Microsoft

Etwas IT-Horror gefällig?

Norbert Häring schreibt ja auch viele tolle Artikel. Gerade einen: Ab Oktober kontrolliert Microsoft automatisiert alles, was sie mit ihrem Windows-Computer anstellen

Davor hatte ich in meiner beruflichen Tätigkeit intern schon seit Jahren und auch blogöffentlich gewarnt. Vor einiger Zeit hatte Bill Gates (obwohl der ja offiziell mit Microsoft nichts mehr zu tun habe, was ich ihm aber nicht glaube) ja schon gefordert, dass jede Kommunikation durch KI automatisiert zu überwachen ist, ob man irgendwas sagt, was nicht korrekt ist. Man könnte also nicht mal mehr mit Freunden frei chatten.

Ich hatte auch schon wiederholt davor gewarnt, Firmendaten und vertrauliche Daten in die Microsoft-Cloud hochzuladen, weil die US-Geheimdienste nach US-Recht Zugang dazu haben und des eben auch mit dem Datenschutz eigentlich nicht vereinbar ist, obwohl sie da ja ständig basteln (Safe Harbour, Privacy Shield und sonstwas alles). In der Realität wertloser Mist.

Ich halte es vor allem auch für Arbeitgeber schlicht für unzulässig, personenbezogene Daten und Kommunikation ihrer Mitarbeiter ohne deren Wissen und Einverständnis in die Cloud zu Microsoft hochzuladen.

Das war dann auch einer der multiplen Gründe, warum ich meinen letzten Job verlassen habe. Über 7 Jahre gab es einen kleine, firmenlokalen, abgesicherten Mailserver. Und ich hatte da Firmenmails über viele Jahre in der Mailbox. Gerade, wenn man, wie ich, als Information Security Officer, Datenschutzkoordinator, Compliance Officer tätig ist, hat man da auch vertrauliche und personenbezogene Dinge in der Mailbox, auch über Kollegen, Mitarbeiter, Vorfälle und so weiter. Und das beruhte darauf, dass diese Daten 30 Meter von mir entfernt im Serverraum gespeichert werden und nirgendwo sonst.

Dann kam die Anweisung, dass alle Serverdienste in die Konzern-interne eigene Cloud zu migrieren seien. Was eigentlich ordentlich war und gewisse Vorteile hatte, weil physisch besser abgesichert, redundant, besserer Brandschutz. Aber nicht mehr unter meiner unmittelbaren Kontrolle. Und kurz darauf kam die Entscheidung von ganz oben, dass das zu teuer sei (auf deutsch: wir schaffen es nicht mehr selbst) und alles in die Office365-Cloud verschoben werde. Und *schwups* kam die Nachricht, dass meine Mailbox und mithin Mails der letzten Jahre, ohne mein vorheriges Wissen und ohne mein Einverständnis (oder das der jeweiligen Absender von Mails) in die Cloud gelangt sind. Das wäre schon schlimm, wenn man sagte, „ab heute geht alles in die Cloud“, aber rückwirkend über Jahre, in denen man sich darauf verlassen hat, dass das Zeug nur lokal gespeichert wird und nur zwei Leute, die ich persönlich kenne, drauf zugreifen könnten, dorthin geschoben wird, halte ich nicht nur für unzumutbar. Ich halte es für rechtswidrig. Denn auch Telefongespräche der Mitarbeiter darf die Firma nicht ohne weiteres mit- und abhören. Und auch auf E-Mails in der Mailbox nicht einfach so zugreifen. Das aber kann sie dann auch nicht über Dritte, indem sie einfach mal so alle Mails bei Microsoft ablädt. Das sind Dinge, an denen dann mein Verständnis und meine Geduld abrupt enden. Keine Ahnung, ob Microsoft soviel billiger war, ob Microsoft irgendeinen Käse erzählt hat oder ob da eine politische Anweisung von oben kam.

Aber mir graust es.

Vor allem dann, wenn man die Methoden der US-Regierung kennt und dann noch Aussagen wie die von Bill Gates dazukommen, dann kann man nur noch Angst bekommen. Denn selbst, wenn man – vermeintlich – in der Mailbox nichts Politisches schreibt, könnte KI trotzdem immer darauf trainiert werden, das an der normalen Wortwahl zu erkennen, wie man gepolt ist. Es gibt ja auch schon KI, die in den USA schon anhand des Aussehens des Hauses erkennt, ob die Bewohner Republikaner oder Demokraten wählen. Und selbst, wenn es nicht stimmt: Es würde ja schon reichen, dass die KI so etwas über einen behauptet. Und mit einem Schlag bekommt Microsoft Jahre von vertraulicher Korrespondenz von mir vom eigenen Unternehmen ausgeliefert. Die Projektleiterin konnte noch nicht einmal die Sicherheitsklassifizierungen und die Anforderungen dazu korrekt wiedergeben. Da saß ich dann da und habe mich gefragt, warum man überhaupt noch Security macht, wenn man die eigenen Daten doch gleich selbst abliefert. Auf einmal läuft alles politisch, und Sicherheit, Datenschutz, Vertraulichkeit spielen überhaupt keine Rolle mehr.

Schauen wir also mal bei Häring rein:

Ab 30. September gelten neue Geschäftsbedingungen für Microsoft-Kunden. Wenn Sie sich bei ihrer Nutzung von Produkten des Quasi-Monopolisten nicht an einen vagen Verhaltenskodex halten, kann Ihnen das Konto gesperrt werden und Sie verlieren Zugriff auf alle bezahlten oder kostenlosen Dienste und ihre dort gespeicherten Daten. Regress gibt es auf Basis von Gutdünken durch Microsoft.

Laut dem neuen „Servicevertrag“ von Microsoft gilt:

„Schwere oder wiederholte Verstöße gegen unsere Richtlinien (…) können zur Sperrung des Kontos führen. Manchmal kann eine Sperrung dauerhaft sein. Bei einer dauerhaften Sperrung verliert der Besitzer des gesperrten Profils alle Lizenzen, Abonnements, Mitgliedszeiten und Microsoft-Kontoguthaben.“

Man darf dagegen Widerspruch bei Microsoft einlegen. Viele der erwähnten Regelbrüche sind kriminelle Handlungen, von Kinderpornographie bis Phishing. Aber es gibt eben auch Begriffe im Verhaltenskodex, von denen wir gelernt haben, dass sie extrem dehnbar sind, wie „Hassrede“ und „anstößig“. Viele bezeichnen es inzwischen bereits als Hassrede, wenn die Regierung, oder eine Person einfach nur kritisiert wird.

Und wieder einmal werden staatliche Aufgaben in das Private delegiert, noch dazu unter amerikanisches Recht und amerikanische Willkür.

Es kann eigentlich nämlich nicht angehen, dass der Provider die Daten durchgeht und prüft, ob da Kinderpornographie oder was auch immer drin vorkommt. Es kommt ja auch nicht nachts der Vermieter in die Wohnung und schaut, ob man da Kinderpornos rumliegen hat.

Microsoft verspricht, nur verhältnismäßige Strafen bei schweren und wiederholten Verstößen zu verhängen.

Muss man sich ganz langsam durch die Zähne ziehen und lutschen: Ein privatrechtliches Unternehmen verhängt Strafen.

Schon das Generieren von Nacktdarstellungen ist ein Bruch des Microsoft-Verhaltenskodex. Aktmalerei, Aktfotografie, das Posieren von Liebespaaren füreinander, das alles kann zur Accountsperrung führen. Es reicht dem Wortlaut nach auch, anstößige Sprache nur zu generieren, man muss sie nicht einmal verbreiten.

Warum eigentlich? Ist in Deutschland, in Europa nicht strafbar. Auch in den USA nicht, gibt ja genug Pornographie dort. Wie kommt Microsoft dazu, das zu verbieten?

Naja, immerhin habe ich jetzt eine schöne Anwort, wenn mich jemand fragt, warum ich Microsoft nicht mag und nicht verwende: Geht nicht, ich habe zuviele Fotos von nackten Frauen.

Ich habe keine Selbstverpflichtung von Microsoft gefunden, Sanktionen zu begründen. Das Unternehmen kann also agieren, wie es bei den sozialen Medienplattformen und Finanzdienstleistern wie Paypal seit längerem gang und gäbe ist.

Vor allem wäre die Frage, wie das Unternehmen dazu kommt, sowas per AGB-Änderung durchzusetzen. Mag sein, dass das in den USA geht, aber in Deutschland ist das AGB-rechtswidrig. Wenn man dieser Änderung nicht zustimmt, müsste Microsoft den Vertrag kündigen. Das nun aber geht ja nicht, weil ja die Softwarelizenz erworben ist und nicht einseitig gekündigt werden kann. Was die da erzählen ist meines Erachtens nach deutschem Recht gar nicht möglich.

Auf einer vom Servicevertrag aus verlinkten Seite zu den „Durchsetzungsprozessen“ erfährt man (übersetzt):

„Bei Microsoft verwenden wir eine Kombination aus automatisierter Technologie und geschulten menschlichen Prüfern, um Inhalte oder Verhaltensweisen, die gegen unsere Bedingungen und Richtlinien verstoßen, zu finden und dagegen vorzugehen. (…) Wir verwenden Hashes [digitale Prüfsummen; N.H.] von bekannten illegalen und schädlichen Inhalten. Wir verwenden auch unsere eigene Technologie und Klassifikatoren, um schädliche Inhalte zu finden, die über unsere Dienste verbreitet werden.“

Man nutze Maschinenlernen, wie zum Beispiel text-basierte Klassifikatoren, um zum Beispiel Hassrede aufzuspüren, die jemand auf seinem Microsoft-Textverarbeitungsprogramm generiert haben könnte und die dann, wie inzwischen kaum noch zu vermeiden, in der Microsoft-Cloud abgelegt wurde.

Versucht mal, ein Windows oder Microsoft-Anwendungssoftware davon abzuhalten, etwas in deren Cloud hochzuladen. Das heißt, dass die Beschränkungen effektiv auch für alle Software auf dem privaten Rechner gilt.

Wenn das so stimmt, wie es da dargestellt wird, ist das völlig unvertretbar und völlig rechtswidrig – nach deutschem Recht.

Es ist datenschutz- und zivilrechtlich nicht mehr zu verantworten, Microsoft-Software einzusetzen. Vor allem nicht, andere dazu zu zwingen, ob als Schüler, Arbeitnehmer oder was auch immer. Denn ein Arbeitgeber darf nicht von seinen Arbeitnehmern fordern, dass sie alle ihre Kommunikation einem amerikanischen Konzern ausliefern.

Umsomehr halte ich es für eine katastrophale Fehlentscheidung, wieviele Unternehmen in die Microsoft-Cloud und zu O365 gewechselt sind.

Besonders kritisch finde ich aber die Praxis, Rechner mit Windows zu verkaufen, die Käufer also zu zwingen, den Mist zu kaufen, obwohl die AGB vorher nicht bekannt sind, und dann entweder diesen Mist mitzumachen oder den Teil des Kaufpreises, der auf Windows entfällt, als Verlust abzuschreiben. Meines Erachtens müsste es verboten werden, dass Hersteller – außer Microsoft selbst – noch Rechner (nur) im Bundle mit Windows anbieten dürfen und die Kunden damit zu zwingen, diesen Schrott zu kaufen und unbedarfte Nutzer dieser Praxis auszuliefern, weil es halt schon drauf ist.

Meines Erachtens muss Microsoft auch aus allen Behörden raus.

Es gab mal eine Zeit, als die Datenschützer noch sagten, dass O365 datenschutzwidrig ist. Aber irgendwie ist da jetzt auch Ruhe.