Veröffentlicht am Kategorien News, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, UrteileTags , , , , , , , , , , , , , , , Leave a comment

US-Klage wg. Datenschutz: Auswertung von Internet-Surfverhalten?

Nach der jüngsten Klage in Sachen Flash Cookies haben die gleichen Anwaltskanzleien nun eine neue Klage vor dem United States District Court (Central District of California) eingereicht, diesmal gegen Unternehmen wie Disney, Playlist.com und SodaHead. Der Vorwurf: diese Webseiten hätten ein spezielles Flash Cookie von Clearspring eingesetzt, welches das Internet-Surfverhalten insgesamt auswertet.

US-Klage wg. Datenschutz: Auswertung von Internet-Surfverhalten? weiterlesen

Veröffentlicht am Kategorien News, Politik, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, Recht, Software, UrteileTags , , , , , , , , , , , , , , , , , , , 5 Comments

Flash-Cookies: Zombies im Datenschutzrecht?

Diverse Blogs im Internet haben letzte Woche über den Start eines höchst interessanten Prozesses in den USA berichtet. Am 23. Juli 2010 wurden die Internetseiten MTV, ESPN, MySpace, Hulu, ABC, NBC und Scribd vor dem United States District Court (Central District of California) verklagt (Klageschrift hier abrufbar).

Die Beklagten hatten – so lautet die Klageschrift – Flash Cookies gesetzt, welche die von den Nutzern gelöschten Cookies wiederherstellten. Daraufhin wurde das Verhalten der Nutzer auf den Webseiten getrackt.

Dieser Artikel soll die technischen Hintergründe der Flash Cookies vor dem Hintergrund des deutschen Datenschutzrechts erläutern.

Flash-Cookies: Zombies im Datenschutzrecht? weiterlesen

Veröffentlicht am Kategorien Kommentar, NewsTags , , , , , , , , , , , Leave a comment

Das Cookie-Syndrom

Das Thema wird nie aussterben: Ich weiß noch genau, wie ich bewusst zum ersten Mal 1999 in der InternetWorld oder Internet-Professionell einen Artikel über die “bösen Cookies” gelesen habe. Seitdem hat sich viel getan, – abgesehen von doch erheblich verbesserten Browser-Optionen – nämlich den Niedergang des damals so hoffnungsvollen P3P-Projektes, der Möglichkeit “anonymer” Sitzungen in Browsern in denen auf Cache & Cookies verzichtet wird sowie der Entwicklung kostenloser Tools wie CCleaner.

Dennoch steht das Thema nun bei der EU auf der Tagesordnung und die Befürchtung macht schon die Runde, dass Cookies gar nicht mehr möglich sind. Zu dem Thema sind mir zwei Artikel besonders ins Auge gefallen: Die Darstellung bei Heise und die bei RA Stadler.

Das Cookie-Syndrom weiterlesen

Veröffentlicht am Kategorien Kommentar, SoftwareTags , , , , , 8 Comments

Hinweis: Chrome ist langsam, weil…

Stark Offtopic dieser Hinweis: Ich habe parallel zu meinem beliebten Firefox testweise Google Chrome im Einsatz (ich motze ungerne über Dinge die ich nur theoretisch kenne), dabei fällt mir durchweg auf, dass Chrome in der Tat sehr schnell ist. Angenehm schnell – mit einer Ausnahme.

Immer dann, wenn Videos angezeigt werden (Youtube, Myspace, aber auch Werbevideos auf sonstigen Webseiten) schnellt die Prozessorlast auf 99%. Das habe ich auf mehreren, teilweise exorbitant ausgestatteten Rechnern nachgestellt.

Den Hinweis gibt es hier, weil ich bei einer Suche festgestellt habe, dass in einigen Foren diskutiert wird, das Chrome mitunter plötzlich diese hohe Prozessorlast verursacht – aber niemand scheint zu wissen, woran es liegt. Jedenfalls bei mir liegt der Zusammenhang zu (FLash?)-Videos auf der Hand. Ob man das mit der Aktualisierung einer Flash-Bibliothek beseitigen kann weiß ich nicht, jedenfalls sollte bei mir alles aktuell sein. Vielleicht findet ja jemand eine Lösung für dieses (extrem nervige) Problem.

Veröffentlicht am Kategorien Freitags-KommentarTags , , , , , , , , , , 10 Comments

SPON betreibt Datenschutz: Schuld ist die böse EU

SPON kämpft für den Datenschutz:

Die EU-Ratspräsidentschaft versucht, ein Zustimmungsverfahren zu Cookies einzuführen. Das klingt zunächst nach einer langweiligen Marginalie. Bis man begreift, dass Sie mehrere Einverständniserklärungen hätten unterzeichnen müssen, um auch nur diese Zeilen zu lesen.

Das ist so eine Sache mit der informationellen Selbstbestimmung: Wenn man die ganz formal umsetzt, wäre es durchaus bei jeder Datenerhebung – selbst bei einer anonymen  -nötig mal nett vorher zu fragen, ob das so geht.

Nun ist EU-bashing zur Zeit Mode und auch ich denke, dass wir weitaus grössere Probleme haben, als die nervigen Kekse. Doch ich möchte ein paar kritische Punkte anmerken. Nicht um dem Autor ganz zu widersprechen, doch um wenigstens selber nicht ganz ungefiltert zu schlucken, was beim Spiegel da präsentiert wird.

Zum einen erklärt der Autor:

Ich persönlich habe meinen Browser deshalb so eingestellt, dass er sie bei jedem Schließen des Programms komplett löscht.

Das ist schön, ich wette aber: Er hat es nicht. Und zeigt damit – wenn es so ist wie ich vermute – dass die EU nicht ganz falsch liegt. Jedenfalls normale Text-Cookies wird er mit dem beschriebenen Verfahren durchaus löschen, das stimmt. Nicht aber die quasi unsichtbaren Flash-Cookies von denen er – wie wohl der Grossteil der Nutzer – noch nie etwas gehört haben wird. Auf die aber setzen inzwischen Seiten wie ebay & co.

Auch sonst bin ich kritisch, denn der Spiegel finanziert sich über Werbung, die ihrerseits eine Analyse vorweisen muss. Ist das vielleicht der Grund, warum der Autor nur vom nachherigen Löschen der Cookies spricht und zum Beispiel die Möglichkeit, Cookies generell zu blockieren und nur im Ausnahmefall zuzulassen, gar nicht erwähnt? Muss ich hier ansetzen um die Erklärung zu finden, warum man eine ganze Bildergalerie zum Konfigurieren der nachheirgen Löschung einstellt – aber nicht auf das verbreitete AddOn CS-Lite für den Firefox verweist? Ich bin kritisch, nicht mehr, nicht weniger.

Auch dieses Argument überrascht mich ein wenig:

Kein Wunder, denn in der Praxis würde die Ergänzung zur ePrivacy-Richtlinie bedeuten, dass Sie auf jeder besuchten Web-Seite mit ganzen Kaskaden von Pop-up-Verträgen belästigt würden.

Ist das so richtig? Der Autor schreibt so, als ob eine Webseite bei jedem Zugriff auf ein Cookie nachfragen muss. Das passt nicht zu meinen Infos (offizielles gibt es ja nicht), aber auch nicht zu der üblichen Art wie das Opt-In-Verfahren gehandhabt wird – vielmehr ist zu erwarten, dass man bzgl. eines bestimten Datenverarbeitungsprozesses die Erlaubnis erteilt und das dann reicht. Hier wird ein Szenario hraufbeschworen, ohne dass der Autor es mit dem Wortlaut der Regel belegt noch auf ähnliche Prozeduren beim sonstigen Opt-In verweisen kann.

Natürlich hat der Autor Recht, wenn er schreibt:

Die EU-Parlamentarier finden es okay, wenn unsere Vorstrafen zwecks Terrorrabwehr an US-Behörden vermailt werden und unsere ganze Kommunikation auf Monate dokumentiert wird. Hauptsache, niemand bekommt ohne ausdrückliches Einverständnis einen Cookie.

Aber ist das nicht ein Trick? Eine Verballhornung der Leser? Jetzt ehrlich: Mit dem Argument ist jegliche Aktion gegen tägliche Probleme des Datenschutzes unbedeutend, da nichts aus unserem Alltag mit den herausragenden Problemen zu vergleichen ist, die unsere Überwachungswütigen Politiker da schaffen. Auch hier sehe ich, wieder kritisch, dass schon fast aggressiv gegen die ohnehin unwahrscheinliche Möglichkeit gewettert wird, dass Webseiten ohne Nach-Fragen jedenfalls keine fremden Textdateien mehr hinterlegen können.

Neben dem Stirnrunzeln, mit dem ich den Artikel beim Spiegel lese, der für mich nur ein Plädoyer für die bisherige überalterte und nutzlose Form der Internetwerbung ist, möchte ich die Pläne der EU aber nicht gutheißen: Sie sind ein interessanter Gedanke, aber nicht mehr. Abgesehen davon, dass ich mich frage, wie man das technisch umsetzen soll, gäbe es heute geschicktere Wege: So ist der Zug noch nicht abgefahren, endlich P3P zum zwingenden Standard zu erklären. Auch wenn das sicherlich kaum ein Glossen-Autor auf Anhieb versteht. Es gäbe die einfachere Möglichkeit, die Vorgabe zu erstellen, dass Browser die ohnehin vorhandene Block-Möglichkeit als Standard-Einstellung wählen und User problemlos entscheiden können, was sie möchten.

Im Ergebnis bleibt bei mir nur eine Frage; Eine Frage, die sehr viel eher einen Artikel und einen Kommentar wert wäre. Ich zitiere noch einmal und hebe hervor:

Der EU ist das nicht genug. Sie berät zurzeit über eine Neufassung des Artikels 5 der Richtlinie zur Privatsphäre und Elektronischen Kommunikation (kurz „ePrivacy-Richtlinie“), die Gutes will und Brachiales verursachen könnte. Der seit Freitag vorliegende, nicht öffentliche Textvorschlag der EU-Ratspräsidentschaft läuft informierten Kreisen zufolge angeblich darauf hinaus, den Einsatz von Cookies an ein Opt-in-Verfahren zu koppeln.

Schon sehr bald ist die Europawahl. Solange es auf dieser Ebene, bei der Juristen in Lehrbüchern offen von einem Demokratiedefizit schreiben, und die Richtlinien erlässt, deren Umsetzung in nationales Recht ohne eigene Gedanken von unseren Abgeordneten abgenickt werden, solange es auf dieser Ebene noch “nicht öffentliche Textvorschläge” gibt – solange muss man sich nicht wundern, dass wir bald bei einer Wahlbeteiligung unter 20% sind. Doch auch dem Spiegel sind ein paar Zeilen zu nach eigenen Angaben belanglosen Keksen – die man zur eigenen finanzierung braucht – offenbar wichtiger, als die kritische Analyse geheimer Gesetzesinitiativen auf EU-Ebene. Prioritäten weiss offenbar nicht nur die EU nicht zu setzen. Oder eben doch. Wie man es eben sieht.

Veröffentlicht am Kategorien NewsTags , , , , Leave a comment

Webseiten mit gefaelschten Reuters-Meldungen verbreiten Schadsoftware

Eine Meldung des BSI:

Ein Botnetz namens „Waledac“ verbreitet derzeit massiv mehrere Varianten von englischsprachigen Spam-Nachrichten, in denen Bezug auf ein vermeintliches Bombenattentat genommen wird. Die Betreffzeilen lauten z. B. „I hope you are ok“ oder „At least 18 killed in your city“. Neben einer kurzen Schlagzeile ist im Inhalt der E-Mail auch ein Link angegeben.

Klickt der Empfaenger der E-Mail auf den Link, gelangt er auf die Webseite einer gefaelschten Reuters-Pressemeldung. Bezeichnend ist dabei, dass die gefaelschte Pressemeldung Geoinformationen der IP-Adresse des Opfers nutzt, um die Schlagzeile der Meldung mit lokalem Bezug zu generieren. Ein Berliner Anwender erhaelt z. B. eine
Schlagzeile wie „Powerful explosion burst in Berlin this morning“.

Die Schadsoftware mit variablem Dateinamen ist ueber die Grafik eines vermeintlichen Flash-Video-Abspielers verlinkt, die sich auf der gefaelschten Pressemeldungsseite befindet. Mit der darunter stehenden Aufforderung „Click here“ soll der Nutzer zum Download der Schadsoftware verleitet werden. Die Erkennungsrate der aktuellen Schadsoftware-Versionen ist bei den gaengigen Antivirus-Anwendungen noch sehr niedrig.

Empfaenger dieser Spam-Nachrichten sollten die E-Mails umgehend loeschen und die Links nicht aufrufen.

Veröffentlicht am Kategorien Praxis - Für BetroffeneTags , , , , , , , Leave a comment

Flash-Sicherheit

Wer in den heutigen News die Meldung zu eBay gelesen hat, fragt sich vielleicht was Flash-Cookies sind und wie man die deaktiviert. Interessant ist auch, dass Flash-Anwendungen (evt. heimlich?) Zugriff auf Mikrofon und Kamera des Betroffenen Rechners nehmen können. Nette Aussicht. Wer all das selber festlegen möchte, findet hier die Einstellungen seines Flash-Players und stellt am besten alles ab bzw. auf „immer nachfragen“: Einstellungen aufrufen.