Woher weißt Du das? Das ist mir noch immer nicht klar.
Ganz einfach: Weil das MS Konto nichts mit der in Windows verankerten Windows Hello Funktion zu tun hat. Das sind zwei unterschiedliche Dinge, die hier im Thread gerne in denselben Topf geworfen werden.
Dein MS Konto ist derzeit ausschließlich mit einem normalen Passwort gesichert. Wenn Du ein Windows frisch installierst und Dein MS Konto zur Anmeldung verwendest, dann musst Du Dich bei der Installation mit Deinem bei MS hinterlegten Benutzernamen (Email) und Passwort authentifizieren. Du kannst Dich nicht mit biometrischen Daten anmelden. Und andersrum: Wenn Du Dich im Web bei Microsoft mit Deinem MS Konto anmeldest, kannst Du dies nicht mit den in Windows Hello hinterlegten biometrischen Daten tun. Du musst Dein Passwort eingeben. Warum wohl? Weil MS Deine biometrischen Daten (bzw. die zugehörigen Schlüssel) nicht kennt. Das ist auch so beabsichtigt.
Erst wenn Du Windows Hello einrichtest, werden biometrische Muster erfasst. Und diese funktionieren ausschließlich auf dem einen Rechner, auf dem Du Windows Hello eingerichtet hast. Warum wohl? Genau...
Das sind Aussagen, die jemand vielleicht getätigt hat - einen Beweis gibt es nicht.
Richtig. Eine 100%ige Sicherheit gibt es nicht, genausowenig wie eine 100%ige Vertrauensstellung. Genausowenig wie es einen Beweis dafür gibt, dass MS Deine biometrischen Daten nicht bei sich speichert, genauso wenig gibt es einen Beweis dafür. dass sie es doch tun. Man kann das Ganze also nur anhand von Wahrscheinlichkeiten abwägen. Man müsste Microsoft eine **erhebliche** kriminelle Energie unterstellen, wenn man die Speicherung Deiner biometrischen Daten ohne Dein Wissen für wahrscheinlich hält. Dem gegenüber steht die Wahrscheinlichkeit eines massiven Reputationsverlustes für Microsoft sowie massive juristische Folgen, sollten sie es doch tun und das rauskommen.
Weiterhin muss man den Kosten-Nutzen-Faktor einer solchen Aktion hinterfragen. Warum sollte Microsoft Deine biometrischen Daten heimlich abgreifen und speichern? Was hätten sie davon? Welchen Vorteil erhalten sie dadurch und rechtfertigen diese Vorteile die Nachteile (siehe oben, Reputation, juristische Folgen etc.)?
Das ist so wie wenn ich schreiben würde, dass mein Bios mir nichts böses wolle. Aber faktisch wurde es mir nur über ungesicherte Leitungen, ohne Hashes, Verschlüsselung oder Signaturen bereitgestellt. Es hätte sich also jeder dazwischenschalten und die Datei einfach austauschen können, selbst wenn ich dem Mainboard-Hersteller sogar vertrauen würde.
Und inwiefern trifft das auf Windows Hello zu? Ich sehe da keinen Zusammenhang. Das ist nicht vergleichbar.
Du hast das Problem, dass Du gläubig sein musst, um zu behaupten, das Microsoft das nicht täte.
Das ist richtig. Siehe oben. Wobei ich es nicht als "gläubig" bezeichnen würde. Eher als "vertrauenswürdig" nach rationaler Abwägung der Wahrscheinlichkeiten.
Ich bin mir sicher, dass das BSI nicht garantieren kann, dass die Blackbox sich nicht ortsgebunden, zeitgebunden oder je nachdem, wer sich gerade einloggt, plötzlich anders verhalten kann, als im Untersuchungszeitraum.
Auch richtig. Aber auch hier wieder die Frage: Warum sollten sie das tun? Warum sollten sie kriminelle Energie aufwenden um etwas zu erlangen, mit dem sie relativ wenig anfangen können? Microsoft ist ein börsennotiertes, gewinnorientiertes Wirtschaftsunternehmen, kein staatlicher Geheimdienst.
Wie kann man nach PRISM behaupten, es wäre unwahrscheinlich, dass eine in den USA ansässige Firma derartige Daten sammelt und ohne Wissen des Besitzers herausgibt? Ich persönlich schätze es, alleine weil es geht, und weil das Gegenteil nicht bewiesen wurde, als wahrscheinlich an.
Das ist natürlich nicht von der Hand zu weisen, dagegen habe ich auch keine Argumente. Ich kann dem nur entgegensetzen, dass Microsoft sich bekanntermaßen mit Händen, Füßen und juristischen Mitteln (inkl. Klagen) gegen die Einflussnahme von NSA und Konsorten zur Wehr setzt. Wie erfolgreich das ist, kann ich nicht beurteilen. Ich halte die Wahrscheinlichkeit aber für hoch, dass Microsoft eine Technologie wie Windows Hello nicht ausrollen würde, wenn man sie zum Abgreifen und zur Weitergabe biometrischer Daten zwingen würde. Der wirtschaftliche Schaden für Microsoft wenn so etwas herauskommt stünde in keinem Verhältnis - MS muss Windows Hello ja nicht ins OS integrieren. Man könnte das auch einfach wieder abschalten. Und genau das traue ich MS zu - Vor allem vor dem Hintergrund ihrer ständigen juristischen Auseinandersetzungen mit der US Regierung.