Microsoft Recall: KI-Datenschatz erneut als angreifbar entlarvt

Trotz massiver Sicherheitsreform zeigt ein neues Tool Schwachstellen in der KI-Erinnerungsfunktion auf – die Betreffen um Privatsphäre versus Komfort ist zurück.

Ein Jahr nach dem umfassenden Sicherheits-Overhaul für die KI-Funktion Recall stehen Microsofts Datenschutzversprechen erneut auf dem Prüfstand. Am Dienstag veröffentlichte der Technologe Alexander Hagenah das Werkzeug TotalRecall Reloaded. Es demonstriert, wie sensible Nutzerdaten trotz verbesserter Verschlüsselung und biometrischer Sicherungen extrahiert werden können. Die Entwicklung unterstreicht den Dauerkonflikt zwischen fortschrittlichen Produktivitätsfeatures und Nutzerprivatsphäre in Windows.

Während neue KI-Funktionen wie Recall die Sicherheit von Windows 11 vor neue Herausforderungen stellen, können Sie typische Systemfehler und Update-Probleme ganz einfach selbst lösen. Dieser kostenlose Report zeigt Ihnen, wie Sie Ihren PC ohne teure IT-Hilfe stabil halten. Windows 11 Probleme jetzt selbst beheben

Das neue Exploit-Konzept erscheint genau zwölf Monate nach dem gestaffelten Rollout von Recall für Copilot+ PCs im April 2025. Microsoft argumentiert, die demonstrierten Zugriffsmuster verletzten nicht die definierten Sicherheitsgrenzen. Die Forschung legt jedoch nahe, dass Schadsoftware in einer aktiven Nutzersitzung hochpersönliche Informationen abfangen könnte, während sie für die Anzeige aufbereitet werden.

Lücke im Darstellungsprozess entdeckt

Der Kern des neuen Sicherheitsbedenkens liegt im Prozess AIXHost.exe. Laut Hagenahs Erkenntnissen ist der zentrale Datentresor von Recall zwar stark geschützt, der für die Timeline-Darstellung verantwortliche Prozess bleibt jedoch eine Schwachstelle. Diese Komponente operiere außerhalb der Virtualization-Based Security (VBS)-Enklave, in der Microsoft die verschlüsselte Snapshot-Datenbank sichert.

Die Analyse von TotalRecall Reloaded zeigt: Dem AIXHost.exe-Prozess fehlen fortgeschrittene Schutzmechanismen wie AppContainer-Sandboxing oder strenge Code-Integritätsprüfungen. Diese Architektur-Entscheidung ermöglicht es einem Prozess mit Standard-Nutzerrechten, eine schädliche Nutzlast in den Darstellungsdienst einzuschleusen. Einmal injiziert, kann das Tool entschlüsselte Screenshots, Metadaten und per Texterkennung verarbeiteten Text abfangen – genau in dem Moment, in dem sie von der sicheren Enklave zum Bildschirm fließen.

Der Forscher demonstrierte zudem, wie ein bösartiges Skript eine Windows Hello-Authentifizierungsabfrage auslösen kann. Gibt ein ahnungsloser Nutzer seine biometrischen Daten wie Fingerabdruck oder Gesichtsscan preis, kann das Tool anschließend den gesamten entschlüsselten Recall-Verlauf abziehen. Hagenah vergleicht die aktuelle Sicherheitslage mit einem nahezu undurchdringlichen Tresortor, während die angrenzenden Wände einfachen Einstiegsmethoden zugänglich bleiben.

Microsofts Antwort und der Streit um Sicherheitsgrenzen

Microsoft hat die Forschung geprüft, bestreitet aber, dass es sich um eine Sicherheitslücke handelt. Nach vollständiger Offenlegung durch Hagenah im März 2026 schloss das Security Response Center den Fall im April mit dem Hinweis, die Software funktioniere wie beabsichtigt.

David Weston, Corporate Vice President für Microsoft Security, erklärte, die demonstrierten Zugriffsmuster entsprächen dem aktuellen Sicherheitsdesign von Recall. Er betonte, das System enthalte eingebaute Schutzmaßnahmen wie Sitzungs-Timeouts und Anti-Hammering-Mechanismen, die den Umfang automatisierter oder bösartiger Abfragen begrenzen sollen.

Die Haltung des Unternehmens offenbart einen grundlegenden Dissens zwischen Konzern-Ingenieuren und unabhängigen Forschern darüber, was eine „Sicherheitsgrenze“ darstellt. Für Microsoft ist der Schutz der Verschlüsselungsschlüssel und der Rohdatenbank innerhalb der VBS-Enklave das primäre Ziel. Aus dieser Perspektive ist die Anzeige von Daten nach erfolgter Nutzerauthentifizierung und biometrischer Zustimmung eine Funktionsvoraussetzung – kein Sicherheitsversagen. Kritiker kontern, dass die mangelnde Isolation des Darstellungsprozesses ein unnötiges Risiko für einzigartig sensible Daten schaffe, die ein nahezu lückenloses Protokoll des digitalen Lebens erfassen.

Eine Geschichte voller Sicherheitsreformen seit 2024

Recall hat seit seiner Ankündigung im Mai 2024 einen turbulenten Weg hinter sich. Ursprünglich als Flaggschiff-Funktion für die erste Generation von Copilot+ PCs geplant, erntete das Tool sofort Kritik aus der Cybersicherheits-Community. Frühe Versionen speicherten Screenshots in einer Klartext-Datenbank, die für jeden Nutzer oder Schadsoftware auf dem System leicht zugänglich war – ein potenzielles Privacy-Desaster.

Als Reaktion auf den Shitstorm verschob Microsoft den Start am 13. Juni 2024 und versetzte das Projekt in eine „Überdenk“-Phase. Bis September 2024 kündigte das Unternehmen eine komplett neu gestaltete Architektur an. Wichtige Änderungen: Die Funktion wurde opt-in statt standardmäßig aktiviert, der Zugriff erfordert nun Windows Hello Enhanced Sign-in Security, und die gesamte Snapshot-Verarbeitung wurde in VBS-Enklaven verlagert. Diese Enklaven nutzen die gleiche Hypervisor-Technologie, die auch die Azure-Cloud-Sicherheit antreibt, um den Speicher und die Verarbeitung der Recall-Daten vom Rest des Betriebssystems zu isolieren.

Die Hardware-Anforderungen sind ebenfalls hoch: Recall benötigt einen Copilot+ PC mit einer Neural Processing Unit (NPU), die mindestens 40 Billionen Operationen pro Sekunde (TOPS) leistet. Diese lokale Rechenleistung soll sicherstellen, dass keine Schnappschüsse in die Cloud gelangen und alle „fotografischen Gedächtnis“-Daten strikt auf dem Gerät bleiben. Trotz dieser Hürden und des Relaunchs 2025 zeigt die aktuelle Forschung: Die Komplexität der Darstellungspipeline bleibt ein Streitpunkt für Sicherheitsexperten.

Institutionelle Skepsis und Datenschutzkontrollen

Die anhaltenden Sicherheitsdebatten führen zu einer zurückhaltenden Adoption in Unternehmen und Bildungseinrichtungen. Bereits im April 2025 warnten Institutionen wie das Office of Information Security der University of Pennsylvania ihre Mitarbeiter und Studenten. Die Bewertung der Universität kam zu dem Schluss, dass Recall inakzeptable Herausforderungen für Privatsphäre und Legalität mit sich bringe, und riet, die Funktion in verwalteten Windows-Umgebungen zu deaktivieren.

Microsoft versucht, diese Bedenken mit granularer Kontrolle zu entkräften. Nutzer können bestimmte Apps oder Websites vom Erfassungsprozess ausschließen. Standardmäßig soll das Tool keine Schnappschüsse von privaten Browsing-Sessions in unterstützten Browsern wie Edge, Chrome und Firefox machen. Eine Filtertechnologie erkennt und vermeidet zudem die Speicherung sensibler Informationstypen wie Kreditkartennummern oder Passwörter.

Viele PC-Nutzer zögern aufgrund komplexer neuer Funktionen wie Recall beim Wechsel auf das aktuelle Betriebssystem. Ein kostenloser Expertenreport zeigt Ihnen, wie der Umstieg auf Windows 11 ohne Risiko und Datenverlust gelingt. Windows 11 Starterpaket kostenlos anfordern

In professionellen Umgebungen können IT-Administratoren über Group Policy Objects sicherstellen, dass Recall auf allen Firmen-PCs deaktiviert ist. Einzelne Nutzer können die Komponenten über das Menü für optionale Features komplett deinstallieren. Forscher wie Hagenah warnen jedoch: Solange die zugrundeliegenden Darstellungsprozesse nicht die gleiche Isolation wie der Datentresor genießen, bleibe das Risiko „latenter Schadsoftware“ in einer Nutzersitzung eine theoretische Möglichkeit.

Ausblick für KI-gesteuerte Betriebssysteme

Während Microsoft künstliche Intelligenz tiefer in den Windows-Kernel integriert, dient der Recall-Streit als Testfall für künftige „Edge-AI“-Features. Das Unternehmen setzt stark auf das Konzept des NPU-fähigen PCs und wettet, dass Nutzer den Komfort einer durchsuchbaren Historie höher bewerten als die Angst vor lokalem Datenabfluss.

Branchenbeobachter sehen, dass die anhaltende Reibung zwischen Microsoft und der Forschungsgemeinschaft die Entwicklung von Windows 12 und künftigen Updates der Copilot+-Plattform beeinflussen wird. Zwar hat sich der Sicherheitstresor selbst gegen direkte Angriffe als widerstandsfähig erwiesen. Doch der „Lieferwagen“ der Daten – die Darstellungs- und Anzeigepipeline – wird wahrscheinlich weiter gehärtet werden müssen, wenn Microsoft skeptische Unternehmenskunden und Datenschutzbefürworter überzeugen will.

Aktuell bleibt Recall eine optionale, bewusst zu aktivierende Erfahrung für Besitzer der neuesten Hardware. Da sich immer mehr Forscher der Schnittstelle von KI und lokalen Systemprozessen widmen, könnte die Branche einen breiteren Trend zu „Enklave-zum-Bildschirm“-Sicherheitsmodellen erleben. Dabei blieben sensible Daten von der Datenbank bis zum letzten Pixel auf dem Display isoliert. Bis dahin stellen Tools wie TotalRecall Reloaded sicher, dass die Sicherheit von Windows‘ „fotografischem Gedächtnis“ auch 2026 unter intensiver Beobachtung bleiben wird.

de | boerse | 69167739 |