Datenschutz dauert halt ein wenig

“Diese blöden Cookie-Banner. Da hat uns die EU ja was eingebrockt.” – Es gibt immer noch Menschen die den Sinn nicht verstehen. Die EU hat keine Pflicht zur Erstellung eines Cookie-Banners erlassen, weil es eben keine Pflicht gibt, Cookies zu setzen. Website-Betreiber, die auf Tracking-Cookies verzichten müssen keine entsprechenden Banner präsentieren.

Ich glaube es gibt immer noch genug Leute, die ganz “pflichtbewusst” auf “Alle Cookies annehmen klicken”. Früher was das Ablehnen von unnützen Cookies ja auch manchmal eine Herausforderung. Da war z.B. Yahoo, wo man in einer Liste von hunderten (!) Werbepartner alle einzeln abwählen musste. Mittlerweile wurde solchen Auswüchsen ja ein Riegel vorgeschoben, in dem man nun die Cookies genau so leicht ablehnen kann, wie man sie auch akzeptieren kann.

Aber natürlich gibt es wieder windige Tracking-Anbieter, die diese Regelung umgehen wollen, um den Nutzer dazu zu bringen doch die Cookies zu akzeptieren. So kann das pauschale Ablehnen von Cookies schon mal einige Minuten dauern. Immerhin betrifft das ja 784 Partner. Und wie es sich für so eine Fortschrittsanzeige gehört, bleibt die auch lange bei 98% hängen.

Ich gehe auch nicht davon aus, dass die Website von automobilwoche.de einfach nur scheiße programmiert ist, nein, hier soll der datenschutzbewusste Nutzer absichtlich geärgert werden.

User-Tracking dank Provider

Vor einem Jahr ging ein Verfahren zum User-Tracking durch die Medien, das ohne Speicherung von Cookie-Daten auf dem Endgerät oder Fingerprinting auskommt. Der (Mobilfunk)-Provider sendet dem Werbenetzwerk einfach eine eindeutige User-ID. Ein Umgehen durch den Benutzer durch Adblocker, eigene DNS-Resolver oder ähnliches wäre nicht möglich.

Das Ganze lief unter dem Namen “TrustPid”. Das ist aber tot. Die Website ist abgeschaltet.

Nun kommt ein ähnlicher Dienst zum Vorschein: utiq. (Wieder so ein nichtssagender Name).

Das Ganze ist sehr undurchsichtig. Entweder ist es Opt-Out oder man hat aus Versehen bei einem Cookie Banner (“Alle akzeptieren”) der Datensammelei zugestimmt. Wer von diesen “Service” also nicht getrackt werden möchte, muß sich aktiv abmelden. Das ist datenschutzrechtlich höchst fraglich und wird sicherlich noch Gegenstand so mancher Gerichtsentscheidung werden.

Noch mal zur Erklärung: Auch wenn man alle Cookies auf seinem Gerät löscht, funktioniert das Tracking immer noch. Der Werbetreibende fragt zu der jeweiligen IP-Adresse beim entsprechenden Provider nach und der sendet ihm eine eindeutige User-ID auf Grund des Anschlusses zu. So wie ich das verstanden habe, ist dieser Dienst, aktuell, nur im Mobilfunknetz aktiv. Der Hausanschluss ist davon nicht betroffen. Dort sind ja auch meistens mehrere Nutzer aktiv, so dass die Werber kein schönes Profil können.

Mike Kuketz hat in seinem Blog beschrieben, wie man sich bei utiq abmelden kann. Wichtig ist vor allem, dass man dafür keinen Adblocker aktiviert haben und nicht in einem WILAN sein darf. Ich kann das nur jedem empfehlen, das zu machen. Die Ablehnung soll für ein Jahr gelten.

Ich hoffe, dass Verbraucher- und Datenschützer dieses Tracking-Verfahren noch bekannter machen und die Rechtmäßigkeit überprüfen.

Freies Android – Nicht so einfach

Ich habe mir zwar recht spät mein erste Smartphone zugelegt, aber dafür von Anfang an darauf geachtet, möglichst datensparsam zu sein. Das bedeutet vor allem, dass ich nicht das Standard-Android des Herstellers und dessen Zusatz-Apss nutze.

Noch mal kurz zur Erklärung: Die Basis von Android “Android Open Source Project (AOSP)” wird von Google entwickelt und kann von jedem frei und kostenlos genutzt und verändert werden. Meistens werden dann noch die Google Apps (GApps) installiert, die etwa den Play Store oder den Zugriff aufs Google-Konto enthalten. Außerdem müssen Hardwaretreiber eingebunden werden. Und dann installieren die Hersteller meistens zusätzlich noch ihre eigenen Apps, um dem Kunden weitere sinnvolle Dienste anzubieten ebenfalls Daten von den Nutzern abschürfen zu können..

Mittlerweile gibt es ja nicht nur LineageOS (früher CyanonGenMod), sondern viele verschiedene ROMs die alle auf AOSP aufsetzen. Diese freien ROMs, ganz vorne natürlich LineageOS, werden ja immer angepriesen, wenn der Hersteller keine offiziellen Software-Updates für seine Smartphones mehr anbietet. In der Praxis ist das leider nicht so einfach. Die erste Anlaufstelle ist natürlich die offizielle Seite von LineageOS. (LOS) Dort werden die unterstützten Geräte aufgelistet.Dort gibt es eine lange Liste von Smartphones, für die Lineage OS verfügbar ist. Der Großteil wird aber auch nicht mehr unterstützt. Man muss also schon Glück haben, damit das eigene Gerät dabei ist und auch noch Updates bekommt.

Dann gibt es noch eine weitere Anlaufstelle. Das Forum von XDA-Developers. Hier gibt es zu fast jedem jemals verfügbaren Gerät ein Unterforum und die Wahrscheinlichkeit ist recht groß, das mal ein Entwickler ein LOS oder anderes ROM erstellt hat. Man braucht allerdings schon etwas Mut, wenn man Systemsoftware installieren will, bei dem nur eine handvoll oder gar nur ein einziger Entwickler seine Finger im Spiel hatte. Die fertigen Dateien liegen dann meistens irgendwo auf Cloud-Servern. Zumindest kann man im Forum erkennen, ob der Entwickler schon länger dabei ist und was andere Nutzer zu der Software sagen. Und wenn die Software noch relativ frisch ist, bekommt manchmal auch ein wenig “Support” im Forum.

Viele von den Entwicklern dort sind sehr engagiert und probieren das neuste Android auf die Geräte kriegen. Leider ist es so, dass dort nur wenige Entwickler am Ball bleiben und “ihr” ROM regelmäßig mit Updates zu versorgen. Die Leute machen das freiwillig und wahrscheinlich ist es der Reiz der Erste zu sein, der ein lauffähiges ROM erstellt hat. Ich kann es ihnen nicht verübeln, wenn sie nicht mehr weiter machen wollen. Die machen das halt freiwillig. Daher würde ich mir wünschen, dass das LineageOS-Project mehr Leute dazu bekommt, bei Ihnen mitzumachen und mehr Geräte “offiziell” unterstützt werden.

Ich weiß leider nicht, wie kompliziert es ist ein ROM mit den aktuellen Android-Patches zu versorgen. Wenn es nicht so kompliziert ist und ich dafür eine Anleitung fände, würde ich das mal probieren.

Als dritte Möglichkeit gibt es die Webseiten von einigen andern Gruppen, die ROMs erstellen, etwa Evolution X, crDroid oder Resurrection Remix OS.

Aktuell suche ich auf jeden Fall ein neues ROM für mein Smartphone. Das hat schon seit einiger Zeit keine Updates gesehen. Letzter Hinweis war ein Telegramm-Kanal, in dem doch eine Reihe von verschiedenen ROMs angeboten werden. Dort gibt es noch weniger Infos als im XDA-Forum. Oft nur ein Download-Link und mit etwas Glück ein Telegramm-Link zum Entwickler. So etwas möchte ich eigentlich nicht installieren.

Die Viefalt der Hersteller und ständig neu erscheinende Geräte machen die Sache immer schwieriger, freie Android-Versionen anzubieten.

Noch mehr China-Bashing

China wird ja aktuell zum größten Feind erklärt. Das sieht man ja auch am Huawei-Bann. Natürlich schränkt China die Menschenrechte ein. Meinungen und Tatsachen werden unterdrückt. Aber trotzdem sollte man deswegen nicht gleich alles was China kommt, verteufeln.

Ein Großteil der technischen Produkte die Jeder Tag für Tag nutzt, stammt aus China. Das Land ist einer der größten Wirtschaftspartner vieler westlicher Staaten. Auch deutsche Hersteller haben einen großen Teil ihrer Produktion dorthin verlagert. Wenn wir auf alle chinesischen Produkte verzichten müssen, würde das uns und unsere Wirtschaft in arge Schwierigkeiten bringen.

Ich finde es in diesem Zusammenhang immer interessant, wenn gerade diejenigen, die am lautesten propagieren, dass praktisch jedes Problem durch die “unsichtbare Hand des Marktes” gelöst würde, auch gleichzeitig die sind, die Strafzölle fordern, um die heimische Wirtschaft zu schützen.

Aber eigentlich wollte ich etwas zu der aktuellen Diskussion über Tik-Tok schreiben. Das ist eine App mit der man gleich Video-Filmchen aufnehmen und verschicken kann. Jetzt gibt es Kritik, wie der Hersteller bestimmte Inhalte filtert.

Eine Filterung von Inhalten durch den Anbieter findet aber auch bei anderen (westlichen) Apps bzw. Diensten statt. Praktisch jeder Anbieter hat entsprechende Nutzungsrichtlinien. Politische Inhalte werden dort aber selten gefiltert. Bei manchen Plattformen sind aber etwa sexuelle Inhalte unerwünscht, etwa im Apple-Kosmos. Dass ging dann so weit, dass sogar einzelne Meldungen von Nachrichten-Apps auf iPhones gesperrt werden mussten.

Auch der Datenschutz ist natürlich ein Thema. Vor einiger Zeit gab es eine App, da konnte man ein aktuelles Portrait von einem hochladen und Algorithmen versuchten daraus das Aussehen in 20 Jahren abzuleiten. Diese App war sehr erfolgreich. Allerdings war es eine chinesische App und dann kamen Bedenken auf, was “die Chinesen” nun wohl mit den ganzen Daten machen würden. Es wurde dann geraten diese App zu meiden.

Natürlich ist es nicht sinnvoll, seine Daten irgend einen Onlinedienst hinterher zu werfen, nur weil die App gerade hip ist. Allerdings sollte man das nicht nur bei chinesischen Anbietern machen. Man sollte generell vermeiden, zu viele Daten preis zu geben. US-amerikanische Anbieter sind natürlich kein “sicherer Hafen” für die Daten. Und auch in Europa sollte das oberste Gebot die Datensparsamkeit sein. Trotz Datenschutzgrundverordnung dürfen Unternehmen mit den gewonnenen Daten arbeiten, z.B. wenn dieses der originäre Geschäftszweck ist und auch so in der Datenschutzerklärung erwähnt wurde.

Außerdem kommt es immer mal wieder vor, dass Anbieter gehackt werden oder diese durch eigene Fehler ihren Datenbestand öffentlich zugänglich machen. Deswegen sollte man generell vermeiden, seine Daten Anderen zu Verfügung zu stellen. Ganz unabhängig davon aus welchem Land der Anbieter kommt.

Noch ein Gedanke zum Datenschutz

Mir ist noch etwas zum Thema Datenschutz eingefallen. Über die Datenschutzgrundverordnung (DSGVO) wurde und wird ja viel gemeckert. Viele Bürger verstehen aber zum einen nicht, dass Datenschutz auch sie betrifft und wichtig ist, wie jedes Grundrecht. Und zum anderen verstehen viele Unternehmen nicht, wie Datenschutz umgesetzt wird.

Eigentlich liegt das Problem in den Versäumnissen in der Vergangenheit. Die Bürger sind viel zu leichtsinnig mit ihren Daten umgegangen (“Ich habe ja nichts zu verbergen”), weil Ihnen einfach nicht bewusst ist, was legal und illegal mit den Datensammlungen passieren kann.

Und vor allem haben die meisten Unternehmen in der Vergangenheit den Datenschutz sträflich vernachlässigt. Wichtig war vor allem, dass die Funktionalität des EDV-Systems gegeben war. Sicherheit war zwetirangig. Bei der EDV-Sicherheit ging es in erster Linie um Backups und vielleicht Berechtigungen, dass nicht jeder Mitarbeiter alles darf. Aber explizit geschützt wurden die Daten nicht.

Dann kam irgendwann das Internet und alles musste online sein. Dann wurden dieses Systeme halt irgendwie direkt oder indirekt mit dem Internet verbunden. Das Sicherheitskonzept wurde aber nicht entsprechend angepasst. Manche Betriebe kaufen dann eine Hardware-Firewall und wähnten sich in Sicherheit. Dass diese Firewall nur so viel nützt wie benutzten Filterregeln und dass auch dieses Gerät Wartung braucht, wussten die wenigsten.

Und nun steht der Datenschutz im Vordergrund und plötzlich müssen sich alle fragen, ob bestimmte Daten überhaupt noch erfasst werden müssen oder dürfen und müssen sich um Aufbewahrungs- und Löschfristen Gedanken machen. Solche Überlegungen wären schon früher sinnvoll gewesen.

Für viele kleinere Betriebe ist das ganze Thema EDV einfach zu komplex. Das ist nicht deren Kompetenz; deswegen beauftragen sie Dienstleister. Auch diese sollte man sich aber verlassen können. Leider gibt es in dem Bereich auch viele kleine Anbieter, die nicht das notwendige Fachwissen haben. Und im Zweifel haftet ja sowieso der Unternehmer selbst und nicht die beauftragten Dienstleister.

Krankenkassen-App

Ich schaue ja schon seit vielen Jahren praktisch keine TV-Werbung mehr. Seit über 12 Jahren nehme ich mir Sendungen, die mich interessieren, eigentlich nur noch auf. Live-TV gibt es nur sehr selten, etwa bei Nachrichten. Das hat unter anderem den Vorteil, dass man die Sendungen nicht zu jeder gewünschten Zeit sehen kann, sondern auch in viel kürzerer Zeit; besonders bei Aufnahmen von den Privatsendern. Da kann man super die Werbung überspringen.

Zum Ende des Werbeblocks kommt dann meist noch ein Spot, der in einen Rahmen mit einem Countdown eingebettet ist. Dieser soll wohl suggerieren, dass die eigentliche Sendung bei Null weitergeht. doch oft kommen dann noch 1-2 Spots. Und dabei ist es passiert, dass ich die Werbung einer Krankenkasse gesehen habe. Dabei ging es nicht um die Leistungen der Kasse, sondern darum, dass sie eine App haben, mit der man alles im Zusammenhang mit der Krankenkasse erledigen kann. Ich frage mich ernsthaft, was das sein soll. Wann trete ich schon mal in direkten Kontakt mit meiner Krankenkasse? Und warum sollte ich dafür auch noch eine eigene App installieren?

Diese Apperitis ist sowieso ein Problem. Für jeden Kram, den man sich auf einer Webseite ansehen kann, gibt es auch eine eigene App. Wozu? Ich habe eine Universal-App; nennt sich Browser. Tolle Erfindung, oder? Vor allem braucht diese nicht zig Berechtigungen, wie mittlerweile fast jede App. Schließlich will man ja am neuen Ölrausch teilhaben und die Nutzer ausspionieren. Aber man muss ja keine Sorge haben, schließlich kommen diese Apps ja alle aus den Appstores von Google und Apple. Nur die Apps aus anderen Quellen, wie etwa dem quelloffenen FDroid-Store sind natürlich gefährlich.

Wer mal wissen will, wir schlampig tatsächlich so manche Gesndundheitsapps mit den sensiblen Daten umgehen, kann das hier mal bei Heise lesen oder wir erinnern uns an Vivy. Ansonsten finden sich direkt im Microblog von Mike Kuketz noch mehr Beispiele. Und das sind nur Fälle, in denen man das leicht nachweisen kann. Was hinterher mit den Daten passiert und wo die überall landen, Datenschutzerklärungen hin oder her, ist völlig unklar. Zumal es auch immer mal wieder Hackerangriffe gab, die sehr sensible Daten öffentlich gemacht haben.

Der beste Datenschutz ist halt, die Vermeidung von Daten. Ansonsten die Beschränkung auf die absolut notwendigsten Daten und Empfänger.

Und noch ein Tipp an die Anbieter: Ist das Vertrauen erst einmal verspielt, ist es schwierig es wieder zu bekommen.

duschmarke.de nutzt Embetty

Im Zuge der DSGVO-Einführung wurde mir klar, dass es nicht in Ordnung ist, Inhalte Dritter direkt in meinen Blog einzubauen. Dabei werden nämlich Daten des Nutzers nicht nur an meinen Server, sondern auch an den Anbieter der eingebetteten Inhalte übertragen. Deswegen habe ich alle externen Inhalte durch Links auf die entsprechenden Seiten ersetzt. Allerdings verliert der Beitrag dadurch an Wirkung, wenn etwa ein Vorschaubild fehlt.

Natürlich könnte man Screenshots erstellen und diese integrieren. Das ist urheberrechtlich aber nicht in Ordnung.

Heise bietet seit einem Jahr die Software Embetty an. Diese löst genau dieses Problem. Embetty bindet Texte ein und zeigt Vorschauen an, um dass eine direkte Verbindung zwischen Leser und externen Anbieter hergestellt wird. Dieses Verhalten ist datensparsam. Erst beim Anklicken eines Inhaltes wird eine direkte Verbindung aufgebaut.

Rein technisch funktioniert das so: Embetty besteht aus zwei Teilen, einem Server-Teil und einem Javascript, welches in die eigene Website eingebaut wird. Der Server-Teil ist ein Proxy-Server. Er lädt die Inhalte vom Anbieter und stellt sie zur Verfügung. Der Javascript-Teil ruft die Inhalte nun vom Proxy-Server ab, statt direkt vom Anbieter. Deswegen, sieht es zunächst immer nur so aus, also ob mein Server die Inhalte abfragt.

Ein Beispiel:

(direkter Link zu Youtube)
Hinweis: beim Anklicken des Videos oder des Links wird eine Verbindung zu Youtube aufgebaut

Beim bloßen Aufruf dieser Seite, werden keine Daten vom Nutzer zu Youtube übertragen. Das Vorschaubild wird von meiner Server bei Youtube angefragt und an den Leser weitergeleitet. Erst beim Klicken auf das Bild, wird das Video gestartet, welches dann direkt von Youtube kommt. Alternativ stelle ich auch einen direkten Link zur Verfügung.

Massenüberwachung, nächster Akt – Messenger

Es gibt mal wieder einen neuen Vorschlag, die Freiheit der Bevölkerung einzuschränken. Auch dieses Mal wieder von unserem Innenminister Seehofer. Er möchte gerne Chatverläufe von den Betreibern von Messengerdiensten bekommen. Anscheinend reicht der Staatstrojaner nicht aus, um weit genug in die Privatsphäre der Bürger vorzudringen.

Ja ja, die Instrumente der Ermittlungsbehörden müssen mit dem technischen Fortschritt mit halten.

Aber irgendwie hat man es doch geschafft etwa den “Wall Street Market” lahmzulegen und die Betreiber zu verhaften, obwohl die im “Darknet” waren und “Kryptowährungen” nutzten. Also scheinen die Ermittler ja nicht ganz so hilfslos da zu stehen, wie es uns manche Politiker Glauben machen wollen.

Aber Bürgerrechte, wie sie das Grundgesetz festlegt, sind ja für bestimmte Gruppierungen schon immer ein Dorn im Auge gewesen. Deswegen wurden vor 70 Jahren die Väter des Grundgesetzes von der “Organisation Gehlen” überwacht. Das war der Vorläufer des BND; nach dem unter dem US-Besatzungsregime gegründet, aber trotzdem mit hochrangigen Nationalsozialisten besetzt.

Ich sehe es wie unser oberster Datenschützer Ulrich Kelber, der der Meinung ist , dass es jetzt erst einmal eine Pause für neue “Sicherheitsgesetze” geben sollte.

2 Tipps zur Mobilen Datensicherheit

Viele Leute freuen sich, wenn sie Ihr mobiles Endgerät in der Öffentlichkeit aufladen und per WLAN nutzen können. Grundsätzlich sollte man gegenüber fremden Infrastrukturen misstrauisch sein. In öffentlichen WLANs können die Daten von Unbekannten mitgelesen werden und ein Gerät per USB anzuschließen kann unbegrenzten Zugriff Dritter auf dieses Gerät ermöglichen. Dazu reicht es schon, nur ein fremdes Kabel anzustöpseln

Dabei gibt es zwei einfache, aber wirkungsvolle Lösungen.

  • Das Laden sollte nie direkt über einen angebotenen USB-Port gehen. Man sollte sich einfach eine Powerbank zulegen, diese laden und dann damit den Handyakku speisen. Zur Sicherheit zeitversetzt, also nicht direkt, wenn die Powerbank geladen wird. Man kann nie sicher sein, ob Steuersignale nicht irgendwie durchgeschleift werden.
  • Öffentliche WLANs sollte man nur über ein VPN nutzen. Dabei baut man einen stark verschlüsselten Tunnel zwischen Mobiltelefon und einem bestimmten Endpunkt auf, durch die die gesamten Kommunikation läuft. Wird der WLAN-Traffic abgehört, kann niemand mit den Daten etwas anfangen. Viele Router bieten die Möglichkeit, sie als VPN-Endpunkt zu nutzen (Anleitung für Fritz-Boxen). Einen Dienst wie my-fritz, der in der Anleitung erwähnt wird kann, muß man aber nicht, nutzen. Eine Alternative wäre etwa ein anderer DYNDNS-Dienst oder die eigene Domain.

Massenüberwachung zur Einhaltung von Dieselfahrverboten

Die Autoindustrie hat die Kunden und die Behörden in den vergangenen Jahren massiv betrogen. In Wirklichkeit sind die Abgase der Dieselfahrzeuge deutlich schlechter als angegeben. Dadurch ist die Luft in vielen Städten schlechter als sie sein dürfte. Deswegen gibt es jetzt bereits einige Fahrverbote.

Damit diese Fahrverbote eingehalten werden, plant die Bundesregierung nun eine automatische Überwachung der Fahrzeuge. Natürlich alles nur zum Schutze der Umwelt.

Aber die Vergangenheit hat gezeigt, daß vorhandene Daten Begehrlichkeiten bei Ermittlungsbehörden wecken und so die Grundrechte aller Bürger eingeschränkt werden. Auch wurden schon vielfach Daten von Personen, die darauf Zugriff hatten, missbraucht. Daher ist eine anlasslose Sammlung von Bewegungsdaten unbedingt zu vermeiden.

Überhaupt ist es erstaunlich, wie schnell die Bundesregierung dieses Gesetz vorantreibt, um die ungeliebten Fahrverbote durchzusetzen. Vielleicht sollte die Regierung endlich mal mehr die Autoindustrie in die Pflicht nehmen und den betrogenen Autokäufern zu ihrem Recht verhelfen. Aber die heult ja gerade rum, dass sie von der Politik ja so vernachlässigt wird.

Und dann wird noch auf der Deutsch Umwelt Hilfe (DUH) herumgehackt, die einen Teil der Fahrverbote gerichtlich erstritten hat. Sie würde ja die Interessen von japanischen Autobauern vertreten und der deutschen Wirtschaft schaden wollen. Ja, Toyota ist auch ein Geldgeber von vielen, die die DUH unterstützen, aber der Anteil ist eher gering. Außerdem sind die Forderungen nach sauberer Luft sowieso berechtigt, egal wer das einklagt. Davon haben Alle etwas. Die Klagen der DUH fordern nur die Einhaltung des geltenden Rechtes. Die Entscheidung darüber treffen die Gerichte.

Allerdings halte ich die jetzigen Fahrverbote eher für wirkungslos. Sie gelten oft nur punktuell, meistens dort, wo die Messstationen für die Luftschadstoffe stehen. Der Verkehr verlagert sich einfach in andere Bereiche. Daher müssten die Verbotszonen weiträumiger gefasst werden.

Aber vielleicht wäre es auch mal ein Ansatz, daß die deutsche Automobilindustrie endlich mal Fahrzeuge baut, die auch tatsächlich weniger Schadstoffe ausstoßen.