Windows ohne Spionage: So gewöhnen Sie Ihrem System das Schnüffeln ab
02.04.2020, 07:00 Uhr Unsichtbar zeichnen Microsoft-OS auf, wann Sie sie hochgefahren haben – und wann welche Software und Datei lud. So zeigen Sie die Daten an, löschen sie, verhindern deren Anlage.
von Sebastian Kolar
Es wirkt haarsträubend, dass Windows unzählige Daten aufzeichnet, ohne dass der Nutzer es weiß – und Dritte solche Informationen während Ihrer Abwesenheit problemlos auslesen könnten. Zumindest ein Großteil der Anwender kennt die diversen internen Mechanismen in seinem Betriebssystem nicht und dürfte davon überrascht sein. Wer die Kenntnisse hat, könnte an einen fremden PC gehen und binnen Minuten umfassende Spionage betreiben. Hierfür braucht es keine weitere Software, denn Windows stellt alle nötigen Werkzeuge als Bordmittel bereit. Zunächst einmal zeichnet es quasi permanent auf, was Sie am PC machen – und wann Sie es gemacht haben. Das umfangreiche Protokollieren geschieht monatelang – und weder das Mitschneiden noch die Datensätze bemerkt der normale Nutzer. Gründe für das Aufzeichnen der Metadaten sind die Performance und der Komfort. Außerdem lassen sich PC-Fehler anhand der Daten besser analysieren. Microsoft will Sie darüber eher nicht ausspionieren, doch eröffnet der über lange Zeit gewachsene und weiter wachsende Datensatz Unbefugten eine Spielwiese für Schindluder.
Werden Sie selbst zum Windows-Spion
In diesem Ratgeber erfahren Sie zu Windows 7, 8.1 und 10, wie Sie sich selbst ausspionieren – was Sie machen sollten, bevor es andere tun. Sinnvoll ist der Selbstversuch, um ein besseres Verständnis von Windows zu erhalten und um sich zu schützen. Beim Filzen des eigenen Geräts erkennen Sie, was es seitens Dritter zu holen gibt. Haben Sie aus Ihrer Sicht sensible Daten ausfindig gemacht, die Sie schützen wollen, löschen Sie diese Protokolle. Auf Wunsch ändern Sie zudem die Systemeinstellungen so, dass Ihr Betriebssystem die Mitschnitte gar nicht erst anlegt. Damit entziehen Sie möglichen Spionen ihre Grundlage zu einem guten Teil. Feindliche Spyware könnten Fremde natürlich weiterhin einschleusen – weshalb ein Virenschutz wichtig bleibt. Um vorab ein wenig ins Detail zu gehen: Windows nutzt für die Performance Prefetch-Dateien, womit es Programme beschleunigen will – doch das war damals relevanter als heute, als Festplatten Hochkonjunktur hatten und noch nicht das SSD-Zeitalter angebrochen war. Die vom System gemerkten geöffneten Dateien im Recent-Ordner dienen für Taskleisten-Jumplist-Einträge und im Startmenü für die "Zuletzt verwendet"-Liste – und sind häufig ebenso für den Nutzer verzichtbar. Übrigens ist Windows 7 trotz seines Support-Endes im Bericht vertreten, weil das System in erster Linie historisch relevant ist und zudem noch immer einige Verbreitung hat.
Im Windows-7-Startmenü befindet sich im rechten Bereich der ausklappbare Eintrag "Zuletzt verwendet", jedenfalls wenn Sie ihn zuvor einschalten (nach einem Rechtsklick auf eine freie Startmenü-Position erreichen Sie die Startmenü-Eigenschaften, worin Sie die Änderung vormehmen). Unter Windows 8.1 und 10 fehlt zwar der "Zuletzt verwendet"-Eintrag im Kachel-Startmenü, jedoch erhalten Sie ihn in Windows-7-Manier mithilfe des kostenlosen Tools Open Shell Menu zurück.
Das ultimative Spionagetool
Bevor es ans Eingemachte geht, sei Ihnen LastActivityView empfohlen. Das Tool ist portabel – und daher für Sie wie auch unbefugte Dritte, die während Ihrer Abwesenheit an Ihrem PC zugange sind, attraktiv. Mit dem schlanken Tool zapfen Sie die nachfolgend beschriebenen Windows-internen Daten ohne Stress an. Alle Infos versammeln sich in einer Oberfläche. Die Angaben lassen sich per Klick auf die Spaltenüberschriften sortieren, zudem steht ein mit Strg-F aufrufbares ein Suchfeld zur Verfügung. So erschreckend LastActivityView wirken mag, so sehr beruhigt es: Haben Sie nämlich die Spuren mit den nachfolgenden Tipps gelöscht, sollte sich die Anzahl an Einträgen im Analyse-Programm deutlich reduzieren. Das Programm aktualisiert seine Ansicht nicht selbst, drücken Sie daher die F5-Taste, damit sich LastActivityView auffrischt.
» Download: LastActivityView herunterladen
Protkoll 1: Wann habe Windows hochgefahren?
So ermitteln Sie, wann Windows hochgefahren ist (1): Im Ereignisprotkoll ist vermerkt, wann das System bislang hochfuhr. Wenn Sie Windows 7 booten oder Windows 8.1/10 bei deaktiviertem Schnellstartmodus hochfahren, finden Sie die Infos per Ereignisanzeige an einem gemeinsamen Ort. Mit Windows-R und eventvwr rufen Sie das Bordmittel auf. Wechseln Sie darin links zu "Anwendungs- und Dienstprotokolle > Microsoft > Windows > Diagnostics-Performance > Betriebsbereit". Achten Sie auf die die Einträge mit der Ereignis-ID 100. Sortieren Sie die Liste zur besseren Übersicht nach ID-Nummern, indem Sie oben auf die Spaltenüberschrift "Ereignis-ID" klicken. Zu jedem der Einträge, auch mit hier relevanter 100er-ID, lesen Sie ein Datum und eine Uhrzeit ab. Wenn Sie einen 100er-Eintrag markieren, haben Sie anhand der darauf gezeigten Info Gewissheit: "Windows wurde gestartet" – sogar eine "Startdauer" in Millisekunden erscheint nach dem Auswählen so eines Eintrags. Wie Sie Bootzeitpunkte noch eleganter mit Bordmitteln auswerten, beschreibt ein weiterer Artikel.
So ermitteln Sie, wann Windows hochgefahren ist (2): Im Standard booten Windows 8.1 und 10 im Schnellstartmodus. Windows erfasst die Zeitpunkte des Bootens dabei genauso, nur finden Sie sie in der Ereignisanzeige woanders. Begeben Sie sich im eventvwr-Fenster links zum Pfad "Windows-Protokolle > System". Hier achten Sie auf Einträge mit der Ereignis-ID 1. Auf Wunsch sortieren Sie auch hier zunächst per Spaltenüberschrift die Einträge, sollte es Ihnen an Übersicht fehlen.
So löschen Sie den Datensatz: Die Hochfahrprotkolle und weitere Ereignisanzeige-Vermerke löschen Sie erleichtert per Batch-Skript. In einem Ratgeber-Artikel zum Entfernen der Ereignisprotokolle finden Sie das Skript zum Download. Falls Sie händisch aufräumen möchten, empfiehlt sich in der Ereignisanzeige außer unter "Windows-Protokolle > System" auch ein Blick in "Windows-Protkolle > Sicherheit"; im rechten Bereich befindet sich in beiden Rubriken der Befehl "Protokoll löschen".
So verhindern Sie, dass Windows protokolliert: Deaktivieren Sie den Systemdienst "Windows-Ereignisprotokoll". Hierfür starten Sie mit Windows-R und services.msc den Dienste-Manager. Öffnen Sie per Doppelklick auf den Dienst seine Eigenschaften, ändern Sie den Starttyp auf "Deaktiviert" und klicken Sie auf "Übernehmen > OK". Das Ganze ist aber eher eine Notlösung: So ist anschließend zwar das Auslesen per Ereignisanzeige unterbunden, beim Aufruf des Tools über den eventvwr-Befehl erscheint eine Fehlermeldung; und auch LastActivityView zapft neu entstehende Einträge zum Hochfahren nicht mehr an. Aktivieren und starten Sie den Dienst jedoch wieder, besteht in der Ereignisanzeige Zugriff auf vormalige PC-Inbetriebnahme-Zeitpunkte – und LastActivityView erweitert seine Liste um genau diese Informationen.
Protokoll 2: Wann habe ich welche Datei geöffnet
So ermitteln Sie den Zeitpunkt von Dateiaufrufen: Ob TXT-Text- oder PNG-Bilddateien – das System legt in seinem Recent-Ordner Verknüpfungen zu diesen Elementen an, wenn Sie sie öffnen. Mit Windows-R und recent öffnen Sie das Verzeichnis. Testweise öffnen Sie außerhalb des Explorer-Recent-Fensters eine Datei (zum Beispiel per Startmenüsuche) und drücken im Explorer-Fenster mit dem Recent-Ordner anschließend [F5]. Die Datei sollte daraufhin neu aufgeführt sein; anhand der Spalte "Typ" erkennen Sie, dass es nur eine Verknüpfung ist. Eine solche braucht mit 1 oder 2 Kilobyte viel weniger Speicherplatz als die Originaldatei. In der Spalte "Name" sehen Sie die Dateinamen; rechts daneben bei "Änderungsdatum" ist ersichtlich, wann Windows die jeweilige Verknüpfung zum Zeitpunkt des damaligen Öffnens angelegt hat. Per Doppelklick auf den Verknüpfungseintrag etwa eines PNG-Bildes betrachten Sie den Dateiinhalt zur Kontrolle im zugeordneten Viewer-Programm.
So löschen Sie den Datensatz: Rufen Sie den Recent-Ordner mit Windows-R und recent auf, markieren Sie mit Strg-A alle Elemente und drücken Sie die Entf-Taste. Bei Windows 7 bestätigen Sie den Löschvorgang mit einem Klick auf "Ja" – Windows 8.1 und 10 verlangen nach keiner Bestätigung. Keine Sorge, das Leeren des Ordners beseitigt nur die Verknüpfungen – also Verweise – auf die Originaldateien. Letztere bleiben erhalten, es kommt also zu keinem nennenswerten Datenverlust.
So verhindern Sie, dass Windows protokolliert: Je nach Betriebssystem ist anders vorzugehen. Bei Windows 7 öffnen Sie per Rechtsklick auf die Taskleiste deren "Eigenschaften". Holen Sie oben den Tab "Startmenü" nach vorn. Hier deaktivieren Sie unter "Datenschutz" die untere Einstellung "Zuletzt geöffnete Elemente im Startmenü und in der Taskleiste speichern und anzeigen". Speichern Sie mit "Übernehmen > OK" – danach sind vorhandene Datensätze verschwunden und neue entstehen nicht mehr. Unter Windows 8.1 rechtsklicken Sie die Taskleiste und wählen "Eigenschaften", wechseln zum Register "Sprunglisten" und nehmen den unteren Haken heraus bei "Zuletzt geöffnete Elemente in Sprunglisten speichern und anzeigen". "Übernehmen" Sie das per Klick und wählen "OK", sind vorhandene Recent-Protkolle getilgt und neue entstehen fortan nicht. Als Windows-10-Nutzer (getestet mit Version 1909, November 2019 Update) öffnen Sie mit Windows-i die Einstellungen-App und darin mit Klicks "Personalisierung > Start". In diesem Bereich legen Sie den Toggle-Schiebeschalter bei "Zuletzt geöffnete Elemente in Sprungliste im Startmenü oder auf der Taskleiste anzeigen". Wie die Vorgängersysteme löscht Windows 10 damit nicht nur die Verknüpfungen, sondern legt überdies keine neuen mehr in Recent an.
Protokoll 3: Wann habe ich welche Software gestartet?
So ermitteln Sie den Zeitpunkt von Programmstarts: Damit Programme schneller starten, legt Windows bei Softwareaufrufen im Prefetch-Ordner zahlreiche PF-Dateien an – pro Start eines Programms landet darin ein PF-Element. Da letztere Verknüpfungen so benannt sind wie die Programme, identifizieren Sie anhand der angegebenen Dateinamen, welcher Eintrag welcher Programmnutzung entspricht. In der Spalte "Änderungsdatum" steht der Zeitpunkt, zu dem Windows zum Start einer Anwendung diesen Vorgang per PF-Datei festgehalten hat. Zur Einsicht in diesen Datenschatz drücken Sie Windows-R, woraufhin Sie prefetch eingeben. Bestätigen Sie die erscheinende Pop-up-Fenster-Warnmeldung mit einem Klick auf "Fortsetzen".
So löschen Sie den Datesatz: Öffnen Sie den Prefetch-Ordner mit Windows-R und prefetch, bestätigen Sie mit "Fortsetzen" die Einsicht in diesen Ordner und markieren Sie mit Strg-A alle Elemente darin. Drücken Sie zum Aufräumen die Entf-Taste.
So verhindern Sie, dass Windows protokolliert: Hier kommt der wohl interessanteste Teil dieses Artikels. Seit Windows Vista besitzen Microsoft-Systeme neben Prefetch zur Programmbeschleunigung die Funktion SuperFetch. Letzteres erweitert Prefetch und versucht sich als Hellseher, soll Programme auf Verdacht ins RAM laden, wenn Sie sie voraussichtlich bald benötigen. Deaktivieren Sie den Systemdienst SuperFetch und beenden ihn, legt Windows auch keine Prefetch-PF-Dateien im C:\Windows\Prefetch-Ordner an. Im Ordner bereits vorhandene PF-Elemente verschwinden durch das Stilllegen. Doch Obacht – folgendes ist ein wenig kompliziert: Wenn Sie den Dienst deaktivieren und beenden und ein Programm starten, erscheint kein PF-Äquivalent in C:\Windows\Prefetch. Wenn Sie den SuperFetch-Dienst jedoch wieder aufrufen, taucht das zuvor – während SuperFetch nicht aktiv war – gestartete Programm als PF-Datei im Ordner auf. Booten Sie Windows jedoch nach dem Programmaufruf (während der Dienst beendet und deaktiviert war) neu und starten danach den Dienst, taucht keine zugehörige neue Prefetch-Datei im Ordner als Datenspur auf. Beachten Sie, dass manche PCs durch das Deaktivieren von SuperFetch langsamer arbeiten – bei SSDs gilt das Deaktivieren jedoch als weniger dramatisch, weil die Systemdatenträger von Haus aus schnell sind. Zum Beenden und Deaktivieren des Dienstes öffnen Sie mit Windows-R und services.msc den Dienste-Manager: Klicken Sie doppelt auf den Dienst-Eintrag "SuperFetch", im neuen Fenster ist das Beenden und Ändern des Starttyps auf "Deaktiviert" möglich. Verlassen Sie den Dialog mit "Übernehmen > OK". Beachten Sie, dass seit Windows 10 1809 (Oktober 2018 Update) der SuperFetch-Dienst einen neuen Namen besitzt: "SysMain". So heißt auch die zugehörige DLL-Datei im C:\Windows\System32-Ordner. Unter Windows 10 1909 (November 2019 Update) ist also "SysMain" zu beenden und zu deaktivieren. Ist im oberen Absatz von SuperFetch die Rede, sind die Aussagen auch auf den Windows-10-Dienst SysMain anwendbar; so legte Windows 10 1909 bei deaktiviertem und beendetem SysMain-Dienst keine PF-Dateien an, sie erschienen jedoch, als der Tester den Dienst ohne OS-Reboot neu gestartet hatte.
NSCI und Weiteres deaktivieren oder konfigurieren
Abschließend sei gesagt, dass Sie Windows kaum vollständig mundtot machen. So überträgt das Betriebssystem nach dem Deaktivieren diverser Protokollierungen (etwa mit den Tipps aus diesem Artikel) weiterhin Daten über das Internet an Microsoft. Mit O&O ShutUp 10 gebieten Sie dem zu einem großen Teil Einhalt. Und wann wäre da noch NCSI: Durch den Network Connectivity Status Indicator erfährt Microsoft allein dadurch, dass eine Internetverbindung besteht, Ihre IP-Adresse.
Hier laden Sie O&O ShutUp 10 herunter – und hier finden Sie einen Anti-NCSI-Ratgeber:
» Download: O&O ShutUp10 herunterladen
» Windows 7/8/10: Interneterkennung sicherheitshalber abschalten
Das kleine Tool O&O Shutup10 besitzt einen guten Ruf, es ist portabel – und weitgehend intuitiv bedienbar. Suchen Sie eine Anleitung, finden Sie eine solche im Artikel "Windows-10-Antispy: Spionage stoppen mit O&O ShutUp10".
Quelle: Windows ohne Spionage: Das heimlich schnüffelnde OS enttarnen - COMPUTER BILD