Ein 19 Jahre alter Hacker fliegt drei Länder als VPN-Kaskade auf, wechselt Aliase, löscht Spuren, tarnt sich hinter Proxy-Adressen – und wird am Ende trotzdem geschnappt. Nicht wegen eines Programmierfehlers. Nicht wegen einer undichten Chatgruppe. Sondern wegen einer einzigen Zeichenkette, die sein Betriebssystem klaglos an einen Konzern in Redmond funkte, während er glaubte, unsichtbar zu sein. Wer wissen will, was technisch mit einem gewöhnlichen Windows-Rechner alles möglich ist, sollte sich diesen Fall genau ansehen. Denn was hier einen mutmaßlichen Cyberkriminellen überführt hat, funktioniert bei jedem anderen Windows-Nutzer genauso zuverlässig – auch bei Menschen, die nichts Unrechtes tun.
Der Fall: Ein Cyberkrimineller stolpert über seine eigene GUID
Die Rede ist von Peter Stokes, einem 19-jährigen Doppelstaatsbürger aus den USA und Estland, dem das US-Justizministerium Mitgliedschaft in der Hackergruppe “Scattered Spider” vorwirft. Nach Angaben der US-Bundesanwaltschaft soll die Gruppe für mehr als 100 Netzwerkeinbrüche und über 100 Millionen US-Dollar an Lösegeldzahlungen verantwortlich sein. Stokes selbst wird konkret der Angriff auf einen Luxusjuweliers im Mai 2025 zur Last gelegt, bei dem eine Lösegeldforderung von rund 8 Millionen US-Dollar in Kryptowährung gestellt, aber nie bezahlt wurde – die Pressemitteilung des Justizministeriums beschreibt den Fall im Detail.
Verhaftet wurde Stokes im April 2026 am Flughafen Helsinki, auf dem Weg nach Japan, aufgrund einer Interpol-Red-Notice. Danach folgte die Auslieferung in die USA. Spannend – und alarmierend zugleich – ist, wie die Ermittler ihn technisch überführt haben, wie Günter Born in seinem IT-Blog unter Berufung auf die Anklageschrift ausführlich dokumentiert.
Stokes nutzte ein VPN, dessen Verbindungen er über mehrere Länder leitete, um seine Spuren zu verwischen. Der Fehler lag woanders: Er arbeitete mit einem gewöhnlichen Windows-Rechner. Und Windows verknüpft in seinen Telemetriedaten die dem Gerät zugewiesene, weltweit eindeutige “Global Device ID” (GDID) mit jeder aufgerufenen IP-Adresse und jeder besuchten URL – und schickt diese Kombination an Microsoft. Genau diese GDID – im Gerichtsdokument mit der Kennung g:6755467234350028 benannt – tauchte sowohl im Zusammenhang mit der Proxy-Adresse auf, über die der Angriff auf das Opferunternehmen lief, als auch im Zusammenhang mit privaten Aktivitäten: Facebook-Fotos, ein Snapchat-Account, ein Hotelbesuch in New York, ein Login bei einem Onlinespiel. Über diese Verknüpfung ließ sich die vermeintlich anonyme Angreiferidentität direkt mit der realen Person hinter dem Rechner zusammenführen.
Die eigentliche Botschaft: Nicht der Täter ist das Problem
Man kann diesen Fall als Erfolgsgeschichte der Strafverfolgung lesen. Man sollte ihn aber vor allem als das lesen, was er wirklich ist: der öffentlich gewordene Beweis, dass ein Windows-Betriebssystem in der Standardkonfiguration jederzeit in der Lage ist, ein Bewegungsprofil seines Nutzers zu erstellen – granular genug, um selbst hinter VPN und Proxy zweifelsfrei zuzuordnen, wer an welchem Gerät sitzt. Diese Fähigkeit ist kein Bug. Sie ist eingebaute Funktionalität. Was im Fall Stokes einen mutmaßlichen Straftäter überführt hat, ist exakt dieselbe Infrastruktur, die bei jedem anderen Nutzer läuft, ohne dass er es merkt oder wirksam unterbinden kann.
Diese Einschätzung ist nicht neu, sie wird nur selten so anschaulich belegt. Die deutschen Datenschutzaufsichtsbehörden beschäftigen sich seit Jahren mit genau diesem Problem. Die Datenschutzkonferenz (DSK) hat bereits vor Jahren festgestellt, dass sich die Übermittlung der Telemetriedaten in den Windows-Editionen Home und Pro grundsätzlich nicht vollständig unterbinden lässt – nur in der Enterprise-Version mit der Stufe “Security” ist eine weitgehende Reduktion möglich, und selbst dann bleibt laut Prüfbericht der Aufsichtsbehörden vieles offen. Auch Fachjuristen bestätigen, dass ein wirksamer, dauerhafter Ausschluss von Telemetriedaten praktisch kaum zu garantieren ist, solange man die Software überhaupt einsetzt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der SiSyPHuS-Studie eigene Verbindungen von Windows-Systemen zu Microsoft-Servern untersucht und Verbindungen zu bestimmten Endpunkten als datenschutzrechtlich bedenklich eingestuft, weil sich darüber theoretisch auch das Verhalten der Telemetriekomponente ohne Zustimmung der Nutzer verändern lässt. Wer glaubt, das Abschalten eines Häkchens in den Einstellungen reiche aus, um dem zu entgehen, unterschätzt, wie tief diese Mechanismen im System verankert sind.
Warum das für Behörden und sicherheitskritische Bereiche ein Ausschlusskriterium sein muss
Genau hier beginnt das eigentliche Problem – und zwar nicht nur für Kriminelle, die ohnehin nicht auf Datenschutz vertrauen sollten, sondern für jede Behörde, jedes Ministerium, jede sicherheitsrelevante Institution, die heute noch flächendeckend auf Windows setzt. Eine Verwaltung, die mit besonders schützenswerten Daten arbeitet – Personalakten, Ermittlungsvorgängen, Gesundheitsdaten, Verfassungsschutzinformationen – kann es sich nicht leisten, ein Betriebssystem einzusetzen, dessen Hersteller technisch in der Lage ist, Geräte- und Standortdaten mit Netzwerkaktivität zu verknüpfen und an sich selbst zu übertragen. Dass diese Verknüpfung im Fall Stokes zur Aufklärung einer Straftat beigetragen hat, ändert nichts an der Tatsache, dass dieselbe Funktion missbraucht werden kann – von Kriminellen, von ausländischen Nachrichtendiensten oder schlicht durch den US Cloud Act, der Microsoft grundsätzlich verpflichtet, Daten auf Anforderung US-amerikanischer Behörden herauszugeben, selbst wenn sie physisch in Europa liegen.
Die datenschutzrechtliche Einordnung ist eindeutig: Telemetriedaten können, je nach Ausgestaltung, personenbezogene Daten im Sinne der DSGVO sein. Für ihre Übermittlung – erst recht in ein Drittland – gelten strenge gesetzliche Anforderungen, die nach Auffassung mehrerer Landesdatenschutzbehörden bislang nicht sauber erfüllt sind. Ein System, das nachweislich Geräte-IDs mit IP-Adressen und URL-Aufrufen verknüpft und diese Verknüpfung an einen Konzern überträgt, der wiederum US-amerikanischem Recht unterliegt, gehört schlicht nicht in Umgebungen, in denen Vertraulichkeit, Quellenschutz oder Amtsgeheimnis eine Rolle spielen. Das gilt für Polizeibehörden ebenso wie für Landesministerien, Krankenhäuser oder Schulverwaltungen.
Linux ist keine Zauberformel – aber ein Unterschied mit Substanz
Ein Einwand, der im Zusammenhang mit dem Fall Stokes häufig zu hören war: Auch Linux-Systeme führen unter /etc/machine-id eine eindeutige Kennung, die theoretisch ausgelesen werden könnte. Das stimmt – nur mit einem entscheidenden Unterschied. Diese ID lässt sich ohne Weiteres selbst ändern oder regelmäßig rotieren, und ein Standard-Linux-System sendet sie nicht routinemäßig an einen Konzern, der sie mit Standort- und Verbindungsdaten verknüpft. Es fehlt schlicht die Telemetrie-Infrastruktur, die bei Windows von Haus aus mitläuft. Wer den Unterschied zwischen “theoretisch auslesbar” und “aktiv, dauerhaft und automatisiert an einen Drittkonzern übermittelt” verwischt, verharmlost das eigentliche Problem.
Dass diese Erkenntnis längst nicht mehr nur eine Nische von Datenschützern und Aktivisten umtreibt, zeigt der Blick nach Schleswig-Holstein. Dort ist die Landesregierung mitten in der größten Open-Source-Migration einer deutschen Landesverwaltung: Rund 30.000 Arbeitsplätze wurden von Microsoft Office auf LibreOffice umgestellt, mittlerweile sind es nach Angaben der Staatskanzlei fast 80 Prozent aller Arbeitsplätze außerhalb der Steuerverwaltung. Parallel läuft das Projekt “+1.Linux Arbeitsplatz”, mit dem das Land seinen Standardarbeitsplatz vollständig auf ein Open-Source-Betriebssystem umstellen will. Digitalisierungsminister Dirk Schrödter begründet den Kurs mit dem Ziel, als Land jederzeit die Kontrolle über die eigene IT zu behalten und nicht von einzelnen ausländischen Konzernen abhängig zu sein. Nebenbei spart das Land nach eigenen Angaben bereits jetzt mehr als 15 Millionen Euro an Lizenzkosten im Jahr.
Schleswig-Holstein beweist damit etwas, das viele andere Bundesländer und Bundesbehörden bislang lieber verdrängen: Der Umstieg ist machbar, er ist wirtschaftlich, und er ist überfällig. Wer nach dem Fall Stokes noch glaubt, Windows-Telemetrie sei ein abstraktes Datenschutzproblem ohne echte Relevanz, dem sei diese eine Zahl mitgegeben: g:6755467234350028. Eine einzige Zeichenfolge, unsichtbar im Hintergrund erzeugt, permanent übertragen – und stark genug, um einen Menschen quer durch drei VPN-Länder hindurch eindeutig zu identifizieren. Was das für die Vertraulichkeit von Verwaltungsdaten, Ermittlungsakten oder Redaktionsgeheimnissen bedeutet, sollte jedem klar sein, der noch zögert, über Alternativen nachzudenken.
Quellen: Pressemitteilung des US-Justizministeriums, Borns IT- und Windows-Blog, Landesbeauftragter für den Datenschutz Niedersachsen, Beschluss der Datenschutzkonferenz zu Windows 10, Staatskanzlei Schleswig-Holstein
Siehe auch
- 481 Millionen Euro und kein Ende: Deutschlands Microsoft-Abhängigkeit als politisches Versagen
- Soll keiner sagen, wir hätten sie nicht gewarnt
- Überwachung ohne Grundlage: Wenn der Geheimdienst einfach weitermacht
- Sachsen auf dem Weg zum Überwachungsstaat: CDU, SPD und BSW ebnen den Weg
- Drei Jahre Geduld, 500 Millisekunden Verzögerung: Die XZ-Backdoor und was sie über digitale Sicherheit verrät