Menstruations-Apps in der Begutachtung

Apropos Menstruations-Apps. Ich erwähnte diese hier im Kontext einer Betrachtung üblicher Datenhehlerei bei Startups, die "kostenlose" Apps anbieten.

Jemand hat sich die Mühe gemacht, ein paar dieser Menstruations-Apps genauer anzuschauen, bzw. Datenbestand, Processing etc. Ich will das als abschreckendes Beispiel herauspicken.

Zu den Erkenntnissen dieser Untersuchung gehören unter anderem:

Mir stellt sich die Frage: Warum vertraut sich jemand einer wildfremden Partei an?

Wegen der vermeintlichen Anonymität? Man kennt die Firma ja nicht, und die kennt auch das persönliche Umfeld nicht, in dem die Daten missbräuchlich verwendet werden könnten? Kann ja dann kein Problem sein. Oder doch?

Several companies, including Alphabet, Facebook, and Oracle, occupied central positions within the network with the ability to aggregate and re-identify user data

Und auf einmal taucht eine eurer Bekanntschaften als Menstru-Buddy in der App auf, weil die eure Kontaktliste durchgeschnullert hat.

Weil die App in einem "offiziellen" App-Store angeboten wird und somit bestimmt vertrauenswürdig ist? Eher nicht.

Weil die App cool/professionell/seriös aussieht? Naja, Facebook-Apps sind professionell, omnipräsent, seriös in der Darstellung. Aber vertraut ihr dem Laden immer noch gern eure Daten an?

Weil kein echter, sondern ein Fake-Name bei der Registrierung angegeben wird und somit ausreichend Schutz besteht? Siehe oben, Anonymität.

Weil es wurscht ist, wer die Daten kennt - nix zu verbergen? Okay, wie fändet ihr es denn, wenn eure Krankenkasse über die gesammelten Daten aus euren Apps verfügt, und dann mal wahrscheinlichkeitsrumrechnet, was ihr jetzt und in Zukunft mal kosten werdet, und dann eventuell eure Tarife anpasst, weil ihr aus irgendwelchen Gründen ein höheres Kostenrisiko werdet? Siehe.

Weil es ein deutschsprachiges Angebot ist, da wird Datenschutz groß geschrieben? Naja, nagut - schwarze Schafe gibt's ja überall...

Es gibt genau eine Regel für solche Apps, die man beachten sollte: Die eingegebenen Daten sollten nur auf dem Handy gespeichert werden und nicht in die Cloud übertragen werden. Wenn das nicht sichergestellt, garantiert, nachprüfbar ist - Finger weg.

Und dann lasst ihr euch das Handy am besten auch nicht klauen, wenns geht. Und wenn ihr Glück oder Verstand habt, ist der Handyspeicher noch angemessen verschlüsselt.

Permalink

10M EUR Bußgeld für Notebooksbilliger.de

Notebooksbilliger.de (NBB) ist ein Versandhändler primär für Produkte aus dem IT-Bereich. Der Laden wurde (vorläufig) zu einer Strafe von 10,4 Millionen EUR verknackt, weil nach Einschätzung der Landesdatenschutzbehörde in Niedersachsen die Mitarbeiter unangemessen videoüberwacht wurden. Natürlich ist die Sache noch nicht durch, NBB wird gegen dieses Ordnungsgeld kämpfen.

NBB hat Stellung genommen und schreibt auf der Homepage (Screenshot):

Zu keinem Zeitpunkt war das Videosystem darauf ausgerichtet, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Das von der Datenschutzbeauftragten suggerierte Klima der Furcht ist eine haltlose Unterstellung und gefährdet unseren Ruf.

Es gibt hier zwei Quatschpunkte.

Erstens kann man einen feuchten Pfifferling auf solche Aussagen wie die von NBB geben, denn selbstverständlich wird ein Unternehmen mal hingucken, was Arbeitnehmer so während der Arbeitszeit tun, wenn denn entsprechende Überwachungsmaßnahmen existieren.

Und zweitens ist das Videosystem selbstverständlich darauf ausgelegt, das Verhalten der Mitarbeiter zu überwachen, sonst würde man erwartete, kriminelle Handlungen ja gar nicht protokollieren können.

Es spricht Bände, wenn ein Unternehmen seinen Mitarbeitern so sehr misstraut, dass sie in den Räumlichkeiten videoüberwacht werden.

Die Datenschutzbehörde wird schon ihre Gründe haben, ein Unternehmen anzugehen. Die Arbeit würden sie sich sparen, wenn da nicht im Vorfeld schon Sachen gemeldet worden oder erkennbar sehr schief gelaufen wären.

Außerdem hat trotz mehrmaliger Einladung durch NBB kein Mitarbeiter der Behörde in den Lagern oder Versandzentren des Unternehmens mit Mitarbeitern gesprochen.

Also ich würde als Mitarbeiter ja meine Schnauze halten, wenn ich in einem repressiven, überwachten Umfeld tätig wäre, um meinen eventuell dringend benötigten Job nicht zu gefährden. Und doppelt misstrauisch darf man gleich werden, wenn eine "Einladung" ausgesprochen wird, und ggf. gut vorbereitete Mitarbeiter sehr positive Rückmeldungen über das Arbeitsklima an die Behörde liefern. Ganz besonders in einer Branche wie dem Versandhandel, in der es auf jeden Cent Marge ankommt und Mitarbeiter, die nicht spuren und effizient sind, zuviel Geld kosten.

Es wurde sich also weder ein Bild von den Kameras gemacht noch über Arbeitsprozesse und die Unternehmenskultur informiert. Somit hat sich die Behörde nicht wie gesetzlich vorgeschrieben darum bemüht, entlastende Hinweise zu ermitteln, die zu einer anderen Beurteilung der Situation geführt hätten.

Unternehmenskultur ist für mich eines der schlimmsten Unwörter überhaupt. Dieser Bullshit-Begriff gehört sanktioniert. Ich schweife ab...

Das LfD Niedersachsen schreibt in seiner Pressemeldung dagegen:

Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Verkaufsräume, soso. Da sind doch dann auch Kunden betroffen, oder?

Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum Beispiel um die angebotenen Geräte ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzwürdige Interessen. Das gilt besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen. Deshalb war die Videoüberwachung durch notebooksbilliger.de in diesen Fällen nicht verhältnismäßig.

Die Sache ist die: Sollte der Vorwurf von NBB zutreffen, dass sich kein einziger Vertreter die Örtlichkeiten von NBB angeschaut hat, um zu prüfen, wo genau eigentlich Kameras montiert sind, was diese aufnehmen und wie stark konkret die Aufnahmen in das Persönlichkeitsrecht der Mitarbeiter tatsächlich eingreifen, ist das ein hartes, unangemessenes Versäumnis, das Zweifel an der Kompetenz oder Integrität der Behörde aufkommen lässt. Aber eine solche Untersuchung lässt sich ja dokumentieren - wenn das LfD Niedersachsen hier entsprechende Beweise vorlegen kann, dann ist die Situation eindeutig.

Und im Zweifel bin ich tatsächlich geneigt, dem LfD eher Glauben zu schenken als NBB. Wenn NBB nachweislich Mitarbeiter unangemessen überwacht hat, dann verdienen sie jeden Cent Strafe, je mehr, desto besser.

Eine weitere Sache kann sich NBB auch echt sparen, nämlich einen Vergleich mit 1&1 zu ziehen.

Anfang November 2020 hat das Landgericht Bonn in einem Verfahren gegen 1&1 das vom Bundesdatenschutzbeauftragten verhängte Bußgeld gegen ein Unternehmen um mehr als 90 Prozent reduziert.

Und warum haben sie das reduziert? Weil der Datenschutz-Verstoß von 1&1 nicht annähernd vergleichbar ist mit dem (potenziellen) Verstoß von NBB. Bei 1&1 hat man beim Schutzniveau von Daten geschlampt. Das ist strafwürdig, ist aber eine ganz andere Baustelle, als Mitarbeiter vorsätzlich unangemessen zu überwachen.

Eins steht für mich fest: NBB war bisher keine Option aufgrund der Tatsache, dass es keine für mich interessanten Angebote gab. Jetzt ist der Laden keine Option mehr, weil sie sich mit ihrer unseriösen Verteidigung im Rahmen des Datenschutzproblems ins Abseits schießen.

Permalink

Der neue POTUS und sein Verhältnis zum Datenschutz

Hab gerade Lust noch ein bisschen nachzutreten, was Cloud-Dienstleistungen von US-basierten Anbietern angeht. Anfang Dezember erschien bei der NYT ein Artikel, der über die Möglichkeiten der Web-Analyse berichtete, die der "USA Patriot Act" gestattet.

"USA Patriot" ist ein Kürzel für:

Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism

(Schon fast ein Kunstwerk, diese Formulierung.)

Ein wesentlicher Bestandteil dieses Acts ist (laut Wikipedia):

Das Erfordernis, Richter bei Telefon- oder Internetüberwachung als Kontrollinstanz einzusetzen, wurde weitgehend aufgehoben, dadurch werden die Abhörrechte des FBI deutlich erweitert. Der zuständige Richter muss zwar von einer Überwachung informiert werden, dieser ist jedoch verpflichtet, die entsprechende Abhöraktion zu genehmigen. Telefongesellschaften und Internetprovider müssen ihre Daten offenlegen.

Die Historie dieses Gesetzes reicht zurück bis 2001 nach den WTT-Anschlägen. Es gab und gibt viele Diskussionen um das Gesetz, änderte aber bislang nichts daran, dass es unter Bush (der das erstmalig bestätigt hat), dann unter Obama und selbstverständlich auch unter Trump inkraft blieb. Unter Trump wurde die Situation durch den Cloud Act noch verschärft.

Laut Snowden sind mindestens seit 2013 u.a. die nachfolgenden und wesentlichen Onlinedienste von Microsoft wie Outlook.com/Hotmail/Skype für Geheimdienste zugänglich, darüber hinaus stellt es für das FBI kein wirkliches Problem dar, z.B. die Such- und Surf-Historie der US-Bürger einzusehen. Und wahrscheinlich noch viel mehr anderes Zeug, was ich aktuell gar nicht überblicke.

Jetzt stellt sich natürlich die Frage danach, ob Cloud- und/oder Patriot-Act auch unter Biden weiterhin Bestand haben werden oder ob hier der Sache zumindest mal teilweise ein Riegel vorgeschoben wird. Weil, der Joe, der ist ja ein Guter, oder?

Na, lest mal selbst, was er so dazu sagte und was zu erwarten steht...

TLDR: Biden hat mehrfach damit geprahlt, den Patriot Act ja quasi selbst erfunden zu haben. Und es sieht nicht danach aus, als hätte er irgendein Interesse daran, die existierenden Gesetze gegen den Datenschutz auch nur anzukratzen.

Permalink

Datenschutz (DSGVO) vs. Startups

In den letzten 2-3 Jahren sind mir mal immer wieder Artikel über den Weg gelaufen, die sich darüber beschweren, was für dramatische Auswirkungen die DSGVO und diese furchtbar strengen Datenschutz-Fesseln in der EU auf potenzielle Startups, kleine Firmen, Freelancer haben, gerade im IT-Bereich, wo ein Umgang mit personenbezogenen Daten nahezu unausweichlich ist.

Und ja, da kann ich nur zustimmen. Die Auswirkungen sind dramatisch, und zwar völlig zurecht. Allerdings vornehmlich für jene Projekte, die mit Daten anderer Leute Geld machen wollen. Und im besten Fall - aus Sicht der "Entrepreneure" - ohne großes Mitwissen der Nutzer selbst. Die kämen ja nur auf die blöde Idee, ihre Daten gar nicht herausgeben zu wollen.

Solisten oder Teams, deren Geschäftsmodell darauf basiert, dass man möglichst viele personenbezogene Daten einsammelt und diese hintenrum zu Geld macht (indem man sie direkt verkauft oder Dienstleistungen anbietet, die auf einer Basis von persönlichen Daten fußen), verdienen aus meiner Sicht nicht das geringste Mitleid. Gibt sehr viele solcher Angebote. Besonders oft sind sie im Smartphone-Bereich zu beobachten (Fitness-, Menstruations-, Dating-, Shopping-, Buchungs- und sonstige Apps, deren Nutzung für den User meist ohne monetäre Kosten verbunden sind).

Ich sehe ein, dass Geschäftsmodelle, bei denen die personenbezogenen Daten sparsam und nur bei Notwendigkeit erhoben und hernach auch noch unter Einhaltung eines angemessenen Schutzniveaus verwaltet werden, schwieriger zu finanzieren sind. Denn ein Verkauf der personenbezogenen Daten ist in solchen Fällen nicht vorgesehen. Da muss das Geld dann durch den Verkauf von Produkten oder Dienstleistungen verdient werden. Aber es sind genau diese Anbieter oder Produkte, die man ernst und in Anspruch nehmen sollte. Alle anderen nicht.

Einziges Problem ist, dass die Nutzer von Produkten oder Dienstleistungen meistens zu faul sind, die zugehörigen AGBs oder Datenschutzbestimmungen durchzulesen, die Hinweise darauf gäben, ob es sich um seriöse, ernstzunehmende Anbieter handelt oder nicht. Und solange es faule User gibt, gibt es auch unseriöse Anbieter, die diese Faulheit maximal ausnutzen.

Permalink

Teh End Is Nigh! WhatsExit

Noch ein kleiner Ansporn für Whatsapp-Nutzer, die außerhalb der EU leben, diesen Dienst samt Account vom Handy endlich zu demontieren: Die neuen Nutzungs- und Datenschutzbedingungen, gültig ab Februar 2021.

Denn Daten der Nicht-EU-Leute, die den Messenger nutzen, landen jetzt (von mir kolportiert nicht mehr nur unter der Hand, sondern auch) über der Hand bei Facebook - und zwar ohne, dass der User hierzu sein Einverständnis geben müsste. Mit allen entsprechenden Nebenwirkungen, was Tracking, Personalisierung usw. angeht.

In der EU wird diese Datenübermittlung von Whatsapp an Facebook wegen der DSGVO angeblich nicht ohne Einverständnis der User vollzogen. Aber... veralbern kann ich mich auch allein. Außerdem: Cloud Act. Keine weiteren Fragen.

Permalink

FACEBYE, Episode III: Asoziale Medien, Fortsetzung


FACEBYE ist eine Beitragsserie rund um das Thema Alternativen zu Datenkraken und Monopolen im Internet. Die Themen-Übersichtsseite findet ihr hier.


Ich wollte ja noch mehr schreiben zum Thema FACEBYE: Asoziale Medien. Den Beitrag von neulich habe ich aus Zeit- und Launegründen unterbrochen und eine Fortsetzung versprochen. Hier ist sie.

Im ersten Part des dritten Teils habe ich geheult, was aus meiner Sicht alles falsch läuft mit den aktuell großen Anbietern sozialer Netzwerke. Filterblasen, mangelnde "echte" soziale Interaktion, Aufmerksamkeits-Diebstahl, Lobbyismus bzw. politische Motivationen etcpp. - alles zumindest theoretisch auch eine Gefahr, wenn man andere Dienste nutzt als Facebook oder Twitter, keine Frage. Ich will die Probleme im Folgenden noch einmal clustern, um zu erklären, wie ich zu den Schlüssen komme, die ich hier im Verlauf ziehe.

Kommerzielle Interessen

Sind aus meiner Sicht das größte Problem an der Geschichte. Denn kommerzielles Interesse führt dazu, dass User mit ALLEN Mitteln dazu gebracht werden, möglichst viel Zeit auf einer Plattform zu verbringen. Denn Zeit bzw. Aufmerksamkeit bedeutet Profit.
Streicht man diese kommerziellen Interessen aus der Gleichung, verschwindet schon mal das Problem, dass die User mit unlauteren Mitteln dazu gebracht werden müssen, die Plattform heimzusuchen. Dadurch erledigen sich zum Beispiel auch die vom Betreiber absichtlich entwickelten Filterblasen (ein User kann sich natürlich selbst eine zusammenklicken, aber das ist dann nochmal was anderes).

Zentralisierung der Daten

Auch ein großes Problem. Nimmt man diese Zentralisierung aus der Gleichung, ergeben sich gleich mehrere Vorteile:

Risiken der Non-Profit-Dezentralisierung

Lösungsansätze, teilweise bereits vorhanden:

In jedem Fall ist Initiative gefragt - sowohl derer, die willens und fähig sind, Instanzen zu betreiben, als auch derer, die sie dann nutzen. Umdenken und Anpassung sind erforderlich und immer eine schwierige Hürde, denn Menschen sind Gewohnheitstiere. Es müssen Angebote geschaffen werden, die attraktiv genug sind, dass sich große Mengen von Menschen dazu genötigt fühlen, mitzumachen und den großen Datenkraken endlich den Rücken zuzukehren.

Und wie stellen wir das an? Ich habe noch keine konkrete Idee.

Mein pessimistisches Ich geht davon aus, dass der Leidensdruck nie RECHTZEITIG groß genug sein wird, damit die Leute sich bewegen.

EDIT: Beim Rumklicken bin ich noch auf einen Beitrag vom rC3 gestoßen, der das Thema Dezentralisierung umreißt.

Permalink

Neues Jahr, alte Dramen

Habe meine Festtagspause beendet, und natürlich stand die Welt nicht still. Ein paar Leckerlis zur Rekapitulation:

Dokumente in der Cloud

Google Docs war, ist und bleibt keine gute Idee für Leute oder Unternehmen, die Wert auf Schutz ihrer Daten legen. Nicht nur, weil ihr eure Daten in die Hände eines Unternehmens legt, das diese auswertet und profiliert, sondern auch, weil die Daten in die Hände Dritter geraten können. Was ist geschehen? Ein Sicherheitsforscher fand heraus, dass sich Screenshots von "privaten" Dokumenten anfertigen ließen. Google hat dem Forscher auch schon eine Belohung gezahlt, die Sicherheitslücke ist also bestätigt.
Und es ist auch generell nicht das erste Problem mit Google Docs, bezüglich Sicherheit, Zuverlässigkeit, tralala. Oder das zweite. Oder dritte. Oder vielte. Sucht euch noch mehr Links, wenn ihr wollt - die sind nicht rar.

Gesichtserkennung aus Polen

Es gibt ein polnisches Unternehmen, das eine Reverse-Suche für Gesichter anbietet - nach dem Schema: Lade ein Bild hoch und lass Dir Websites anzeigen, auf denen Bilder mit dem gleichen Gesicht vorliegen. Das Missbrauchtspotenzial muss ich wohl kaum genauer erläutern. Es sei an dieser Stelle mal wieder - Sisyphos-Arbeit - davor gewarnt, überall euer Privatleben hochzuladen. Die Firma bewirbt ihre Anwendung übrigens zunehmend offensiv als Tool, das dabei helfen soll, die eigene Privatsphäre zu schützen. Das war mal ein bisschen anders, wie man prima in Archive.org nachlesen kann - da wurde das Tool mit einem ganz anderen Spin, nämlich Tracking, beworben. Aber da scheint ihnen die Empörung buchstäblich um die Ohren geflogen zu sein. Dann muss man den Spin halt ändern.

Facebook vs. Apple

So als Follow-Up zu dieser älteren Meldung: Facebook nölt weiter rum wegen Apples Plänen, Datensammelei zukünftig mit Opt-In zu versehen - sprich: die User müssen erst mal aktiv zustimmen, wenn bestimmte Daten durch Apps von Drittherstellern abgeschnullert werden sollen. Dass das Facebook nicht gefällt, ist nicht verwunderlich. Die Begründung allerdings war und bleibt dermaßen lächerlich, dass es mir an deren Stelle peinlich wäre, sowas überhaupt zu formulieren:

Personalized Advertising and Privacy Are Not at Odds

Aha.

Personalized advertising helps you discover new products and brands, and it enables businesses of all sizes, not just the ones with the biggest budgets, to reach people who are likely to be interested in what they offer.

Soso. Deshalb läuft das Anzeigenmodell in Facebook auch über Auktionen. Weil man unbedingt will, dass sich Werbung auch die "Kleinen" leisten können.

We also offer Off-Facebook Activity, which lets you see a summary of the apps and websites that send Facebook information about your activity [...]

Schau, schau. Schon schön, dass man das einsehen kann - aber der eigentlich dramatische Punkt ist nicht, dass man das einsehen kann, sondern dass die Daten überhaupt gesammelt und ausgewertet werden.

[...] preserve the value that both people and businesses get out of personalized advertising, while respecting privacy and empowering people to control their information online. 

Diese Formulierung ist einfach grundalbern und dreist, und ich befürchte, es glauben immer noch viel zu viele Leute, dass ihnen Facebook tatsächlich "Kontrolle" gibt. Sind die Daten einmal im Netz, ist jede Kontrolle perdu. Ende der Diskussion. Da kann Facebook noch so viel von "empower" und "control" und "respect" faseln... wer das abkauft und weiterhin irgendwelche Dienste von Facebook nutzt, ist nicht mehr zu retten.

Achja... Falls hier jemand (völlig zurecht!) noch drauf rumreiten will, dass ich noch einen Whatsapp-Account nutze: Ich habe selbigen zum Jahreswechsel endgültig abgeschafft (weil, wer im Glashaus sitzt...).

Und was war sonst noch so?

Noch ein paar weitere, ausgewählte Kleinigkeiten:

Permalink

Eher Darmwind als Sonnenwind

Ein Leser hat mich darauf aufmerksam gemacht, dass ich noch überhaupt nichts zu dem gewaltigen Skandal um SolarWinds geschrieben habe.

Kontext: Die Firma SolarWinds hat eine Software namens Orion im Angebot, mit der sich IT-Infrastrukturen überwachen lassen. Viele Firmen nutzen dieses Produkt. Und haben sich jetzt sehr ernste Probleme eingefangen: Irgendwie tauchten wohl Zugangsdaten zu einem Update-Server von SolarWinds in der Öffentlichkeit auf, was prompt genutzt wurde, um Updates mit Schadsoftware zu verseuchen. Die kompromittierten Updates wurden dann von verschiedenen SolarWinds-Kunden eingespielt. Tschingderassa-Bumm.

Stimmt, ich habe dazu bisher noch nichts geschrieben. Problem ist, ich weiß nicht so recht, wie ich das Thema angehen soll. Man könnte Stunden darüber schwadronieren, wie skandalös das alles ist und wie man all jene Firmen zur Rechenschaft ziehen sollte, die diesen Software-Rotz überhaupt einsetzen, anstatt selbst die Verantwortung für Sicherheit und Monitoring zu übernehmen. Man kann auch sagen: Oh, waren bestimmt mal wieder die bösen Russen, diese Fieslinge. WIR - sprich: der Westen - machen solches Hacking ja ÜBERHAUPT nicht.

Die Liste der betroffenen Firmen ist lang. Nur um mal einen kleinen Ausschnitt zu nennen:

AT&T, CBS, Cisco, Credit Suisse, Ford Motor Company, Gillette Deutschland GmbH, Hertz Corporation, ING Direct, Kodak, MasterCard, McDonald’s Restaurants, Microsoft, Nestle, Siemens, Sparkasse Hagen, Subaru, Symantec, Visa USA, Volvo, Yahoo, ...

Ich muss schon ziemlich lange suchen, um einen Bekannten oder Verwandten zu finden, der nicht Kunde irgendeines Unternehmens ist oder war, das auf der Liste steht. Auch ich bin ein potenziell Betroffener. Benachrichtigt wurde ich selbstverständlich von keinem Unternehmen, das meine Daten lagert und erwischt wurde von dem Hack.

Derzeit ist unklar, welche Daten von den Angreifern wo rausgetragen wurden. Aber da umfassendes Monitoring von Hard- und Software häufig tiefgreifende Systemrechte benötigt, dürft ihr davon ausgehen, dass potenziell sehr viele, sehr kritische Systeme sehr intensiv kompromittiert wurden, und grundsätzlich die Sicherheit jeder Art von Daten in Frage steht - inklusive eurer personenbezogenen.

Naja, was soll ich sagen. Die Konsequenzen für die Verantwortlichen, sowohl auf "Opfer"- als auch Täterseite, werden - im Verhältnis zur Größenordnung des Problems - so verschwindend gering sein, dass einem eigentlich nur noch das Ausweg bleibt: Auf eine einsame Insel ziehen und vom Rest der Welt abschotten.

Permalink

Fingerprinting-Abwehr verschlimmbessern

Es gibt ja etliche Browser-Addons und mittlerweile auch teilweise in die Browser integrierte Funktionen, die das Problem Fingerprinting mitigieren sollen. Wie Fingerprinting funktioniert bzw. was es ist, habe ich schon mal in einem älteren Beitrag angerissen. Ich will das hier noch mal etwas ausführlicher besprechen.

Fingerprinting wird ermöglicht durch diverse Datenpunkte, die ein Webserver mitsamt der darauf laufenden Anwendungen über den Webclient (also der Webbrowser des Users) erhebt. Was kann man alles einsammeln an Datenpunkten?

Ich schreibe jetzt mal eine sehr lange (immer noch unvollständige!) Liste hier rein, um euch die Dramatik der Situation vor Augen zu führen. Zu Demo-Zwecken hier ein Screenshot, mit dem man meinen Fingerprint anschauen kann. Ich markiere die Kandidaten in der folgenden Liste fett, die ganz besonders fies sind, die also wesentlich zu einer eindeutigen Identifizierbarkeit beitragen können (nicht müssen), weil die Werte auf sehr vielen Rechnern sehr individuell ausfallen dürften.

Was alles zusammengeschnüffelt wird:

Wenn man diese Datenpunkte in ein Profil zusammenschmeißt, erleichtert das die Identifikation von einzelnen Computern/Nutzern enorm - umso mehr, je exotischer zum Beispiel einzelne Einstellungen wie Bildschirmauflösung oder Betriebssystem sind.

Kann man Fingerprinting verhindern? Ja, indem man das Surfen bleiben lässt. Ansonsten nicht. Man kann sich allerdings Mühe geben, dass der Fingerprint so generisch ist, dass viele andere Leute ihn auch genau gleich haben und man in einer Masse von Millionen Nutzern untergeht. Das ist für den normalen User, der technisch nicht versiert ist, auf manuellem Wege leider gar nicht so einfach zu erreichen. Deshalb gibt es Tools und Browser-Addons, die das erledigen sollen. Bedauerlicherweise sind viele von denen auch nicht das Gelbe vom Ei, weil die angewandten Verschleierungstaktiken zu schlecht oder unzureichend sind.

Fingerprinting-Datenquellen und Manipulation

Beim Fingerprinting-Schutz gibt es u.a. folgende Aspekte, die man berücksichtigen sollte.

  1. Es gibt verschiedene Quellen, aus bzw in denen man als Betreiber einer Webanwendung Daten über die User erheben kann. z.B.
    • Serverseitige Protokollierungen, z.B. Webserver/Access/Error-Logs
    • Cookies
    • Local Storage (Browser-eigener Speicher/Datenbank)
    • Client-seitige Javascript-Abfragen, siehe auch oben
  2. Muss man sich überlegen, welche Fake-Werte am besten geeignet sind, um in der großen Masse unterzutauchen. Dazu lohnt es sich u.a. allgemeine Webstatistiken anzuschauen. Was sind weltweit die am meisten verwendeten Browser? Welche Monitorauflösung wird am häufigsten verwendet? Macht es Sinn, eine andere Sprache als die eigene vorzugeben? (z.B. Englisch statt Deutsch, weil Englisch weiter verbreitet ist), undsoweiterundsofort.
  3. Wenn das Faken von Werten falsch bzw. unvollständig ist, und eine Webanwendung den Originalwert eines Datenpunkts trotzdem herausfinden kann, ist das natürlich auch blöde. Einfaches Beispiel:
    • Man kann via JavaScript die Größe des Browserfensters manuell und programmatisch setzen. "screen.width = 1280". Manche Fingerprintingschutz-Tools machen das so. Tja, die Webanwendung kann das aber auch. Wenn die nun "delete screen.width" im Browser des Nutzers ausführt, sind die vorab vom User gesetzten Fake-Werte im Eimer und aufgrund der Tatsache, dass Browser dann mit einem Reset reagieren, kann die Webanwendung die ursprüngliche Fenstergröße erkennen, die vor der Manipulation durch den User existierte. Das wiederum lässt möglicherweise Rückschlüsse auf Bildschirmauflösungen zu. Zunächst mal kein gravierender Datenpunkt, aber im Zusammenspiel mit anderen Details eventuell dann doch entscheidend.

Ohje. Und jetzt?

Ich befürchte, dass nicht viele Leute Lust haben, sich mit technischen Details zu beschäftigen. So ist das halt, die Lebenszeit ist begrenzt, man muss ja drei Stunden von und zur Arbeit pendeln, die Kinder müssen auch versorgt werden, vom Ehepartner gar nicht zu reden, ein Garten muss geschrubbt und das Auto gemäht werden.

Das Problem ist außerdem, dass Fingerprinting nicht mal einfach so mit einem Addon oder Klick effektiv demontiert werden kann, ohne dass darunter das Surfvergnügen leidet.

Wer Fingerprinting wirklich bestmöglich entschärfen will, muss Hürden auf sich nehmen:

Das Mindestmaß an Eigenverantwortung und Initiative, dass ich verlangen kann: Schaut euch nach entsprechenden Browser-Addons um. Installiert mal eines oder mehrere, ruft die Website https://amiunique.org auf und schaut euch an, wie einzigartig euer Fingerprint ist. Die von mir oben genannten Addons sollten den Einstieg erleichtern.

Permalink

Google schluckt ein Fitbit

Was Facebook kann, kann Google schon lang! Nämlich andere Firmen übernehmen, die viele personenbezogene Daten eingesammelt haben, und diese Daten dann eingemeinden.

Google hat die Freigabe bekommen, Fitbit zu übernehmen. Fitbit hatte letztes Jahr wohl rund 30 Millionen aktive User.

Ich zitere mal einen Absatz aus der AP-Meldung:

The Silicon Valley tech giant’s commitments included a promise to silo off Fitbit user data from other Google data and not use it for advertising purposes. The company also pledged to ensure phones running its Android operating system can continue to work with third-party fitness trackers and agreed not to use warnings and error messages to worsen the user experiences of other fitness watches. Google also vowed to continue giving outside health and fitness apps access to Fitbit data.

Facebook hat so ungefähr fünf Jahre gewartet, bevor man die Versprechen bezüglich niemals eintretender Zwangsverheiratung von Oculus-Userdaten mit Facebook-Accounts brach. Ich glaube nicht, dass Google so lange wartet.

“There is a serious risk that Google will exploit Fitbit users’ data, including sensitive health data, in several markets,” said Director General Monique Goyens.

So in etwa würde ich das auch sehen.

Permalink