In der heutigen digitalen Ära sind Datenschutz und Datensparsamkeit zentrale Themen vieler Debatten. Insbesondere bei Betriebssystemen wie Windows 11, das standardmäßig eine Vielzahl von Telemetrie- und Diagnosedaten an Microsoft sendet, wächst das Bedürfnis vieler Nutzerinnen und Nutzer nach mehr Kontrolle über ihre persönlichen Daten. Obwohl Windows 11 im Vergleich zu früheren Versionen viele Verbesserungen hinsichtlich Benutzerfreundlichkeit und Leistung aufweist, bleibt der Umgang mit gesammelten Daten ein kritischer Aspekt. Insbesondere Nutzer, die aus Gründen wie beruflicher Notwendigkeit oder Softwarekompatibilität von Linux zu Windows wechseln, möchten nicht, dass das System ohne Aufsicht mit dem Internet kommuniziert.
Um Windows daran zu hindern, bestimmte Datenübertragungen durchzuführen, kann man die sogenannte Hosts-Datei nutzen. Diese Methode ist effektiv, systemnah und vergleichsweise einfach. Diese Datei ist Teil der ältesten Mechanismen im Netzwerkbereich, um DNS-Auflösungen lokal zu beeinflussen – noch bevor ein externer Server kontaktiert wird. Der Datenfluss kann in vielen Fällen erheblich eingeschränkt werden, indem Telemetrie-Server gezielt umgeleitet oder blockiert und auf lokale Adressen wie 127.0.0.1 oder 0.0.0.0 verwiesen werden.
Es existieren viele Projekte und Quellen, wie etwa Tuhltheim.de oder die Hagezi-Listen auf GitHub, die kuratierte Sammlungen solcher Einträge bereitstellen. Diese können leicht in die eigene Hosts-Datei eingebunden werden. Es sind keine invasiven Eingriffe am Systemkern notwendig, sondern eine Form der Netzwerkregulierung auf Dateiebene – ganz ohne zusätzliche Software.
In diesem Artikel wird demonstriert, wie Windows 11 so eingerichtet werden kann, dass es möglichst wenige Telemetriedaten sendet. Hierbei wird speziell auf die zielgerichtete Verwendung der Hosts-Datei geachtet. Es wird schrittweise erklärt, welche Dateien bearbeitet werden müssen, wie man seriöse Quellen für Sperrlisten identifiziert, was beim Windows Defender zu beachten ist und wie das System über die Hosts-Datei hinaus zusätzlich gesichert werden kann. Es soll eine qualifizierte Anleitung bereitgestellt werden, die es Nutzenden ermöglicht, ihre Privatsphäre erheblich zu verbessern – ohne gravierende Eingriffe oder zweifelhafte Drittanwendungen.
Die Funktion der Hosts-Datei im Datenverkehr nachvollziehen
Die Hosts-Datei spielt eine entscheidende Rolle bei der DNS-Auflösung, lange bevor ein System externe DNS-Server wie Google DNS oder Cloudflare verwendet. Diese Datei, die im Windows-System unter C:\Windows\System32\drivers\etc\hosts zu finden ist, hat die Funktion, IP-Adressen bestimmten Hostnamen zuzuweisen. Dieser Mechanismus wurde ursprünglich zum manuellen Verwalten von Netzwerken entwickelt. Heute kann er jedoch verwendet werden, um unerwünschte Domains gezielt umzuleiten – beispielsweise zu 127.0.0.1, einer Adresse, die auf den lokalen Rechner verweist und somit keine externe Verbindung zulässt.
Steht beispielsweise ein Eintrag wie 127.0.0.1 telemetry.microsoft.com in der Hosts-Datei, so wird jeder Versuch, diese Domain zu erreichen, scheitern. Dies hat zur Folge, dass Programme oder das Betriebssystem keine Verbindung mehr zu dieser Adresse herstellen können, da sie gewissermaßen „vor der Haustür“ abgefangen werden.
Diese Methode erweist sich als besonders wirksam gegen zahlreiche Telemetrie- und Trackingdienste, da sie auf einer sehr tiefen Ebene im System operiert – noch bevor eine Anfrage das Internet überhaupt erreicht. Darüber hinaus ist sie vollkommen unabhängig von zusätzlicher Software oder Änderungen an der Registry. Insbesondere in Unternehmenskontexten oder bei sicherheitsbewussten Privatanwendern stellt dies einen wesentlichen Vorteil dar.
Es ist wesentlich zu begreifen, dass die Hosts-Datei eine einfache Textdatei darstellt und ihre Änderungen unmittelbar nach dem Speichern wirksam werden. Es werden jedoch Administratorrechte benötigt, um die Bearbeitung vorzunehmen. Windows Defender kann zudem sporadisch auf Modifikationen dieser Datei reagieren, vor allem wenn bekannte Sperrlisten hinzugefügt werden. Dazu später mehr.
Die Hosts-Datei ist kein universelles Mittel – einige Telemetrieserver verwenden IP-Adressen, die sich ändern oder dynamisch aufgelöst werden können. Selbst HTTPS-Verbindungen können durch einfache Umleitungen nicht beeinflusst werden. Trotzdem stellt die Hosts-Datei, besonders bei regelmäßigen Updates, eine der wirksamsten ersten Verteidigungslinien gegen unerwünschte Datenabflüsse dar.
2. Geeignete Telemetrie-Blocklisten-Quellen finden
Eine aktuelle und verlässliche Liste unerwünschter Domains ist das Kernstück einer effektiven, hosts-basierten Telemetrieblockade. Weil Serveradressen und Domainnamen Änderungen unterliegen können, ist es unerlässlich, auf regelmäßig aktualisierte Quellen mit klarer Kategorisierung zurückzugreifen.
Srojectpublication Beide stellen detaillierte Hosts-Dateien zur Verfügung, die verständlich aufbereitet sind und entweder direkt übernommen oder individuell angepasst werden können.
Tuhltheim.de verfolgt einen pragmatischen Ansatz, indem es sich auf Microsoft-Telemetrie und andere bekannte “Phone-Home”-Mechanismen konzentriert. Dabei werden wichtige Dienste wie Windows Update oder der Microsoft Store nicht blockiert. Auf Dadurch bleibt das System, während unnötige Datentransfers unterbunden werden.
Das Hagezi-Projekt auf GitHub geht darüber hinaus und bietet verschiedene Konfigurationsstufen an – von minimalen Blocklisten bis zu sehr restriktiven Varianten, die auch Werbetracker, Malware-Domains und Analytics-Server umfassen. Die Option, spezifische Kategorien auszuwählen – wie eine ausschließlich „Windows-Telemetrie“-Liste oder eine „Pro“-Version mit verbessertem Datenschutz – erweist sich als besonders nützlich.
Die beiden Projekte bieten auch die Möglichkeit, die Listen in regelmäßigen Abständen zu aktualisieren. Z. steht bei Hagezi B. automatisierte Skripte oder Download-Links anbieten, die in eigene Abläufe eingebaut werden können.
Beim Übernehmen externer Listen ist jedoch Vorsicht geboten: Eine zu restriktive Datei kann auch gewünschte Dienste wie Microsoft Office 365, OneDrive oder Windows Update beeinträchtigen. Um sicherzustellen, dass sie fehlerfrei ist, sollte jede neue Liste vor ihrem produktiven Einsatz zunächst in einer Testumgebung oder einem virtuellen System überprüft werden.
Es ist abschließend ratsam, die verwendeten Listen lokal zu speichern und nicht automatisch durch externe Skripte zu laden. Dies erhöht nicht nur die Kontrolle, sondern schützt auch vor potenziellen Sicherheitsrisiken, die durch Eingriffe von außen entstehen könnten.
Schritt für Schritt: Die Hosts-Datei in Windows 11 anpassen
Bevor die Hosts-Datei in Windows 11 angepasst werden kann, sind einige vorbereitende Maßnahmen erforderlich. Administratorrechte sind erforderlich, da es sich um eine Systemdatei handelt. Wenn man mit Sorgfalt arbeitet, kann man den ganzen Vorgang in wenigen Minuten erledigen.
Als Erstes öffnet man den Datei-Explorer und geht zu folgendem Pfad:
C:\Windows\System32\drivers\etc\
Die Datei „hosts“ befindet sich in diesem Ordner. Sie ist ohne Dateiendung und standardmäßig schreibgeschützt. Zur Bearbeitung ist ein Texteditor mit Administratorrechten zu empfehlen, wie z. B. Notepad oder Notepad++.
So geht’s:
Startmenü aufrufen, nach „Editor“ oder „Notepad“ Ausschau halten.
Suchergebnis mit der rechten Maustaste anklicken → „Als Administrator ausführen“.
Im Editor „Datei > Öffnen“ auswählen.
Zum Verzeichnis C:\Windows\System32\drivers\etc\ gehen.
Unten in der Dateiauswahl „Alle Dateien (.)“ auswählen.
Die „hosts“-Datei auswählen und öffnen.
Nun können Einträge hinzugefügt werden, z. B.:
kotlin
Duplicate
Revise
127.0.0.1 telemetrie.microsoft.com
127.0.0.1 vortex.data.microsoft.com
settings-win.data.microsoft.com 127.0.0.1
Mit jeder Zeile wird eine bestimmte Domain gesperrt. Der Hostname wird dabei zur Loopback-Adresse umgeleitet, was eine Verbindung unmöglich macht.
Die Änderungen werden sofort nach dem Speichern aktiv. Um sicherzustellen, dass die Blockierung funktioniert, kann man im Browser oder mit Tools wie nslookup oder ping überprüfen, ob die Domains ins Leere führen.
Vorsicht: Sicherheitssoftware wie der Windows Defender kann Änderungen an der Hosts-Datei erkennen und diese rückgängig machen. Daher ist es notwendig, die Schutzmaßnahmen zielgenau zu justieren.
Reaktion des Windows Defenders auf Änderungen an Hosts
Windows Defender, der in Windows 11 integrierte Schutzdienst, bewahrt das System vor Schadsoftware, Phishing und weiteren Gefahren. In bestimmten Fällen identifiziert er jedoch auch Modifikationen an Systemdateien, wie etwa der Hosts-Datei, als möglicherweise unerwünscht.
Vor allem Einträge, die Domains blockieren, die Microsoft als notwendig erachtet, sind hiervon betroffen. Es muss sich dabei nicht zwingend um Schadaktivität handeln; vielmehr ist es eine Schutzmaßnahme gegen potenziell unerwünschte Software (PUS/PUA).
Bei der Feststellung einer Manipulation der Hosts-Datei kann der Defender:
Die Datei automatisch auf einen vorherigen Zustand zurückstellen.
Eine Warnung ausgeben.
Die überarbeitete Datei in Quarantäne transferieren.
Um dies zu vermeiden, sollte der Schutz vor „unerwünschten Anwendungen“ vorübergehend ausgeschaltet oder angepasst werden:
„Windows-Sicherheit“ aufrufen.
„App- & Browsersteuerung“ → „Reputationsbasierter Schutz“ wählen.
Dort „Potentiell unerwünschte Apps blockieren“ ausschalten.
Als Alternative kann eine gezielte Ausnahme für die Hosts-Datei erstellt werden:
In „Windows-Sicherheit“ auf „Viren- & Bedrohungsschutz“ klicken.
Unter „Einstellungen für Viren- & Bedrohungsschutz“ → „Einstellungen organisieren“.
Unten, im Abschnitt „Ausschlüsse“, auf „Ausschluss hinzufügen“ und dann auf „Datei“ klicken.
Die Datei im Verzeichnis C:\Windows\System32\drivers\etc mit dem Namen hosts wählen.
Mit diesen Schritten kann die Hosts-Datei dauerhaft geändert werden, ohne dass der Defender eingreift. Von Bedeutung: Die Schutzfunktion sollte nur absichtlich ausgeschaltet werden – einen globalen Verzicht auf den Defender sollte man vermeiden.
Die meistgenutzten Telemetrie-Domains von Microsoft im Überblick
Um Windows 11 mit einem geringen Datenverbrauch zu nutzen, ist es wichtig, die wesentlichen Telemetrie- und Analyse-Domains von Microsoft zu kennen. Zahlreiche dieser Adressen haben die Funktion, Nutzungsdaten, Diagnosedaten, Gerätestatus und weitere statistische Informationen an Microsoft-Server zu senden. Es handelt sich dabei nicht nur um klassische Fehlerberichte, sondern auch um Nutzungsmetriken, Verhaltenserfassung und Produktoptimierung.
Hier ist eine Auswahl der am häufigsten verwendeten Telemetrie-Domains, die normalerweise in Hosts-Dateien blockiert werden:
vortex.data.microsoft.com
telemetry.microsoft.com
settings-win.data.microsoft.com
watson.telemetry von microsoft.com
oca.telemetry.microsoft.com
sqm.telemetry.microsoft.com
diagnostics.support.microsoft.com
feedback.windows.com
oca.microsoft.com
cs1.wpc.v0cdn.net
wes.df.telemetry.microsoft.com
Diese Domains gehören zu verschiedenen Windows-Komponenten, wie Windows Update, Windows Defender, Cortana, Microsoft Store und dem Feedback-Hub. Einige davon sind für die einwandfreie Funktion von Windows essenziell, während andere fast nur der Datensammlung dienen.
Es ist deshalb entscheidend, notwendige und optionale Domains zu differenzieren. Wenn zum Beispiel feedback.windows.com gesperrt wird, ist das Windows-Feedback-Tool nicht mehr funktionsfähig. Wird vortex.data.microsoft.com jedoch blockiert, so verhindert dies in den meisten Fällen nur die Übertragung von Diagnose- und Nutzungsdaten, ohne die Systemstabilität zu beeinträchtigen.
Die Blocklisten von Tuhltheim und Hagezi enthalten viele der genannten Domains, oft ergänzt durch einen Kommentar oder eine Kategorisierung. Wenn man sich unsicher ist, ob eine Domain blockiert werden sollte, kann man Online-DNS-Dienste oder spezialisierte Tools wie „DNS Lookup“ oder „IPVoid“ nutzen, um zu analysieren, welche Dienste mit der jeweiligen Adresse verbunden sind.
Auch ist es nützlich, verdächtige Verbindungen mit einem Tool wie „GlassWire“, „SimpleWall“ oder „Wireshark“ zu kontrollieren. Diese Programme bieten die Möglichkeit, Netzwerkverbindungen in Echtzeit zu überwachen und zu beurteilen, ob eine bestimmte Domain vom System tatsächlich aktiv angesprochen wird.
Fortgeschrittenen Nutzern wird empfohlen, die Hosts-Datei mit einer lokalen DNS-Firewall oder einem DNS-Filter (wie Pi-hole) zu kombinieren, um auch dynamisch wechselnde Domains zu blockieren, die nicht fest in der Hosts-Datei aufgeführt sind.
Automatisierung sowie regelmäßige Aktualisierungen der Hosts-Datei
Da Microsoft seine Serverlandschaft regelmäßig aktualisiert und neue Domains für Telemetriezwecke hinzufügt, ist eine einmalig aktualisierte Hosts-Datei langfristig nicht ausreichend. Um den Datenverkehr wirklich nachhaltig einzuschränken, sollte man sich mit automatisierten Lösungen zur Dateipflege auseinandersetzen.
Eine Option besteht darin, Skripte zu nutzen, die in regelmäßigen Abständen eine aktuelle Blockliste von einer verlässlichen Quelle (z. B. Hagezi auf GitHub) herunterladen und diese in der eigenen Hosts-Datei verankern. Unter Windows kann man dies mit PowerShell oder dem Taskplaner automatisieren.
Vorlage für ein unkompliziertes PowerShell-Skript:
PowerShell
Duplicate
Revise
$sourceUrl = “https://raw.githubusercontent.com/hagezi/dns-blocklists/main/hosts/microsoft-telemetry.txt”
$destination = “C:\Windows\System32\drivers\etc\hosts”
Invoke-WebRequest -Uri $sourceUrl -OutFile $destination
Von Bedeutung ist dabei, die Aufgabe mit Administratorrechten auszuführen und gegebenenfalls eine Sicherung der bestehenden Datei zu erstellen, bevor Änderungen vorgenommen werden.
Alternativ können Tools wie „HostsMan“ oder „Hosts File Editor“ verwendet werden, die neben einer benutzerfreundlichen Oberfläche auch Import- und Synchronisationsfunktionen für verschiedene Listen bieten.
Einige Anwender gehen einen Schritt weiter und verknüpfen ihre Hosts-Datei mit DNS-Diensten wie „NextDNS“ oder einem lokalen DNS-Server mit Filterfunktionen, wie zum Beispiel Pi-hole oder AdGuard Home. Diese Tools bieten eine granulare Steuerung und können neben der Blockierung von Telemetrie auch Werbung, Tracking, Malware und Phishingseiten verhindern.
Selbst mit dieser erweiterten Konfiguration bleibt die Hosts-Datei ein bedeutendes Rückgrat. Sie erweist sich als besonders hilfreich in Situationen, in denen DNS-Dienste nicht funktionieren, kein Netzwerk vorhanden ist oder eine zusätzliche Sicherheitsstufe gewünscht wird, die nicht von einem Netzwerk abhängt.
Die wichtigste Regel lautet: Aktualität ist entscheidend. Ein veralteter Eintrag schützt nicht vor neuen Telemetriediensten, und eine vernachlässigte Hosts-Datei kann Systemprobleme verursachen, wenn Dienste blockiert werden, die mittlerweile für Windows-Funktionen notwendig sind.
Weitere Windows-Konfigurationen, um die Datenerhebung zu verringern
Es ist ein wirkungsvoller Schritt, die Hosts-Datei zu bearbeiten. Um Windows 11 allerdings wirklich datensparsam zu verwenden, sollten auch die integrierten Datenschutzoptionen umfassend genutzt werden. Microsoft hat mittlerweile eine Vielzahl von Optionen und Einstellungen bereitgestellt, mit denen Telemetrie und Datenerhebung gezielt eingeschränkt werden können.
Zuerst sollte man die „Datenschutzeinstellungen“ aufsuchen:
Öffnen Sie die Konfiguration über das Startmenü.
Steuern Sie zu Datenschutz & Sicherheit.
Es werden verschiedene Kategorien aufgelistet, wie zum Beispiel Diagnose & Feedback, Aktivitätsverlauf und App-Berechtigungen.
Relevante Möglichkeiten:
Diagnosedaten: Stellen Sie die Übermittlung auf „Erforderliche Diagnosedaten“ ein. Die Einstellung für „optionale Diagnosedaten“ sollte ausgeschaltet bleiben.
Freihand- und Eingabepersonalisierung: Diese Funktion sendet Eingaben an Microsoft, um die Handschrifterkennung zu optimieren. Ist deaktivierbar.
Rückmeldungsfrequenz: Legen Sie diese auf „Nie“ fest, damit Windows keine Rückfragen stellt.
Werbe-ID: Mit dieser Funktion wird für jedes Gerät eine eigene ID erstellt, um maßgeschneiderte Werbung zu zeigen. Eine Deaktivierung ist möglich.
Standortdienste: Bei Nichtnutzung sollten diese ausgeschaltet werden.
App-Zugriffe: Für jede Kategorie kann gezielt bestimmt werden, welche Apps Zugriff auf Mikrofon, Kamera, Standort oder Kalender haben dürfen.
Es wird zudem empfohlen, Cortana vollständig abzuschalten (falls nicht in Gebrauch) und die Suchfunktion so einzustellen, dass keine Onlinevorschläge oder Cloudinhalte einbezogen werden.
Bestimmte Telemetrie-Komponenten können auch über Gruppenrichtlinien oder die Registry detaillierter gesteuert werden. Allerdings sollten sich nur erfahrene Anwender daran versuchen, da inkorrekte Einstellungen zu Instabilität oder Funktionsverlust führen können.
Beispiel für den Gruppenrichtlinien-Editor (gpedit.msc):
Pfad: Computereinstellungen > Administrativen Vorlagen > Windows-Komponenten > Datensammlung und -aufbereitung
Konfiguration: Telemetrie zulassen und die Einstellung auf „Deaktiviert“ oder „Sicherheitsniveau“ setzen (nur in der Enterprise-Edition verfügbar)
Diese Optionen fügen der Hosts-Datei auf systemischer Ebene Ergänzungen hinzu und tragen zusammen dazu bei, dass die Datenübertragung an Microsoft-Server möglichst gering gehalten wird.
Wann die Hosts-Datei nicht ausreichend ist – Grenzen und Alternativen
Trotz ihrer Effektivität hat die Hosts-Datei auch klare Einschränkungen. Manuelle Umleitungen stoßen besonders bei verschlüsselten Verbindungen (HTTPS) oder bei dynamisch generierten Domains schnell an ihre Grenzen. Außerdem verwendet Microsoft zum Teil CDNs (Content Delivery Networks) oder IP-basierte Kommunikation, die eine zuverlässige Blockierung über eine statische Liste nicht ermöglicht.
Einige Beispiele, wann die Hosts-Datei nicht funktioniert:
Dynamische IPs: Einige Telemetriedienste verwenden rotierende IP-Adressen oder wechseln die Domains.
Hardcoded Connections: Einige Komponenten von Windows nutzen Adressen, die fest kodiert sind und DNS-Auflösungen umgehen.
IPv6: Die Hosts-Datei bezieht standardmäßig IPv4 ein. Bei IPv6 sind zusätzliche Einträge notwendig.
TLS-Verschlüsselung: Eine blockierte Verbindung gibt keinen Aufschluss über zuvor verschlüsselte Kommunikation.
Aus diesem Grund greifen zahlreiche Anwender zusätzlich auf Netzwerk-Filterlösungen zurück, wie:
Pi-hole: Ein lokaler DNS-Server mit der Funktion von Blocklisten, der Werbung, Tracking und Telemetrie umfassend herausfiltert.
AdGuard Home: Vergleichbar mit Pi-hole, aber mit einer zeitgemäßen Benutzeroberfläche und erweiterten Einstellungsoptionen.
NextDNS: Ein cloudbasierter DNS-Filter, der sich durch hohe Flexibilität, anpassbare Listen und Echtzeitanalysen auszeichnet.
SimpleWall oder Portmaster: Lokale Firewalls, die ausgehenden Datenverkehr verhindern und aufzeichnen.
Im Gegensatz zur Hosts-Datei arbeiten diese Tools nicht auf der Ebene von Dateien, sondern fangen DNS- oder IP-Anfragen direkt ab. Dadurch können auch systemeigene oder tief integrierte Dienste kontrolliert werden, die sich nicht durch einfache Umleitungen blockieren lassen.
Zusammenfassend ist zu betonen, dass die Hosts-Datei ein bedeutendes Hilfsmittel für datensparsames Arbeiten unter Windows darstellt, sie jedoch idealerweise im Rahmen eines umfassenden Sicherheits- und Datenschutzkonzepts verwendet werden sollte. Für ernsthafte Wahrung der Privatsphäre sind Kombinationen aus DNS-Filter, gezielter Netzwerkkonfiguration und regelmäßiger Kontrolle des Netzwerkverkehrs unverzichtbar.
