Windows-Arbeitsplatzsysteme

Datenschutz und Verschlüsselung

Unter den "Windows-Einstellungen" (Bild 1) befindet sich unter anderem der Bereich "Datenschutz" (Bild 2).

Microsoft-Store Apps können generell Daten in die Cloud senden. Die Funktionen innerhalb des Bereiches der Datenschutzeinstellungen beziehen sich weitestgehend auf die Verwendung der Microsoft-Store Apps. Herkömmliche Software (Desktop-Apps) wie bspw. Office ist hiervon nicht betroffen. Hierbei ist zu beachten, dass unter anderem auch Edge, der Rechner (Taschenrechner), Fotos und Skype Apps sind, welche von Haus aus bereits in Windows 10 enthalten sind.

Generell gilt für alles zum Thema Datenschutz in Microsoftprodukten die Datenschutzerklärung von Microsoft, welche auch an vielen Stellen in Windows und den Microsoft-Apps verlinkt und aufrufbar ist.

Für seine persönlichen Daten und deren Nutzung in Windows und andere Software ist jeder selbst verantwortlich. Daten von Dritten dürfen aber auf keinen Fall gespeichert oder verarbeitet werden ohne deren Kenntnis und ausdrücklicher Zustimmung.

Ein Teil der Rubriken im Bereich Datenschutz wurde bereits zentral vorkonfiguriert bzw. ist in unserer Umgebung nicht relevant und somit hier nicht mehr sichtbar.

Bei den verbliebenen Rubriken ist es nicht vorteilhaft, diese im Vorfeld bereits einzuschränken. Je nach installierter Software und dem jeweiligen Anwendungsfall muss der Nutzer selber entscheiden, welche Rechte dem jeweiligen Programm bzw. Windows erteilt werden sollen. Grundsätzlich erfragt jede Anwendung, die entsprechende Rechte benötigt, nach der Einwilligung des Nutzers. Beispiele sind hier die Nutzung der Kamera und des Mikrofons bei der Verwendung von Skype oder der Positionsdaten bei Verwendung einer Karten- bzw. Navigationsanwendung.

In den einzelnen Bereichen sind jeweils Erklärungen vorhanden, was hinter den Berechtigungen steckt, ggf. mit Links zu weiterführenden Erläuterungen oder Dokumentationen.

Datenschutz in den Windows-Einstellungen — Bild 2

Ab Februar 2020 sind die verbauten Datenträger neu ausgelieferter, URMZ administrierter Windows-Computer mit BitLocker verschlüsselt. Die BitLocker-Verschlüsselung ist Bestandteil von Windows 10. Durch die Verschlüsselung sind die Daten bei Diebstahl besser geschützt. Für Nutzer hat die Verschlüsselung im normalen Arbeitsalltag keine spürbaren Auswirkungen.

Zusätzlich ist zum Schutz von Daten auf Wechseldatenträgern wie bspw. USB Sticks, die BitLocker To Go Verschlüsselung zu verwenden (siehe unten).

Die Verschlüsselung von Bestandsgeräten ist nicht geplant. Sollten Sie das für Ihr Gerät wünschen, wenden Sie sich bitte an das URMZ. Gehen Sie in diesem Fall aber davon aus, dass Ihr Gerät neu geimaged werden muss und Ihre Daten dabei verloren gehen.

Unter bestimmten Bedingungen (Hardwareänderungen, Updates spezieller Systemkomponenten oder Schadsoftware) kann es im seltenen Ausnahmefall vorkommen, dass Sie aufgefordert werden, einen Wiederherstellungsschlüssel einzugeben. Sie bekommen dann den BitLocker-Wiederherstellungs-Bildschirm angezeigt wie im Bild zu sehen.

In diesem Fall melden Sie sich bitte im URMZ. Sollte es nicht möglich sein, dass das betroffene Gerät durch einen Mitarbeitenden des URMZ vor Ort entsperrt werden kann (bspw. Aufenthalt an einem anderen Ort oder gar anderem Land) muss die Identität des Anrufenden geprüft werden bevor der Wiederherstellungsschlüssel übermittelt werden kann. Je nach Grund der Wiederherstellung kann es möglich sein, dass das Gerät wenn es sich wieder auf dem Campus befindet, neu geimaged werden muss.

Bitte beachten Sie bei Dienstreisen ins Ausland, dass es in einigen Ländern spezielle Vorschriften bez. Verschlüsselung von elektronischen Geräten und Datenträgern gibt. Erkundigen Sie sich bitte vor der Reise diesbezüglich über die individuellen Einreisebestimmungen des jeweiligen Landes.

Sollten personenbezogene oder sonstige sensible Daten auf USB-Sticks oder Speicherkarten gespeichert werden müssen, sind diese zu verschlüsseln und mit einem Kennwort zu versehen.

Gemäß der IT-Sicherheitsrichtlinie der Universität Erfurt ist die Speicherung von Daten auf Wechseldatenträgern nur in Ausnahmefällen erlaubt. Die Vorgaben der IT-Sicherheitsrichtlinie, insbesondere unter Punkt 5.10 Datensicherung, sind zu beachten.

Microsoft bietet für die Verschlüsselung in Windows (nur Pro und Enterprise Versionen) die BitLocker-Laufwerksverschlüsselung an.

Verschlüsselung

Anschließen des USB-Sticks oder der Speicherkarte
"Bitlocker" in die Windows Suche eingeben und "BitLocker verwalten" aufrufen (Bild 1)
Unter "Wechseldatenträger - BitLocker To Go" den zu verschlüsselnden Stick oder die Speicherkarte auswählen (Bild 2)
"BitLocker aktivieren" anklicken (Bild 2)
Vergeben Sie ein sicheres Kennwort mit mindestens acht Zeichen (Bild 3)
Im nächsten Schritt ist auszuwählen, wo der Wiederherstellungsschlüssel gespeichert werden soll. Wählen Sie "In Datei speichern" und legen die Datei möglichst an mehreren Orten ab, auf die nur Sie zugreifen können und dies möglichst jederzeit (bspw. in Ihrem Home-Directory (H:) in Verbindung mit eduVPN für den Zugriff von außerhalb). (Bild 4, 5)
Klicken Sie auf "Verschlüsselung starten" (Bild 6)
Das Laufwerk wird verschlüsselt (Bild 7) und abschließend eine Vollzugsmeldung ausgegeben (Bild 8).

Den USB-Stick oder die Speicherkarte auf keinen Fall während der Verschlüsselung vom Computer trennen. Dies kann zu Datenverlust führen.

BitLocker für Wechseldatenträger aktivieren — Bild 2

Kennwort für BitLocker vergeben — Bild 3

Speichern des BitLocker-Wiederherstellungsschlüssels — Bild 4

Auswahl Speicherort für BitLocker-Wiederherstellungsschlüssel — Bild 5

BitLocker-Verschlüsselung starten — Bild 6

Laufende BitLocker-Verschlüsselung — Bild 7

Abschluss BitLocker-Verschlüsselung — Bild 8

Entschlüsselung

Gerät an anderem Windows-PC anstecken. Der Wechseldatenträger erscheint im Windows-Explorer mit einem Schloss versehen auf. (Bild 1)
Bei Auswahl des BitLocker To Go verschlüsselten Laufwerkes erfolgt die Kennwortabfrage. Kennwort eingeben und auf "Entsperren" klicken. An der Stelle NICHT den Wiederherstellungsschlüssel eingeben. (Bild 2)

Sollten Sie das Kennwort vergessen haben, können Sie bei Schritt 2 unter "Weitere Optionen" den Wiederherstellungsschlüssel eingeben (Bild 3). Zur Identifikation des Geräts und der zugehörigen Schlüsseldatei bzw. des zugehörigen Schlüssels werden Ihnen die ersten acht Zeichen des Bezeichners angezeigt (Bild 4).

Für den Zugriff auf einen BitLocker verschlüsselten Wechseldatenträger unter MacOS und Linux gibt es verschiedene Programme wie zum Beispiel:

Wenn der Stick bzw. die Speicherkarte dem Datenaustausch mit anderen Personen dienen soll, geben sie das zugehörige Kennwort auf keinen Fall zusammen mit dem Datenträger weiter. Übermitteln Sie das Kennwort möglichst direkt an die andere Person. Sollte dies nicht möglich sein dann alternativ per Telefon oder E-Mail.