Das Datenschutz-Blog

Marketingmaßnahmen per E-Mail sind eine kostengünstige Möglichkeit, die eigenen Produkte zu bewerben. Häufig wird von Unternehmen hierbei auf spezielle E-Mail-Marketing-Software zurück gegriffen, die sowohl die gesicherte Zustellung wie auch das spezifizierte Adressmanagement beherrscht. Hierbei sind zahlreiche rechtliche Vorgaben zu beachten. Der folgende Beitrag untersucht insbesondere die wettbewerbs- und datenschutzrechtlichen Aspekte beim Einsatz solcher Software.

Beitrag weiterlesen »

Nach dem Systemcrash ist die Panik groß und die so gut durchdachte Backup-Strategie zeigt gerne einmal kleine, aber wichtige Lücken. Wer Tools sucht, um zu retten, was noch zu retten ist, der sollte sich den Ubuntu-Rescue-Remix merken – ein Ubuntu speziell als Datenrettungs-Compilation, das sich von CD und auch vom USB-Stick booten lässt.

Erhältlich ist es – gerade aktualisiert auf Ubuntu 9.10 – unter http://ubuntu-rescue-remix.org/

Stark Offtopic dieser Hinweis: Ich habe parallel zu meinem beliebten Firefox testweise Google Chrome im Einsatz (ich motze ungerne über Dinge die ich nur theoretisch kenne), dabei fällt mir durchweg auf, dass Chrome in der Tat sehr schnell ist. Angenehm schnell – mit einer Ausnahme.

Immer dann, wenn Videos angezeigt werden (Youtube, Myspace, aber auch Werbevideos auf sonstigen Webseiten) schnellt die Prozessorlast auf 99%. Das habe ich auf mehreren, teilweise exorbitant ausgestatteten Rechnern nachgestellt.

Den Hinweis gibt es hier, weil ich bei einer Suche festgestellt habe, dass in einigen Foren diskutiert wird, das Chrome mitunter plötzlich diese hohe Prozessorlast verursacht – aber niemand scheint zu wissen, woran es liegt. Jedenfalls bei mir liegt der Zusammenhang zu (FLash?)-Videos auf der Hand. Ob man das mit der Aktualisierung einer Flash-Bibliothek beseitigen kann weiß ich nicht, jedenfalls sollte bei mir alles aktuell sein. Vielleicht findet ja jemand eine Lösung für dieses (extrem nervige) Problem.

Die (mediale) Panik wird immer grösser – wer Sorge hat, sich “Conficker” eingefangen zu haben, findet bei Symantec ein kostenloses Tool, das den Rechner durchsucht und den Störenfried entfernt.

Update: Da sich auch im April 2009 der Conficker-Wahn weiter hält, hier ein paar aktuelle Links und Infos zum Thema:

1. Wer den Verdacht hat, dass er sich den Conficker-Wurm gefangen hat, kann auf dieser Heise-Seite sofort sehen, ob da was dran ist.
2. Die Uni-Bonn bietet eine Sammlung von Tools im Einsatz gegen Conficker, zu finden hier
3. Technische Analyse des Conficker-Wurms

Sammlung weiterer Removal-Tools:

• Sophos, (deutsch) – ssconftool_10_sfx.exe
• Symantec (englisch) – FixDwndp.exe
• F-Secure (englisch) – f-downadup.zip
• McAfee (englisch) – Stinger_Coficker.exe
• Trend Micro (deutsch) – SysClean-WORM_DOWNAD.zip
• Kaspersky (deutsch) – KKiller_v3.4.3.zip
• BitDefender (englisch) – bd_rem_tool.zip
• Eset (NOD32) (englisch) – EConfickerRemover.exe

Zum Thema Netzsperren: Der CCC hat den Entwurf eines Vertrages zwischen dem BKA und Providern zur “Sperrung” von Webseiten online gestellt (hier als PDF).

Update: Die Punkte 7-9 sind hinzugekommen.

Dazu ganz kurz was mir als erstes ohne nähere Prüfung durch den Kopf schießt:

1. §1 II des Vertrages ist schon fraglich: Besteht angesichts der Regelungen im StGB iVm §134 BGB überhaupt ein Anspruch eines ISP-Kunden auf Zugang zu KiPo-Seiten? Ist die Erwähnung in AGB überhaupt nötig? (Nachtrag: Ich denke ja, da ja insgesamt Seiten gesperrt werden und auch Fehler auftreten können – und werden.)
2. Man muss wissen, dass Vertrag nicht gleich Vertrag ist. Ich denke, dies hier ist ein öffentlich-rechtlicher Vertrag nach den §§54ff. VwVfG des Bundes (hier handelt eine Bundesbehörde). Der aber setzt voraus, dass das BKA als Behörde sachlich, örtlich, funktionell und instantiell zuständig ist, was sich nach den entsprechenden Normen beurteilt. Bisher gibt es aber gerade keine Norm (was ja das Problem ist), mit der sich eine solche Zuständigkeit begründen lässt, insofern ist schon die formelle Rechtmäßigkeit des Vertrages in Zweifel zu ziehen.
3. Es sind bei öff-rechtlichen Verträgen die allgemeinen Rechtsgrundsätze des Verfassungs- und Verwaltungsrechts zu beachten. Nicht nur dass im Verwaltungsrecht ausdrückliche Normen fehlen, es stellt sich auch die Frage, in wie fern sich daher der Eingriff in die Art. 2, 5, 10, 12 GG rechtfertigen lässt.
4. Praktische Probleme: Wenn etwa Seitenzugriffe gezielt erfolgen sollen, etwa via Strafverfolgungsbehörden oder seitens der Lehre (Uni), wären diese Zugriffe ja gerade nicht mehr möglich.
5. §3 IV verpflichtet die Provider, eine Stopp-Seite (also ein Template) des BKA zu nutzen. Dabei ist es dem BKA belassen, wie die Seite aussieht, also auch, ob etwa Javascripte platziert werden, die die IP der betroffenen User an das BKA übermitteln.
6. Es stellt sich die Frage, ob die Kunden entgegen §3 V nicht das Recht haben, zu wissen, welche Seiten blockiert sind, also ob hier nicht das Wettbewerbsrecht betroffen ist. Dies mag zwar via Gesetz ausgehebelt werden, aber eben nicht durch einen einfachen Vertrag.
7. “Dritte”: Nach §58 I VwVfG müssen Dritte, in deren Rechte eingegriffen wird, schriftlich zustimmen. Hier ist nicht nur an die Kunden der ISP zu denken, sondern auch an geblockte Seitenbetreiber. Klingt wie ein schlechter Scherz, ist aber ein interessantes Problem. Eventuell wird deswegen auch die AGB Regelung aufgenommen, hier wird eine Zustimmung der Kunden fingiert (wenn auch nicht schriftlich). Fraglich ist, ob man hier schon wegen der grundrechtsbetroffenheit eine Drittbetroffenheit sieht, wird wohl die Mehrheit verneinen; Weiterhin ist zu prüfen, ob in den Regelungen des TKG und TMG Regelungen mit Drittschutzfunktion gesehen werden können, das kann und will ich hier aber nicht im Detail prüfen.
8. Der Vertrag könnte schon nach §59 II Nr.1 VwVfG nichtig sein, weil ein entsprechender Verwaltungsakt wahrscheinlich nichtig wäre.
9. Nochmals “Dritte”: Aufgrund des Eingriffs in die Rechte Dritter könnten auch Dritte klagebefugt sein – so etwa Kunden und Seitenbetreiber. Bürgerrechtlern eröffnet das den Weg, Musterklagen anzustreben.

Das nur aus dem Bauch raus, es folgen sicherlich bald detaillierte Analysen. Insofern ist dieser Eintrag als (streitbare) Vorlage für weitere Beiträge zu verstehen.

Gerade wird via Twitter darauf hingewiesen, dass Google mit TOR Probleme machen und Zugriffe blocken soll. Hinweis dazu: Das Phänomen ist schon älter und es wird gemutmaßt, dass Google wohl bei manchen Exit-Nodes abhängig diese Meldung anzeigt.

Meine Anmerkung: Diese Seite sieht man bei Google schon bei realtiv wenigen zugriffen. Bei mir reichen um die 200 Zugriffe in wenigen Minuten um die Seite zu erzeugen. Wenn nun TOR aktiv genutzt wird gerade entsprechend viele Anfragen via den gleichen Exit-Node bei Google ankommen, sind 200 Anfragen in wenigen Minuten schnell erreicht. Mich wundert das daher nicht und ich muss nicht überlegen, ob Google TOR blockt.

Kurzer Hinweis: Wer unter Windows seine Thunderbird (und Firefox) installation sichern möchte, ist mit MozBackup gut bedient.

Es wird die Frage aufgeworfen, ob das Akismet-Plugin rechtswidrig ist – ich tendiere zu einem “ja”, mit folgenden Stellungnahmen:

1. Wenn das Akismet-Plugin die IP-Adresse der Kommentar-Verfasser an Dritte übermittelt, hängt es an der Frage, ob die IP ein personenbezogenes Datum ist. Auch wenn ich das bejahe: Es ist umstritten. Man kann also in diesem Punkt davor warnen, es ist aber bestenfalls eine Grauzone. Insgesamt ist dies analog zur bei mir geführten Google-Analytics-Diskussion zu sehen.
2. Sofern, wie angegeben, der angegebene Nutzername übermittelt wird, muss man den User darauf hinweisen, damit er einen geeigneten Nutzernamen auswählt und ggfs. nicht den Klarnamen nutzt.
3. Kritisch sehe ich, dass wohl die Mail-Adresse übermittelt wird: Die ist nämlich bei vielen Formularen Pflicht und nicht nur ein personenbezogenes Datum, sondern den Usern auch heilig. Hier muss ein Hinweis und eine vorherige Einwilligung erhoben werden.

Die Akismet-Datenbank kann ich problemlos als “Auskunftei” einstufen und auch wenn Akismet einen anderen Charme hat: Wer will kann es als Spam-Schufa betrachten. Und wie würden wir wohl mit SHops umgehen, die ohne Hinweis und Einwilligung Daten an die Schufa übermitteln?

Man sollte das Thema mal in Ruhe angehen. Ich habe diesmal bewusst den Schwerpunkt bei Username und Mailadresse gelegt (und nich bei der IP). Während die IP-Frage bis heute umstritten ist, ist das mit Username und Mailadresse schon problematischer als z.B. Google Analytics.

Auch wenn die Fragen nicht gefallen, sollte man Angriffe denen gegenüber, die sie stellen, unterlassen. Deswegen ist aber nicht gleich Bloggen rechtlich bedenklich, sondern Akismet muss prüfen, ob man nicht einfach Server in der EU einsetzt (bisher USA), weil die USA datenschutzrechtlich ein Drittstaat iSd BDSG sind, was das Thema nochmal etwas heikler macht. Dazu auch diesen Blog-Eintrag beachten.

Wer (so wie ich) einen USB-Stick nutzt und nur darauf seine privaten Daten ablegt, der sollte ganz dringend ein Backup davon ziehen. Sofern man nicht ohnehin alles in einem Truecrypt-Container hat (also nur eine Datei sichern muss), kann das Backup ganz nervig sein: Wenn z.B. mehrere tausend Dateien auf dem Stick liegen und man die einfach kopiert, geht da einiges an Zeit ins Land. Sinnvoller ist es dann, ein echtes Image anzulegen, also einfach die Sektoren schrittweise auszulesen, das geht schneller.

Bei der Suche nach brauchbarer Software hierzu habe ich was vernünftiges gefunden, auf das ich hier hinweisen möchte. Kostenlos und sehr schnell – absolut überzeugend.

Der Vollständigkeit halber verlinke ich hier noch ein Tool von Microsoft, das sehr mächtig ist und mehr Funktionen bietet – aber leider bei mir ständig abstürzt.

Hinweis: Erzeugte Images bitte mit Truecrypt sichern!

Ich bin über ein sehr gutes Statistik-Tool für Wordpress gestolpert, das man relativ schnell datenschutzkonform gestalten kann. Der name ist Wassup und der Vorteil ist, dass das Tool eben nicht den primitiven Weg des Einbinden von Javascripten geht, sondern “selber” von den externen Quellen die Daten abruft, so wie von mir schon länger als Alternative zu den bisherigen Verfahren beworben.

Das Tool bietet zum Beispiel ein Geo-IP-Tagging mittels Google-Datenbank – wenn man sich die Datei ansieht, sieht man, dass das Tool meinen empfohlenen Weg geht:

1. Zuerst die IP des Users ermitteln (hier setze ich dann gleich an)
2. Das Skript übermittelt die IP selbstständig an Google
3. Das Ergebnis wird ausgelesen und lokal gespeichert

Natürlich: Hier wandert wieder eine IP. Aber: Dadurch dass man die selbst mitteilt (also nicht der Client automatisch via JS) kann ich die IP vor der Übermittlung verändern. Durch den Zugriff des Skriptes wird auch nur die IP meins Servers mitgeliefert und nicht die Client-IP. Das Ergebnis ist insofern sauber, das Problem ist, dass ich (nach meiner eigenen rechtlichen Auffassung) momentan nicht zwischen einer Fake-IP und einer “echten IP” unterscheiden dürfte.

Das heisst, wenn ich eine vollständige IP übermittle, die aber nicht die des aktuellen Users ist, handelt es sich dennoch (bei meiner aktuellenr echtlichen Auffassung) um ein personenbezogenes Datum, das nicht übermittelt werden darf. Hier arbeite ich noch an meiner Dogmatik bzw. einem technischen Ausweg und weise nur darauf hin, dass ich mir des Problems bewusst bin. Da es nur wenige gibt, die das personenbezogene Datrum so eng auslegen wie ich, ist das aber eher ein persönliches Problem.

Für die meisten Nutzer ist Wassup ein sehr gutes Tool, das man selbst schnell anpassen kann und ein kleiner Lichtblick beim Thema IP-Adressen und Webmaster ist. Nicht zuletzt auch, weil es zeigt, dass es problemlos möglich ist, ohne direkte Übermittlung von echten Daten an Dritte zu arbeiten. Ich biete hier übrigens (noch) kein angepasstes Paket an, weil ich bisher nur sehr langsam durch den Code komme und noch nicht alles geprüft habe. Bis dahin wollte ich zwar schon den Hinweis geben, es aber nur indierekt bewerben.

Ein kleiner Tipp am Rande: In nächster Zeit wird das Thema “Firewall” zunehmend thematisiert werden. Vor allem die “Hardware-Firewall” wird nach meiner Einschätzung schon bald stärker bemerkt werden.

Ich weise in diesem Rahmen schon jetzt auf “Yoggie” hin, die eine Fülle von Hardware-Lösungen (auch für Privatanwender) bereit halten, die jedenfalls intererssant wirken. Die Übersicht ist hier zu finden. Speziell die USB/PCExpress Lösung dürfte für kleine Büros und Privatanwender von Interesse sein, zumal man sich im Regelfall via SSH einloggen und das System anpassen kann.

Andererseits, so viel Realismus muss sein, wird kaum ein Standardanwender sich via SSH einloggen können, geschweige denn auf einer Konsole IPTables/IPChain konfigurieren können. Insofern sind “normale” Anwender auch in Zukunft vom Anbieter bzw. externem Service abhängig – was unvermeidbar ist.

Es wird gewarnt, dass durch eine Sicherheitslücke im backend von Wordpress auf eine nicht-echte Version 2.6.4 hingewiesen wird. Alle Infos dazu hier.

Und wenn ich schonmal dabei bin: Wer den VLC-Player einsetzt, sollte sich die aktuelle Version ziehen. Da gab es auch ein Update wegen Sicherheitsproblemen.

Ich hatte wohl doch Recht: Google Chrome ist nicht Chromium. In einem aktuellen Blog-Eintrag der Entwickler wird dargelegt, wann der Browser “nach Hause telefoniert”. Die Liste ist lobenswert ehrlich und ich möchte sie nicht kritisieren – Transparenz war ja, was ich angemehnt hatte.

Interessant ist aber dann, dass es u.a. folgenden Abschnitt gibt:

Communications between Google Chrome (but not Chromium) and service providers

Sinn macht der nur, wenn Chrome und Chromium nicht das gleiche sind. Und eben nicht nur im Sinne des üblichen Unterschieds zwischen Sourcecode und Binary.

Bei Heise findet sich ein gut geschriebener Artikel, der die aktuellen Auswüchse zum Cross-Site-Scripting (XSS) beschreibt. Den Artikel findet man hier, speziell die Javascript-Würmer werden nochmals erklärt.

Hinweis: PHP-Programmierer finden hier meinen PHP-Security Guide, der die wesentlichen Infos rund um das Thema “sicheres PHP-Programmieren” gibt.

Auch wenn es Heise schreibt geschrieben hat ist es falsch:

Firefox sendet wie Chrome Daten an Google [...] safebrowsing bedeutet, dass Google bei jeder URL anhand einer Liste prüft, ob es sich um eine sogenannte böse Webseite handelt.

Update: Heise hat den Fehler erkannt und prompt den (schon fast peinlichen) Artikel um 80% gekürzt. Jetzt steht dort stattdessen eine Richtigstellung. Inzwischen gibt es auch eine ausdrückliche Entschuldigung für den Unsinn – mal sehen ob die Chrome-Fan-Blogs dem Vorbild folgen und die “FireFox ist genauso-”Hysterie endlich ein Ende hat.

Richtig ist: Der Firefox hat “Safebrosing” installiert. Dabei wird eine lokale Datenbank bereit gehalten, in der “böse” URL stehen. Wenn die eingebene Domain (als Hash-Wert) in der Datenbank steht, wird der Hash-Wert nochmal bei Google gegengeprüft.

Das ist ein klein wenig anders als Chrome, wo jedes eingegebene Zeichen in der Adresszeile bei Google landet (nochmal der Link wie das genau aussieht). Man mag darüber streiten, ob es jetzt schön ist, dass es dieses Verfahren gibt und dass es von Anfang an aktiviert ist – allerdings ist es schon sehr lange bekannt und es gab bisher nie einen Aufschrei deswegen. Dieses mehrstufige Verfahren dann noch mit “Chrome” gleichzusetzen grenzt an Dummheit.

Links dazu:

1. Phishing Schutz im FireFox
2. Infos zu Google Safebrosing, man beachte den Abschnitt hier daraus: “The list does not include the full URL of each suspicious site. Instead, each URL is hashed (obscured so it can’t be read) and then broken into portions. Only a portion of each hashed URL is included on the list on your browser.“
3. Zum Spreeblick…