Einsatz von Windows 11 aus Sicht des Datenschutzes und der Compliance – Übertragbarkeit der Windows 10 Guidelines?

Windows 11 wird immer beliebter und auch Unternehmen beginnen nun nach dem letzten Feature Update 22H2 auf die Windows 11 Version ein Upgrade durchzuführen. Nun ist fraglich, wie eine Konfiguration aussehen kann und ob man auch ein Upgrade der Guidelines des BSI zu Windows 10 auf Windows 11 anwenden kann.

Windows Härtung und Datenschutz

Windows ist auch heute das Standardbetriebssystem in Deutschland mit einem Marktanteil laut Statista von über 75%. Im Rahmen dessen stellen sich damit fast alle Unternehmen die Frage der Härtung dieses Betriebssystems. So werden Konfigurationen getroffen, Firewalls hinzugefügt und Apps wie Spiele deinstalliert und das Ausführen von Makros reglementiert. 

Hauptpunkte einer Härtung von Windows  (Auszug)

  • Security
    • Boot
    • AtRest Daten (z.B: Bitlocker mit rotierendem Schlüssel)
    • Betrieb
    • Updates & Feature Updates
    • App (z.b. Teams Consumer  & 3rd Party App
    • Zusatzfunktionen wie Widgets
  • Compliance
    • Datenschutz
    • Telemetrie und Diagnosedaten
    • Geschäfts- und private Nutzung
    • Im- und Export
    • Verträge
  • Grundlegende Entscheidungen
    • Monitoring und Qualität vs. Reduzierung von Telemetriedaten
    • WSL vs. Sicherheit
    • Trennung von Apps (Teams Consumer und Business) vs. nur Business
    • Private und geschäftliche Nutzung vs. nur geschäftliche Nutzung
    • Flexibilität vs. Sicherheit

Windows Hinweise und Guidelines zur Konfiguration

Zu Windows 10 gibt es viele Hinweise aus Deutschland und von Behörden der europäischen Nachbarn, wie den Niederlanden oder Frankreich. Zu Windows 11 hat sich offiziell bisher fast niemand geäußert. 

Beispiele:

Windows 10 – Härtung des BSI
Version 1
2021

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/Workpackage11_Empfehlung_Haertung.pdf?__blob=publicationFile&v=2

Alle diese Hinweise sind bei dem Tempo an Updates und Featuresets von Microsoft aus der Sicht der IT zu alt und quasi aus dem vorherigen Jahrhundert. Wir sind mittlerweile bei Windows 11 22H2 und Windows 10 21H2 ohne die unzähligen Windows Insider und Slow Ring Versionen mitzuzählen, die bereits erschienen und regelmäßig erscheinen. Diese können für den produktiven Betrieb, jedenfalls bis auf unsere EntwicklerInnen, die immer die Neusten auch Preview Versionen benötigen, außer Acht gelassen werden. 

 

Übertragbarkeit von Windows 10 Guidelines auf Windows 11 22H2

Die Übertragung der bereits über 2 Jahre alten Guideline des BSI und Hinweise ist nur rudimentär möglich. Es ist nicht anzuraten einfach 1 zu 1 umzusetzen und so zu einem sicheren und datenschutzkonformen Betrieb zu gelangen. Eine genauere Prüfung der neusten und auch der Windows 11 Version zuvor zeigt auf, dass etliche Funktionen, Apps, auch auch Kenntnisse hinzugekommen sind, die auch die Guideline des BSI beeinflussen und man diese konsequent nach den Grundsätzen für Windows 11 weiterentwickeln muss. Dies ist gut zu sehen am Beispiels des TPM2 Chip, des Defender for EndPoint oder auch der Widgets, die wieder Einzug ins System gefunden haben, dazu kommen über 100 neue GPOs, die unterschiedlichste Konfigurationen zulassen und eben auch eine Verbesserung des Datenschutzes und der IT-Sicherheit. Ein gutes Beispiel ist die Verarbeitung der Telemetry, die man nun genauer konfigurieren kann und das Rechenzentrum festlegen. 

Das BSI wird noch einige Zeit benötigen für eine Prüfung von Windows 11, so dass es wohl 2024 werden wird, wurde mir von einem Microsoft Vertreter genannt. 

Zusammenfassend kann also festgestellt werden, dass die bisherigen Guidelines zwar als Basis genommen werden können, aber für Windows 11 gerade bei der 22H2 unter der Haube doch einiges mehr zu tun ist und es gilt Entscheidungen zu treffen. Sei des der Wechsel von GPOs zu Cloud Policies, als auch neue Parameter zu einer datenschutzkonformeren Konfiguration, wie es noch bei Windows 10 möglich war. 

 

 

 

 

———–

Unterstützung? 

Gemeinsam mit der KöllnService GmbH haben ich ein Härtungsmodell für Windows 11 entwickelt, welches auch mit der Windows Produktgruppe, sowie einigen Versicherungen und Banken bereits erfolgreich getestet und umgesetzt wurde. Sie wollen einsteigen und auch davon profitieren? kontakt@koellnservice.de