Verlauf. War es eine Datei? Sie muss im Dateisystem liegen, also nutzen wir die Windows Suche. Es können aber auch weitere Anwendungen sein – etwa eine Software für Notizen. Erfahrenere Nutzer werden meist zumindest grob wissen, wo sie etwas abgelegt haben oder in welchem Format.

Insbesondere für die alltäglichen Anwender dürfte es eine Erleichterung sein, auf einen Schlag alles durchsuchen zu können. Möglicherweise finden sich dadurch auch Zusammenhänge – besonders, wenn Informationen verstreut sind. Etwa eine Datei, die per E-Mail versendet und dort diskutiert wurde. Die Windows-Suche versucht dies im Ansatz bereits seit längerem, in dem etwa neben lokalen Dateien weitere Quellen wie Microsoft-Software oder das Web durchsucht werden. Allerdings mit mäßigem Erfolg. Ein ehemaliger Windows 11 Entwickler äußerte sich darüber, dass der Konzern mit der Suche ein halbfertiges Produkt ausgeliefert hat, welches selbst auf sehr leistungsfähiger Hardware ein schlechtes Nutzererlebnis bietet.5

Rewind konnte das 2022 schon

Das Konzept dahinter ist nicht brandaktuell. Bereits im Oktober 2022 wurde mit Rewind eine ähnliche Anwendung für MacOS vorgestellt, die jedoch ausschließlich auf Macs mit ARM-Prozessor genutzt werden kann.6 Außerdem ist sie weiterhin ausschließlich auf Apples Betriebssystem nutzbar und damit eine Nische.7 Außerdem handelt es sich um ein Drittanbieter-Programm.

All dies sorgte dafür, dass Rewind in den Medien vergleichsweise wenig Aufmerksamkeit geschenkt wurde. Bei „Recall“ sind jedoch zwei entscheidende Dinge anders: Es wurde von Microsoft entwickelt und als solches beglückt der Konzern zukünftig sämtliche Nutzer des Windows-Betriebssystems damit. Darüber hinaus hat Windows deutlich höhere Marktanteile.

Die massiven Gefahren von Microsoft Recall: Ex-Mitarbeiter warnen

Zwar beteuert Microsoft, dass die Daten lokal auf dem Computer des Nutzers gespeichert werden. Dafür muss euer System mindestens 256GB Speicher besitzen, von denen 50 GB verfügbar sind. Etwa 25GB verwendet „Recall“ aus Copilot+ für die Bildschirmfotos. Zwar sollen diese Daten zur Abwechslung nicht in Microsofts Clouddiensten landen. Dennoch landen an anderer Stelle zumindest die eingegebenen Promts in der Cloud, um zu entscheiden, ob der Konzern sie in Ordnung findet, oder fragwürdige lieber blockiert. Das führt zu längeren Reaktionszeiten.8 Ob es Prüfungen gibt wie bei ihren Clouddiensten, die im Zweifel zu automatischen Anzeigen führen, bleibt offen – technisch leicht möglich.9 Selbst wenn es nicht ganz so weit kommt: Schlussendlich kontrolliert Microsoft damit noch mehr als ohnehin schon, was auf Windows-PCs gemacht werden darf.10

Schutzmaßnahmen gibt es lediglich für Inkognito-Fenster im Edge-Browser, der zufällig vom gleichen Unternehmen stammt. Ansonsten werden lediglich Inhalte mit digitalem Kopierschutz (DRM) ausgenommen. Szenen aus z.B. einem Netflix-Film wird euch „Recall“ also nicht zeigen. Eure Daten selbst sind für Microsoft nicht schützenswert. Eingegebene Bankdaten oder im Klartext sichtbare Zugangsdaten? Dein Problem. Sensible Dokumente wie z.B. ärztliche Diagnosen? Finden Windows-Nutzer zukünftig in Copilot+ wieder. Eben so wie der Titel des letzten peinlichen Pornos, zur besseren Verdeutlichung inklusive Bildschirmfoto und Zeitstempel.

Über Monate hinweg lässt sich lückenlos nachverfolgen, was ihr gemacht habt. Darüber freuen sich unter Umständen nicht nur Mitbewohner, Partner(innen) oder Arbeitgeber: Eine Schadsoftware kann in Minuten große Mengen an Daten abgreifen und später nach Informationen durchsuchen, die sich missbrauchen lassen. Nacktbilder für Erpressungen sind nur eines von vielen unter Kriminellen beliebten Möglichkeiten.11 Der unabhängige Sicherheitsforscher Kevin Beaumont arbeitete bereits für Microsoft und warnt vor u.a. diesem Szenario. Er bezeichnet „Recall“ als „einen neuen Security-Alptraum“ und betrachtet ihn als Keylogger.12 Beaumont rät von der Nutzung ab und sieht darin die nächste große Untergrabung der Sicherheit des Windows-Ökosystem.

Wer traut einem unglaubwürdigen, unsicheren Unternehmen noch?

Das größte Problem bei diesen ganzen Versprechen zu Sicherheit und Privatsphäre: Microsoft beweist ständig, dass sie das Papier nicht wert sind, auf dem sie stehen. Tausende Spezialisten sollen alleine in Azure an der besten Sicherheit arbeiten, die man für Geld kaufen kann. Was kam dabei heraus? BingBang, ein stupider Konfigurationsfehler, entwickelt von Microsoft, auf den der Konzern selbst herein fällt. Microsoft 365 wurde wegen einer ganzen Reihe schwerer Sicherheitsmängel gehackt, inzwischen sogar mehrmals. Der Konzern hat sein totales Versagen nicht mal zugegeben, sondern sogar noch heruntergespielt. Microsofts Mitarbeiter verlieren auch gerne mal größere Mengen an Daten. Ende 2023 beispielsweise 38 Terrabyte mit sensiblen Informationen wie Zugangsdaten.13 Kein Einzelfall, die Liste könnte man noch ewig fortsetzen. Sicherheit steht bei Microsoft nicht im Fokus. Hippe KI-Funktionen mit wohlwollenden Slogans dagegen schon.

Auch in Windows hält sich Microsoft nicht mal an sein Wort abseits von Sicherheitsfragen. So wurde der Zwang zum Microsoft-Onlinekonto beispielsweise erst für Windows 11 Home eingeführt. Wer das nicht wollte, solle einfach auf Pro wechseln, heißt es. Später kam der Zwang zum Onlinekonto jedoch auch in Windows 11 Pro und lässt sich zunehmend schwerer umgehen.14

Die Datensammelwut in Windows 10 geht sogar so weit, dass sie für Anwender kaum noch beherrschbar und längst nicht mehr komplett abschaltbar ist.15 Selbst Aufsichtsbehörden haben Mühe, den Umfang der gesammelten Informationen überhaupt zu erkennen.16 Wer sich durch tiefe Einstellungen und Gruppenrichtlinien bzw. Drittanbieter-Werkzeuge kämpft, um das nach Hause telefonieren wenigstens zu reduzieren, kann ebenfalls nicht aufatmen: Die vom Nutzer aktivierten Datenschutzeinstellungen wurden bereits mehrfach durch Windows Updates entfernt, sodass wieder alle Daten an Microsoft fließen.17 Natürlich versehentlich.

Sind Windows Nutzer bereits gefährdet?

Zumindest vorerst nicht von Copilot+, denn dieser verlangt einen Snapdragon-X-NPU. Er erscheint erst im Juni 2024, bisher lassen sich damit bestückte Geräte nur vorbestellen. Passende Hardware von Intel und AMD soll in der zweiten Jahreshälfte 2024 folgen. Im Gegensatz zu anderen Zwangsbeglückungen landen „Recall“ & co. also nicht mit dem nächsten Windows Update auf jedem Gerät. In ein paar Jahren wird das allerdings schon anders aussehen. Zumal der Konzern Windows 10 ab 2025 nicht mehr unterstützt, sodass ohnehin bald einige neue PCs gekauft werden.18

Nächster Schritt: Ab in die Cloud! Was soll da schon schief gehen?

Der Schritt hin zu einer kompletten Cloud-Synchronisation ist dann nicht weit. Schließlich wäre es doch super praktisch, am PC auch den Verlauf des Laptops durchsuchen zu können und anders herum. Das dafür nötige Microsoft-Konto erzwingen sie mit Windows 11 bereits. Spätestens damit sind wir in der nächsten Eskalationsstufe: Geheimdienste werden Anspruch auf Zugang zu diesen Daten erheben. Ein beliebter Vorwand ist der Schutz von Kindern, in dessen Namen bereits die Daten der Nutzer von großen Clouddiensten durchleuchtet werden.19 Große Konzerne wie Microsoft & co. helfen intensiv mit Zugriff auf Daten.20

Und nein, es geht hier natürlich nicht um die Ermöglichung oder den Schutz schwerer Straftaten wie der Verbreitung von Kinderpornografie. Dies wird gerne als Nebelkerze unterstellt. Sondern um den legitimen Schutz von privaten oder gefährlichen Daten. Neben dem menschlichen Anspruch auf Privatsphäre gibt es viele weitere Gründe, wie etwa Journalisten, die sich in weniger freien Ländern schützen müssen. Für Geheimdienste gibt es diese Differenzierung nicht: Wie wir seit den Snowden-Enthüllungen wissen, sieht die NSA pauschal alle Nutzer des Anonymisierungsnetzwerkes Tor als Extremisten.21 Auch wer Verschlüsselung nutzt, um sich und seine Daten zu schützen, gilt als verdächtig.22 Stellen wir uns das außerhalb des Internets vor: Wer seine Haustür abschließt, ist ein potenzieller Verbrecher. Absurd? Natürlich. Warum soll es im digitalen Raum anders sein?

Es ist bereits schwieriger geworden, derartiger Massenüberwachung zu entkommen. Mittlerweile sind Clouddienste kein Opt-In mehr, die wir bewusst wahrnehmen müssen, falls gewünscht. Sondern ein Opt-Out: Standardmäßig überall gefordert und aktiv, außer man schaltet sie bewusst ab. Dennoch ist es mit Aufwand möglich, selbst unter Windows lässt sich (bislang) einiges machen – wenngleich man maximale Sicherheit und Privatsphäre damit kaum noch erreichen kann.

Fazit: Ist das noch ein PC?

Die Idee hinter „Recall“ wäre spannend – wenn es sich um freie und transparente Software handeln würde, die man freiwillig installiert, wie jedes andere Programm. Stattdessen baut Microsoft sie in ein proprietäres Betriebssystem ein und verlangt von Nutzern die manuelle Abschaltung bzw. Einschränkung. Das kommt von einem Konzern, der dafür bekannt ist, Versprechen jederzeit zu ändern sowie Sicherheit eher als Bremse für neue hippe KI-Funktionen sieht, statt fundamentale Anforderung zum Schutz der Nutzerdaten. Im jetzigen Zustand überwiegt die Missbrauchsgefahr stark.

Man kann hinterfragen, in wie weit der Begriff „Personal Computer“ zumindest bei Windows mit „Recall“ überhaupt noch angemessen ist.23 Microsoft greift seit Jahren nach immer mehr Daten, während in der gleichen Zeit die tatsächliche Sicherheit auch noch immer stärker vernachlässigt wird. Für die Nutzer ist das ein Sicherheits-Albtraum, wie Herr Beaumont es treffend zusammen fasste.

Es ist weder die letzte, noch wird es die letzte Daumenschraube gewesen sein, so lange genügend Leute weiterhin Windows kaufen und nutzen. Warum auch? Wütende Internet-Kommentare reduzieren den Konzernumsatz nicht, nur der zählt aus Sicht von Microsoft & co. Daher erlaubt man sich derartiges mit Windows seit Jahren. Wer Datenschutz & Sicherheit nicht endgültig aufgeben möchte, sollte das als letzte Warnung sehen, zu einem freien Betriebssystem zu wechseln.24 Etwas positives hat Microsofts radikale Unternehmenspolitik ja: Der Anteil an GNU/Linux Nutzern wächst und wächst mit jeder neuen Zumutung, die sie den Nutzern aufdrängen.25 Danke Satya Nadella! Lange hat es gedauert, aber besser später als nie.

Quellen

  1. https://www.computerbase.de/2024-03/was-ist-ein-ai-pc-next-gen-ai-pcs-muessen-40-tops-npu-leistung-bieten/ ↩︎
  2. https://blogs.windows.com/windowsexperience/2024/01/04/introducing-a-new-copilot-key-to-kick-off-the-year-of-ai-powered-windows-pcs/ ↩︎
  3. https://www.computerbase.de/2024-05/ai-update-fuer-browser-edge-kann-bald-youtube-videos-in-echtzeit-uebersetzen/ ↩︎
  4. https://www.microsoft.com/de-de/windows/copilot-plus-pcs#faq2 ↩︎
  5. https://iponshop.de/zeitschrift/artikel/ein-ehemaliger-windows-entwickler-sagt-die-leistung-der-suche-im-startmenu-von-windows-11-sei-komisc ↩︎
  6. https://www.heise.de/news/Rewind-Neue-Mac-App-soll-alle-Aktivitaeten-aufzeichnen-und-durchsuchbar-machen-7328067.html ↩︎
  7. https://www.rewind.ai/ ↩︎
  8. https://stratechery.com/2024/windows-returns/ ↩︎
  9. https://www.gamestar.de/artikel/automatische-scans-bei-onedrive-razzia-bei-deutschem-nutzer-wegen-eines-bildes,3081879.html ↩︎
  10. https://www.heise.de/hintergrund/Automatisierte-Scans-Microsoft-sperrt-Kunden-unangekuendigt-fuer-immer-aus-7324608.html ↩︎
  11. https://www.zdf.de/nachrichten/panorama/kriminalitaet/nacktbilder-erpressung-soziale-medien-100.html ↩︎
  12. https://www.golem.de/news/sicherheitsexperte-warnt-neue-windows-funktion-ist-ein-security-alptraum-2405-185334.html ↩︎
  13. https://www.securityweek.com/microsoft-ai-researchers-expose-38tb-of-data-including-keys-passwords-and-internal-messages/ ↩︎
  14. https://www.pcgameshardware.de/Windows-Software-277633/News/Microsoft-Konto-wird-bald-zur-Pflicht-1394597/ ↩︎
  15. https://www.kuketz-blog.de/windows-10-unbeherrschbare-datensammelwut/ ↩︎
  16. https://www.dr-datenschutz.de/windows-10-und-datenschutz-der-eiertanz-der-aufsichtsbehoerden/ ↩︎
  17. https://www.com-magazin.de/news/datenschutz/datenschutz-windows-update-wiederherstellen-1419211.html ↩︎
  18. https://www.deutschlandfunknova.de/beitrag/windows-10-verschrottungswelle-wegen-software-update-erwartet ↩︎
  19. https://www.spiegel.de/netzwelt/netzpolitik/kinderpornografie-microsoft-scannt-live-und-onedrive-a-984902.html ↩︎
  20. https://www.spiegel.de/netzwelt/web/microsoft-hat-in-der-prism-affaere-mit-der-nsa-kooperiert-a-910714.html ↩︎
  21. https://www.heise.de/news/XKeyscore-Quellcode-Tor-Nutzer-werden-von-der-NSA-als-Extremisten-markiert-und-ueberwacht-2248328.html ↩︎
  22. https://www.com-magazin.de/news/datenschutz/verschluesselt-nsa-verdaechtig-483721.html ↩︎
  23. https://www.golem.de/news/copilot-plus-pc-eine-zensur-findet-statt-2405-185328.html ↩︎
  24. https://www.heise.de/meinung/Blick-ins-Heft-c-t-12-2024-Frisches-Linux-statt-olles-Windows-9719409.html ↩︎
  25. https://www.derstandard.de/story/3000000215658/linux-erreicht-neue-rekordverbreitung-am-desktop ↩︎

Leave a Reply