Windows Recall: Microsoft arbeitet nach
von caschy | 18 Kommentare
Im Mai präsentierte Microsoft neue Features für Windows, einschließlich der Funktion Recall. Recall ermöglicht das Erstellen von durchsuchbaren Bildschirmschnappschüssen mittels KI und wird ab 18. Juni auf Copilot Plus-PCs mit eingebauten Neural Processing Units (NPUs) als Vorschauversion angeboten.
Diese Funktion zeichnet sämtliche Aktivitäten auf dem Computer auf und erlaubt es, Inhalte über natürliche Sprache zu durchsuchen. Nutzer haben die Möglichkeit, die Aufzeichnung zu unterbrechen, zu stoppen oder zu löschen und können spezifische Anwendungen oder Webseiten von der Aufzeichnung ausschließen. Recall erfasst keine Daten aus privaten Webbrowser-Sessions oder von DRM-geschützten Inhalten, so Microsoft.
Nun stellte sich aber raus, dass das Ganze unter Umständen unsicherer als gedacht ist, wenn Dritte Zugriff auf den Account eines Anwenders bekommen. Zahlreiche Sicherheitsforscher kritisierten Recall. Microsoft musste nun noch einmal nachfassen und hat einen Beitrag veröffentlicht, um die Bedenken zu zerstreuen.
So gibt das Unternehmen bekannt, dass Recall von Haus aus nicht aktiv sein wird, was bedeutet, dass die Nutzer selbst entscheiden müssen, ob sie diese Funktion aktivieren möchten. Des Weiteren fügt das Unternehmen zusätzliche Sicherheitsfeatures zu Recall hin, um einen unautorisierten Datenzugriff zu erschweren.
Nutzer müssen zur Verwendung von Recall Windows Hello aktivieren und sich jedes Mal über Windows Hello authentifizieren – sei es durch Gesichtserkennung, Fingerabdruck oder PIN –, sobald sie die Recall-App öffnen wollen, um auf ihre Daten zuzugreifen.
Die für Recall verwendeten Screenshots und die SQLite-Datenbank werden verschlüsselt gespeichert und erfordern zur Entschlüsselung ebenfalls eine Authentifizierung über Windows Hello. Obwohl Microsoft die Daten von Recall zuvor als „verschlüsselt“ deklariert hat, wurde für die Screenshots oder die Datenbank keine spezifische Verschlüsselungsmethode außer der Bitlocker-Verschlüsselung angewandt, die bei den meisten PCs automatisch aktiv ist, sobald sie in ein Microsoft-Konto eingeloggt sind.
Spannende Sache, dass ein Unternehmen durch Sicherheitsforscher auf solche Probleme bei einer derartigen Funktion hingewiesen werden muss. Ich kann mir schlecht vorstellen, wie man so von offensichtlichen Sicherheitsrisiken überrascht wird.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Machen wir uns Nichts vor: Funktionen dieser Art werden sich letztendlich durchsetzen, und von vielen ganz begeistert angenommen werden.
Jede noch so sinnlose Funktion der Neuerung Willen wird von unbedarften Menschen bejubelt, wenn in der Promo dafür nur ordentlich von irgendwelchen Figuren gesungen und getanzt wird.
Sowas schaltet dann bei allzu-Vielen den Reflex aus mal durchzuatmen und kurz drüber nachzudenken.
Nächster Schritt ist dann die Mission die zu bekehren, die es aus Berufserfahrung eigentlich besser wissen müssten.
Nun eigentlich ist die Funtkion ja auch ziemlich geil, wenn man ganz ehrlich ist und über die Datenschutzthematik hinwegschaut.
Ich verstehe gar nicht, was man mit der Funktion machen könnte. Also es kommt quasi nie vor, dass ich mir denke „ach hätte ich doch nur Screenshots von dem Arbeitspaket, das ich vor zwei Stunden bearbeitet habe“.
Scheint mir ein absurder Usecase.
Hey, Computer, hol mal den Mietvertrag von Anfang 2023 raus, und markiere alle Textstellen, die was mit der Heizung zu tun haben. ich brauche auch die letzten sechs Gasrechnungen, und die Quittungen von der Reparatur des Heizkessels, und des Wasserschadens beim Nachbarn. Vor ein paar Wochen habe ich schon mal im Internet nach Präzedenzfällen zum Mieterschutz gesucht. Die Suchergebnisse davon brauch ich auch noch.
Ermittlungsbehörden werden über Recall erfreut sein. So kann man dann leichter sehen was ein mutmaßlicher Verdächtiger alles am Rechner getrieben hat. Vorausgesetzt man hat es aktiviert bzw. nutzt diese Überwachungsfunktion.
Ist dann aber auch wirklich eigene Dummheit. Dass Windows massiv spioniert ist nichts neues. Und es würde keinen verwundern, wenn die Daten nicht auf dem Gerät bleiben. Microsoft behält sich ja grundsätzlich vor, alles, was sie zwischen die Finger bekommen, auch nach Hause zu telefonieren.
Genau das ist der Punkt, Kriminelle werden sehr wahrscheinlich selber kein Windows mit Recall nutzen. Aber Sie werden sich sicher freuen diese Features ebenfalls nutzen zu dürfen. 😉
In verantwortungsvollen Händen könnte das durchaus etwas sinnvolles werden, aber da ist MS der falsche Kandidat, wie man aktuell gut nachvollziehen kann.
„[…] wurde für die Screenshots oder die Datenbank keine spezifische Verschlüsselungsmethode außer der Bitlocker-Verschlüsselung angewandt, die bei den meisten PCs automatisch aktiv ist, sobald sie in ein Microsoft-Konto eingeloggt sind.“
Wohl kaum. So wie ich Microsoft verstehe, gilt das nur, wenn es Windows Pro oder höher ist. Die meisten Windows Geräte nutzen aber Home/Core, was gar kein BitLocker zulässt. So zumindest ihren eigenen Seiten zufolge: https://learn.microsoft.com/de-de/windows/security/operating-system-security/data-protection/bitlocker/#windows-edition-and-licensing-requirements
Und dass mit 24H2 das ganze für Home zur Verfügung stehen wird, scheint bisher nur eine Behauptung von Deskmodder.de zu sein. Von Microsoft sehe ich bisher keine offizielle Bestätigung.
„Spannende Sache, dass ein Unternehmen durch Sicherheitsforscher auf solche Probleme bei einer derartigen Funktion hingewiesen werden muss. Ich kann mir schlecht vorstellen, wie man so von offensichtlichen Sicherheitsrisiken überrascht wird.“
Microsoft hat in ihrer gesamten Existenz nur eins bewiesen: von Sicherheit haben sie absolut keine Ahnung. Und das wird sich auch vermutlich nie ändern. Sie haben es ja erst kürzlich schwarz auf weiß für ihre Cloud belegt bekommen. Kein anderes Unternehmen schlampt so massiv und fahrlässig. Dass MS nicht schon auf jeden letzten Cent, den sie haben, verklagt wurde, grenzt schon an ein Wunder. Denn gerade Geschäftskunden sollten Verträge haben, die solche Aspekte garantieren. Wenn nicht, sind die Unternehmen noch unfähiger als Microsoft. Und das will etwas heißen.
Aus eigener Erfahrung: Geschäftskunden haben solche Verträge mit Microsoft nicht, weil MS solche Verträge nicht eingeht. Friss oder stirb, die gestehen nicht mal einem großen Konzern ein individuelles DPA (Data Processing Agreement) zu.
Dann müssen die Chefs ja noch grenzdebiler sein als bisher angenommen. Wenn das Mal nicht sehr teuer wird, wenn Mal was passiert. Denn das ist reine Fahrlässigkeit, gerade wo so bekannt ist, dass sich Microsoft nicht um Sicherheit schert.
Es ist zwar ein klein wenig komplizierter, aber ja. Was im Oberen Management wahrgenommen wird sind keine technischen Details, sondern Kostenprognosen, wenn man Glück hat mit eingerechneten Risikoanalysen. Dazu noch ist Microsoft sehr sehr gut in der Lobbyarbeit bei Entscheidern. Informations- und Datenschutz sind dabei nur Randnotizen. Wenn wir in Europa keine so starken Datenschutzgesetze hätten, sähe das noch viel übler aus.
Dass Unternehmen weder am Schutz ihrer eigenen Daten, noch am Schutz der Daten ihrer Kunden interessiert sind, zeigt im Grunde nur, dass die Gesetze und vor allem ihre Durchsetzung noch wesentlich härter ausfallen müssen. Denn so gut können die Risikoanalysen offenbar nicht sein.
Ich habe es oben schon geschrieben, Microsoft und andere Cloud-Anbieter sind in der Position „Friss oder Stirb“ zu spielen, unter Anderem weil die GDPR die gesamte Verantwortung auf die Unternehmen abwälzt, die die Cloud-Dienste nutzen. Der einzige Weg die Cloud-Betreiber mit in die Verantwortung zu nehmen wäre über ein DPA (welches MS nur in ihrem Sinne gestaltet) oder über eine Gesetzesänderung.
Nein, das ist nicht notwendig. Im Grunde muss das vorhandene nur wesentlich strikter durchgesetzt werden, EU-weit. Wenn kein einziges Unternehmen mehr Verträge mehr mit MS und Co schließen dürfen und bestehende Verträge für ungültig erklärt werden, weil mit diesen die Unternehmen nicht ihrer Pflicht nachkommen, wird sich schon genug ändern. Weder MS noch ein anderes US-Unternehmen kann es sich leisten, einen gesamten Kontinent als Kunden zu verlieren. Die Cloudanbieter sind also keines Wegs in einer „Friss oder Stirb“-Position. Das sind einzig die europäischen Unternehmen gegenüber Nicht-EU-Unternehmen. Die Position verleihen die europäischen Unternehmen den Nicht-EU-Unternehmen lediglich dadurch, dass sie sich nicht um Gesetze scheren und die Judikative sehr lange darauf ausgelegt war, dass niemand etwas gegen MS und Co unternehmen wird, weil die Verantwortung bei Irland und anderen Steuerparadiesen lag. Einfach an geltendes Recht halten, einfacher geht’s nicht. Sich nicht dran zu halten muss bedeutend teurer sein, als sich dran zu halten. Die Werkzeuge sind da, sie müssen nur mit aller Macht durchgesetzt werden.
Kategorie: eine KI-Lösung, für die noch ein Anwendungsproblem gesucht wird.
Wer braucht sowas?
Das ist fast so gut wie ein IFA Erlebnis von mir. Da hat eine begeisterte Messehostess einen „intelligenten“ Kühlschrank zwei jungen Digital Natives um die 20 vorgestellt. Insbesondere das Feature, dass auf Berührung dank Monitor und innenliegenden Kameras die Frontseite scheinbar durchsichtig wird. Die beiden haben sich angeschaut und dann gefragt, ob es nicht einfacher wäre den Kühlschrank einfach aufzumachen. Das Gesicht der Messehostess war Gold wert.
Das Problem ist halt, auf Messen sind nur Werbefritzen unterwegs, die gerade so genug Infos haben, um oberflächlich zu werben, aber auf Rückfragen kaum antworten können. Kompetente Mitarbeiter, die solche Fehlentscheidungen verteidigen müssten – oder gar die solches Feedback weitergeben müssten – triffst du praktisch nie an. Vielleicht als Geschäftsbesucher, wenn du dir einen Termin bei denen machst, aber dann wirst du eher mit den klassischen Vertretern abgespeist.
Microsoft (u.a.) kann man so wenig trauen, wie man einem hungrigen Fuchs ein Huhn mit in den Käfig setzen und auf das Überleben des Huhnes hoffen könnte.