Ich bin kurz davor, Qubes auf meinen PCs zu installieren. Bevor ich aber eine Windows-App in einer neuen Qube installiere, würde mich interessieren, ob in dieser Qube ein komplettes Windows läuft. Wenn ja, bedeutet das für mich, dass die Betreiber von Windows wieder kompletten Zugriff auf die ungeschützten Teile meines PC oder zumindestens auf die Informationen in dieser Qube haben und alles abgreifen werden. Aber das zu verhindern, war gerade der Grund dafür, dass ich Windows im September 24, nachdem die ihre Bedingungen geändert hatten, von meinen PCs verbannt habe.
Je nach Konfiguration der Windows VM haben M$ & Co. Zugriff auf die virtuellen Ressoucen in dieser VM. Diese Gefahr besteht dann, wenn die betreffende VM mit Netzzugriff, also einer zugeordneten netVM kofiguriert ist und wenn für diese VM beliebige Netzzugriffe freigegeben wurden, d.h. keine Einschränkungen durch Firewall-Regeln definiert wurden. Man sieht das sehr schön, wenn man den Internet-Verkehr einer Windows 10 VM überwacht, etwa mit wireshark. Die VM macht dann mit iher Telemetrie jede Menge Verbindungen ins Internet auf und tauscht darüber (verschlüsselte) Daten aus wie wild.
Glücklicherweise bietet Qubes genau die Umgebung, um das zuverlässig zu verhindern:
Durch Einschränkung der zugelassenen Adressen für die Windows VM, etwa auf das lokale LAN und ausgewählte vertrauenswürdige externe Adressen, verschwindet dieser ganze Spuk, was man auch wieder mit wireshark nachweisen kann.
Eine härtere Einschränkung ist es, die Windows VM ohne netVM zu konfigurieren. In diesem Fall ist jede externe Kommunikation abgewürgt. Dies ist eigentlich das beste, wenn man die VM nur für lokale Arbeiten benötigt.
Ein gewisses Problem liegt vor, wenn man der VM für irgendwelche Lizenzüberprüfungen und/oder Aktivierungen Zugriff auf Server des Herstellers geben muss. Was der dann macht, steht in den Sternen, betrifft aber, wie alles andere, nur die betreffende VM. Eine gewisse Hilfe kann hierbei eine Konfiguration gemäß DSGVO bieten, die in der Dokumentation beschrieben ist.
Wie auch immer man seine Windows VMs konfiguriert, bleibt, selbst im schlimmsten Fall, der externe, ungewollte Zugriff auf diese VMs beschränkt. Andere VMs, egal ob Windows oder Linux (oder sonst was) sowie Qubes selbst sind davon auf keinen Fall betroffen, da sie von der Architektur des Systems her durch die vewendeten Isolationsmechanismen zuverlässig geschützt sind. Da Qubes auf Xen aufbaut und dieser Hypervisor den Hardware-Ringschutz des Prozessors verwendet, kann dies auch nicht duch irgendwelche (Schad-)Software in einer VM, Windows oder nicht, ausgetrickst werden.
Dies gilt natürlich nur solange, wie nicht irgendein gravierender Softwarefehler in Qubes selbst vorhanden ist, aber da hat dieses System eine außergewöhnlich gute Historie - viel besser als die meisten anderen Systeme auf dem Markt, und unvergleichlich besser als dieser Trümmerhaufen Windows.
Von daher kann ich nur empfehlen, Qubes zu nutzen. Ich selbst tue dies seit mittlerweilse 7 Jahren, und das mit gutem Erfolg.