Warum Unternehmen zum Schutz ihrer IT-Sicherheit auf „Recall“ verzichten sollten
Copilot+ PC nennen sich Windows 11 fähige, auf ARM-Prozessoren basierende Computer, die mit einer speziellen Neural Processing Unit (NPU) ausgestattet sind. Microsoft hat angekündigt, dass zunächst für diese und später auch für Intel- und AMD-basierte PCs in Windows 11 ein neues Feature namens „Recall“ aufgerollt werden soll.
Recall soll dazu dienen Inhalte wieder zu finden, die man auf dem Copilot+ PC Gerät angesehen (!), nicht notwendigerweise dort auch gespeichert hat. Diese wird ermöglicht, indem Recall alle paar Sekunden Screenshots des verwendeten Bildschirms anfertigt und diese mittels KI-Technologie auswertet und indexiert. Standardmäßig sollen die letzten 90 Tage solcher „Snapshots“ aufbewahrt werden, was ca. 50 Gigabyte an lokalem Speicher benötigt. Die „Snapshots“ werden (immerhin) nicht zu Microsoft oder in eine Cloud übertragen.
Aus Sicht der IT-Sicherheit und des Datenschutzes würde eine Einführung von Recall in einem Unternehmen für dieses zu erheblichen rechtlichen Risiken führen. Jedenfalls ab einer gewissen Größe investieren Unternehmen heutzutage immer stärker in ihre IT-Infrakstruktur, um die Datensicherheit zu verbessern. Dabei sind Rollen- und Rechtekonzepte und Zugriffsbeschränkungen immanent wichtig, um es sowohl internen als auch externen Angreifern so schwer wie möglich zu machen. Diese werden durch das von Recall praktizierte Vorgehen jedoch effektiv umgangen.
Zum einen besteht die berechtigte Erwartung, dass kein – selbst kein böswilliger – Mitarbeiter alle paar Sekunden Screenshots von den Inhalten ansieht, die er zu Gesicht bekommt (auf die er aber nicht notwendigerweise unmittelbaren Zugriff hat, z.B. wenn ihm diese nur während eines Meetings präsentiert werden). Diese Daten stehen aber nun lokal auf dem Rechner des Mitarbeiters immer zur Verfügung und könnten von diesem grundsätzlich auch abgegriffen werden.
Noch wichtiger ist aber, dass moderne IT-Sicherheitskonzepte immer davon ausgehen müssen, dass einzelner IT-Systeme (z.B. Laptops einzelner Mitarbeiter) kompromittiert werden. Dennoch müssen moderne IT-Infrastrukturen in der Lage sein, zumindest den Großteil Ihrer Daten zu schützen, indem sie einen solchen Befall schnellstmöglich erkennen und in der Zwischenzeit die Möglichkeiten des Angreifers möglichst begrenzen. Solche Begrenzungen werden aber umgangen, wenn der Angreifer einen Schatz an Daten der letzen 90 Tage auf dem kompromittierten Laptop findet und diesen nur zu exfiltrieren braucht. Der Angreifer müsste dazu kein einziges der Systeme der übrigen IT-Landschaft auch nur anfragen, würde somit auch keinerlei Alarm auslösen.
Über die IT-Sicherheit hinaus stellen sich mannigfaltige Fragen etwa zum Urheberrecht bei Werken, die automatisch durch Screenshots kopiert werden, dem (Geschäfts-)Geheimnisschutz und datenschutzrechtlichen Aspekten, wenn Personen, z.B. in Meetings, ohne deren Wissen abfotografiert werden.
Der Einsatz von Recall oder ähnlichen Systemen sollte daher gut überlegt und Nutzen und Risiken zuvor abgewogen werden.
