Im Juli 2026 veröffentlichte das US-Justizministerium eine 39-seitige Anklageschrift. Angeklagt ist der 19-jährige Peter Stokes, dem zur Last gelegt wird, im Mai 2025 in ein US-Unternehmen für Luxus-Schmuck eingedrungen zu sein und 8 Millionen Dollar Lösegeld gefordert zu haben. Stokes nutzte VPN, Proxy-Server und Tools zum Umgehen von Netzsperren; seine IP-Adressen erstreckten sich über vier Länder, darunter Estland, New York und Thailand. Nach der üblichen Logik reißt die Spur bei der Internet-Verfolgung einer Person ab, sobald die IP-Adresse gewechselt wird.
Aber das FBI fand ihn trotzdem. Der entscheidende Beweis war eine von Microsoft automatisch generierte Zahlenfolge in seinem Computer – g:6755467234350028.
Diese Zahlenfolge heißt GDID, kurz für Global Device Identifier, übersetzt also „Globaler Geräteidentifikator”. Bevor diese Anklageschrift des FBI veröffentlicht wurde, hatten die meisten Windows-Nutzer von diesem Namen noch nie gehört. Auch Microsoft selbst erwähnte ihn öffentlich nur an einer einzigen Stelle – versteckt in der Enterprise-Technikdokumentation von Azure Monitor.
Abbildung: GDID ist ein dauerhafter, in das Windows-System eingebauter Geräteidentifikator. Quelle: Ghacks
Was es ist: Die „Personalausweisnummer” Ihres Computers
Am einfachsten ausgedrückt: GDID ist eine permanente Nummer, die Microsoft Ihrem Computer automatisch zuweist. Sie wird in dem Moment erzeugt, in dem Sie das Windows-System installieren oder sich mit einem Microsoft-Konto bei Ihrem Computer anmelden.
Es ist keine Codierung der Computer-Hardware – Hardware lässt sich austauschen. Es ist auch keine IP-Adresse – eine IP lässt sich ändern. Es ist eine Identitätsnummer, die Ihnen der Microsoft-Server für genau diesen Computer „ausstellt”; einmal erzeugt, ist sie dauerhaft an das Windows-System dieses Computers gebunden, über Systemupdates und Netzwerkumgebungen hinweg, für immer vorhanden.
Wie sieht diese Nummer aus? Es ist meist eine Zahlenfolge, die mit „g:” beginnt, beispielsweise g:6755467234350028, gespeichert tief in der Registrierdatenbank des Windows-Systems, für gewöhnliche Nutzer völlig unsichtbar. Sie läuft im Hintergrund still mit und wird bei normalen Vorgängen wie Windows-Updates, der Nutzung des App-Stores oder dem Melden von Systemdaten in regelmäßigen Abständen an die Microsoft-Server zurückgesendet.
Wenn Ihnen die Worte „zurück an die Microsoft-Server gesendet” unbehaglich sind – das ist völlig normal, Sie sind damit nicht allein.
Wie es funktioniert: Eine unsichtbare Pipeline
Der Erzeugungs- und Meldevorgang von GDID gleicht einer vollautomatischen Fertigungsstraße, in die der Nutzer kein Einspruchsrecht hat.
Schritt eins: Wenn Sie sich mit Ihrem Microsoft-Konto bei Windows anmelden, kontaktiert ein Hintergrund-Dienst des Systems (namens wlidsvc) automatisch den Microsoft-Anmeldeserver login.live.com und beantragt eine gerätespezifische Identitätsnummer. Diese Nummer wird vom Microsoft-Server direkt „ausgestellt” und Ihrem Computer aufgedrückt.
Schritt zwei: Diese Nummer wird in die Registrierdatenbank von Windows geschrieben – an einen Ort namens HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties. Es ist, als läge sie in einem tief im System verborgenen Aktenschrank, an der Oberfläche unsichtbar.
Schritt drei: Mehrere Hintergrund-Dienste in Windows lesen diese Nummer aus. Funktionen, die Sie im Alltag nutzen – etwa „Telefonverbindung”, „Cloud-Zwischenablage” und „Nahes Teilen” –, greifen alle darauf zu. Diese Dienste registrieren die Nummer im „Geräteverzeichnisdienst” von Microsoft und bilden so ein vollständiges Geräte-Identitätsprofil.
Schritt vier, der entscheidende Schritt: Die Funktion „Überlieferungsoptimierung” von Windows – jene Funktion, die Ihnen hilft, Updates schnell von anderen Computern im lokalen Netzwerk herunterzuladen – sendet bei jedem Lauf die GDID-Nummer zusammen mit Ihrer IP-Adresse und einem Zeitstempel an die Microsoft-Server.
Mit anderen Worten: Microsoft weiß nicht nur, dass Sie diese Nummer haben, sondern auch, zu welcher Zeit und mit welcher IP-Adresse sie verwendet wurde. Verknüpft man diese Informationen, ergibt sich eine vollständige Zeitleiste der Geräteaktivität.
Wie das FBI ihn damit fand
Stokes hielt sich für schlau. Er verbarg seine echte IP mit einem VPN, leitete den Datenverkehr über Proxy-Server und wechselte sogar zwischen den Netzidentitäten mehrerer Länder. Aber er vergaß eines: Egal wie oft sich die IP änderte, sein Windows-System im Computer war dasselbe geblieben.
Laut der Beschreibung in der Anklageschrift verlief der Ermittlungspfad des FBI in etwa so:
Zunächst zeichnete die Website des Opfer-Schmuckhauses die IP-Adresse des Angreifers auf – diese IP gehörte zu einem VPN-Anbieter namens Tzulo. Gleichzeitig stellten die Ermittler fest, dass der Angreifer bei ngrok (einem Netzwerktunnel-Tool) ein Konto registriert hatte, das für die Angriffshandlungen genutzt wurde. Registrierungszeitpunkt und IP-Adresse bei der Registrierung stimmten überein.
Als Nächstes forderte das FBI Daten von Microsoft an: Welche GDID-Nummer hatte das Gerät, das zu diesem Zeitpunkt diese IP-Adresse verwendete? Die Antwort lautete: g:6755467234350028.
Danach führte das FBI eine Rückwärtssuche durch: Welche IP-Adressen hat diese GDID-Nummer noch verwendet? Die Aufzeichnungen von Microsoft zeigten, dass dieselbe GDID über einen Zeitraum von acht Monaten an mehreren Orten – darunter Estland, New York und Thailand – auftauchte, jedes Mal über einen anderen VPN-Knoten verbunden.
Im letzten Schritt verglich das FBI diese IP-Adressen mit den Anmeldedaten von Stokes bei Snapchat, Facebook, seinem Apple-Konto und der Ubisoft-Spielplattform – Zeitpunkte und Orte stimmten überein. Die öffentlichen Fotos, die er auf Snapchat postete, deckten sich vollständig mit der von der GDID aufgezeichneten Reisezeitleiste.
Im April 2026 wurde Stokes am Flughafen Helsinki abgefangen, als er nach Japan fliegen wollte. Ein rotes Fahndungsblatt von Interpol verhinderte, dass er diesen Flug bestieg.
Abbildung: Das FBI nutzte GDID, um den Verdächtigen über VPN und mehrere Länder hinweg zu verfolgen. Quelle: WindowsLatest
Warum diese Sache beunruhigt
Dass die Existenz von GDID kontrovers ist, beruht auf einem Kernfakt: Sie können es nicht abschalten.
Der Werbeidentifikator des iPhones lässt sich vom Nutzer zurücksetzen. Auch Android bietet ähnliche Steuerungsoptionen. Apple verlangt sogar, dass Apps vor dem Tracking des Nutzers ein Pop-up zur Einwilligung anzeigen – jene Meldung „App beim Tracking zulassen”.
Aber GDID hat all das nicht. Kein Pop-up fragt nach Ihrer Zustimmung. Kein Schalter zum Ausschalten. Kein Knopf zum Zurücksetzen. Der Sicherheitsforscher Matthew Hickey sagte bei der Bewertung dieses Falls unverblümt, Windows sei „Überwachungssoftware”.
Noch unangenehmer ist das Transparenzproblem. Die öffentliche Beschreibung dieses Identifikators durch Microsoft umfasst in der gesamten Azure-Monitor-Dokumentation nur einen einzigen Satz: „Microsoft Global Device Identifier. This is an identifier used internally by Microsoft.” Ein Satz, ein Dutzend englischer Wörter. Wie er erzeugt wird, wie er übertragen wird, wie lange er gespeichert wird und wer darauf zugreift – dazu findet sich keinerlei Erläuterung.
Unabhängige Sicherheitsforscher mussten per Reverse Engineering herausfinden, wie GDID funktioniert. Sie stellten fest: Blockiert man die Erzeugung von GDID gewaltsam, gerät die Windows-Systemaktivierung in Schwierigkeiten, und Programme aus dem App-Store lassen sich nicht mehr ordnungsgemäß nutzen. GDID ist tief mit den Kernfunktionen von Windows verknüpft und lässt sich nicht isoliert entfernen.
Ein weiterer bemerkenswerter Details: In einer Fußnote der Anklageschrift räumte Microsoft ein, dass einem Microsoft-Konto mehrere GDIDs zugeordnet sein können. Das heißt: Selbst wenn Sie das System neu installieren und eine neue Nummer erhalten, kann Microsoft über Ihr Konto, den OneDrive-Cloud-Speicher, Aktivierungsaufzeichnungen und ähnliche Informationen die alte und die neue Nummer miteinander verknüpfen.
Die Positionen der Beteiligten: Keine einfache Antwort
Diese Sache lässt sich nicht einfach in gut und böse einteilen. Je nach Blickwinkel sehen die Beteiligten ein völlig unterschiedliches Bild.
Aus Sicht der Strafverfolgungsbehörden ist GDID ein wirksames forensisches Werkzeug. Im Fall Stokes wäre die Ermittlung ohne GDID als Tracking-Ankerpunkt, der VPN überbrückt, womöglich an einem Haufen unzusammenhängender VPN-IP-Adressen steckengeblieben. GDID ermöglicht es den Behörden, die Anonymitätsschicht des Netzes zu durchdringen und Straftaten mit einem konkreten Gerät zu verknüpfen. Für Kriminelle, die ihre Identität mit technischen Mitteln verbergen, ist dies ein wirksames Gegengewicht.
Aus Sicht des Datenschutzes ist ein permanenter Geräteidentifikator, der sich nicht abschalten lässt und keiner Zustimmung des Nutzers bedarf, nach jedem Standard ein Warnsignal in der Konstruktion. Das Problem besteht darin, dass er „theoretisch für jeden Zweck genutzt werden könnte”. Heute ist es eine kriminalpolizeiliche Ermittlung des FBI, was könnte morgen sein? Werbenetzwerke? Versicherungen? Politische Überwachung? Ein System, das in der Entwurfsphase diese Tracking-Fähigkeit vorhält, wird nicht ewig nur von „Guten” genutzt werden.
Aus Sicht von Microsoft war das ursprüngliche Designziel von GDID nicht das Tracking von Nutzern – es dient vor allem der Verwaltung von Softwarelizenzen, dem Erhalt des reibungslosen App-Store-Betriebs und der Unterstützung geräteübergreifender Funktionen. Das Problem ist jedoch: Ein Identifikator auf „Infrastruktur”-Ebene, sobald er existiert, wird in zu viele Systemkomponenten eingebettet; ihn zu entfernen hieße, die Kernarchitektur von Windows neu zu schreiben.
In der Diskussion der Lobsters-Techniegemeinschaft wurde ein Kommentar immer wieder hochgevotet: „Wenn diese Sache nicht mehr Menschen bewusst macht, dann geht es das nächste Mal nicht mehr nur um das Fassen eines Hackers.” Jemand anderes meinte: „Die wahre Lösung ist, das Betriebssystem zu wechseln.” Aber für 1,6 Milliarden Windows-Nutzer ist der Wechsel des Betriebssystems keine leicht zu treffende Entscheidung.
Abbildung: In den Datenschutzeinstellungen von Windows 11 findet sich keine einzige Steueroption für GDID. Quelle: WindowsLatest
Was Sie tun können
Offen gesagt ist der Spielraum für gewöhnliche Nutzer, die bereits tief im Microsoft-Ökosystem gebunden sind, recht begrenzt. Der Autor hat hier einige Maßnahmen zusammengestellt, mit denen sich das entsprechende Risiko unter den gegebenen Bedingungen verringern lässt:
Erstens: Nutzen Sie nach Möglichkeit ein lokales Konto statt eines Microsoft-Kontos. Windows 11 hat in den jüngsten Versionen den Zugang zur Erstellung lokaler Konten eingeschränkt, aber das Überspringen des Schritts zur Internetverbindung während der Installation oder das Finden der Option „Zur Anmeldung mit lokalem Konto wechseln” in den Einstellungen ist nach wie vor ein gangbarer Weg. Die Erzeugung von GDID ist tief mit dem Microsoft-Konto verknüpft; die Nutzung eines lokalen Kontos ist ein indirektes Isolationsmittel.
Zweitens: Deaktivieren Sie nicht zwingend erforderliche Diagnosedaten-Meldungen. Der Pfad lautet: Einstellungen → Datenschutz und Sicherheit → Diagnose und Feedback → „Optionale Diagnosedaten” ausschalten. Das lässt GDID nicht verschwinden, verringert aber die übrigen Informationen, die zusammen mit GDID gemeldet werden.
Drittens: Schalten Sie personalisierte Werbung und Startsuche-Tracking aus. Deaktivieren Sie in „Datenschutz und Sicherheit” → „Empfehlungen und Angebote” sämtliche Optionen. Schalten Sie in den „Suchberechtigungen” die „Cloud-Inhaltssuche” aus, um zu verhindern, dass lokale Suchinhalte an die Microsoft-Server gesendet werden.
Viertens: Prüfen Sie regelmäßig den Aktivitätsverlauf. Überprüfen Sie in den Datenschutzeinstellungen den „Aktivitätsverlauf” und deaktivieren Sie nicht benötigte Synchronisierungsoptionen. Das berührt GDID selbst nicht, verringert aber die Chance, dass Ihre Verhaltensdaten innerhalb des Microsoft-Ökosystems verknüpft werden.
Der fünfte Punkt ist möglicherweise etwas extrem, verdient aber Erwähnung: Wenn Sie hohe Datenschutzanforderungen haben und technisch bereit sind, gewisse Lernkosten zu tragen, ist der Übergang zu einem Betriebssystem, das derartige Tracking-Mechanismen nicht eingebaut hat (etwa bestimmte Linux-Distributionen), eine erwägenswerte langfristige Richtung. Dies ist keine allgemeingültige Empfehlung – sie passt nicht für alle Menschen und nicht für alle Szenarien. Aber sie ist zweifellos eine vorhandene Option.
Eine größere Frage
Dass der GDID-Vorfall mehr ist als „nur wieder eine Tech-Nachricht”, liegt daran, dass er einen immer schärfer werdenden Widerspruch berührt: Wem sollte die Loyalität Ihres Betriebssystems gehören, wenn es zugleich Ihr Diensteanbieter ist?
Windows ist längst mehr als nur ein System auf Ihrer Festplatte. Es ist verbunden mit der Cloud von Microsoft, dem Kontosystem von Microsoft, dem App-Store von Microsoft und dem KI-Assistenten von Microsoft. Sein Geschäftsmodell wandelt sich vom „Verkauf von Software” hin zum „Verkauf von Diensten” – und in der Welt der Dienste ist Nutzerdaten die Grundwährung.
Die Existenz von GDID erinnert an eines: Im Zeitalter von Cloud-Computing und KI ist jenes „System” in der Tiefe Ihres Computers möglicherweise kein bloßes Werkzeug mehr. Es ist zugleich ein Sensor, ein Aufzeichnungsgerät, ein Identitätsanker.
Und auf wessen Seite es standardmäßig steht – auf diese Frage hat Microsoft bis heute keine Antwort gegeben, die alle beruhigen könnte.
Referenzlinks:
- Ghacks: Microsoft Confirms Windows GDID Device Identifier That Cannot Be Disabled, Documented in FBI Case Filing
- PCMag: A Hacker’s Arrest Reveals Microsoft Can Track Users Via a Windows Device ID
- WindowsLatest: Microsoft admits Windows 11 has a GDID tracker with no off switch
- Cybernews: Windows telemetry backlash — GDID tracking exposes Scattered Spider hacker
- Lobsters-Diskussion (s/agkcmz)