Nackt im Netz (?)

Der NDR hat kürzlich herausgefunden, dass z.B. einige Browsererweiterungen die Webbrowserhistorien auswerten und die URLS nach Nutzern pseudonymisiert verkaufen. Das Ganze wurde gesendet und erregt in Deutschland die Gemüter. Das ist gut und nützlich, denn eine politische Debatte über die Rolle von Datenschutz ist notwendig. Aus technischer Sicht überraschend ist das jedoch nicht, und es macht klar wie unbedarft Politiker und Journalisten eigentlich sind.

An dieser Stelle möchte ich einen kurzen Hintergrund geben, was eigentlich gefunden wurde. Was gespeichert und ausgewertet wurde waren in diesem Fall ausschliesslich die URLs von aufgreufenen Webseiten (das was in der Adressenleiste zu lesen ist).

Der Journalist Dirk von Gehlen (dessen Daten im Rahmen der Studie auftauchten) wirft auf auf golem.de z.B. der Deutschen Bahn vor, dass man anhand der URL erkennt „welche Reiseverbindungen mich interessierten – dank einer Nachlässigkeit der Deutschen Bahn.“ Oder er nennt Twitter schlechter geschützt als andere Netzwerke weil in den URLs z.B. usernamen vorkommen die nur per Passwort erreichbar sind („https://analytics.twitter.com/user/dvg/home“). Dies zeugt in dreierlei Hinsicht von Unkenntniss und Fehlinterpretation:

1) Der Irrglaube, dass wenn Daten geschützt wären wenn sie nicht in der URL auftauchen. Wenn ich z.B. mein Twitterprofil aktualisieren möchte, muss Twitter wissen wer ich bin. Diese Information kann entweder in der URL kodiert zum Beispiel in der Form https://…/user/spaeth/edit oder https://…/profil?user=spaeth werden. Diese Art der Daten sind HTTP GET Daten (weil technisch ein GET Auruf an den Webserver gesendet wird), oder ich kann sie als HTTP POST Aufruf senden, bei der die gesendeten Daten Teil des Hauptdatenpaketes (des sogennannten Body) sind. Es ist richtig, dass meine Daten im ersten Fall zu den sogenannten Metadaten gehören und im zweiten nicht. Das ist aber keine bedeutsame Unterscheidung.

Eine Webbrowsererweiterung hat auf alle Fälle Zugriffe auf beide Typen von Daten und es ist unerheblich ob sie in der URL oder im HTTP Body stecken. Selbst wenn Twitter also nur die URL  …/account/edit anstatt /user/spaeth/edit verwendet, könnte eine Webbrowsererweiterung den Usernamen abgreifen, denn sie hat auch Zugriff auf die POST Daten.

2) Der Vorwurf dass eine konkrete Reiseverbindung aus der URL
herauslesen zu können als Nachlässigkeit zu bezeichnen ist aus meiner
Sicht falsch. Es ist ein Vorteil, wenn eine konkrete Seite durch ihre
URL identifizieren kann, und es ist durchaus gewollt und nicht
nachlässig. Durch sogenannte RESTful URLs werden Resourcen in der URL kodiert dargestellt, was sogenannte
„stateless“ URLS zur Folge hat, die nicht von anderen Faktoren
(gespeicherten Cookies, HTTP POST Daten, vorer besuchte Webseiten,…)
abhängen. Diese RESTful URLs können z.B. als Webbrowser-Lesezeichen
abgespeichert und später wieder aufgerufen. Oder man kann sie z.B. an
andere Nutzer weitergeben, die sie in ihrem Browser aufrufen können.
Stellen Sie sich vor, sie wollen gerade einen Artikel verschicken den Sie auf
Spiegel ONLINE gelesen haben (oder ein Lesezeichen abspeichern, damit
sie ihn in einem Monat noch einmal lesen können). Dann wollen Sie dass
alle relevanten Informationen in der URL kodiert sind, und sie nicht
einfach nur eine generische URL haben (die „sicher“ weil unpersönlich
wäre), die Sie aber einfach nur auf die Homepage des Spiegels oder der
Deutschen Bahn bringt, weil das komplementäre Cookie oder die HTTP POST Daten fehlen die besagen welchen Artikel sie jetzt lesen wollten.

Wie
oft habe ich schon geflucht, wenn die Webseite der Deutschen Bahn auf
der ich die Verspätung eines Zuges den ich erreichen will beim dritten
Aufrufen der Seite nach ein paar Minuten lediglich sagt: „Ihre Suche ist
nicht mehr gültig, bitte starten Sie sie neu.“ Dann doch lieber etwas
wie http://db.de/fahrplan/20161031/ICE386/  das auch nach einer Stunde
oder in einem anderen Webbrowser noch funktioniert. (Fragen Sie mich
jetzt aber bitte nicht was alles in diesem reellen Beispiel an
Nutzerdaten enthalten ist:
https://mobile.bahn.de/bin/mobil/query.exe/dox?ld=15061&protocol=https:&n=2&i=33.01201961.1478329646&rt=1&use_realtime_filter=1&sotRequest=1&webview=&co=C1-1&vca&HWAI=CONNECTION$C1-1!details=opened!&)

3) Beide Arten der Datenkodierung (HTTP GET und HTTP POST) verschlüssen ihre Daten grundsätzlich wenn https:// anstatt http:// verwendet wird. Im Falle einer verschlüsselten Browserverbindung sollte es Schnüfflern im Netzwerk (z.B. die Betreiber eines WiFi Zugangspunktes) also nicht möglich sein die aufgerufenen URLs oder mitgesendeten Daten abzugreifen. Wenn man sein Twitterprofil also nur verschlüsselt ändern kann (was ich stark hoffe), dann bin ich im NOrmalfall gegen Lauscher geschützt. Ein Tool dass in diesem Fall HTTP GET Daten abgreifen, hat also auch wahrscheinlich auf Zugriff auf HTTP POST Daten abgreifen.
Was allerdings deutlich wird, ist die Wichtigkeit tatsächlich verschlüsselte Verbundungen zu verwenden um Schnüfflern das Leben schwerer zu machen. Ausgerechnet eine Webbrowsererweiterung z.B. „HTTPS Everywhere“ der Electronic Frontier Foundation kann dabei helfen vermehrt HTTPS zu nutzen wenn es angeboten wird.

Zusammengesnommen kann man also sagen, dass die Tatsache dass URLs identifizierende Informationen enthalten nicht unbedingt schlimm sein muss, und dass Daten auch auf anderen (weniger offensichtlichen Wegen) gesendet und gespeichert werden können. Man kann auch sagen, dass im Falle von verschlüsselten Webseiten diese Daten gegen Lauschangriffe auf dem Netzwerk geschützt sind, also nicht nur für das Banking sondern auch im normalen Alltag wichtig sind. Drittens zeigt es, dass eine Lösung dieses Problems nur bedingt auf individueller technischer Ebene gelingen kann, während die eigentlich wichtige Diskussion auf politischer Ebene laufen muss. Wie sagte Dirk von Gehlen so treffend: „Als Einzelner kann und sollte man sich umweltbewusst verhalten, eine Energiewende hingegen ist nur politisch möglich.“). (Leider hat sich unser schlitzaugenverachtender europäischer
Chef-Digitallobbyist Oettinger bisher nicht durch Kompetenz
ausgewiesen.)

Leider ist unsere Politik insgesamt nicht als besonders kompetent aufgefallen: Wenn Lars Klingbeil, netzpolitischer Sprecher der SPD-Bundestagsfraktion sagt, „Ich habe nicht gewusst, dass solche Sachen
identifizierbar sind. Vielleicht ist man da naiv an der Stelle, aber da
braucht man auf jeden Fall Aufklärung darüber, welche Daten eigentlich
erhoben werden und was mit den Daten dann passiert,“ dann zeugt das nicht gerade von Netzkompetenz.

2014: Year of the digital society

The German ministry of research and education has declared 2014 to be the „scientific year of the digital society“ (in German). I am happy that the importance of the impact that the current „digitization“ of every aspect of our lives is being recognized. Technological change is currently revolutionizing our society. Count the number of ebook reading and phone tapping people the next time you take the subway if you don’t believe me. Looking forward to what the year of the digital society will bring.

„Open Innovation“ is part of the ruling parties coalition agreement

The coalition agreement of the next German government mentions „Open Innovation“ explicitely:

„Wir wollen das große Potenzial für wirtschaftliche und gesellschaftliche Veränderungen, ob in Form neuer Geschäftsmodelle, Dienstleistungen oder Kooperationen, durch den Auf- und Ausbau geeigneter Open-Innovation-Plattformen für neue kreative Lösungsansätze erschließen. Wir richten uns dabei insbesondere an kleine und mittlere Unternehmen, damit sie gemeinsam mit Anwendern, internationalen Partnern, großen Unternehmen, Hochschulen und Forschungseinrichtungen neue Entwicklungen vorantreiben können.“