Vorgestern hatte ich 7 Fragen zum Datenschutz gestellt – heute antwortet fukami. fukami arbeitet als Sicherheitsberater und -forscher mit Schwerpunkt Websicherheit bei der Firma SektionEins GmbH in Köln. Er ist seit Jahren in verschiedenen Bürgerrechts- und Datenschutzorganisationen aktiv und ist Mitglied bei Bündnis 90/Die Grünen. Er bloggt (selten) unter blog.fukami.io und hat ansonsten viel Spaß am Gerät.
Was ist problematisch an Widgets, Tracking-Pixeln und eingebundenen Werbeplätzen?
Ich unterscheide hier, wer die Einbindungen vornimmt und Tracking übernimmt und wie das gemacht wird. Wenn beispielsweise jemand nachvollziehen will, wie Nutzer die eigene angebotene Seite nutzen (wie lange Nutzer auf der Seite bleiben, von wo die Besucher kommen, ob sie per RSS oder direkten Besuch die Seite lesen usw.), halte ich das weitgehend für unkritisch, auch wenn ich selbst das irgendwie unwichtig finde. Es kann sogar nützlich sein, wenn man diese Informationen beispielsweise nutzen möchte, um Usability zu erhöhen oder überhaupt zu verstehen wie die eigene Seite genutzt wird.
Werbung aus Ad-Netzwerken halte ich aus verschiedenen Gründen für kritisch. Erst einmal verstehe ich aber durchaus, dass Betreiber ihre Seite monetarisieren müssen oder wollen. Deshalb bin ich zwar immer noch kein großer Freund von Werbung, aber ich betrachte sie als notwendiges Übel.
Der Betreiber hat in der Regel relativ wenig Einfluss darauf, welche Werbung eingebunden wird – was zu komischen Zusammenhängen führen kann, aber natürlich Sache des Betreibers und nicht wirklich ein Problem des Datenschutzes ist. Grade Ad-Netzwerke, aber auch Widget-Anbieter sind für Angreifer sehr interessant, weil darüber potenziell eine große Schar an Nutzern auf einmal angriffen werden können. Ein Beispiel dafür ist der Angriff auf Heise über Flash-Werbung [Link] vor ein paar Jahren, der zum Glück einigermaßen glimpflich ablief, aber das Potenzial solcher Angriffe offenbart.
Und hier sehe ich auch das Hauptproblem: Es wird bei Werbung, Tracking und Widgets fremder, aktiver Code einer unter Umständen nicht vertrauenswürdigen Quelle in der Domäne des Betreibers ausgeführt. Ein Betreiber verliert so praktisch die Kontrolle darüber, was der Browser seiner Besucher an Daten verarbeitet. Und so kommt es eben auch vor, dass diese Angriffe stattfinden, ohne dass der Betreiber diese Angriffe überhaupt zeitnah mitbekommt.
Man muss sich als Betreiber also immer im Klaren darüber sein, dass eine externe Einbindung von aktiven Code-Elementen, jemand fremden praktisch die Kontrolle über die eigene Seite überlässt. Das ist so etwas wie gewolltes Cross-Site Scripting, das prinzipiell jederzeit eine Übernahme der Seite ermöglicht. Krass gesprochen: Wenn Facebook (oder jemand, der Facebook hackt) dem halben Planeten Malware unterschieben will, muss es nur eine Handvoll Scripte modifizieren.
Ich finde es übrigens nicht richtig, so zu tun, als könne man als Betreiber nichts dafür, falls es durch externe JavaScripte zu Problemen kommt. Deswegen plädiere ich für eine grundsätzliche Mithaftung im Falle von Schäden, der sich die Betreiber nicht durch Haftungsausschlusserklärungen entziehen dürfen.
Was ist so schlimm am Like-Button?
Ein Like-Button, der geklickt werden muss um zu zeigen, dass man etwas gut findet, ist aus meiner Sicht gar nicht schlimm, – solange man das entsprechende Bildchen nicht von Facebook selbst lädt (wodurch auch Cookies übertragen werden).
Problematisch wird es vor allem dann, wenn der Besuch einer beliebigen Seite getrackt wird. Das passiert genau dann, wenn der Button über JavaScript eingebunden wird, also bei Besuch der Seite automatisch Code von Facebook gezogen und im Browser ausgeführt wird. Denn wenn man sich auf einer Seite wie Facebook direkt aufhält, erwartet man das Tracking. Wenn aber die Bewegungen im Web getrackt werden, nur weil eine andere Seite (freiwillig oder unfreiwillig, z.B. durch versteckte Frames) besucht wird, ist das etwas anderes. Schlimm wird das vor allem deswegen, weil so viele Seiten diese Scripte einbinden. Zudem reden wir hier ja nicht über Tracking von IP-Adressen, was man vielleicht nur bedingt als persönliche Daten ansehen mag. Es geht hier um Daten, die über Facebook mit einer realen Person verknüpft sind.
Was passiert, wenn Unternehmen tracken können, was ich als Nutzer online mache?
Ich sollte noch vorweg schicken, dass ich einer durchaus strittigen These folge: Das Internet verengt sich für die viele Menschen auf das Web und dort wiederum findet eine Verengung auf Gatekeeper wie Suchmaschinen, Social Networks, Newssites oder einige wenige App Distributoren statt. Auch wenn dieser Zustand alles andere als stabil ist und Voraussagen schwierig sind, sehe ich dennoch einige Gefahren für ein freies Internet und glaube daran, dass das Internet für viele Menschen letztendlich nicht die Freiheit bietet, die es bieten könnte, diese Freiheit also eher eine Illusion ist.
Theoretisch kann ein Betreiber, der das exzessiv durchzieht, einem Nutzer ein anderes Web präsentieren als anderen Nutzern. Im Kleinen gibt es da ja schon mit “Leute, die das gesehen/gekauft haben, haben auch dies oder das angeklickt”, was man im Kontext von Online-Einkäufen noch okay finden mag. Wenn man aber mal den Paranoia-Mode anschaltet und das auf angezeigte Nachrichten im politischen Kontext oder präparierte Downloads bezieht, erreicht das eine andere Ebene. Man muss eben im Hinterkopf haben, dass der Betreiber eines Trackings à la Facebook sehr viele Daten miteinander in Beziehung setzen kann. Das sind übrigens genau die Daten, von denen die Bedarfsträger nur träumen.
Der “klassische” Fall ist aber wohl eher, dass ein Profil besuchter Seiten erstellt werden kann, das große Aussagekraft besitzt. Wer sich mal die Vorratsdaten-Anwendung von Malte Spitz bei der Zeit [Link] angesehen hat, hat eine ungefähre Vorstellung davon, was da zu erkennen sein mag, auch wenn vielleicht Location-Daten fehlen mögen.
Übrigens: Im Falle von Facebook hilft ja nur das Löschen des Cookies nach jedem Logout, um den Tracking zu entgehen. Ein reines Logout ohne Cookie-Löschung übermittelt ja immer noch Daten, die auf die Person schliessen lassen.
Warum tracken Unternehmen eigentlich, was die Nutzer im Web alles machen?
Darüber kann ich natürlich nur Vermutungen anstellen. Jede Firma macht etwas anderes und wird anders mit den Daten umgehen.
Im besten Fall tun sie es, um die Nutzungsmöglichkeit ihrer Seiten zu verbessern. Oft wird es wohl vor allem zur Reichweitenmessung genutzt oder um zielgerichtete Werbung zu platzieren. Wenn das Tracking mit Realdaten (Namen, Wohnort usw.) verknüpft werden kann, kommen hier natürlich Sachen in Frage wie der Verkauf der Daten inklusive aussagekräftigem Nutzungsprofil. Einige sammeln auch auch erst einmal fleissig, um über die Zeit zu sehen, was sie mit den Datenbeständen alles anstellen können.
Haben die jetzt wirklich meinen Namen, Adresse, Bankverbindung, Hobbies, Freunde und Anzahl plus Namen der Haustiere? Und wie machen die Unternehmen damit jetzt Geld?
Die Einkaufsplattformen selbst haben viele Daten in der Regel ja ohnehin, weil sie Waren an Nutzer liefern. Aber sie werden sich eher hüten, diese Daten großzügig weiterzugeben. Aber die Möglichkeiten, diese Daten zu monetarisieren sind im Prinzip vielfältig: Angefangen vom Verkauf an Unternehmen, die zielgerichteter Werbung verkaufen, an Adresshändler oder Scoring-Unternehmen. Problematisch sind in dem Kontext auch Merger, wo der Besitz von Datenbeständen einer Firma in den Besitz einer anderen Firma übergehen und neu verknüpft werden können.
Aber entscheidend finde ich mittlerweise noch etwas ganz anderes: Wir erleben ja zusehens die großen Player als politische Akteure: Apple mit dem Verbannen von moralisch oder politisch unliebsamen Inhalten, die Sperre der Wikileaks-Unterstützungskonten durch PayPal oder das Realnamen-Enforcement bei Google. Das sind aber aus meiner Sicht nur Vorboten dessen, was man da in Zukunft an unschönen Szenarien erwarten kann. Das ist vor allem deswegen möglich, weil hier kein echter Markt mehr existiert, sondern Monopole, an denen man praktisch nicht mehr ohne weiteres, wie im Fall von Apple, vorbei kommt. Hier kann es eines Tages soweit gehen, dass solche Unternehmen einfach Geschäfte aufgrund der Daten, die sie über Nutzer haben, ablehnen – z.B. weil die Unternehmen wissen, dass die Nutzer unliebsame Seiten besuchen.
Ein anderer Punkt, der mir noch einfällt, ist die vereinfachte Möglichkeit von Angreifern mir viel wissen über das Surfverhalten einer Person, sehr gezieltes Phishing zu betreiben, um einen Rechner zu übernehmen oder Daten zu stehlen. Wir haben bei den LulzSec-Angriffen bereits gesehen, dass das ein durchaus reales Angriffsszenario darstellt.
Es gibt doch das Safe-Harbour-Abkommen mit den USA, also ist doch alles halb so wild, oder?
Nun, es gibt zwar so ein Abkommen, aber ob sich US-Unternehmen daran halten, ist unklar und für Nutzer nicht nachvollziehbar. Das eine oder andere Unternehmen hat da sicher Funktionen entwickelt, durch die ich als Nutzer einigermaßen transparent mitbekomme, welche Daten gespeichert werden und kann sie, wie im Falle von Google Takeout, auch selbst nutzen. Letztendlich muss aber ein Nutzer einer Art von “Zertifizierung” trauen, die -soweit ich weiß – praktisch nur in der Beantwortung eines Fragebogens besteht.
Was sollte passieren, um Datenschutz zu gewährleisten, ohne den Unternehmen die Möglichkeit zu nehmen, die Nutzerdaten zu monetarisieren? Die wollen ja auch irgendwie Geld verdienen mit kostenlosen Diensten, oder?
Tja, damit sind wir beim Kern der ganzen Diskussion und somit bei dem Punkt, der für mich auch nur schwer zu beantworten ist. Immer, wenn ich in Runden sitze, die so etwas diskutieren, hängt man in der Diskussion entweder bei technischen oder gesetzlichen Details fest oder landet bei einer unmäßigen Regulierung, die über das Ziel hinausschießt – zumindest wenn es um die gesetzlichen Bestimmungen geht.
Es gibt auf jeden Fall eine Reihe von “Randregelungen”, die ich für sehr wichtig halte und die ich gerne erheblich verschärft sehen würde, z.B. § 42a BDSG (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten). Zudem bin ich ein Freund des Datenbriefs, auch wenn man sicher über einige Details diskutieren muss. Aber auch die Streichung des Listenprivilegs ist hier zu nennen.
Aber letztendlich kann und will man auch nicht alles regulieren, sondern muss dabei auf Einsicht setzen – bei Betreibern, Nutzern und bei Browserherstellern. Als Betreiber ist Datenschutz durchaus ein Asset, denn Geschäfte haben in der Regel viel mit beidseitigem Vertrauen zu tun. Niemand findet es toll, wenn seine Daten z.B. aus einem Shop oder Gaming-Netzwerk abfliesßen und man womöglich nicht mal informiert wird (wie aktuell bei K&M [Link]). Betreiber sollten darauf verzichten, Daten zu speichern, die sie nicht unbedingt für das Geschäft benötigen.
Die Browserhersteller sollten sich auf Standards einigen, die wichtige Mechanismen zum Schutz implementieren, z.B. die Content Security Policy (CSP), oder auch Möglichkeiten, die kritischen Features in HTML5 einfacher kontrollierbar zu machen oder Geolocation-Features sicher zu implementieren.
Den größten Einfluss hat aber letztendlich immer noch der Nutzer, der durch technischen Aufwand versuchen kann, hier für seinen eigenen Schutz zu sorgen (Stichwort “Digitale Selbstverteidigung” durch Browser Add-ons, wechselnde VPN-Verbindungen etc.). Aber dazu braucht es eben auch einigen Sachverstand und Problembewusstsein. Letztendlich muss der Nutzer sich klarmachen, dass auch er das Prinzip der Datensparsamkeit einhalten sollte und nur die Daten weitergibt, bei denen er sich im Klaren darüber ist, dass sie quasi öffentlich sind. In dem Zusammenhang mögen Dinge die Sicherheitsschwankungen bei Sony, Banken, Bloghostern oder ähnliches durchaus nützlich sein, um aus einer viel zu abstrakten Datenschutzdiskussion herauszukommen.
Vielen Dank!
Neben den von mir gestellten 7 Fragen zum Datenschutz sind bislang außerdem 7 Antworten zum Datenschutz: Christoph Kappes in der kleinen Interview-Reihe erschienen.
Google+
Die kleine Interview-Reihe 
Kürzlich hatte ich 
