Ein VPN, der Tunneldienst Ngrok und trotzdem Handschellen am Flughafen: Im Fall eines mutmaßlichen Scattered-Spider-Mitglieds ist eine kaum bekannte Kennung zum entscheidenden Beweis geworden. Jeder Windows-PC trägt sie, abschalten lässt sie sich kaum.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDie Windows-Geräte-ID ist ein eindeutiger Fingerabdruck, den Microsoft bei jeder Installation vergibt und mit der Telemetrie verknüpft. Aus einer US-Anklageschrift geht nun hervor, dass diese Kennung einen Verdächtigen selbst dann noch identifizierbar gemacht hat, als er seine IP-Adresse längst verschleiert hatte. Für Firmen, die Windows im großen Stil ausrollen, steckt darin eine unbequeme Datenschutzfrage.
Das Wichtigste in Kürze
- GDID: Der Global Device Identifier wird pro Windows-Installation vergeben, übersteht Updates und VPN, und nur eine Neuinstallation erzeugt eine neue Kennung.
- Der Fall: Microsoft hat die Daten per Gerichtsbeschluss an das FBI gegeben; der 19-jährige Peter Stokes ist am 10. April 2026 in Finnland festgenommen worden.
- Die Schwachstelle: Das VPN verbirgt die IP-Adresse, nicht die Geräte-ID; genau diese Lücke in der Anwendungsschicht hat die Zuordnung ermöglicht.
- DACH-Bezug: Persistente Gerätekennungen können nach DSGVO personenbezogene Daten sein und betreffen jeden flottenweiten Windows-Betrieb.
Was ist die Windows-Geräte-ID?

Der Global Device Identifier (GDID) ist eine eindeutige Zeichenkette, die Windows bei der Erstinstallation erzeugt und zusammen mit Diagnose- und Nutzungsdaten an Microsoft sendet. Die Kennung bleibt über Updates und Netzwerkwechsel hinweg stabil und ändert sich erst bei einer vollständigen Neuinstallation.
Der entscheidende Punkt steckt in der Architektur der Telemetrie. Der Windows-Dienst „Connected User Experiences and Telemetry“ meldet die Kennung samt Zeitstempeln, IP-Verlauf und genutzten Werkzeugen an Microsoft, das die Daten für Absturzberichte und die Erkennung von Missbrauch auswertet. Ein VPN verschleiert nur die Netzwerkebene, also die IP. Die Geräte-ID reist eine Schicht höher mit und bleibt konstant, weshalb sich verschiedene Sitzungen trotz wechselnder IP demselben Rechner zuordnen lassen.
Wie überführte die Kennung den Hacker?
Laut der US-Anklageschrift hat das FBI per Gerichtsbeschluss die Geräte-ID des Verdächtigen mit seinen Zugriffen auf den Tunneldienst Ngrok verknüpft. Snapchat, Apple und Facebook haben passende IP- und Login-Überschneidungen geliefert, sodass sich die Aktivitäten trotz VPN einer Person zuordnen ließen.
Festgenommen wurde Peter Stokes, ein 19-jähriger Doppelbürger der USA und Estlands, am 10. April 2026 in Finnland beim Versuch, ein Flugzeug nach Japan zu besteigen. Die US-Justiz rechnet ihn der Gruppe Scattered Spider zu, auch bekannt als Octo Tempest, UNC3944 und 0ktapus, die für mehr als 100 Netzwerkeinbrüche und Lösegeldzahlungen von rund 87 Millionen Euro verantwortlich gemacht wird[1]. Im Mai 2025 soll Stokes einen Luxus-Juwelier gehackt und rund 7 Millionen Euro in Kryptowährung gefordert haben.
In der Diskussion auf Hacker News wird eingewandt, dass vergleichbare Geräte-IDs auch unter Linux und FreeBSD existieren, das Phänomen also kein reines Windows-Problem sei. Zugleich betonen Fachleute, die Akte belege nicht, dass Microsoft das Surfverhalten in Chrome oder Firefox mitlese.
Wie ein persistenter Identifier trotz VPN zum Beweismittel wurde
Die IP-Adresse auf der Netzwerkebene. Der Standort wirkt verschleiert, die Verbindung anonym.
Geräte-ID, Zeitstempel und genutzte Werkzeuge reisen in der Telemetrie mit und verbinden alle Sitzungen.
Nicht die Fahndung ist die eigentliche Nachricht, sondern der Nebensatz dahinter: Ein Rechner, der brav seine Telemetrie sendet, führt ein Protokoll über sich selbst. Für Ermittler ist das ein Geschenk, für Datenschützer ein Alarmsignal.
— Markus Seyfferth, Chefredakteur Dr. Web
Was bedeutet das für Unternehmen im DACH-Raum?
Persistente Gerätekennungen können nach DSGVO personenbezogene Daten sein. Beim flottenweiten Windows-Betrieb sollte deshalb die Telemetriestufe per Gruppenrichtlinie sinken und der Datentransfer in die USA im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein.
Neu ist die Debatte nicht. Der Europäische Datenschutzbeauftragte hat 2024 bereits die Microsoft-365-Nutzung der EU-Kommission als Verstoß gegen das Datenschutzrecht der EU-Institutionen gewertet, unter anderem wegen unklarer Datenübermittlungen. Der GDID-Fall ist die konkrete Zuspitzung eines lange bekannten Problems, ähnlich der Debatte, warum US-Bundesstaaten wie Virginia inzwischen den Verkauf von Standortdaten verbieten. Wie stark vorinstallierte Windows-Komponenten Rechte und Daten abgreifen, hat zuletzt der Fall des MSI Center gezeigt.
Für IT-Verantwortliche heißt das konkret: Auf Enterprise-Geräten lässt sich die Telemetrie per Gruppenrichtlinie herunterstufen, Home- und Pro-Versionen bieten diesen Schalter nicht. Der Datenfluss zu Microsoft gehört sauber in die Auftragsverarbeitung, und ein durchdachtes Threat Model für KMU macht ihn überhaupt erst sichtbar. Vollständige Anonymität bringt am Ende nur die Neuinstallation, und selbst die hilft wenig, solange die Telemetrie weiterläuft.
Quelle
[1] U.S. Department of Justice: „Alleged Member of Criminal Cyber Hacking Group ‚Scattered Spider‘ Arrested in Finland and Extradited to the United States“ ↩