Windows 11 und die ISO-Norm 27001: Eine sichere Zukunft?

Mit Windows 11 liefert Microsoft ein überarbeitetes und moderneres Betriebssystem mit zusätzlichen Programmen wie Office 365. Ziel ist es, Kunden einen umfassenderen Service zu bieten, der den aktuellen Standards entspricht, ohne dabei die Sicherheit zu vernachlässigen. Mit ISO 27001 besteht ein wichtiges Instrument, Daten von Anwendern zu schützen.

Unabhängige Standards für Informationsmanagement

ISO – International Organization for Standardization – wird unabhängig jeder Regierung und Profite verwaltet. Alle Mitglieder verpflichten sich zur Einhaltung der vorgegebenen Standards für ihren Fachbereich. Speziell in der Datenverarbeitung ist IEC – International Electrotechnical Commission – die größte unabhängige Organisation, die über die Verarbeitung und Einhaltung der vorgeschriebenen Standards wacht. Kein IT-Unternehmen ist verpflichtet, sich an ISO 27001 zu halten, solange das Unternehmen sich nicht selbst dazu verpflichtet.

Mit der regierungsunabhängigen Organisation haben die Macher ein Instrument geschaffen, welches nicht nur private Anwender schützt, sondern auch bestimmte Bundeseinrichtungen in den USA. Wer Windows 11 kaufen möchte, muss sich mit den Sicherheitsstandards auseinandersetzen, um seine Privatsphäre optimal zu schützen.

Keine geolokale Datenweitergabe an Regierungen

Alle Daten eines Nutzers werden im lokalen Server gespeichert. Zu bestimmten Zwecken ist es notwendig, einzelne Daten innerhalb eines geolokalen Gebiets zu transportieren, um sie zu speichern und die Serviceleistung zu verbessern. Produktanbieter wie Microsoft nutzen die Daten jedoch nicht außerhalb des geolokalen Gebiets. Das bedeutet, dass Daten aus Deutschland nur innerhalb des Landes auf verschiedenen Servern transportiert und gespeichert werden, nicht aber in die USA übermittelt oder der dortigen Regierung zur Verfügung gestellt werden.

Noch immer glauben viele User, dass alle Daten von Regierungen weltweit einsehbar sind. Bei der täglichen Datenflut ist das unmöglich. Sicherheitsdienste kümmern sich ausschließlich um das Gefahrenpotenzial und erkennen bestimmte Schlüsselbegriffe. Das bedeutet nicht, dass gleich alle Daten automatisch an Sicherheitsdienste weitergeleitet werden.

Neue Sicherheitsstufen erhöhen den Datenschutz

Es erfolgt zudem keine Gleichbehandlung aller Daten, das geschieht aus Gründen der nationalen Interessen. Daten, die das US-Militär speichert oder hinterlegt, sind selbstverständlich nicht für die Zivilbevölkerung bestimmt. Entsprechend werden die Daten unter strengen Vereinbarungen mit dem Verteidigungsministerium verschlüsselt gespeichert. Für Privatkunden ist das unbedeutend, sie kommen mit den Servern und Daten nie in Berührung. Durch die Stufenregelung des Sicherheitssystems erfolgt die Einteilung nach Relevanz.

Zwar genießen private Anwender von Windows 11 keinen Schutz wie das US-Außenministerium oder Pentagon, dennoch sind die Sicherheitsmaßnahmen erhöht und werden von einer unabhängigen Zertifizierungsstelle regelmäßig geprüft. Microsoft muss wie alle anderen, die ISO 27001 angenommen haben, alle Vorgaben strikt einhalten. Geprüft wird die Einhaltung auf lokaler Ebene, das bedeutet, dass Dienststellen in Deutschland für die Zertifizierung zuständig sind, die prüfen, dass die vorgeschriebenen Standards durch die Norm auf deutschem Territorium eingehalten wird.

Grundsätzlich Sicherheitseinstellungen des Betriebssystems prüfen

Ungeachtet welches Betriebssystem Anwender nutzen, es obliegt ausschließlich der Eigenverantwortung für die Sicherheit seiner digitalen Daten zu sorgen. In den Einstellungen des jeweiligen Betriebssystems können Anwender ihre bevorzugten Optionen auswählen. Der Verlust etwaiger Daten durch einen Zugriff Unbefugter ist bei unzureichendem Schutz möglich. Deshalb empfehlen Anbieter von Betriebssystemen grundsätzlich immer das System zu aktualisieren, sobald ein Update zur Verfügung steht.

ISO-Norm 27001 alleine reicht nicht aus

Mit der Anwendung ISO 27001 alleine ist die Datensicherheit nicht gegeben. Zwar ist es gut, dass Tech-Konzerne sich freiwillig dazu verpflichten, die Organisationen und Anwender müssen aber auch künftig auf dessen Einhaltung plädieren. Vor allem gilt es zu verhindern, dass Regierungen die Norm gesetzlich aushebeln.