Microsoft Windows

Ein globales Spionage Betriebssystem

TORSTEN JAHNKE
MS WINDOWS

Inhaltsverzeichnis
1.

Vorstellung ..................................................................................................................................................... 2

2.

Einführung ...................................................................................................................................................... 2

3.

Die Windows Registry .................................................................................................................................... 4

4.

Heise Superfish Warnung ............................................................................................................................... 5

5.

Was bedeutet BlockType? .............................................................................................................................. 5

6.

XunleiBHO ...................................................................................................................................................... 8

7.

Zusammenfassung und Fragen .................................................................................................................... 10
7.1.

Zusammenfassung der Fakten ........................................................................ 10

7.2.

Daraus ergeben sich unter anderem folgende Fragen: ........................................... 10

8.

MS Metadaten ............................................................................................................................................. 12

9.

MS Online ..................................................................................................................................................... 18

10. Datensammlung ........................................................................................................................................... 21
11. Datenübermittlung ....................................................................................................................................... 26
12. Zusammenfassung und Fragen .................................................................................................................... 29
12.1.

Zusammenfassung der Fakten ........................................................................ 29

12.2.

Daraus ergeben sich unter anderem folgende Fragen: ........................................... 29

13. Dennoch alles legal ...................................................................................................................................... 30
14. Cloud und Cloud OS ...................................................................................................................................... 33
15. Microsoft Office und Microsoft CRM ............................................................................................................ 34
15.1.

Testen am Computer direkt ........................................................................... 35

15.2.

Virustotal ................................................................................................. 36

16. Optionen und Möglichkeiten ........................................................................................................................ 42
17. Ziele .............................................................................................................................................................. 44
18. Danksagung ................................................................................................................................................. 46

Seite 1 von 46

1. Vorstellung
Mein Name ist Torsten Jahnke, ich bin 46 Jahre alt und seitdem meinem 13ten
Lebensjahr bin beschäftige ich mich mit Computern. 1994 habe ich den
beruflichen Einstieg in die IT Branche gestartet und somit mein Hobby zum Beruf
gemacht. Schon zu Comodore Amiga Zeiten war meine grundsätzliche Frage, was
bringt der Computer wenn das Betriebssystem nicht funktioniert.
Diese Frage brachte mich recht schnell vom Bereich Betriebssystem in die Bereiche
Microsoft Betriebssysteme, Netzwerktechnik und Netzwerk Technologien, wo ich
inzwischen seit fast 20 Jahren beruflich tätig bin.

2. Einführung
Im Jahr 2003 habe ich einen DNS basierenden Werbeblocker entwickelt weil
Werbung und der Pornomüll im Internet für mich und vor allem für meine Kinder
zu viel wurde. Der Vorteil beim Blocken von Werbung durch meine Lösung ist,
dass das System eben nicht nur im Browser arbeitet sondern innerhalb des
Betriebssystems. Die technischen Möglichkeiten die sich durch diese Technologie
ergeben habe ich bis heute weiterentwickelt und diese sind nahezu grenzenlos.
Man ändert lediglich die DNS Einstellungen am Router/Gateway was eine
Software Installation nicht nötig macht und ohne Rücksicht auf das
Betriebssystem nehmen zu müssen ist das Internet im gesamten Netzwerk sauber.
Durch meine Erfindung bin ich vor knapp 2 Jahren in Windows Betriebssystemen
auf Ungereimtheiten gestoßen und begann das im Detail zu untersuchen.
Ich werde Ihnen hier nun zeigen was die Firma Microsoft mit Ihren
Betriebssystemen im Hintergrund an unseren Computern anstellt bzw. anstellen
kann. Ich bin mir sicher damit werden Sie eine vollkommen neue Sicht auf die
Betriebssysteme dieser Firma bekommen.
In knapp 2 Jahren Arbeit habe ich unterschiedlichste Analysen, Tests, Vergleiche,
Fragen und Diskussionen geführt und durchgeführt, wie zum Beispiel mit
Sicherheitsspezialisten oder z.B. auch einem Firewall Entwickler gesprochen, die
am Ende nach Durchsicht aller Fakten zu einem Schluss gekommen sind:

Der Skandal der NSA ist nichts gegen das was Microsoft hier macht.

Seite 2 von 46

In diesem Download sind alle Dokumente, Unterlagen und Tabellen zu diesem
Bericht in einer wesentlich detaillierten Form enthalten. Dieser Bericht ist eine
Übersicht zu allen enthaltenen Materialien. Das soll dazu dienen dass Sie, all
das was ich ihnen nun zeigen werde, auch entsprechend verifizieren und
nachvollziehen können.
Ich werde Ihnen jetzt zeigen, dass Microsoft Betriebssysteme von Haus aus mit
Trojanern, Backdoors, Keylogger und anderen Spionage Tools serienmäßig
ausgestattet sind. Darüber hinaus werde ich Ihnen zeigen mit welchem
verstecktem

Protokoll

Microsoft

eine

unsichtbare

Datenübertragung

durchführen kann und diese somit von jeder Firewall unentdeckt bleibt. Ich
werde Ihnen des Weitern auch zeigen wie Microsoft alle Ihre eigenen Daten, auch
absolut persönliche oder vertrauliche, auf jedem PC’s qualifiziert, sortiert und
aussortieren kann und wie die Zuordnung der Daten zu Firma und Nutzer
durchgeführt wird. Somit wird digital und schnell entschieden, handelt es sich
um interessante Daten oder nicht.
Abschließend werde ich Ihnen zeigen und auch demonstrieren wie diese Daten bei
Bedarf und Interesse vom PC in das Microsoft Rechenzentrum wortwörtlich
kopiert werden.
Um es deutlich zu sagen, damit meine ich ihre persönlichen Word, Powerpoint oder
Excel Daten wie auch entsprechende Notizen. Doch was ist mit verschlüsselten
Daten und Dateien? Eine Datenverschlüsselung spielt in diesem Falle keine Rolle
wie sie dann selbst recht einfach feststellen werden. Da alles im Nutzerkontext
geschieht und die Übertragung und Analysen mit eigenen versteckten
Berechtigungskonzepten durchgeführt wird, macht eine Datenverschlüsselung
keinen Sinn. (siehe Microsoft Windows Analyse.pdf – Seite 104)

Seite 3 von 46

3. Die Windows Registry
In Windows Betriebssystemen finden wir in der Registry, also die Windows
Registrierungsdatenbank, diverse Einträge die auf Viren, Trojaner, Backdoor,
Keylogger oder Spyware klassifizierte Dateien hinweisen. Das ist auch absolut
nichts neues, also nicht besonders spannend. Jeder dieser Einträge hat eine
spezielle eindeutige Nummer, die sogenannte GUID, deren Fachbegriff
„Globally Unique Identifier“ lautet mit der sich die Dateien entsprechend
Identifizieren lassen.
Man könnte an der Stelle sagen, es ist ein Zufall dass diese Daten die gleiche GUID
haben wie manche Viren, Trojaner, Backdoors, etc. Doch bei über 90
übereinstimmenden Treffern und einer 128-Bit Zahl macht es kaum Sinn
ausrechnen zu wollen wie hoch die Wahrscheinlichkeit ist, dass das alles ein
Zufall ist. Falls das doch jemand ausrechnen möchte wie hoch diese wäre, bitte
gerne. Das Thema Stochastik ist bei mir leider schon etwas länger her, ich passe
an dieser Stelle.
Bei diesen Dateien in der Registry handelt es sich um Verweise auf Libraries, also
DLL’s, im englischen Fachbegriff als „Dynamic Link Libraries“ bekannt, welche
eigentlich ausführbare Dateien sind, jedoch erst durch eine EXE Datei bzw. ein
anderes Programm ausgeführt werden. Diese DLL‘s sind sozusagen sekundär
Programme, welche ein Hauptprogram benötigen um ausgeführt werden zu
können.
Ich beschränke mich hier in diesem Beitrag auf folgende 3 Dateien. Nehmen wir
hier die SuperfishIEAddon.dll, die XunleiBHO7.2.0.3076.dll und zu guter Letzt
die PluckIEToolbar.dll. Alle weiteren Dateien entnehmen Sie bitte dem
Dokument „Microsoft Windows Analyse.pdf“
Jeden, der an dieser Stelle sofort beginnen würde diese „gefährlichen“ Dateien im
Betriebssystem suchen zu wollen, bitte ich um Zurückhaltung. Diese Dateien sind
nicht im Betriebssystem zu finden, egal ob Sie in der ISO Datei oder in einem
installierten Betriebssystem suchen.
Um die folgende Thematik leichter erklären zu können, bitte ich Sie,
vorübergehend anzunehmen, dass diese gefährlichen Dateien vorhanden sind.
Die augenscheinliche Tatsache dass ich von Dateien rede, die nicht vorhanden
sind, lassen wir bitte im Moment außen vor und ich werde definitiv noch einmal
ausführlich darauf zurückkommen.

Seite 4 von 46

4. Heise Superfish Warnung
Am 22. Februar 2015 berichtet die Computerzeitschrift HEISE auf Ihrer Webseite
das einige Versionen des Virus Superfish von Microsoft erkannt werden und
bereits im Betriebssystem blockiert werden. Dazu hat die HEISE einen Screenshot
der Registry mit entsprechendem Hinweis auf Ihrer Webseite veröffentlicht.

5. Was bedeutet BlockType?
Aus meiner Sicht geht HEISE davon aus, dass der Wert „BlockType“ dafür zuständig
sein soll diese DLL Dateien zu blockieren. Dank eines Dokumentes, das ich durch
die Firma Intel erhalten habe, sehe ich diesen API Wert vollkommen anders, was
auch aussagekräftig daraus hervorgeht.
An dieser Stelle nochmals eine herzlichen Dank an die Firma Intel.
Wenn man sich mit dem Dokument beschäftigt, welches Sie ebenso im Download
finden, mit dem Namen „Windows Sockets 2 Protocol-Specific Annex - Revision
2.0.3 vom 10. Mai 1996“ und sich folgendes genauer ansieht, Kapitel 7.4 – Seite
63, wird man schnell eines Besseren belehrt.
Der Wert „BlockType“ ist für eine verschlüsselte Client-Server Kommunikation
zuständig.

Seite 5 von 46

Der Wert „BlockType“ ist definitiv nicht dafür zuständig dass irgendetwas
blockiert wird. API Werte sind Eindeutig und kommen auch nicht 2-mal im
Betriebssystem vor, so dass man sagen könnte, da ist ein kleines Versehen
passiert und der Wert wurde verwechselt.

Seite 6 von 46

Der eigentliche Wert gefährliche oder ungewollte Dateien zu blockieren, die als
Browser Plug-In arbeiten, beschreibt Microsoft unter diesem Link:
https://support.microsoft.com/de-de/kb/240797
https://msdn.microsoft.com/en-us/library/bb688194(v=vs.85).aspx

Dort ist zusehen, das Wert „0x00000400“ (auch „KillBit“ genannt) zur
Deaktivierung ActiveX und ähnlichen Komponenten dient. Das sogenannte
„KillBit“ wird auch nicht unter „BlockType“, sondern unter dem Registry Wert
„CompatibilityFlags“ gesetzt.

Seite 7 von 46

6. XunleiBHO
Sehen wir uns die XunleiBHO7.2.0.3076.dll Datei an.
Diese chinesische Firma Xunlei ist bekannt für ein unschlagbares und modifiziertes
P2P Protokoll. Bei der Firma handelt es sich um das chinesische Unternehmen
Shenzhen Xunlei Networking Technologies, Co., Ltd (Nasdaq XNET).
Details über die Entstehung und die Entwicklung zu diesem P2P ähnlichem Protokoll
entnehmen Sie bitte folgenden Wikipedia Einträgen:
Deutsch: https://de.wikipedia.org/wiki/Xunlei
Englisch: https://en.wikipedia.org/wiki/Xunlei
Xunlei und Kankan, letzteres auch bekannt durch Win32/KanKan Virus, eine eng
verbundene Seilschaft und beide Namen stehen auch bekanntermaßen für Viren
und Spyware. Am 18. Oktober 2013 berichtete die Zeitschrift Heise ausführlich
über die Gefährlichkeit durch Trojaner des Unternehmens unter folgendem Link:
http://www.heise.de/security/meldung/Kankan-eine-chinesische-TrojanerGeschichte-1981463.html

Seite 8 von 46

Das Unternehmen Xunlei, das durch ein spezielles P2P Protokoll bekannt und
berühmt wurde und ebenso bekannt und berühmt ist für seine Trojaner- und
Vireninfektionen sehen wir uns im Detail mal an.
Betrachten wir das Unternehmen und die Führungsspitze von Shenzhen Xunlei
Networking Technologies, Co., Ltd. doch mal etwas genauer.
An der Spitze von Xunlei und CEO ist seit 2014 Dr. Hongjiang Zhang, der auch bei
der Firma Kingsoft Corporation Limited bis 2011 als CEO tätig war. Nach seiner
Tätigkeit bei Kingsoft war Dr. Zhang bei der Firma Microsoft tätig.
Dr. Zhang war ab Oktober 2011 "Chief Technology Officer der Microsoft AsiaPacific Research Group" und "Managing Director of the Microsoft Advanced
Technology Center"
In dieser Doppelrolle leitete Dr. Zhang „Microsofts Research and Development“ in
China, war dort verantwortlich für Strategie, Planung, Forschung und
Entwicklung sowie die Basisentwicklung von Produkten, Services und Lösungen.
Dr. Zhang war ein Mitglied des „Executive Managements“ von Microsoft in China
sowie stellevertretener Generaldirektor der Microsoft Forschungsabteilung in
Asien.
Im April 2014 hat Dr. Zhang Microsoft verlassen und ist bis heute bei der Firma
Xunlei, auch bekannt als Shenzhen Xunlei Networking Technologies, Co., Ltd, als
CEO tätig.
Überdenkt man die Fragen wie von der HEISE hier im Bildausschnitt gezeigt, dürften
sich einige Fragen klären, jedoch eine Menge an weiteren Fragen auftauchen.
Betrachtet man den Xunlei Downloader im Detail, dann stellt sich eine interessante
Frage: Was soll denn ein verstecktes und modifiziertes P2P Protokoll ohne unser
Wissen im Windows Betriebssystem machen?
Im Jahr 2011 stellte der amerikanische Abgeordnete Scott Garrett aus New Jersey
bereits in einem Brief an die Vorsitzende Mary Schapiro die Firma Xunlei mit
Ihren Copyright Verletzungen in Frage. Was macht also Xunlei in Windows
Systemen? Blockiert wird diese Datei jedenfalls nicht und das ist hiermit
zweifelsfrei bewiesen. Sie finden im Download das Schreiben von Scott Garret
an das amerikanische Repräsentantenhaus (Mary Schapiro - White House –
Xunlei.pdf) wie auch zusätzliche Informationen und Details zu dieser Firma
sowie dem Xunlei Downloader.

Seite 9 von 46

7. Zusammenfassung und Fragen
7.1.

Zusammenfassung der Fakten
1. Der Wert BlockType ist definitiv nicht als Wert gedacht um Daten durch die
Windows Registry zu blockieren.
2. Dass es sich hierbei um gefährliche Daten handelt kann nicht bestritten werden.
Auf Grund der GUID, dem Namen, diversen Meldungen und Analysen von
AntiViren Herstellern handelt es sich eindeutig um Viren, Trojaner und
Backdoors. Das sich ein AntiViren Hersteller irren kann, steht außer Frage.
Wenn aber unterschiedliche und konkurrierende Hersteller der gleichen
Meinung sind, besteht kein Zweifel dazu.
3. Das solche Dateien entsprechend blockiert werden könnten, steht außer Frage.
Microsoft verweist auf seiner eigenen Webseite hierzu auf die entsprechenden
Informationen hin. Das sogenannte KillBit wird jedoch unter dem Wert
„CompatibilityFlags“ gesetzt.
4. Es gibt auf keiner einzigen Microsoft Seite einen kleinen Hinweis auf diesen
Registry Zweig. Wenn hier Sicherheit verkauft werden würde, dann würde
Microsoft ausführlich darüber berichten.
5. Vergleicht man die Daten und die Werte in der Registry miteinander, würde
Microsoft ebenso eigenen Dateien als gefährlich klassifizieren. (Skype.dll)
6. https://home.mcafee.com/virusinfo/virusprofile.aspx?key=771060#none zeigt
auf das die Xunlei.dll als Backdoor/Trojaner klassifiziert wurde und nicht nur
von McAfee alleine.
7. Der Hinweis http://www.file.net/process/xunleibho_v14.dll.html auf diese
Datei zeigt eine vorhergehende Version, jedoch älter.
8. Das es sich bei der Xunleibho Datei um ein Trojaner handelt bzw. um ein
Backdoor
wird
hier
bestätigt
https://www.virustotal.com/en/file/0d1b50589c8e4388b099edef737fc560060
5f1e7e0e71306af69b93eb0fabb24/analysis/

7.2.

Daraus ergeben sich unter anderem folgende Fragen:
1. Angenommen es wäre ein „blocken“ in der Registry, warum
„blockiert“ Microsoft „extrem gefährliche Dateien“, die von renommierten
Herstellern sind wie z.B. Ebay oder Yahoo?
2. Was macht dann diese Dateien so extrem gefährlich dass diese alten Daten
gleich im Betriebssystem geblockt werden müssen obwohl es nur Browser PlugIns sind?
3. Wenn diese Dateien böse Dinge anstellen, wieso finden sich keine Informationen
dazu irgendwo bei Microsoft?

Seite 10 von 46

4. Warum werden dann nur alte Versionen (Superfish) blockiert, die inzwischen
von jedem Virenscanner erkannt werden?
5. Warum werden z.B. Daten aus dem Jahr 2003 blockiert die eigentlich gar nicht
mehr gefährlich sein können?
6. Warum wurden Dateien erst in Windows 10 „blockiert“ und nicht auch gleich in
Windows 8/8.1 obwohl der Edge Browser in Windows 10 mit BHO’s eigentlich
nichts anfangen kann?
7. Warum wurde die Liste der Dateien in Windows 10 um einige Dateien weiter
entwickelt?
8. Wieso war es notwendig dass die Dateien überhaupt in Windows 10 (Stand Feb.
2015) blockiert wurden, obwohl der EDGE Browser keine BHO‘s unterstützt?
https://blogs.windows.com/msedgedev/2015/05/06/a-break-from-the-pastpart-2-saying-goodbye-to-activex-vbscript-attachevent
9. Warum blockiert Microsoft auch eigene Dateien, wenn an diese Stelle in der
Windows Registry angeblich nur gefährliche Dateien blockiert werden sollten?
10. Was würde Microsoft Dateien so gefährlich machen, wenn diese Dateien
angeblich in der Registry blockiert werden und welches Gefahrenpotential geht
dann davon aus?
11. Betrachtet man den Xunlei Downloader technisch, welcher andere Teil als das
P2P Protokoll bzw. die Übertragungsroutine würde sich sinnvoll an anderer
Stelle verbauen lassen? Damit würde sich die Erkennung als Trojaner erklären.

Seite 11 von 46

8. MS Metadaten
Das Microsoft Metadaten sammelt ist fast so alt wie Windows selbst und damit
bringe ich auch niemanden mehr zum Nachdenken. Keiner denkt mehr drüber
nach und alle finden das in Ordnung. Ich persönlich nicht und mich wundert es
das der deutsche Datenschutz das alles noch nicht moniert hat. Doch, was genau
steckt eigentlich in diesen Metadaten drin, die Microsoft so sammelt?
Werfen wir einfach einen Blick in die Daten selbst, wobei der Inhalt der Dateien
nicht

direkt

lesbar

ist.

Unter

dem

Pfad

„C:\ProgramData\Microsoft\Windows\Caches“ werden Sie die Metadaten von
Ihrem Gerät finden.
Ich selbst war die letzten Jahre im Bereich SAM (Software Asset Management) tätig
und habe hier Geräte und Nutzerinformationen, also Metadaten von Computern
und Servern, zum Zweck einer Lizenzbilanz erfasst. Betrachtet man diese von
der Dateiengröße her die alle Daten eines PC’s, des Nutzers und der installierten
Software enthalten, kamen meine Metadaten zum Zwecke eines SAM Projektes
auf maximal 200 bis 300kb pro PC.
Damit wurden aber bereits eine solche Menge an sensiblen Daten erfasst, das
mancher Betriebsrat „rote Augen“ bekommen hatte, auf Grund von geltenden
Datenschutzbestimmungen, weil wir hoch sensible Informationen erfassen
mussten. Diese Daten wurden ausschließlich in enger Zusammenarbeit mit dem
Kunden zusammen erfasst und rückblickend auf meine ehemaligen Arbeitgeber
in diesem Bereich, diese Daten haben auch niemals die Abteilung oder gar
Unternehmen verlassen. Das „SAM Inventory“ wurde in den allermeisten Fällen
Seitens des Betriebsrates abgesegnet so dass entsprechend damit gearbeitet
werden konnte. Doch selbst mit einem NDA, also einer entsprechenden
Vertraulichkeitsvereinbarungen, kam es dennoch zwischendurch vor dass diese
Inventory Dateen seitens des Betriebsrates auf Grund der Sensibilität nicht zur
Weiterverarbeitung freigegeben wurden. Das nur als Anmerkung zur Größe und
zum Inhalt von Metadaten.
Gehen wir an dieser Stelle wieder zurück zu Windows.
Vergleicht man jetzt was Microsoft an Metadaten erfasst, kommt man in meinem
Beispiel auf 1,55 MB bei einem vollkommen leeren Betriebssystem. Keine
Software, keine Historie. Das Betriebssystem ist gerade mal ein paar Stunden
installiert gewesen. Ohne Updates.

Seite 12 von 46

Ich

habe

interessanterweise

festgestellt,

keiner

weiß

wirklich

was

für

Informationen mit den Microsoft Metadaten gesammelt werden. Selbst
Datenschützer sagten mir, ja, Microsoft sammelt Daten und das sind bekannte
Fakten, das ist auch nichts Neues oder Besonderes.
Also sehen wir doch mal nach ob das wirklich so uninteressant ist.
Wenn man diese Metadateien nur mit einem Texteditor öffnet, sieht man recht
deutlich welche Datei hier entsprechende Informationen sammelt.

Hier findet man einen Hinweis auf die „propsys.dll“. Diese „propsys.dll“ Datei kann
man ebenso mit einem Texteditor öffnen und ab der Mitte der Datei findet man
ein XML Datei darin enthalten.

Seite 13 von 46

Jetzt würde ich gerne mal wissen was ein Datenschützer dazu meint, wenn diese
Daten, die durch die XML Datei an Microsoft übermittelt werden, näher
betrachtet werden.
Ich hätte die XML Datei gerne direkt mit in den Download hineingelegt, allerdings
würde das den Straftatbestand wegen „unerlaubter Verbreitung und
Vervielfältigung urheberrechtlich geschützter Werke“ erfüllen. Deswegen
müssen Sie da selbst Hand anlegen. Laut meinem Anwalt darf ich ihnen dafür
ausführlich erklären wie sie an diese Datei kommen. Da man diese Datei lesen
kann ohne dass die Datei dekompiliert wird, ist es also auch kein rechtliches
Problem.
Im Download finden Sie eine detaillierte Anleitung zum extrahieren (siehe
Microsoft Windows Analyse.pdf – Seite 109) und bitte beachten Sie, die XML
Datei kommt ausgedruckt auf 286 Seiten.

Wenn Sie nun die XML Datei aus der „propsys.dll“ extrahiert haben und sich dann
bewusst werden dass ein weiteres Plug-In, die „PluckExplorerBar.dll“ dafür

Seite 14 von 46

zuständig ist Daten und Dateien zu klassifizieren und zu kategorisieren, dürfte
sich bereits leichtes Stirnrunzel breit machen. Wohl gemerkt, wir nehmen immer
noch an dass diese Dateien vorhanden sind, auch wenn diese erstmal nicht zu
finden sind.
Es gibt lediglich 2 Hinweise dazu im Internet die aussagen, dass diese DLL nahtlos
in den Internet Explorer integriert worden ist, mehr Informationen sind nicht zu
finden. Und betrachtet man die Webseite von Pluck ist damit erstmal alles
gesagt.
Vergleicht man das nun mit dem Artikel unter der Adresse
https://netzpolitik.org/2014/metadaten-wie-dein-unschuldiges-smartphone-fastdein-ganzes-leben-an-den-geheimdienst-uebermittelt/
mit dem Inhalt der Metadaten von Windows, kann man sich ungefähr vorstellen was
damit nun alles möglich ist.
Ich bin kein Datenschützer und ich habe selbst auch nicht viele Berührungspunkte
zu dieser Thematik. Dennoch sind mir ein paar Dinge bekannt und bedingt durch
meine Tätigkeit im SAM Bereich habe ich die eine und andere Information
mitgenommen.
Das ist meine rein persönliche Meinung und keine Frage, es mögen Datenschützer
und Juristen eine andere Meinung dazu haben, aber wenn ich mir ansehe was
durch diese Windows Metadaten alles erfasst, erkannt und übertragen wird,
dann hat das absolut nichts mehr mit „Wir sammeln mal ein bisschen Daten“ zu
tun.
Anbei sehen Sie einen Ausschnitt aus der XML Datei und wenn ich mir das so im
Detail betrachte, ist das etwas was eigentlich einen Staatsanwalt ins Boot
bringen müsste. Aus meiner Sicht ist damit die Grenze zur Industriespionage bei
weitem überschritten. Eine Anzeige bei der Staatsanwaltschaft München von
meiner Seite aus zu diesem Thema blieb übrigens ohne Erfolg und wurde
eingestellt.
In Microsoft Lizenzaudits werden Unternehmen kräftig zur Kasse gebeten wenn
Fehler in der Lizensierung gemacht wurden. Nehmen wir den Bereich SQL Server
mit der Formulierung „direkte und indirekte Zugriffe“ oder auch „theoretische
Zugriffe“. Hier sagt Microsoft, wenn „theoretisch die Möglichkeit besteht“ dann
wird auch auf die Systeme zugegriffen, keine Diskussion.

Seite 15 von 46

Dann darf man beruhigt davon ausgehen, wenn Microsoft die Möglichkeit hat diese
Informationen auszulesen, dann machen die das auch. Wozu würden die es denn
sonst hineinprogrammieren?
Und das ist nur eine Auszug aus der XML Datei als ein kleines Beispiel:

Ich stelle mir hier berechtigt die Frage, wozu braucht Microsoft dann überhaupt
noch bei all den Daten ein SAM oder Lizenzaudit? Die haben doch alle Daten und
das in einer Qualität jenseits eines normalen SAM Projektes. Ist das nur Tarnung?

Seite 16 von 46

Das ist aus meiner Sicht auch wieder ein Grund daran zu glauben dass all das nicht
von „Ganz Oben“ gesteuert und kontrolliert wird.
Die Antwort dazu kann nur Microsoft liefern.

Seite 17 von 46

9. MS Online
Wie ich bereits eingangs erwähnte, habe ich einen Werbeblocker auf DNS Basis
entwickelt. Da meine DNS Server nicht nur Werbung blockieren sondern auch
andere unerwünschte Verbindung verhindern, hatte ich also einen Computer
frisch mit Windows 8.1 Enterprise installiert und diesen dann fast 4 Wochen
lange ununterbrochen laufen lassen und alles an Internet Anfragen mitgeloggt.
Was dabei am Ende herauskam ist jenseits aller Vorstellungen.
Nach Auswertung der Log Daten ist mir eine Adresse besonders aufgefallen.
„go.microsoft.com“.
Der PC wurde installiert, aktiviert, es wurden keine Updates gemacht, es war
niemand angemeldet und dennoch hatte ich Zugriff auf Adresse. Standartmäßig
öffnet

der

Internet

Explorer

diese

Adresse

ja

auch.

Wir

kennen

„go.microsoft.com“ auch vom ersten öffnen des Internet Explorers. Also könnte
der eine Werbemüll Adresse sein.
Diese Adresse ist Hard Coded, als in der „dnsapi.dll“ eingetragen und somit mit
dem Betriebssystem fest verdrahtet. Ein Blockieren über die HOSTS Datei
(127.0.0.1 go.microsoft.com) ist also nicht möglich.
Alle Hinweise im Event Monitor, alle Erklärungen und Links laufen über diese
Adresse. Wer also diese Adresse blockiert, bekommt im Event Log keine
Informationen und Daten mehr. Es wäre also extrem destruktiv diese Adresse zu
blockieren, denn dann würde mindestens das Event Log so gut wie nicht mehr
funktionieren. Trotzdem ist die Adresse „Hard Coded“? Jetzt kann man sich
streiten, ist es gerade deswegen gemacht worden oder steckt da etwas anderes
dahinter?
Es gibt eine Vielzahl von Online Virenscannern, die nicht kontinuierlich, aber
dennoch regelmäßig IP Adressen und URL’s prüfen. Ich habe dann die IP Adresse
von „go.microsoft.com“ eingegeben und siehe da, im Bereich „Sandbox
Environment“ werden Daten, die eine Viren, Trojaner, Backdoor oder Keylogger
Signatur haben und entsprechend klassifiziert sind, an Microsoft übertragen.
Zufall? Also habe ich mich mit diesen Online Virenscannern beschäftigt. In
Monatelangen Logs und abfragen unterschiedlichster DNS Server weltweit habe
ich IP Adressen zu dieser URL eingesammelt und immer wieder das gleiche
Ergebnis. Daten die aus einem „Sandbox Environment“ kommen, sind mit Viren

Seite 18 von 46

oder

Trojaner

oder

Backdoor

Signaturen

versehen,

die

an

diese

„go.microsoft.com“ Adresse gesendet werden.
Ich war von Beginn an skeptisch. Als ich einen Datei gefunden haben in diesen
Virenlogs von Virustotal die „123.zip“ geheißen hatte und Microsoft Office
Dokumente enthielt und eben an diese „go.microsoft.com“ Adresse gesendet
wurde, wurde es langsam bewusst was hier passiert.

Es werden Daten vom PC zu Microsoft gesendet an diese go.microsoft.com Adresse.
Und viele dieser Daten, insbesondere die, die unter der Rubrik „Sandbox
Environment“ übertragen werden, haben eine Dateisignatur die davon zeugen,
dass sie von und durch einen Virus übertragen wurden.

In

dem

abgebildetem

Beispiel

handelt

es

sich

um

die

URL:

https://go.microsoft.com/fwlink/?linkid=500683
Gibt man diese Adresse in den Browser ein kommt ein Redirect auf die URL:
https://www.microsoft.com/en-us/download

Seite 19 von 46

Auf Grund des Inhaltes dieser Dateien ist davon auszugehen, dass hier Daten
übermittelt werden, die garantiert nicht übermittelt werden sollten.
Im Download meiner Dokumente habe ich auch eine Liste mit über 100 IP Adressen
die ich auf der URL go.microsoft.com gefunden habe. Ich habe hier bewusst
keine großartigen Screenshots oder Listen über Daten angehängt. Ich überlasse
es Ihnen sich das anzusehen oder nicht, denn wann ist ausreichend belegt das
hier Dinge geschehen, die nicht passieren sollten? 10, 50, 100 oder 1000
Beispiele? Somit haben Sie selbst genügend Möglichkeiten. Und wenn Sie 6000
Beispiele brauchen um Überzeugt zu werden, bitteschön.
Nehmen Sie den Link aus dem angefügten Dokument „How to check the IP Address
from go-microsoft-com“, setzen Sie eine go-microsoft IP Adresse ein und sehen
Sie sich die Logdaten selbst an.
Bedenken Sie bitte, diese Online Virenscanner greifen nicht kontinuierlich auf diese
URL’s oder IP Adressen zu. Virustotal ist auch nicht der einzige Online
Virenscanner der im Internet IP Adressen und URL’s Untersucht.
Stellt man sich jetzt vor, was diese „Viren“ Dateien, die in der Windows Registry
zu finden sind, alles machen könnten und zählen wir an der Stelle alle
Informationen zusammen, was damit nun möglich wäre was ich ihnen eben
Demonstriert habe, ist das weit jenseits der Vorstellungskraft was Microsoft an
Daten sammelt. Das Microsoft Daten sammelt die sicherlich nicht expliziert für
diese Firma bestimmt sind steh somit außer Frage. Stellt sich immer noch die
Frage wie?
Zum einen stehen dazu Online Virenscanner zur Verfügung. Dort finden sich
Informationen, dass Daten die über eine Sandbox Umgebung an Microsoft
gesendet werden, die mit einer Virus Signatur gekennzeichnet sind. Und nur als
Hinweis, Virustotal ist nicht der einzige Virenscanner der Online Adressen scannt.
Man könnte jetzt auch davon ausgehen, dass ein Viren Hersteller daraus abzielt,
Microsoft zu schädigen um Daten zu übertragen. Doch die Wahrscheinlichkeit ist
weniger als 0. Kein Virenschreiber würde eine Virus schreiben und die Daten an
eine andere Adresse als sich selbst schicken. Wenn es also ein fremder Virus ist,
wieso sendet der Daten an das Microsoft Rechenzentrum?
Dazu kommt, es handelt sich nicht nur um einen einzigen Virus, denn wie auch
nachzulesen ist, es handelt sich um fast 90 bestätigte und klassifizierte Viren
von unterschiedlichsten Anti Virenherstellern.

Seite 20 von 46

10. Datensammlung
Gehen wir einen Schritt weiter und ich bitte Sie nun daran zu zweifeln dass eben
diese Dateien überhaupt vorhanden sind, die ich ihnen in der Windows Registry
gezeigt habe.
All das was ich ihnen bisher gezeigt habe und was Sie auch selbst alles
nachvollziehen können, ist noch immer kein wirklich 100%ig Beweis dafür, dass
Microsoft das tut, wonach was es hier aussieht obwohl es unzählige Log Daten
dafür gibt.
Wenn man Microsoft beweisen möchte dass die böse Dinge anstellen, müsste man
anfangen das Betriebssystem zu Dekompilieren.
Auf Grund der Gesetzeslage in Deutschland und Europa, übrigens auch in der
Schweiz, ist es absolut illegal Dateien zu Dekompilieren und somit Einblick in
den Source Code zu bekommen. Da mir bewusst ist, das ich mit dieser Geschichte
bei der Rechtsabteilung von Microsoft auf Platz 1 der unbeliebten User lande,
war es mir wichtig unter allen Umständen eine Verletzung des Urheberrechts zu
vermeiden und trotzdem den Beweis liefern zu können.
Unter der Adresse http://www.reverse.it lassen sich tiefere Details finden. Zwar
handelt es sich um eine andere Datei, aber aus meiner Sicht der endgültige
Beweis der hier noch fehlt.
Betrachtet man die Log Datei von „reverse.it“ im Detail lassen sich hier viele
Tatsachen erkenne. Diese Datei ist ein Beispiel von vielen und es gibt andere
Internetseiten wie „reverse.it“ die diese Art von Analysen durchführen bzw.
durchführen können.
https://www.reverse.it/sample/29d50b5768990366d7f0276f588c47da51ca928a3e
7a621c50d7654ee025d14b?environmentId=1
Sehen wir uns diese Webseite kurz im Detail an, damit Sie wissen worauf Sie achten
müssen.

Seite 21 von 46

Zum einen sind nicht nur Windows Enterprise Systeme betroffen, sondern auch
Home Premium Systeme. Achtet man auf die Daten die Übermittelt werden und
an welche Stelle sind wir wieder bei der go.microsoft.com Adresse. Und selbst
der letzte Skeptiker sollte sich nun Fragen wieso an eine Adresse, die eigentlich
ein Windows Update für Windows Vista ist
http://go.microsoft.com/fwlink/?linkid=106323
http://go.microsoft.com/fwlink/?linkid=106322
http://go.microsoft.com/fwlink/?linkid=106323
alle Informationen von einer Kreditkarte übermittelt werden?

Seite 22 von 46

Seite 23 von 46

Das Spiel kann man nun unendlich fortsetzen. Wie ich eingangs erwähnt habe, ich
werde niemand überreden oder überzeugen wollen. Ich will dass Sie das selbst
nachprüfen und nachvollziehen können um sich selbst ein Bild davon zu machen.
Aber bitte denken Sie daran, diese Online Virenscanner und Portale überwachen
die Adressen nicht rund um die Uhr, Sie sehen hier einen Bruchteil und
Ausschnitte davon.
Dennoch ist hier eindeutig zu erkennen, der Internet Explorer spielt bei der
Datenübermittlung eine essentielle Rolle.

Seite 24 von 46

Bei dem analysierten System handelt es sich um ein Windows 7 System, während
der Microsoft Redirector auf ein Windows Vista Update zeigt.

Seite 25 von 46

11. Datenübermittlung
Ich habe zwei Hypothesen, wie diese Einträge, die nicht vorhanden sind, im
Betriebssystem aus meiner Sicht funktionieren. Das auch ein direkter
Zusammenhang mit dem Internet Explorer besteht, lässt sich aus den Log Daten
von „reverse.it“ belegen.
Zum einen könnten die Daten direkt in den kernel von Windows hineinprogrammiert
sein. Das wäre aus meiner Sicht jedoch fahrlässig obwohl die Log Daten doch
dafür sprechen wenn man die Debug Analysen bei reverse.it betrachtet.
Eine

andere

Option

wäre

effektiver,

sprengt

allerdings

selbst

meine

Vorstellungskraft. Betrachten wir die BHO’s in der Registry, dessen Dateien nicht
zu finden sind, fehlt noch ein Wert auf den ich bisher noch nicht eingegangen
bin.

Alle BHO’s enthalten den Registry Wert „FWLink“. Ich habe auch keinen API Hinweis
in alten Dokumentationen gefunden, die diesen Wert erklären. In der Registry
von Windows lassen sich jedoch Werte finden, die diesen Wert erklären könnten.
Microsoft nutzt den „Redirector“ von „go.microsoft.com“ auch offiziell für
Remote Dateien.

Seite 26 von 46

Hier ist eindeutig ein Beispiel zu sehen, in dem ein go.microsoft.com Link über
den Redirector läuft. Dieser Link ist ein Dateiaufruf.
Wenn diese gefährlichen Dateien bewiesenermaßen nicht blockiert sind, sondern
als Teil von Windows agieren könnte es ebenso der Fall sein, dass es gar nicht
notwendig ist, die Dateien lokal vorzuhalten, sondern dass diese Dateien Remote
aufgerufen und sogar ausgeführt werden.
Das würde dann bedeuten, der Internet Explorer wird als „EXE“ Datei ausgeführt
und die entsprechenden DLL’s werden remote über eine Online Verbindung
nachgeladen. Startet man den Internet Explorer der im Betriebssystem mit allen
Dateien gerade mal 20 MB hat, würde das erklären warum der Browser, der
eigentlich nichts anderes machen sollte außer Webseiten anzuzeigen, zwischen
220 bis 260 MB im Speicher belegt.
Im Vergleich dazu, der Mozilla Browser hat 90 MB im Dateisystem und belegt im
Speicher bei der gleichen Webseite im Verhältnis dazu 84 bis 96 MB. Folgende

Seite 27 von 46

Seite habe ich damit bewusst gewählt, denn in der Seite ist viel DHTML und
XHMTL enthalten. https://outlook.live.com/owa/?path=/mail/inbox
Dass eine Übertragung von Daten an Microsoft stattfindet, ist unbestritten belegt.
Das auch persönliche und sensible Daten an Microsoft übermittelt werden, die
nicht übermittelt sollten, kann ebenso niemand mehr abstreiten.

Seite 28 von 46

12. Zusammenfassung und Fragen
12.1. Zusammenfassung der Fakten
1. Das Microsoft Daten durch das Betriebssystem sammelt ist unbestreitbar
2. Das Microsoft private Daten (Kreditkarte hier als Beispiel) ist unbestreitbar
3. Das der Internet Explorer die Übertragung(en) initiiert, ist belegt
4. Alle aufgeführten DLL’s in der Registry sind nicht im Betriebssystem zu finden.
Dies ist nicht notwendig, Dateien können remote aufgerufen werden.
5. Auf Grund der Auszüge von „virustotal“ und „reverse.it“ ist eindeutig zu
erkennen die hochsensiblen Daten vom Nutzer über Windows direkt an
Microsoft übertragen werden.

12.2. Daraus ergeben sich unter anderem folgende Fragen:
1. Warum gibt es keine Möglichkeit das übermitteln von Metadaten zu
unterbinden?
2. Gibt es eine Möglichkeit bei ALLEN Online Virenscannern und Reverse Portalen
einen Report zu bekommen der alle entsprechenden Daten zusammenfasst?
3. Wie weit weiß die BSI (Bundesamt für Sicherheit in der Informationstechnik)
für über diese Art der Datensammlung Bescheid?
4. Wie weit weiß der BND (Bundesnachrichtendienst) über diese Art der
Datensammlung Bescheid?
5. Wie weit sind der Bundesregierung diese Fakten bekannt?
6. Wie weit sind der EU Kommission diese Fakten bekannt?
7. Warum schützt das Urheberrecht solche Unternehmen und macht es Firmen und
Personen regelrecht schwer solches Verhalten aufzudecken?
8. Warum wurden Einwände zur Urheberrechtsänderung dass so etwas geschehen
könne von der Rot-Grünen Regierung im April 2004 als lächerlich bezeichnet?
9. Wer kontrolliert Software Hersteller als unabhängige Instanz?
10. Wie weit weiß Microsoft generell Bescheid dass so etwas im Betriebssystem
verbaut ist? Vergleichen wir es mit der VW Abgas Affäre und ganz offen
gestanden, ich kann es einfach nicht glauben dass das alles von „ganz oben“ her
gesteuert wurde.
11. Wer ist dafür verantwortlich dass diese Daten gesammelt werden?

Seite 29 von 46

13. Dennoch alles legal
Doch auch die noch so kritischen Skeptiker sollen an der Stelle nicht zu kurz
kommen, denn ich bin sicher es gibt immer noch so manche Meinung, alles
Quatsch. Kann gar nicht sein.
Und um es kurz zu machen, völlig richtig. Denn Microsoft gibt es schließlich ja auch
zu das sie das machen und wir haben alle dem zugestimmt dass Microsoft das
auch machen darf.
Schauen wir uns mal an der Stelle die EULA an und lesen genau was da drin steht.
Und das mit dem Wissen was ich Ihnen hier jetzt in diesen wenigen Minuten
gezeigt habe.

Microsoft verwendet die Daten nicht um Werbung gezielter zu schalten.
Und diesen Satz jetzt bitte nochmals überlegen. Stellt sich mir die berechtigte
Frage, für was verwenden die diese Daten dann?

Seite 30 von 46

Das spielt keine Rolle und ist es egal für was Microsoft diese Daten verwendet,
durch die Installation des Betriebssystems haben wir dem automatisch und
ausdrücklich zugestimmt. Sie erinnern sich bestimmt an dieses kleine Häkchen
beim Setup das ohne Anklicken eine Fortführung der Installation nicht zulässt.
Hierzu betrachten wir mal einen Auszug aus der EULA von Windows 8.1 bei der
Installation.

Diejenigen, die die Rechtsabteilung von Microsoft kenne oder manchen Vertrag
gelesen haben, wissen ganz genau dass es sich hierbei nicht um einen verbalen
Ausrutscher handelt. Ich habe weitere Ausschnitte zusammengefasst die durch
eine andere Perspektive eine völlig neue Bewertung bekommen werden.
Und können wir dann erwarten das Microsoft das etwa ändert? Nein.

Seite 31 von 46

Zurecht, denn der Gesetzgeber hat das sogenannte Lizenzrecht als legitim
anerkannt und aus dessen Rechte und Pflichten ergibt sich, das wir Windows
nicht kaufen, sondern lediglich ein „Nutzungsrecht“ erwerben. Also wir
bezahlen dafür das wir es nutzen dürfen.

Das bedeutet wir sind damit einverstanden das Produkt so zu nutzen wie es uns
„serviert“ wird. Im Gegensatz zu einem Kauf oder Erwerb hat der Gesetzgeber
dafür gesorgt dass wenn etwas nicht passt oder funktioniert, wir ein „Recht auf
Nachbesserung“ haben.
Dadurch das wir ein Produkt lizensieren, also lediglich ein Recht erwerben das
Produkt zu nutzen, darf der Hersteller auch somit machen was er will, ob Fehler
enthalten sind oder nicht, wir dürfen es nur benutzen.
Kein rechtlicher Anspruch auf Besserung, kein rechtlicher Anspruch auf
Schadensersatz. Wozu auch, denn in den Lizenzbestimmungen steht schließlich
drin, das Microsoft Daten sammelt und auch an Dritte weitergeben wird. Wer
widerspricht, darf das tun, wird aber niemals in die Verlegenheit kommen, ein
Windows Betriebssystem nutzen zu können.
Da ich für vieles bekannt bin, aber sicherlich nicht für mein „political
correctness“ spare ich mir persönliche Ausführungen hierzu für all diejenigen,
die diese Gesetze und Rechte legitimiert haben ohne ein solches Szenario zu
berücksichtigen oder überhaupt darüber nachdenken zu lassen.

Seite 32 von 46

14. Cloud und Cloud OS
Betrachtet man die Logdateien z.B. bei Virustotal im Detail, werden wir hier
nahezu jedes Microsoft Betriebssystem finden, außer Windows 10. Gut, ich gebe
zu, ich habe nicht jedes Online Virus Analyse Portale durchsucht oder alle Log
Daten ausgewertet. Keine Frage, alles nur stichprobenartig.
Doch gerade bei Virustotal sieht man es deutlich, ab 2016 haben die
Datenübermittlungen an Microsoft abgenommen. Weder kann man es beweisen
noch habe ich einen Beleg dafür, aber es scheint so, dass Windows 10, das auch
als das Cloud Betriebssystem bekannt ist, entweder andere Wege kennt oder das
Microsoft die Datenübermittlung abgeschaltet hat.
Auf Grund der Diskussionen, die ja auch öffentlich geführt werden und der
bekannten Tatsache was Microsoft an Daten über Windows 10 sammelt halte ich
es persönlich für ein Gerücht dass das alles abgeschaltet wurde. Denn bekannter
Weise wurde es ja sogar mehr im Verhältnis zu seinen Vorgängern Windows
7/8/8.1
Dennoch, obwohl ich pro Cloud bin ist eine Grenze erreicht, die ich persönlich für
mich nicht mehr verantworten kann. An der Stelle werde ich mich jedoch mit
Kommentaren und Meinungen zurückhalten, denn ich möchte das Thema hier so
neutral wie möglich darstellen.
Zu dem Thema Cloud und CloudOS im Weiteren werden Sie sich eigene Gedanken
machen müssen.
Die Tatsache das alles inzwischen auf Cloud und CloudOS hinausläuft, hat seine
Vorteile, allerdings es hat auch gravierende Nachteile.
Ich selbst bin definitiv von der Konzeption Cloud als gemeinsame Basis überzeugt,
dennoch müssen wir hier dringend anfangen umzudenken und dringend neu
Sicherheitsmechanismen

und

Kontrollmechanismen

herstellerunabhängig

etablieren.

Seite 33 von 46

15. Microsoft Office und Microsoft CRM

Auf der Suche nach „Blacklisten Adressen“ für meinen DNS Server habe ich im Mai
2015 einen PC in meiner ehemaligen Firma mit Wireshark untersucht. Beim
Scannen fielen mit die beiden Adressen auf:

pixel.monitor1.returnpath.net

f5.services.visualstudio.com

Ich konnte es in einer Firmenumgebung mit folgender Konfiguration feststellen:
1. Windows 8.1 Enterprise
2. Office 2013 Professional (DEU & ENG)
SW_DVD5_Office_Professional_Plus_2013w_SP1_W32_German_MLF_X1935829.ISO
3. Exchange Server Online
4. Updatestatus Windows und Office 2013: Anfang Mai 2015
5. Microsoft CRM Online
Wie beim Betriebssystem gilt, Sie sollen sich selbst überzeugen, ich zeige ihnen
auch den Weg das alles entsprechend verifizieren zu können.
Ich habe meine DNS Server als „Forwarder“ bei meinem ehemaligen Arbeitgeber
AssetConsult GmbH bzw. SAMLive GmbH im Einsatz gehab, die im Bereich
Software Asset Management tätig sind. Die eben genannten Adressen haben
sofort für Ärger gehandelt, da ich diese Adressen nicht in meinem SSL Zertifikat
hatte, aber auf den Black Listen. Beim Senden oder Abbrechen von Emails in
Outlook gab es entsprechende Zertifikatsfehlermeldungen.

Seite 34 von 46

ANMERKUNG:
Die nachfolgenden Fakten sind inzwischen etwas älter und Microsoft hat durch
ein Update im letzten Jahr augenscheinlich alles behoben. Dadurch dass viele
MS Office und MS CRM Versionen nicht 100%ig „UP-to-DATE“ mit Ihren
Updates sind, lassen sich die nachfolgenden Fakten dennoch belegen. Erst im
Januar 2016 wurde mir bewusst was diese Fakten bedeuten und bezogen auf
die URL, welche Auswirkungen sie haben, wofür die URL’s stehen und mit
welchem Hintergrund.
Das bedeutet, jedes Mal wenn beim Versenden von einer Email auf „SENDEN“ im
Outlook geklickt wird, werden Daten über eine SSL bzw. HTTPS Verbindung an
einen Partner von Microsoft übertragen.
Dabei handelt es sich um folgende Adressen die entsprechend kontaktiert werden:

pixel1.returnpath.net

pixel.monitor2.returnpath.net

pixel.monitor1.returnpath.net

Zu diesen Adressen gehören entsprechende IP Adressen:

104.130.195.114

104.130.69.194

104.130.195.72

198.61.174.114

104.130.216.248

23.253.22.115

104.130.219.112

23.253.22.147

Jetzt haben Sie somit mehrere Möglichkeiten das entsprechend verifizieren zu
können. Zum einen können Sie es bei sich selbst und ohne Probleme ausprobieren.
15.1. Microsoft Office & CRM - Test am Computer
1. Öffnen Sie folgende Datei:
Windows Systeme

C:\Windows\System32\drivers\etc\hosts

2. Kopieren Sie folgenden Text und fügen Sie diesen am Ende der HOSTS
Datei ein und speichern Sie die Datei ab:
127.0.0.1 pixel1.returnpath.net
127.0.0.1 pixel.monitor1.returnpath.net
127.0.0.1 pixel.monitor2.returnpath.net

3. Starten Sie Ihren Computer neu und versenden Sie eine Mail mit Outlook
4. Erhalten Sie eine Zertifikatsfehler – Beweis erledigt

Seite 35 von 46

15.2. Microsoft Office & CRM - Virustotal Logdaten Analyse
Natürlich wurden hierüber auch entsprechende Logdaten geschrieben bei
Virustotal. Um es einfach zu machen, hier anbei die entsprechenden Links zum
direkten anklicken:
https://www.virustotal.com/en/ip-address/104.130.195.114/information/
https://www.virustotal.com/en/ip-address/104.130.195.72/information/
https://www.virustotal.com/en/ip-address/104.130.216.248/information/
https://www.virustotal.com/en/ip-address/104.130.219.112/information/
https://www.virustotal.com/en/ip-address/198.61.174.114/information/
https://www.virustotal.com/en/ip-address/104.130.69.194/information/
https://www.virustotal.com/en/ip-address/23.253.22.115/information/
https://www.virustotal.com/en/ip-address/23.253.22.147/information/

Bitte beachten Sie die Logdatei im Detail und machen Sie sich bewusst, dass die
Übermittlung definitiv in den Microsoft Produkten vorhanden ist bzw. war, je
nachdem wie weit Sie ein Update durchgeführt haben. Vergleicht man jetzt die
Zahlen mit dem Wissen, das weltweit über 1 Milliarde Office Installationen im
Einsatz sind und wieviel davon über Virustotal erkannt wurde, ist das eine
geringe Anzahl erkannter Übertragungen.
http://thenextweb.com/microsoft/2012/07/09/microsoft-1-3-billion-windowsusers-office-is-on-1-billion-desktops-and-more-stats/

Wenn Sie sich nun dessen Verhältnis bewusst werden und wir wieder an den Anfang
gehen, wo es sich um Windows gehandelt hat und sich die Anzahl der Logdateien
ansehen, sollte es spätestens jetzt an dieser Stelle klar werden was bei Windows
Betriebssystemen im Hintergrund passiert.
Wer ist eigentlich diese Firma ReturnPath? Sehen wir uns mal im Detail an, was
dieses Unternehmen bietet und mit welchem Hintergrund Microsoft Office Daten
an dieses Unternehmen sendet.
Laut deren eigener Marketing Abteilung eine „Neue Hoffnung“. Hierzu ein
entsprechender Link. „Neue Hoffnung“ klingt nicht nach jemanden dem man
böses unterstellen würde:
https://blog.returnpath.com/a-new-hope-big-data-for-marketing/

Seite 36 von 46

Gehen wir auf die Webseite des Unternehmens vom 02. Mai 2015 mit dem Wissen
das Daten beim Anklicken des „SENDEN“ einer Email an dieses Unternehmen
gehen.

Dann lernen wir mehr und drücken auf „LEARN MORE“. Was dort zu sehen ist werde
ich kommentarlos hier Einfügen. Die Interpretation der nachfolgenden
Informationen überlasse ich Ihnen.
http://web.archive.org/web/20150316153903/http://returnpath.com/solutions/e
mail-data-platform/

Seite 37 von 46

Dazu folgende aktuelle Information (September 2016) über das Unternehmen auf
deren Webseite. Beachten wir „World Class Analytics“:

Seite 38 von 46

Gehen wir einen Schritt weiter.
Bei diesen Adressen kommt ein sogenannter Pixel in’s Spiel. Jeder, der sich mit
Datenschutz und Facebook intensiver beschäftigt hat, sollte wissen was es mit
dem berühmten Facebook Pixel auf sich hat. Ich werde an der Stelle nicht näher
darauf eingehen, denn bei Facebook wissen wir schon ein bischen. Dabei ist
vieles dabei, was dem einen oder anderen Datenschützer nicht schmeckt. Das ist
kein Geheimnis mehr.
Wenn ich jetzt von den Möglichkeiten und Optionen des „Facebook Pixel“ lediglich
die Hälfte auf das Returnpath Pixel umlege, fehlt es sogar mir an
Vorstellungskraft wieviel hier an Daten zusammen kommen und wer alles Daten
an dieses Unternehmen sendet.
Soweit ich weiß nutzen Journalisten, Regierungen, Geheimdienste, Polizei,
Staatsanwaltschaften europaweit und sogar das gesamte EU Parlament Microsoft
Outlook und dabei war das bei weitem noch nicht alles.
Doch es stellt sich immer noch die Frage welche Daten an dieses Unternehmen
gesendet werden.
Geht man die entsprechenden Logdateien durch dann sieht man eindeutig was hier
an Daten übermittelt wird. An der Stelle werfen wir nochmals einen Blick in die
EULA bzw. Datenschutzbestimmungen:

Seite 39 von 46

Erneut die berechtigte Frage: Emails werden nicht verwendet um Werbung auf
Interessen auszurichten. Wofür werden diese dann verwendet?

Das ist einer der Hauptgründe warum ich all diese Fakten an die Öffentlichkeit
bringen möchte. Hier sind mir aus rechtlicher Sicht leider die Hände gebunden.
Diese Adressen sind seit Mai 2015 über meine DNS Server geblockt und durch das
keweon HTTPS Zertifikat besteht auch keine Chance dass hier Daten übermittelt
werden können. Ich bin auch hier nicht der einzige, dem diese Thematik
aufgefallen ist. EYEO’s AdBlock Plus hat diese Adressen inzwischen auch auf der
Blackliste.
Doch gehen wir noch einen weiteren Schritt weiter. Nehmen wir die IP Adressen
wie eben aufgeführt und lassen wir diese entsprechend Analysieren.

Seite 40 von 46

Der Eigentümer der entsprechende IT Infrastruktur von ReturnPath ist RACKSPACE.
Für alle die mit diesem Namen erst mal nichts anfangen können, ist vielleicht
dieser Link hier hilfreich:
http://www.corpwatch.org/article.php?id=15933

Wer den eben genannten Link gelesen hat, frägt sich vielleicht wer ist das Hacking
Team of Italy?
https://www.privacyinternational.org/node/559

Weitere Details, Informationen und Analysen sind aus meiner Sicht hierfür nicht
notwendig

oder

erforderlich,

die

Brisanz

dieser

„Microsoft

Office-

Returnpath“ Kommunikation aufzuzeigen. Wenn ich mir vorstelle wer hier alles
in welchem Umfang Zugriff hat, dann ist das was damals Edward Snowden mit
der NSA bekannt gemacht hat dagegen lächerlich.

Seite 41 von 46

16. Optionen und Möglichkeiten
Um es vorweg zu nehmen, es ist technisch nicht möglich ohne das Microsoft hier
ein entsprechendes Feedback gibt oder Einblick in die Systeme zulässt, 100%ig
zu beweisen wie die Datenübermittlung im Bereich Windows im Detail
funktioniert.
Keine Frage, über das „WIE“ kann ich in diesem Fall spekulieren. Denn ganz klar,
alles was nicht 100% beweisbar oder belegbar ist, kann man niemanden
vorwerfen und selbst wenn es noch so offensichtlich ist das eine oder andere
entsprechend logisch ableiten zu können.
Das jedoch eine Datenübermittlung stattfindet die definitiv nicht gewünscht ist
steht außer Frage, ebenso das auch „Viren und Trojaner“ dazu benutzt werden
um diese Datenübermittlung zu initiieren oder durchzuführen.
Zum einen müsste man das Betriebssystem dekompilieren und zum anderen müsste
man sich physikalischen Zugriff auf die entsprechenden Server beschaffen.
Beides ist zum einen absolut illegal und wie weit sich das technisch dann wirklich
umsetzten lässt wäre eine andere Frage.
Durch die Sammlung der Metadaten, die Übermittlung der Informationen durch
weitere Dateien ist es recht einfach einen PC und dessen Nutzer so zu
klassifizieren, dass über weltweit Eindeutige Werte des Systems, des Nutzers
und z.B. seiner Email Adresse exakt bestimmt werden kann wer welche Daten
besitzt und benutzt. Es besteht auch keine Frage mehr das Microsoft Daten und
Dateien zu sich selbst ins Rechenzentrum kopiert, ohne dass der einzelne Nutzer
hierüber Bescheid weiß oder informiert wird.
Edward Snowden hat berichtet, dass der Cryptoschlüssel von SIM Karten des
Herstellers GEMALTO bei der NSA liegt. Durch all diese Sachen hier und der
Sachlage wird das aus meiner Sicht inzwischen absolut nachvollziehbar. An der
Stelle und unter diesen Umständen kann man der Firma Gemalto keinen, aber
auch nicht den geringsten Vorwurf machen, sie hätten sich nicht sorgfältig um
Ihre Daten gekümmert.
Es wäre somit auch zu erklären wie die NSA an die Telefon Verschlüsselung der
Vereinten Nationen gekommen ist. All das sind Dinge die bis heute nicht mal
annähernd logisch erklärbar. Auch die IT und Sicherheit von Gemalto bzw. der
Vereinten Nationen kann es bis heute nicht erklären, außer dass Edward
Snowden nicht Recht hätte und es nicht stimmt. Allerdings ist mir kein einziger

Seite 42 von 46

Fall bekannt in dem Edward Snowden irgendetwas behauptet hat was sich
hinterher als falsch oder unrichtig herausgestellt hat.
Auch damit wäre zu erklären wie das Mobile Telefon von unserer Bundeskanzlerin
Frau Dr. Merkel angezapft werden konnte.
Es gibt absolut keinen Beweis dafür, dass Microsoft dafür direkt verantwortlich ist.
Es ist jedoch eine logische Erklärung für so viele Dinge was Edward Snowden
veröffentlich hat und wo es immer noch die eine oder andere offene Frage dazu
gibt, wie konnte das geschehen.
Ich bin auch nicht der einzige und erste der sich mit diesen „Viren und
Trojanern“ im Betriebssystem beschäftigt hat. Ich denke wenn man diese
verschiedenen Online Virenscanner Portale oder Online Debugger dazu bringt
einen Report über die entsprechenden Daten zu generieren und all diese
Informationen in einen Topf wirft, dann wird aus der Geschichte garantiert eine
richtig interessante Suppe. Doch alleine komme ich hier einfach nicht mehr
weiter.

Seite 43 von 46

17. Ziele
Es gibt von meiner Seite aus alleine 1000de von Fragen. Wo sind die Daten? Was
passiert mit diesen Daten? Oder alleine warum wird diese Menge an Daten
gesammelt?
Betrachtet man die Möglichkeit welche Profile erstellt werden können durch
Metadaten, stellt sich das aus meiner Sicht alleine bereits ein ernsthaftes Risiko
dar wobei Windows 10 noch weiter geht mit der Patientenakte, der HealthVault
Lösung.
Für alle die sich fragen, wie soll denn das alles ausgewertet werden, der sollte sich
mal die Möglichkeiten ansehen was mit „Microsoft Delve“ machbar ist. Dabei
handelt es sich jedoch „nur“ um eine Desktop Anwendung.
Ich bin mit all den Informationen und Fakten hier an einem Punkt angekommen wo
ich für mich mehrere Dinge festgestellt habe.
Zum einen hält sich meine Begeisterung für Windows Betriebssysteme seit kurzem
absolut in Grenzen. Keine Frage, Windows ist ein Nutzerfreundliches
Betriebssystem von der Handhabung her und wie ich schon erwähnt habe, ich
weigere mich zu glauben dass das alles eine Angelegenheit ist, die von „Ganz
Oben“ gesteuert wird. Allerdings bevor das alles hier nicht 100% glaubwürdig
erklärt wird, werden

von meiner Seite aus die Begriffe „Cloud &

Microsoft“ definitiv nicht in einem Satz genannt werden, der eine positive
Wertung dazu hätte.
Es klingt für mich auch eher nach „VW-Abgas Affäre“, also ein paar Mitarbeiter
haben hier eine eigene Suppe gekocht. Dennoch, wenn ich mir ansehe welcher
technische und finanzielle Aufwand dafür notwendig ist, beschleicht sich hier
dann doch wieder ein Zweifel.
Solange hier nicht eine 100%ige Aufklärung stattfindet die im Detail alle Fakten
aufklärt, ist und bleibt das Thema Microsoft für mich Grenzwertig. Keine Frage,
die Antwort auf das WIE ist immer noch offen, aber diese Frage kann von
niemand anderem beantwortet werden als von Microsoft selbst. Dabei erwarte
ich nicht ein lapidares „Ups! Entschuldigung“ wie es Unternehmen sonst immer
machen.

Seite 44 von 46

Ebenso muss das Urheberrecht in Deutschland und Europa geändert werden. Nicht
morgen, nicht übermorgen sondern noch heute Nachmittag. Und das
wortwörtlich.
Wenn sich Unternehmen durch ein Gesetz Vorteile verschaffen, dann nennt man
das politische Lobbyarbeit. Wenn ich jedoch sehe was daraus gemacht worden
ist und mit welcher Fahrlässigkeit der Gesetzgeber auf Bundes und EU Ebene
bedenken, dass so etwas passieren kann, abwinkt, stelle ich mir berechtigt die
Frage, wer wurde hier mit wieviel Geld bezahlt das so etwas möglich geworden
ist.
Ich will eine Möglichkeit haben Source Code Dekompilieren zu dürfen wenn der
berechtigte Verdacht besteht ohne dass ich mich damit strafbar mache. Oder es
muss eine Institution geschaffen werden, die JEDEN auch nur so kleinen Verdacht
nachgehen darf und diese Möglichkeiten auf einer rechtlich sauberen Ebene hat.
Unabhängig von jedem Software Hersteller oder in welchem Land sich der
Hersteller befindet. Ebenso das gleiche mit verschlüsselten Datenverbindungen.
Aus meiner Sicht trägt der Gesetzgeber auf Bundes und Europa Ebene eine große
Mitschuld. Denn ganz klar, wenn ich einem Unternehmen von dieser Größe diese
Möglichkeiten indirekt anbiete und dafür sorge dass niemand dahinter kommen
kann und sogar darf, dann wird das auch entsprechend ausgenutzt.
Das alles und ich denke noch viel mehr Fragen, müssen zu diesem Thema dringend
beantwortet werden.
Doch alleine habe ich dazu nicht die geringste Chance hier entsprechende
Antworten zu bekommen, geschweige denn die Möglichkeit politisch auf
Entscheidungen einzuwirken.
Das ist der Grund warum ich all diese Informationen öffentlich zur Verfügung stelle
und ich hoffe das auf diesem Weg genügend Druck entsteht, dass viele dieser
Dinge nicht nur debattiert werden sondern auch entsprechend geändert und
extrem schnell umgesetzt werden.

Seite 45 von 46

18. Danksagung

Intel Corporation

Benjamin Edelman (Smart Shopper)

McAfee / Intel Security Suite

Oleh Yuschuk (OlyDbg)

Kaspersky Lab.

Luigi Auriemma (myToolz)

Sophos Ltd.

Werner Rumpeltesz (RegistryViewer)

Palo Alto Networks

Andreas Pfund (Metadaten Erklärung)

Cisco Systems, Inc.

Nir Sofer (NirSoft)

F5 Networks GmbH

Guidance Software (EnCase)

Hewlett-Packard Company, L.P.

Wireshark Foundation

Payload Security

Ebenso einen herzlichen Dank und Gruß an Edward Snowden, der mit seinen
Veröffentlichungen für Fragen, Hilfen und Erklärungen gesorgt hat.
Auch an die vielen namentlich nicht genannten Firmen die mich technisch und durch
entsprechende Mitarbeiter direkt und indirekt unterstützt haben wenn es um
Fragen, Details und Analysen gegangen ist.
Das Team von Virustotal und archive.org erhält ebenso einen speziellen und
besonderen Dank. Ohne euch wäre so vieles unwiederbringlich verloren
gegangen.
Und zu guter Letzt, ein ganz besonderen lieben und herzlichen Dank an den HEISE
Verlag (Computerzeitschrift CT und CT SECURITY). Ohne eure redaktionellen
Inhalte wäre hier vieles nicht so einfach gewesen. Also bitte nicht böse sein,
wenn ich den einen oder anderen Screenshot oder Hinweis von eurer Webseite
hier als Info benutzt habe. Das Copyright bleibt selbst verständlich bei euch und
ich bedanke mich wirklich sehr für eure tolle Arbeit!

Seite 46 von 46