Ja, G DATA nutzt Telemetriedaten, um die Schutzwirkung des Produkts stetig zu verbessern. Die verwendeten Daten werden größtenteils anonymisiert verarbeitet. Telemetriedaten werden verwendet, um im Verdachtsfall Informationen über die Erkennungsmethoden der eingesetzten G DATA Lösung zu übermitteln.

Als Telemetriedaten bezeichnen wir alle Daten, die wir auf Computern unserer Kunden erheben und zu G DATA schicken. Dazu gehören Daten, die im direkten Zusammenhang mit unseren Schutzleistungen stehen, wie zum Beispiel Prüfsummen von gescannten oder ausgeführten Dateien, oder die URLs die in einem Browser aufgerufen werden. Diese Daten benötigen wir auf unseren Servern, um eine Bewertung der Anfrage vornehmen zu können. Neben den hier genannten Daten werden von anderen Schutzmodulen der G DATA Software-Lösungen noch weitere Daten an unsere Server zur Überprüfung gesendet, der genaue Umfang und die Art der Daten richten sich nach den dynamischen Bedürfnissen der jeweiligen Bedrohungssituation und des Moduls, welches den Schutzmechanismus ausgelöst hat.

Erweiterte Telemetrie senden wir in dem Falle, dass ein Schutzmodul der G DATA Software einen Schädling auf einem Rechner gefunden hat. In diesem Fall senden wir uns neben den oben genannten Angaben zu beispielsweise URLs und Prüfsummen auch die Pfade, in denen schadhafte Dateien ausgeführt wurden oder deren Namen. In bestimmten Fällen übertragen wir auch die ausführbare Datei von einem Computer, um diese bei G DATA in Echtzeit analysieren zu können.

Dem Senden von erweiterter Telemetrie kann durch Entfernung des Hakens zur Malware Information Initiative in der Software widersprochen werden. In diesem Fall erhalten wir im Infektionsfall nur noch vereinfachte Telemetrie, die keinerlei Daten mehr beinhaltet, welche einen Rückschluss auf einen konkreten Infektionsfall zulassen. Beispielsweise übertragen wir in diesem Fall keine Dateinamen oder -pfade mehr oder übertragen keine Dateien mehr zu G DATA zur Analyse.

Darüber hinaus gibt es die Möglichkeit freiwillig an dem User Experience Programm der G DATA Software teilzunehmen. Die Abfrage hiernach erfolgt bei der Installation. Wird die Teilnahme gestattet sammelt die G DATA Software Daten über die Nutzung der Software, zum Beispiel wie oft das Programm gestartet, Einstellungen verändert oder angeklickt werden und die Verweildauer in bestimmten Bereichen des Programms.

Wird G DATA AntiSpam eingesetzt erfassen und übermitteln wir weiterhin bestimmte Prüfsummen und URLs an unseren Technologiepartner Cyren zur Bekämpfung von Spam.

Nutzerdaten werden nicht einzeln gesammelt, sondern höchstens als Aggregat über viele Rechner und damit nicht mehr rückverfolgbar auf den einzelnen Nutzer.

Bis zum Anfang des Jahrtausends reichte es aus, Malware im Labor zu analysieren und die schädlichen Dateien mit neu erstellten Signaturen zu erkennen. Seitdem müssen wir immer schneller auf neue Bedrohungen reagieren.

Ein effektiver Ausweg aus diesem Dilemma ist es, sicherheitsrelevante Informationen über Dateien in ein Backend zu senden, dort die Daten von vielen Nutzern zusammenzutragen und daraus Rückschlüsse über aktuelle Bedrohungen zu ziehen. Die Kunst dabei ist es, die relevanten Daten so auszuwählen bzw. zu anonymisieren, dass die Privatsphäre der Nutzer gewahrt bleibt. Heute ist es nicht mehr möglich adäquate Sicherheit zu gewährleisten, wenn man auf Nutzung von Telemetriedaten verzichtet.

Das intensive Versenden von Daten hat sich mittlerweile in unserem Alltag etabliert. Seien es smarte Fitness-Armbänder, Informationen zum Fahrverhalten für Versicherungen, Rabattkarten, die Verfolgung von Nutzeraktivitäten in Online-Shops oder die Übertragung von Sprachdaten durch (mehr oder weniger) intelligente Lautsprecher und Fernseher. Auch in der Antiviren-Branche ist es mittlerweile üblich sich Informationen über die Kundenrechner nach Hause zu schicken. Während ausländische Anbieter und kostenlose Produkte hier häufig hemmungslos Daten übertragen, machen wir uns viele Gedanken darum, wie wir die erforderliche Schutzwirkung erreichen können, ohne die Privatsphäre des Nutzers aufzugeben.

Hierbei machen wir uns zu Nutze, dass Malware sich häufig schnell verbreitet und dabei immer gleiche Infektionswege benutzt werden. Durch die Analyse von vielen, statistisch ausgewerteten Datenpunkten, können wir den Schutz des Einzelnen erhöhen, indem wir die Daten von vielen Endgeräten gemeinsam betrachten. Eine Rückverfolgung auf einen einzelnen Nutzer ist bei einer derartigen statistischen Auswertung ausgeschlossen.

Es gibt drei unterschiedliche Szenarien für die Erhebung, Verarbeitung und Speicherung von Daten:

1. Administrativ notwendige und personenbezogene Daten werden in den für den Kauf und die Erstellung einer Rechnung notwendigen Prozesse erfasst, verarbeitet und gespeichert. Das fängt bei der Bestellung und Bezahlung an. Je nach Art der Bestellung und des Kaufs verarbeiten wir die Daten für die Kaufabwicklung oder ein Partner oder Dienstleister.

2. In die nächste Stufe werden Daten überführt, welche für eine Registrierung des Softwareproduktes notwendig sind, um Sie eindeutig als Lizenznehmer zu identifizieren. Aus diesen Daten wird eine benutzerspezifische Kennung generiert, mit welcher sich der Rechner an unserem Update-Server anmeldet, um neue Signaturen und Programm-Updates zu erhalten.

3. Eine Verarbeitung von Daten, die für bessere Erkennung sorgen, ist von den beiden erstgenannten Prozessen entkoppelt. Für die effektive Nutzung dieser Daten ist es nicht notwendig zu wissen von welcher Person sie stammen. Sie landen am Ende ohnehin in einem großen Pool, in dem individuelle Daten die automatische Verarbeitung erschweren. Mit den von uns gewählten Voreinstellungen haben wir den Fokus auf Sicherheit gelegt. Wir ermöglichen es dem Nutzer aber bei allen kritischen Fragen, unsere Voreinstellungen zu revidieren.

Diese Frage kann hier nicht erschöpfend beantwortet werden und hängt auch von unterschiedlichen Technologien und Bedrohungsszenarien ab. Generell halten wir uns schon immer an das Prinzip der Datensparsamkeit, das spätestens mit der EU-Datenschutzgrundverordnung zum Grundsatz erhoben wurde. Bei der Abwicklung der Rechnungsstellung unterliegt G DATA als Aktiengesellschaft strengen Regelungen. Die buchhalterische Sorgfaltspflicht und die Datenschutzauflagen werden jährlich von Wirtschaftsprüfungsgesellschaften überwacht und attestiert.

Bei der Verarbeitung der Telemetriedaten gibt es zwei wichtige Anwendungsfälle: Bei einigen Schutzkomponenten ist es für die Bereitstellung der Funktion notwendig, dass Daten übertragen werden. Ein Beispiel: Die Prüfung von URLs in den Modulen Anti-Phishing oder Webschutz ist technisch ohne die Anfrage an unseren Webservern überhaupt nicht möglich. Wir konzipieren die Einstellungen in unseren Produkten aber immer so, dass ein Nutzer unsere Voreinstellungen ändern kann. In diesem Fall würde dann aber die Schutzfunktion komplett wegfallen – so wie es auch der Fall wäre, wenn man den Phishing-Schutz im Browser ausschaltet. Viele Informationen sind aber für die Funktion der lokalen Schutzkomponenten nicht notwendig. Für diese Fälle haben wir die Malware Information Initiative – kurz MII – ins Leben gerufen. Nutzer können durch Deaktivieren der MII der erweiterten Datenübertragung widersprechen, so dass wir keine ausführbare Schaddateien von Nutzerrechnern mehr an G DATA übermitteln, sowie sämtliche Daten mit potenziellem Bezug zu Nutzern von Computern nicht übermitteln.

Ein in unserem Labor gespeicherter Datensatz zur weiteren Auswertung sieht dann zum Beispiel so aus:

{

  "_index": "intelligence:filecloud-joined-2022.03.25",
  "_type": "_doc",
  "_id": "ALnxv38BVPmRa6nXpv_S",
  "_version": 1,
  "_score": 1,
  "_source": {
    "server": "gdcloud-fut214",
    "incident": {
      "upload": 0,
      "protocol": 3,
      "url_cloud_verdict": 0,
      "talker": 0,
      "component": "",
      "trace_id": "675c5fb5cc03410e8f42ae59ee5c0537",
      "path": "%temp%\\avkhttp-0c0cedd1-d661db66-d69e-4444-8a1e2d8f",
      "sha256": "fcab7fcc2b4cffd9bb45003bfc2e468a04ef6f77ca8200a7341f027631584d25",
      "verdict": 0,
      "guid": "b8a2b1a468bc6a4e97ba4fa90bfbfc5d",
      "client": "AVK",
      "type": "fileverdict",
      "filesize": 2,
      "server": "gdcloud-fut214",
      "url": "http://2.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/f583ea58-96f5-43e5-8133-868af0d95b9c?P1=1648193345&P2=404&P3=2&P4=VUNqa%2f9AZoYJutvGIF7LeTT4subxNuNOHZ1xx9WIkW%2fIz2pknHrZ4GMvQH6EaaLq7hDdAbf%2b0xzrc987zp48UA%3d%3d",
      "wantedupload": 0,
      "clientversion": ""
    },
    "@version": "1",
    "@timestamp": "2022-03-25T07:19:17.000Z"
  }
}

Durch die oben beschriebenen Methoden ist es für die Verbesserung der Schutzwirkung nicht notwendig beziehungsweise im Einzelfall sogar hinderlich personenbezogene Daten zu übertragen.

Trotzdem kann, bei aktivierter MII, Telemetrie der Erkennungstechnologie situationsbedingt personenbezogene Daten beinhalten. Dies betrifft dann beispielsweise Dateinamen von geöffneten Dokumenten oder Pfade, welche Rückschlüsse auf den Benutzer des Computers zulassen.

Wenn die MII deaktiviert ist, ist die Übertragung solcher potenziell personenbezogenen Daten nicht möglich, da sämtliche Datensätze vor dem Versenden anonymisiert werden.

Beim Anmelden am Updateserver wird die Benutzerkennung zur eindeutigen Legitimierung des Rechners immer mitgesendet.

Die Daten werden ausschließlich auf Servern im europäischen Raum entgegengenommen und auf Server im deutschen Rechtsraum zur weiteren Verarbeitung und Speicherung gesendet. Die Server zur Verarbeitung und Speicherung befinden sich ausschließlich im direkten technischen Zugriff von G DATA, es kommen also für die Verarbeitung und Speicherung der Daten keine Cloud-Provider oder ähnliches zum Einsatz.

Das Senden von Telemetriedaten kann nicht grundsätzlich unterbunden werden, da einige Schutzkomponenten auf diese Daten für ihre ordnungsgemäße Funktion angewiesen sind. Die Übertragung von Daten kann jedoch durch das Deaktivieren der Teilnahme an der Malware Information Initiative (MII) eingeschränkt werden. In diesem Fall wird jedoch auch der Übertragung von potenziell bösartigen Programmen widersprochen, was die Schutzwirkung auf dem Rechner direkt mindert, da wir mit der retrospektiven Verhaltenserkennung unserer BEAST Technologie erst im Labor bei G DATA als schädlich identifizierte Dateien auch nachträglich noch von Rechnern entfernen können. Diese Übertragung und Prüfung findet jedoch nur bei aktivierter MII statt, da wir sonst notwendige Daten nicht erheben können. Weiterhin betreiben wir einige Schutzmodule, wie die G DATA CyberDefense Cloud, ausschließlich mit den erweiterten Telemetriedaten, sodass auf die Nutzung dieser in unsere Produkte eingebauten Technologie verzichtet wird, wenn die MII ausgeschaltet ist.

Wir stellen Telemetriedaten unserer Kunden grundsätzlich keinen Dritten zur Verfügung.

Da die Telemetriedaten keine personenbezogenen Daten beinhalten werden diese nur anlassbezogen gelöscht.

Rechnungsdaten werden gemäß der gesetzlichen Speicherfristen zu buchhalterischen und bilanzregulatorischen Zwecken aufgehoben.

Registrierungsdaten werden nach Ablauf der Lizenz gesperrt und sind für uns nicht mehr einsichtig.

Daten von verhaltensbasierten Technologien der G DATA Software, vornehmlich der Schutztechnologie BEAST, werden ausschließlich auf den Rechnern gespeichert auf denen BEAST aktiviert ist.

Im Falle einer Malware-Erkennung durch BEAST auf einem Rechner und aktivierter Malware Information Initiative wird der Teil der verhaltensbasierten Daten, der zu einer Malware-Erkennung geführt hat an unser Backend geschickt. Dabei werden ausschließlich Daten mit Bezug zur Malware verschickt. Ein Rückschluss auf die reguläre Nutzung des Rechners ist mit diesen Daten nicht möglich.