1. Grundprobleme von Datenschutz und Datensicherheit
Kundendaten und WWW-Aktivitäten
Lauren Weinstein: You’ve Been Drafted - Welcome to the Cookie Wars!.
PRIVACY Forum Digest 09/06, 27 January 2000.
Also available from World
Wide Web [January 27, 2000]:
<http://www.vortex.com/privacy/priv.09.06> [cited: February 7, 2000].
Siehe auch:
- »Gläserne Wände« [DER SPIEGEL 2/1998, 48 - 50]
- »Verdatet und verkauft - Die Angst vor dem Missbrauch persönlicher Daten
droht den E-Commerce zu blockieren.« [DIE ZEIT 18/2001, 28 - 29]
- »Cookies - eine Überwachungstechnik?«
[Heise,
18. 2. 2000]
- »T-Punkte kann man nun auch sammeln«
[Heise,
31. 10. 2001]
- »Web-Kekse: Die EU und das angebliche Cookie-Verbot«
[Heise,
2. 11. 2001]
Szenario
Wer ist der Bursche?
- Wenn du in der Stadt rumfährst, verfolgt er dich und schreibt lückenlos
auf, wo du hingehst.
- Wenn du einkaufen gehst, lauert er hinter der Ecke und kritzelt alles
in sein Notizbuch, was du kaufst, und sogar alles, was du dir ansiehst.
- Wenn du in die Bibliothek gehst, um etwas nachzuschlagen, notiert er
alles, wonach du suchst.
- Dann ruft er alle Läden an, die du besuchst, und überredet sie, ihm
alle früheren Einkaufs- und Bestelldaten von dir zu geben.
- Er überwacht dich jeden Tag rund um die Uhr und baut über dich ein
Dossier auf, das Stalin beeindruckt hätte.
Im physischen Leben würde ein solches Vorgehen einen öffentlichen Aufschrei
hervorrufen, wie man ihn kaum je gehört hat.
Im Cyberspace ...
... gibt es solche Burschen. Jetzt und hier:
- DoubleClick - www.doubleclick.net -
- Verfolgung von Web-Aktivitäten durch eingebettete Werbe-Grafiken,
z. B. im AltaVista- Suchformular.
- Abacus Direct - www.abacus-direct.com -
- größte Konsumenten-Datenbank der Welt,
- zu Marketing-Zwecken,
- über 90 Millionen US-Haushalte, auch viele ausländische aus
Versandhandel,
- über 2 Milliarden Kunden-Transaktionen.
DoubleClick hatte im Januar 2000 Abacus Direct aufgekauft und beabsichtigte,
die Datenbanken zusammenzuführen.
Nach heftigen Protesten wurde das verhindert.
Damit ist der Abgleich aber nicht ausgeschlossen!
[Nach deutschem/europäischem Datenschutzrecht illegal, in USA legal.]
Hilfsmittel zum großen Ausspähen der WWW-Nutzer
- Rechner-Adresse (Domain-Name und IP-Nummer):
- wird stets an WWW-Server übermittelt
- [aber evtl. Gateway-Adresse statt Client-Adresse].
- Referer-Feld: Letzte vorher besuchte URL wird an WWW-Server übermittelt.
- [»Von woher kommt der Client auf meine Seite?]
- Beispiele (aus dem Referer_Log des Servers www.imsd.uni-mainz.de:
- http://www-klinik.uni-mainz.de/rechner.shtml -> /Gateway/
- http://mail.psychiatrie.klinik.uni-mainz.de/ -> /
- http://www.imsd.uni-mainz.de/ -> /klinikum.jpg
- http://www.klinik.uni-mainz.de/~nar0g/intern/EDV/Klinikedv.shtml
-> /
- Eingebettete Grafiken - »Werbebanner«:
- Grafik kommt von anderem Server als die eigentliche Seite;
- Werbebanner-Server (z. B. DoubleClick) erfährt, welche Seite aufgerufen.
- Beispiel: AltaVista - Link unter Werbebanner:
http://ad.doubleclick.net/jump/homepgtable.av.com/sponsor-button/minibadge;sz=230x33;ord=62812284
- oder »Web-Bugs«:
- gleiches Wirkprinzip,
- aber getarnt: transparente 1-Pixel-Grafiken,
- auch in HTML-Mail verwendet.
- GET-Methode bei Formularen:
- Formular-Einträge in der URL enthalten.
- Werbebanner- oder Web-Bug-Server bekommt diese automatisch mitgeteilt.
- Beispiel: AltaVista-Suche nach »+Abacus +Direct«:
http://www.altavista.com/cgi-bin/query?pg=q&sc=on&hl=on&q=%2BAbacus+%2BDirect&kl=XX&stype=stext&search.x=10&search.y=8
- Direktabfrage von Daten über Formulare (z. B. »Nutzer-Registrierung«)
- Cookies.
Cookies
- Harmlose, nützliche Anwendung:
- Zustand einer »Sitzung« verfolgen, z. B. Warenkorb anlegen,
Single Logon,
- persönliche Preferenzen für eine Website verwalten.
- Cookies sind an einen WWW-Server gebunden, von anderen nicht
auslesbar.
- Missbräuchliche Anwendung:
- Daten zusammenführen, Hilfe bei der Erstellung von Profilen
- Identifikation sicherer als über Rechner-Adresse.
- Umgehung der Server-Bindung durch eingebettete Grafiken.
- Beispiele:
- ..altavista.com TRUE / FALSE 1388491086 AV_USERKEY AVSdd2b73027c0000389e893c000be70
- ..doubleclick.net TRUE / FALSE 1920499068 id A
(gültig bis 2030 !)
Maßnahmen
- Cookies deaktivieren - grundsätzlich.
[Nicht »Warnmeldung ...« einschalten - das nervt endlos.]
- In seltenen Fällen Cookies wirklich benötigt. Dann:
- Cookies kurzfristig aktivieren [»Nur an den ursprünglichen Server ...«],
- anschließend sofort wieder deaktivieren,
- Browser verlassen und Cookies löschen (von Hand im Editor)
[Netscape: C:\Programme\Netscape\Users\pom\Cookies.txt].
- Grafiken deaktivieren - zumindest vor Benutzung von Suchmaschinen.
Aber: Beim Ausdrucken werden die Grafiken doch
geladen!
- Suchmasken und Suchergebnisse nicht ausdrucken
- sonst landet die Suchanfrage doch bei DoubleClick.
[Suchergebnis per Copy&Paste in Editor laden, dort speichern oder
drucken.]
Misstrauen ist auch im Kräftespiel der freien Marktwirtschaft
ein wesentliches Prinzip, um nicht
über den Tisch gezogen zu werden. Es gibt keinen Anlass, irgendeinem
Geschäftspartner blind zu trauen.
Vorlesung Datenschutz und Datensicherheit,
Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 8. Februar 2000; letzte Änderung: 11. November 2001
E-Mail an Pommerening »AT« imbei.uni-mainz.de.