ISSN: 1867-6189

Zwischen Naivität und Paranoia

Bericht vom BOBCATSSS-Workshop „What can be tracked, will be tracked“

Es ist 12:30 Uhr. Im Raum A05 der University of Tampere finden sich nach und nach die dreißig Teilnehmer des ersten Workshops der BOBCATSSS-Konferenz 2017 ein. Unter dem Titel „What can be tracked, will be tracked“ wollen sie sich der Problematik widmen, dass Unternehmen die persönlichen Daten von Internetnutzern abgreifen und somit deren Privatsphäre gefährden.

Gleich kann es losgehen!

Während sich die letzten Ankömmlinge setzen, verteilen Kristina Kirjanova und Leonie Askes doppelseitig bedruckte A4-Blätter an die Workshop-Teilnehmer. Zusammen mit ihren Kommilitonen Steven Hazenberg, Leyre San Miguel und Markéta Kučerová von der Hanze University of Applied Sciences in Groningen leiten sie die Veranstaltung.

„Before we start, we‘d like to ask you to sign the page we‘ve just gave to you.“ Eilig unterzeichnen die Anwesenden das Dokument und warten gespannt darauf, dass es losgeht. Lediglich eine Studentin benötigt etwas länger: „I want to read it before I sign it!“
Kristina lacht zustimmend. Gemeinsam mit Leonie löst sie auf, dass es sich um ein Experiment handelt. Die Datenschutzrichtlinien, welche sie soeben verteilt haben, sind eigentlich nicht akzeptabel. Dennoch haben die Meisten die Richtlinien unterzeichnet, ohne jene auch nur ansatzweise gelesen zu haben.

Dieses Ergebnis ist zwar alarmierend, verwundert aber kaum. Bereits 2008 veröffentlichten die Wissenschaftlerinnen Aleecia M. McDonald und Lorrie Faith Cranor eine Studie, die sich dem Thema nähert – allerdings aus der entgegengesetzten Perspektive. Ihr Artikel The Cost of Reading Privacy Policies fragt danach, wie viel jene Zeit wert wäre, welche Webseitennutzer investieren müssten, um die Datenschutzbestimmungen für jede Webseite zu lesen, die sie nur einmal im Jahr besuchen. [1]

Um diese Frage zu beantworten, untersuchten sie zunächst die Datenschutzrichtlinien der 75 Webseiten, die im Oktober 2005 am häufigsten besucht wurden [2], auf ihre Wortanzahl. Die kürzeste Privacy Policy umfasste lediglich 144 Wörter, während die längste ganze 7.669 Wörter in Anspruch nahm. Letzteres entspricht 15 Seiten Text. Im Mittel kann von 2.514 Wörtern pro Datenschutzbestimmung ausgegangen werden.
Anschließend berechneten die Autorinnen, wie viele solcher Bestimmungen eine Person pro Jahr lesen müsste. Mit 467 Policies, die auf Arbeit gelesen werden müssten, und 995 Policies, die privat gelesen werden müssten, kommen sie auf eine Summe von 1.462 Policies pro Jahr.
Ausgehend von einer Lese-Rate, die 250 Wörter pro Minute beträgt, errechneten McDonald und Cranor ein Zeitvolumen von 201 Stunden pro Jahr. Das heißt man müsste jeden Tag des Jahres ca. 40 Minuten allein dafür aufwenden, die Datenschutzbestimmungen der Webseiten zu lesen, die man besucht. [1]

Gratis Gebäckmischung

Nach einem Frage-Antwort-Spiel, um das Eis zu brechen, bekommen die Teilnehmer ihre erste Aufgabe. Auf jedem der Tische im Seminarraum liegt ein leeres A3-Poster. Dieses gilt es, in Kooperation mit den Team-Mitgliedern am Tisch zu füllen. Gesucht werden fünf Vorgehensweisen, derer sich Unternehmen bedienen, um Nutzerdaten zu erfassen.
Die Poster füllen sich rasch. Einige Gruppen diskutieren so engagiert, dass sie bald mehr als nur fünf Aspekte aufgeschrieben haben. Zeit für die Auswertung.

Varianten des Data Trackings (Foto: Marius Michaelis)

Varianten des Data Trackings
(Foto: Marius Michaelis)

Neben ein paar Spezialfällen, die nur von einzelnen Teams bedacht wurden, lassen sich auch viele Gemeinsamkeiten finden. Die Schlagworte Surfing History, Location Data, Search Queries sowie Metadata im Allgemeinen werden auf nahezu allen Postern aufgeführt. Der erste Platz gemessen an der Häufigkeit geht jedoch an die Cookies. Doch was ist das eigentlich – ein Cookie?

Bei Cookies handelt es sich um Textdateien, welche durch den Web-Browser auf dem Rechner des Surfenden abgespeichert werden. Dies geschieht auf Initiative des Webseitenbetreibers. Cookies enthalten Konfigurations- oder Benutzerinformationen, die zu einem späteren Zeitpunkt – etwa bei einem erneuten Besuch der Webseite – wieder ausgelesen werden können. Dadurch ist es für den Webseitenbetreiber möglich, den Anwender zu identifizieren und sein Surf-Verhalten zu analysieren. Infolgedessen kann dem Nutzer ein komfortableres, da individuelles, Surferlebnis geboten werden. Auch personalisierte Werbung wird durch Cookies ermöglicht. [3] [4]

Es kann auf zweierlei Weise zwischen Cookie-Typen differenziert werden. Zum einen kann man zwischen temporären Sessioncookies und permanenten Cookies unterscheiden, zum anderen zwischen sogenannten First- und Third-Party-Cookies.
Sessioncookies werden beim Schließen des Browsers automatisch gelöscht. Permanente Cookies hingegen bleiben erhalten, es sei denn sie werden durch den Web-Server oder vom Nutzer gelöscht.
Als First-Party-Cookies werden jene Cookies bezeichnet, welche direkt vom Anbieter der Webseite stammen. Dateien, die durch Dritte platziert werden, werden Third-Party-Cookies genannt. In der Regel handelt es sich dabei um sogenannte Tracking-Cookies von Werbetreibenden. [3] [5]

Keks gegessen, Fingerabdruck hinterlassen

An die Begriffsklärung knüpft Leonie mit einer Frage an: „Does anyone know the method of so-called Canvas Fingerprinting?“ Vereinzelt werden zögerlich Hände gehoben. Der Großteil der Anwesenden schaut jedoch fragend zu den Studierenden aus Groningen. Es wäre auch zu einfach gewesen, wenn man sich lediglich um Cookies Sorgen machen müsste.

Das HTML-Tag <canvas> wird genutzt, um mittels JavaScript Bilder zu generieren. Dabei werden einfache Formen, Farben und Schriften zu einer Pixelgrafik angeordnet. Folgen mehrere solcher Grafiken aufeinander, können Animationen dargestellt werden. Jene werden zum Beispiel bei Browser-Spielen eingesetzt.
Entscheidend für das Nutzer-Tracking ist jedoch ein Nebeneffekt der Canvas-Funktion. So produziert dieselbe Ausgangsfunktion unterschiedliche Bilder, wenn sie auf verschiedenen Rechnern ausgeführt wird. Diese minimalen Abweichungen entstehen aufgrund der verschiedenen Systemkomponenten. Betriebssystem und Bildschirmauflösung beeinflussen das Ergebnis ebenso wie die eingebaute Grafikkarte und deren Treiber. Dasselbe gilt für die Version des Web-Browsers und die installierten Schriftarten. [6]

Da die Zusammenstellung dieser Komponenten bei jedem Endgerät nahezu einzigartig ist, gilt dies auch für das generierte Bild. Es kann daher auch als Fingerabdruck (englisch Fingerprint) bezeichnet werden. Verwendet der Nutzer zum Surfen stets dieselbe Technik, fällt es nicht schwer, ihn zu identifizieren. Immer wenn er beim Aufrufen einer Webseite die eingebundene Canvas-Funktion auslöst, wird unweigerlich sein persönlicher Fingerabdruck berechnet. Jener wird nicht lokal gespeichert, sondern auf dem Server des Webseitenbetreibers. Entsprechend aussichtslos ist das Löschen von Cookies, wenn dadurch die Tracking-Methode des Canvas Fingerprinting verhindert werden soll. [6]

Blick in den Seminarraum (Foto: Daniel D. Meir)

Blick in den Seminarraum (Foto: Daniel D. Meir)

Von Staaten und Monopolen

Vor jedem Workshop-Teilnehmer liegen zwei farbige Karten. Eine grüne sowie eine rote. Sie werden für die nächste Abstimmung benötigt. Die Anwesenden werden gefragt, ob sie davon ausgehen, dass ihre Regierung die privaten Daten der Bevölkerung gegen die Bürger einsetzt oder einsetzen könnte.
Daraufhin werden dreißig grüne „Ja“-Karten in die Höhe gestreckt. Die roten Karten verbleiben hingegen vollzählig auf den Tischen. Eine klare Botschaft.
„Governments are already collecting the data“, betont Markéta, die dem Organisations-Team des Workshops angehört. „Only our laws protect us from the misuse of data.“

Doch nicht nur von staatlicher Seite geht eine potentielle Gefährdung aus. Gemeinsam werfen die Versammelten einen Blick auf Großkonzerne, die international agieren. Es fallen die Namen Amazon, Netflix und Spotify. Alle drei genannten Unternehmen erstellen Nutzerprofile. Anhand dieser wird entschieden, welche Inhalte der Anwender zu Gesicht bekommt und welche nicht. In gleicher Weise verfahren soziale Netzwerke wie Facebook oder auch die meistgenutzte Web-Suchmaschine Google.

Die Rolle der zuletzt genannten Anbieter ist besonders brisant. Sie beeinflussen nicht nur das Kauf- und Konsumverhalten ihrer Nutzer, sondern isolieren sie in sogenannten Filterblasen (englisch Filter Bubbles). Dem Einzelnen werden nur noch Informationen angezeigt, die seinem Profil entsprechen. Dies geht über personalisierte Werbung hinaus. Auch Nachrichten und Meinungsbeiträge werden gemäß den Nutzerinteressen und -vorlieben distribuiert. Informationen, die nicht dem eigenen Standpunkt entsprechen, werden ausgeblendet.
Die Auswirkungen solcher Filterblasen sind nicht nur für die individuelle Informationsbeschaffung fatal. Sie gefährden womöglich sogar die Demokratie.

„Democracy requires citizens to see things from one another’s point of view, but instead we’re more and more enclosed in our own bubbles. Democracy requires a reliance on shared facts; instead we’re being offered parallel but separate universes.“
– Eli Pariser, The Filter Bubble: What the Internet is Hiding From You

Bubble Shooter

Im Anschluss an diese deprimierende Analyse stellen die Studierenden der Hanze University of Applied Sciences erste Lösungsansätze vor. Um diese zu entwickeln, haben sie zuvor niederländische Experten interviewt, die sich mit Data Tracking beschäftigen.
Die Empfehlungen der Sachverständigen sind ebenso erwartbar wie lebensfern: „Any activity on the Internet should be done carefully. This also applies to the acceptance of cookies, personal search behaviour, unencrypted e-mails and so on. Furthermore it’s necessary to actually read privacy policies before accepting them.“
Kurz gesagt: Wer surfen möchte, ohne dass private Daten abgegriffen werden, muss entweder sehr viel Zeit aufwenden oder gänzlich auf die Nutzung des Internets verzichten.

Zum Glück gibt es einige Tools und Verhaltensweisen, welche es auch ohne Internet-Abstinenz ermöglichen, die eigene Privatsphäre weitestgehend zu schützen. In einem Brainstorming tragen die Workshop-Gruppen eine Auswahl von Vorschläge zusammen:

  • erase or prohibit cookies
  • confuse algorithms by entering silly stuff (for example in search slots)
  • delete your browsing history or prevent it from being created
  • anonymous surfing / private browsing
  • delete your google account (and similar profiles)
  • use search engines that do not track you

Anschließend erläutert Steven, wie diese Ratschläge konkret umgesetzt werden können. Zudem verweist er darauf, dass die mobilen Endgeräte nicht außer Acht gelassen werden dürfen. Die besprochenen Hinweise gelten für Smartphones ebenso wie für Desktop-PCs oder Laptops.

Kurzanleitung: privater Surfen mit Firefox (Grafik: Marius Michaelis)

Kurzanleitung: privater Surfen mit Firefox
(Grafik: Marius Michaelis)

Komplettlösung vs. Werkzeugkasten

Zum Abschluss des Workshops stimmen die Teilnehmer darüber ab, welche Software sie für bestimmte Zwecke am meisten nutzen. Dabei betrachten sie die Anwendungsbereiche Internet-Suche, Web-Browser, E-Mail, Messenger, digitale Notizen, Videotelefonie sowie Cloud-Speicher.

Abgestimmt wird mithilfe der Quiz-Software Kahoot!. Die aktuelle Frage sowie die zugehörigen Antwortmöglichkeiten erscheinen auf den zentralen Bildschirmen im Seminarraum. Über ihre Laptops oder Smartphones können die Teilnehmer ihre Antworten abgeben. Danach wird durch Säulendiagramme visualisiert, welche Software am meisten Stimmen erhalten hat.

Quiz-Time! Abstimmung mit Kahoot (Fotos: Marius Michaelis)

Quiz-Time! Abstimmung mit Kahoot
(Fotos: Marius Michaelis)

Mit Erstaunen stellt Steven fest, dass viele der Anwesenden auf Software-Lösungen von gewinnorientieren Anbietern zurückgreifen. So führen Anwendungen wie Skype, WhatsApp, Google Docs, Gmail und Dropbox das Voting an. Auch die Suchmaschine Google belegt wenig überraschend den ersten Platz. Für Erheiterung seitens der Teilnehmer sorgt die Tatsache, dass sich ein einzelner Internet-Explorer-Nutzer outet.
Die favorisierten Programme und Services zeichnen sich mehrheitlich durch eine komfortable Bedienung aus. Betrachtet man hingegen, wie sie mit den privaten Daten ihrer Nutzer umgehen, kann von Benutzerfreundlichkeit keine Rede sein. Um Abhilfe zu schaffen, präsentiert Steven für jeden Einsatzbereich Alternativen.

Statt ausschließlich mithilfe von Google zu suchen, empfiehlt es sich, DuckDuckGo zu verwenden. Die Metasuchmaschine mit eigenem Webcrawler sammelt keine persönlichen Daten. Personalisierte Werbung und Filterblasen können dadurch reduziert werden.

Der Web-Browser Mozilla Firefox belegte bei der Abstimmung bereits den ersten Platz in seiner Kategorie. Durch die vielfältigen Einstellungsmöglichkeiten, Erweiterungen und Plugins ist er besonders anpassbar. Auch das sogenannte Tor Browser Bundle, welches anonymes Surfen ermöglicht, setzt auf eine modifizierte Firefox-Version.

Inzwischen verschlüsselt der Messenger-Dienst WhatsApp zwar die Nachrichten seiner Nutzer, die Kontakt- und Verbindungsdaten werden aber weiterhin erfasst. Es ist daher ratsam auf die freie Messenger-App Signal umzusteigen. Diese wird unter anderem von dem Whistleblower Edward Snowden genutzt. [7]

Die Open Source Software Cryptomator kann eingesetzt werden, um Dokumente nutzerseitig zu verschlüsseln bevor sie in der Cloud gespeichert werden. Für Dropbox und Co sind die Dateien dann nicht mehr lesbar. Der Eigentümer hingegen kann sie komfortabel wieder entschlüsseln.

Für die sichere Verwaltung von Notizen, Lesezeichen und vielem mehr eignet sich Turtl. Die privaten Dateien werden verschlüsselt, können bei Bedarf jedoch gezielt mit anderen geteilt werden.

Bei Linphone handelt es sich um eine freie VoIP-Software für Sprach- und Videotelefonie. Für die Übertragung werden Protokolle genutzt, welche Verschlüsselung gewährleisten (zRTP, TLS, SRTP). Eine gute Alternative für Videotelefonie via Skype.

Der webbasierte Editor Etherpad ermöglicht es mehreren Personen, zeitgleich an einem Dokument zu arbeiten. Obwohl Google Inc. die Software aufgekauft hat, steht sie unter einer Open-Source-Lizenz zur Verfügung. Somit kann Etherpad auf einem eigenen Server installiert werden und Google Docs ersetzen. Wer weniger Aufwand betreiben möchte, kann Etherpad-Umgebungen nutzen, die von anderen bereitgestellt werden. Beispiele hierfür sind PiratePad, TitanPad oder auch das Piratenpad, welches von der Piraten Partei angeboten wird. Da externe Hosts per se ein potentielles Sicherheitsrisiko darstellen, sollte darauf geachtet werden, dass es sich um vertrauenswürdige Anbieter handelt.

ProtonMail ist eine Alternative zu Gmail, GMX oder Web.de. Der kostenfreie E-Mail-Dienst wurde am Forschungszentrum CERN entwickelt und gewährleistet eine Ende-zu-Ende-Verschlüsselung. Die zugehörigen Server stehen in der Schweiz.

Zuletzt empfiehlt Steven ein Programm zur Verwaltung der eigenen Passwörter. KeePass Password Safe verschlüsselt die persönliche Passwortsammlung mit einem Master-Passwort und bietet die Möglichkeit, zufällige Passwörter generieren zu lassen.

Epilog

Nach 90 Minuten lebhafter Diskussion über das Thema Data Tracking und den Austausch darüber, wie private Daten geschützt werden können, neigt sich der Workshop dem Ende entgegen.
„We hope we could inform you and raise awareness. We would be very happy if we continue to discuss this issue via social networks and pass it on. After all, we should think about one thing … “, schließt Kristina den Workshop ab und wechselt zur letzten Präsentationsfolie.

„If you are not paying for it, you’re not the customer; you’re the product being sold.“
– Andrew Lewis

 


Quellen, Literatur, Hinweise

  1. Mcdonald, Aleecia M.; Cranor, Lorrie Faith (2008): The Cost of Reading Privacy Policies. In: I/S: A Journal of Law and Policy for the Information Society 4 (3), S. 543–568. Online verfügbar unter http://hdl.handle.net/1811/72839.

  2. Egelman, Serge; Cranor, Lorrie Faith; Chowdhury, Abdur (2006): An Analysis of P3P-Enabled Web Sites among Top-20 Search Results. In: Mark S. Fox und Bruce Spencer (Hg.): ICEC ‚06 Proceedings of the 8th international conference on Electronic commerce. 8th international conference on Electronic commerce. Fredericton, New Brunswick, Canada. New York, NY, USA: ACM, S. 197–207. Online verfügbar unter https://doi.org/10.1145/1151454.1151492.


  3. Heise, Christian; Heise, Ansgar; Persson, Christian (Hg.): heise online Glossar, Stichwort: Cookie. Heise Medien. Online verfügbar unter https://www.heise.de/glossar/entry/Cookie-398723.html.


  4. Lackes, Richard; Siepermann, Markus; Kollmann, Tobias: Gabler Wirtschaftslexikon, Stichwort: Cookie. Hg. v. Springer Gabler Verlag. Online verfügbar unter http://wirtschaftslexikon.gabler.de/Archiv/81877/cookie-v10.html.

  5. OnPage.org: Third Party Cookies. Online verfügbar unter https://de.onpage.org/wiki/Third_Party_Cookies.

  6. Herbert Braun (2014): Fingerabdrücke auf der Leinwand. Browserprofile mit Canvas-Fingerprinting. Hg. v. Christian Heise, Ansgar Heise und Christian Persson. Heise Medien. Online verfügbar unter http://heise.de/-2283693.

  7. Tweet von Edward Snowden (@Snowden) am 2. November 2015 via Twitter.com: https://twitter.com/Snowden/status/661313394906161152.


weiterführende Literatur bezüglich Canvas Finterprinting:

  • Acar, Gunes; Eubank, Christian; Englehardt, Steven; Juarez, Marc; Narayanan, Arvind; Diaz, Claudia (2014): The Web Never Forgets: Persistent Tracking Mechanisms in the Wild. In: Gail-Joon Ahn, Moti Yung und Ninghui Li (Hg.): CCS ‚14 Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. the 2014 ACM SIGSAC Conference on Computer and Communications Security. Scottsdale, Arizona, USA. New York, NY, USA: ACM, S. 674–689. Online verfügbar unter https://doi.org/10.1145/2660267.2660347.

  • Mowery, Keaton; Shacham, Hovav (2012): Pixel Perfect: Fingerprinting Canvas in HTML5. In: Proceedings of W2SP 2012. IEEE Computer Society Security and Privacy Workshops. San Francisco. IEEE Computer Society. Online verfügbar unter http://w2spconf.com/2012/papers/w2sp12-final4.pdf.