Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - Archiv 2006 - 1. Hälfte

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

22.06.2006 - Laptopdiebstahl, warum lernen die Unternehmen nichts?

Laptopdiebstähle führen immer wieder zu erheblichen Verletzungen der Datenvertraulichkeit, 3 aktuelle Fälle als Beispiel:

Equifax -- one of the three major U.S. credit reporting bureaus -- acknowledged that a laptop computer containing employee names and Social Security numbers was stolen from a worker traveling on a train near London. Company spokesman David Rubinger told the Reuters news agency that the May 29 theft affects nearly all of the company's 2,500 U.S. employees,......

U.S. Department of Veterans Affairs (VA) confirmed that records for every veteran discharged from the military since 1975 were stolen from the home of an agency employee. The VA later revealed that the breach also put active duty personnel at risk for identity fraud.

Union Pacific, which acknowledged the theft of an employee's laptop containing the names, birth dates and Social Security numbers of 30,000 former employees.

Und dabei ist die Lösung eigentlich einfach: Verschlüsselung der gesamten Festplatte, Eingabe eines Passworts oder eines Tokens VOR dem Ausführen des BIOS und die Daten auf dem Laptop sind für den Dieb wertlos. Die Verschlüsselungssoftware gibt es sogar kostenlos, wenn man sich auf Sicherung durch Passwort beschränkt. Hier ein Full-Disk-Encryption Crash-Course.

 



14.06.2006 - Einem gefunden USB-Stick . . . . . .

Heise berichtet über eine interessante Social Engineering Aktion bei der ein Sicherheitsspezialist mit einem Keylogger präparierte USB-Sticks auf dem Firmengelände "verloren" hat. Von den 20 eingesetzten Sticks wurden 15 aufgelesen und natürlich prompt in die Firmenrechner eingesteckt. Das dort befindliche Programm wurde ausgeführt und meldete seinen Erfolg (und die zwischenzeitlich eingegebenen Passworte) an den Prüfer.

Die Aktion zeigt Sachen ganz deutlich: die Mitarbeiter sind oft die größte Gefährdung für die Informationssicherheit und die USB-Ports kommen gleich danach. Hier der Originalartikel.

Es gibt heute übrigens sehr gute Software zum sehr flexiblen Absichern der USB-Schnittstellen (viel flexibler als Superglue ;-) ) - eine Kombination aus Versperren, Freigeben für firmeneigene Geräte und Protokollierung aller Aktivitäten. Aber die Mitarbeiter stellen offensichtlich eine mindestens ebenso große Herausforderung dar. (Falls Sie auf einem der Gebiete Hilfe brauchen, wenden Sie sich vertrauensvoll an mich :-) )

 



22.05.2006 - Leider sehr erfolgreiche Erpressung

heise.de und wired.com berichten, dass es Spammer durch Denial of Serive-Angriffe großen Umfangs (dDoS) geschafft haben, das Unternehmen Blue Security, das im Anti-Spam Bereich mit 500 000 Kunden recht erfolgreich war, zur Aufgabe zu zwingen.

Die Erpressung bestand darin, dass sie mit einem sehr großen Botnet nicht nur die Server der Firma selbst angegriffen haben, sondern auch ausgewählte Kunden. Durch den Angriff auf diese Kunden und die ISPs der Kunden haben sie diese quasi als Geiseln genommen und die Firma hat das Handtuch geschmissen. "CEO Eran Reshef said the Israel-based company was closing its service Wednesday. He did not want to be responsible for an ever-escalating war that could bring down internet service providers and websites around the world and subject its users to denial-of-service attacks from a well-organized group controlling a massive army of computer drones."

Ein dunkler Tag für das Internet, das Faustrecht hat (in diesem Fall) gesiegt.

Aktualisierung 2.6.2006: techrepublic.com berichtet, dass sich ziemlich schnell eine Gruppe von IT-Leuten gebildet hat, die auf Open Source Grundlage das gleiche versuchen wollen.

* Okopipi leaps in where Blue Security left off
The new user group is building an open source P2P application that sends spammers automated "unsubscribe" messages. Some call it feasible, but others believe counterattack strategies are doomed to fail.

Aktualisierung 10.7.2006: Marcus Ranum liefert eine detaillierte Beschreibung des sehr cleveren Konzepts von Blue Security

 



20.05.2006 - Auch du - Apple ???

In meinen Tipps für Heim-PCs hatte ich bisher empfohlen, mal darüber nachzudenken, ob ein Apple Computer nicht auch eine Alternative zum Windows Rechner sein könnte und für das Webbrowsing lieber den Firefox als den Internet Explorer angeraten. Hintergrund war, dass es traditionell kaum Schwachstellen in dieser Software gab. Leider hat sich das drastisch geändert. Die SANS Organisation, die regelmäßig ihre Top 20 der Verwundbarkeiten veröffentlicht schreibt dazu folgendes:

The Mac OS X was released by Apple in 2001 as a solid UNIX-based Operating System. Although Mac OS X has security features implemented out of the box such as built-in personal firewall, un-necessary services turned off by default and easy ways to increase the OS security, the user still faces many vulnerabilities.

Mac OS X also includes the Safari web browser. Multiple vulnerabilities have been found in this browser and in certain cases exploit code has also been posted publicly.

Apple frequently issues Mac OS X cumulative security updates that tend to include fixes for a large number of vulnerabilities with risk ratings ranging from critical to low. This complicates the tracking of vulnerabilities for this OS, and the best way to ensure security is to apply the latest cumulative patch

Außerdem berichtet SANS, das immer öfter sog. Cross Platform Vulnerabilities auftauchen, d.h. in Produkten, die auf vielen Plattformen laufen. Und in denen finden sich auch immer öfter Verwundbarkeiten. Aktuelle Beispiele sind RealPlayer, Quicktime, iTunes, Shockwave, Flash und sogar in Antivirenprogrammen. Auch hiervon sind oft die Mac-User mitbetroffen. Und auch die alternativen Webbrowser wie Firefox haben neuerdings eine höhere Zahl von Verwundbarkeiten. :-(

Das heißt, dass alle Sicherheitsregeln, wie das regelmäßige Überprüfen, ob Sicherheitsaktualisierungen (Patches) vorliegen, diese installieren, einen ständig aktualisierten Virenschutz zu benutzen, gelten (leider) auch für alternative Software, nicht nur für Microsoft Produkte.

 



23.03.2006 - Wem gehört eigentlich ihr Rechner zu Hause?

heise.de berichtet über eigenartige Effekte des Kopierschutzes von Alpha-DVD auf der deutschen DVD des Films "Mr. & Mrs. Smith". Ich habe den Eindruck, dass niemand von den Medienkonzernen aus dem Sony Debakel gelernt hat. Anscheinend kann nur ein erfolgreicher Prozess mit hohen Schadenersatzzahlungen solche Eingriffe in die Rechner ihrer Kunden abstellen. Mehr zur zunehmenden Absurdität der Idee des Intellectual Properties an anderer Stelle.

 



15.03.2006 - Wenig Fortschritt beim Phishing-Schutz

Im Rahmen des letzten Stammtischs des Vereins IISA habe ich einen Vortrag über die Zukunft des Phishings in Form von Man-in-the-Middle-Angriffen (MITM) gehalten. (den Vortrag gibt es als PDF unter dem Link zur IISA).

Mein Tenor: die Banken führen jetzt mit iTAN (indizierten TANs) oder mTAN (per Handy) einen guten Schutz gegen die Angriffe des letzten Jahres ein, so ignorieren aber die zukünftigen Angriffe, z.B. durch MITM oder mittels der vielen bereits infizierten Heimrechner (Schwankungen liegen zwischen 18 und 80%). Das Sicherheitsproblem des E-Bankings besteht darin, eine sichere Transaktion von einem unsicheren Gerät aus über eine unsichere Verbindung durchzuführen. Das klingt sehr schwierig, ist aber mit etwas Kreativität und Flexibilität durchaus lösbar. Schwierig wird es, wenn die Banken versuchen, eine Lösung zu finden, die allen ihren Kunden genauso recht ist. Deswegen mein Vorschlag, individuelle Sicherheitseinstellungen für jedes Konto zu ermöglichen. Ein Beispiel, wie das aussehen könnte, gebe ich hier an.

 



15.03.2006 - Wegelagerei in Österreich

Die Computerwelt berichtet: Geht es nach der Literar Mechana, muss seit erstem Jänner 2006 für jeden Computer – unabhängig ob im privaten oder geschäftlichen Gebrauch – Urheberrechtsabgabe gezahlt werden. Begründung: PC, Notebooks und Server, also jeder Rechner, an den ein Drucker oder ein Gerät zur Vervielfältigung von gedrucktem Text angeschlossen werden kann, kann zum Ausdrucken von urheberrechtsgeschützten Texten verwendet werden. Und das, nachdem der Versuch der Austro Mechana, eine Leerkassettenvergütung auf Festplatten von PC und Notebooks einzuführen, nach langem Rechtsstreit bis zum OGH gescheitert ist: Festplatten werden nicht ausschließlich zum Speichern von Musik verwendet und müssen somit nicht extra vergütet werden. Nun versucht es die Schwestergesellschaft mit der gleichen Begründung für gedruckte Texte.

Es ist so unglaublich absurd: Wer verwendet seinen Drucker schon, um Texte auszudrucken, die urheberrechtsgeschützt sind und für die er noch nicht vorher, z.B. durch ein Abo gezahlt hat? Die Idee, dass alles was wir im Internet sehen, Urheberrechtschutz und Copyright unterliegt wird immer absurder. Mittlerweile wird geschätzt, dass über 60% der Inhalte im Internet privaten Ursprungs sind: die viele privaten Websites (wie diese hier), Blogs, Fotoblogs, aber auch die Inhalte von eBay, die Buchbesprechungen in amazon, die Beiträge in Diskussionforen, etc. Das scheint aber die Verwertungsgesellschaften nicht zu berühren, sie sehen die Käufer von IT-Geräten, seien es Privatleute oder Firmen, als Selbstbedienungsladen und setzen einseitig diese Preise fest. Für PC gilt der Tarif von 21,2 Euro. Für Schwarz-Weiß Drucker liegt die Abgabe je nach Geschwindigkeit zwischen 7,2 Euro und 63 Euro, bei Farbdruckern sind es zwischen 14,4 und 126 Euro. Mehr zur zunehmenden Absurdität der Idee des Intellectual Properties an anderer Stelle.

Dazu eine Meldung aus Frankreich: 15|3|2006 - Frankreich plant Ende des Kopierschutzes
Das französische Parlament stimmt am morgigen Donnerstag über einen interessanten Gesetzesentwurf ab: Nutzer sollen digitale Medien künftig beliebig in andere Formate konvertieren dürfen. Frankreich würde damit de jure Kopierschutz- und andere DRM-Methoden (Digitales Rechte-Management) abschaffen.

 



14.03.2006 - Klassischer Knieschuss bei McAfee

Es ist schon fast wieder lustig, heise.de berichtet:

10. März von McAfee ausgelieferte Signatur-Update 4715 führte bei diversen legitimen Dateien zu einem Fehlalarm. Je nach Konfiguration verschiebt der Virenscanner die vermeintlich infizierten Objekte in ein Quarantäne-Verzeichnis oder löscht diese sogar vollständig. In der vollständigen Liste der fälschlich als Virus W95/CTX erkannten Dateien befinden sich unter anderem die Windows-Systemdateien usersid.exe und imjpinst.exe, die Microsoft-Office-Dateien excel.exe und graph.exe sowie diverse Dateien aus Java-Installationen, der Google-Toolbar, dem Macromedia-Flash-Player und dem Adobe-Update-Manager.

Aus der Tatsache, dass Teile von Windows und andere Anwendungen als Malware eingestuft werden, könnte man alles mögliche schließen, aber das möchte ich mir an dieser Stelle verkneifen. ;-)

 



31.01.2006 - Leichte Erstellung von Persönlichkeitsprofilen über die Amazon-Wishlists

Auf amazon.com oder amazon.at kann jeder Kunde eine Wishlist erstellen, und die können andere Leute, z.B. seine Freunde dann einsehen und ihm Bücher aus der Wunschliste schenken. Dabei wird sogar sichergestellt, dass ein bereits von einem Freund gekauftes Buch nicht noch einmal geschenkt wird. So weit, so gut. Das Problem besteht darin, dass der Default so ist, dass JEDER die Wunschliste sehen kann, er muss noch den Namen, oder auch nur den Vornamen wissen.

Hier erklärt jemand, wie er unter Ausnutzung der zumeist öffentlich zugänglichen Daten auf der Amazon Wishlist ein Interessenprofil von 200 000 Amazon-Kunden erstellt hat. Heißer Tipp: die Zugriffe auf die eigene Wishlist einschränken auf einzeln freigegebene Freunde!

 



25.01.2006 - Die Profilierungssucht: Privatsphäre vs. Gmail, Amazon, Sony, . . . . . .

Im Rahmen der Diskussionen um das Konfiszieren der Logs der Suchmaschinen gibt es auch eine Diskussion um Gmail von Google. Das besondere an Gmail ist, dass der Benutzer beim Einrichten seiner Mailbox zustimmen muss, dass ein Software-Programm seine Mails liest und dann zum Thema passende Werbung einblendet. Das Electronic Privacy Information Center (EPIC) in den USA weist dazu auf eine Tatsache hin, die ich bisher übersehen hatte: Google hat zwar mit dem Empfänger der E-Mails, d.h. dem Inhaber der Mailbox eine Vereinbarung getroffen, nicht jedoch mit dem Absender der Mail, nämlich die nicht Gmail-Nutzer, die Bekannte haben, die Gmail-Accounts benutzen.

Google sagt, dass sie (derzeit) keine Profile anlegen. Das Patent hinter ihrem Konzept diskutiert diese Möglichkeit aber sehr wohl. Und die Privacy-Regeln schließen das Anlegen von Profilen nicht ausdrücklich aus.

Und anscheinend will jetzt jeder mit seinen Benutzerprofilen Geld machen: Apple hat letzte Woche zu seiner iTunes Software die Feature MiniStore, hinzugefügt. Diese meldet, welches Stück gerade gespielt wird und schlägt den Kauf ähnlicher Stücke vor. Nach Protesten gibt es jetzt die Möglichkeit, diese Feature abzustellen. Auch Sony hat mit seiner DRM-Software ja übertragen, wie oft welches Stück gespielt wurde. Und Amazon sammelt ja schon lange Profile aller Kunden und schlägt entsprechende Käufe vor.

Und wenn erst mal alle Produkte die wir kaufen mit RFID ausgestattet sind, dann beschränkt sich der Aufbau von solchen Profile nicht mal mehr nur aufs Internet. Mit dem Schutz der Privatsphäre sieht es auf die Dauer nicht gut aus, sei es über Internet-Profiling, RFID oder die allgegenwärtigen Überwachungskameras.

 

Google als Monopolist

Nov. 2016: Ein NY Times Artikel A Gmail Rival Sent to Siberia by a Mysterious Google Glitch berichtet wie mit einem Schlag das Geschäftsmodell von ProtonMail zusammenbrach, nachdem sie bei Suchfragen wie “encrypted email” und “secure email” nicht mehr auf den ersten beiden Seiten waren.

April 2014: Ein Artikel des Vorstandsvorsitzenden des Axel Springer Verlags drückt viele Probleme aus, die ich und andere mit der Macht von Google haben. Es beginnt mit einem Artikel eines der Beschwerdeführer bei der EU-Kartelluntersuchung gegen Google: Von der Suchmaschine zur Weltmacht - Angst vor Google. Einige Zitate:

    . . . ist Google Marktführer bei Suchmaschinen, mobilen Betriebssystemen, Browsern, Online-Videos und E-Mail-Diensten. . . . Das eindrucksvollste Zitat stammt aus dem Buch „Die Vernetzung der Welt“ des langjährigen CEOs und aktuellen Chairman von Google, Eric Schmidt: „Wir sind überzeugt, dass Portale wie Google, Facebook, Amazon und Apple weitaus mächtiger sind, als die meisten Menschen ahnen. Ihre Macht beruht auf der Fähigkeit, exponentiell zu wachsen. Mit Ausnahme von biologischen Viren gibt es nichts, was sich mit derartiger Geschwindigkeit, Effizienz und Aggressivität ausbreitet wie diese Technologieplattformen, und dies verleiht auch ihren Machern, Eigentümern und Nutzern neue Macht.“ Zudem sagte Schmidt 2010: „Wir wissen, wo du bist. Wir wissen, wo du warst. Wir können mehr oder weniger wissen, was du gerade denkst.“ Und Larry Page, Gründer und heutiger CEO von Google, sagte schon 2004, dass die Google-Suche irgendwann in das Gehirn der Menschen integriert werde. Diese Aussagen sind erschreckend. Hier geht es nicht mehr nur um Wirtschaftspolitik, sondern um Gesellschaftspolitik.
    . . . Mit der Übernahme des Thermostat- und Rauchmelderherstellers Nest im Januar 2014 hat sich Google den Zugriff auf die in den Zimmern der Verbraucher installierten Geräte erkauft. Der Gründer von Nest sagte einmal: „Wir wissen, wann Sie zu Hause sind.“
    . . . . Googles Ausrede ist immer, dass es etwas nur mit Erlaubnis der Nutzer tue. Aber . . . selbst wenn ich mich dagegen entscheide, Gmail zu nutzen: Sobald ich an jemanden eine Mail schicke, der Gmail nutzt, hat Google zumindest die Möglichkeit mitzulesen. Wenn jemand meinen Telefonnummern, meinen Post- und E-Mail-Adressen in seine Google-Kontaktliste einträgt, kann Google wissen, wo ich wohne und wie ich zu erreichen bin. Und wenn sich jemand im Google-Kalender einen Termin mit mir einträgt, kann es wissen, wen ich wann wo treffe, ohne dass ich den Google-Kalender nutzen muss.

Darauf antwortet Eric Schmidt: ... über das Gute an Google. Inhaltlich für m.E. nichts Neues.

Und dann kommt eine weitere Antwort von Springer Verlag: Warum wir Google fürchten:

    . . . Unsere Geschäftsbeziehung ist die des Goliath Google zu dem David Axel Springer. Wenn Google einen Algorithmus ändert, bricht bei einem unserer Tochterunternehmen in wenigen Tagen der Traffic um 70Prozent ein. Das ist ein realer Fall. Und dass dieses Tochterunternehmen ein Wettbewerber von Google ist, ist dabei sicher Zufall.
    . . . 2009 haben Sie [Eric Schmidt] gesagt: „Wenn es Dinge gibt, von denen Sie nicht wollen, dass irgendjemand etwas darüber erfährt, dann sollten Sie so etwas nicht tun.“ Noch beunruhigender ist nur der Satz von Mark Zuckerberg, den er auf dem Podium der Sun-Valley-Konferenz sagte, während Sie und ich im Publikum saßen. Jemand fragte, wie es Facebook mit der Speicherung von Daten und dem Schutz der Privatsphäre halte. Und Zuckerberg sagte: „Ich verstehe Ihre Frage nicht. Wer nichts zu verbergen hat, hat auch nichts zu befürchten.“

Und dann wird es richtig beunruhigend:

    16 Jahre Datenspeicherung [durch Google] und 16 Jahre Erfahrung von Zehntausenden IT-Entwicklern haben einen Wettbewerbsvorsprung erzeugt, der mit rein ökonomischen Mitteln nicht mehr einholbar ist. Seitdem Google „Nest“ gekauft hat, weiß Google noch genauer, was die Bürger in den eigenen vier Wänden tun. Und jetzt plant Google auch noch fahrerlose Autos, um langfristig auch der Autoindustrie von Toyota bis VW Konkurrenz zu machen. Dann weiß Google nicht nur, wohin wir mit unseren Autos fahren, sondern auch noch, womit wir uns beim Autofahren beschäftigen. Vergesst Big Brother – Google ist besser!
    Vor diesem Hintergrund beunruhigt es mich sehr, dass Google – das gerade die Übernahme des Drohnen-Herstellers „Titan Aerospace“ gemeldet hat – seit einiger Zeit als Unterstützer geplanter riesiger Schiffe und schwimmender Arbeitswelten gilt, die auf offenem Meer, also in staatenlosem Gewässer, kreuzen und operieren können. Was ist der Grund für diese Entwicklung? Man muss kein Verschwörungstheoretiker sein, um das beunruhigend zu finden, vor allem, wenn man den Worten des Google-Gründers und Großaktionärs Larry Page zuhört.
    Er träumt von einem Ort ohne Datenschutzgesetze und ohne demokratische Verantwortung. „Es gibt eine Menge Dinge, die wir gern machen würden, aber leider nicht tun können, weil sie illegal sind“, verkündete Page schon 2013. „Weil es Gesetze gibt, die sie verbieten. Wir sollten ein paar Orte haben, wo wir sicher sind. Wo wir neue Dinge ausprobieren und herausfinden können, welche Auswirkungen sie auf die Gesellschaft haben.“
    . . . Es könnte sein, dass es gar nicht mehr so lange dauert, bis immer mehr Menschen erkennen, dass die Währung des eigenen Verhaltens einen hohen Preis fordert: die Freiheit zur Selbstbestimmung. Und es deshalb besser und billiger ist, mit etwas ganz Altmodischem zu zahlen: einfach nur mit Geld [statt mit seinen Daten].

Ich persönlich teile die Ängste der Manager vom Axel Springer Konzern: Google bedroht nicht nur die europäische Industrie, sondern auch die Freiheit jedes Einzelnen. Die Macht, die durch die gigantische Datensammlung und die Kontrolle über die Algorithmen entstanden ist, ist eine zu große Versuchung, als dass sie nicht missbraucht würde.

Diese Website hier berichtet über die bis zu 500 Algorithmus-Änderungen pro Jahr. Der Such-Algorithmus ist ständig im Fluss und durch die Personalisierung nicht wirklich verifizierbar.

Eine interessante Geschichte: in 2015 wird bekannt, dass in 2013 die US Wettbewerbsbehörde FTC fast Aktivitäten gegen Google gestartet hätte, aber dass wurde es wieder abgeblasen, komisch. Zitat: "In dem 160-Seiten-Akt werfen FTC-Prüfer Google vor, wettbewerbsverzerrende Taktiken angewandt zu haben und eine Monopolstellung auszunutzen. So sei sowohl Internetnutzern als auch Konkurrenten Schaden entstanden."

2012: Eine sehr lesenswerte Serie von Robert Epstein: Why Google Should Be Regulated. Ebenso dieser Artikel US-Professor warnt: Google-Algorithmus kann Demokratie gefährden. Robert Epstein wirft viele der Probleme auf, die ich in Manipulation durch Algorithmen auch dargestellt habe.

2015: BloombergBusiness berichtet sehr ausführlich über die gesamte Entwicklung des Antitrust-Verfahrens gegen Google: Google's $6 Billion Miscalculation on the EU.



1.1.2006 - Google, andere Suchmaschinen und Privatsphäre

Ende 2005 gab es in der Fachpresse einige Diskussionen zu Google und Privatsphäre. Ausgelöst wurde die Diskussion wohl durch die Nutzung von Google-Suchbegriffen als Beweise im Rahmen eines Mordprozesses (Boston Globe berichtete). In diesem Fall wurden die Suchbegriffe im Cache des Beschuldigten gefunden, aber Google hätte die Suchbegriffe auf Grund eines Gerichtsbeschlusses auch herausgerückt (siehe Datenschutzerklärung von Google).

In den USA brauchen die Behörden dafür aber nicht mal einen Gerichtsbeschluss, es genügt ein sog. Security Letter, z.B. vom FBI. In den Blogs wird diskutiert, ob es z.B. möglich ware, die "search history" im Rahmen eines Scheidungsverfahren einzuklagen, z.B. wenn es darum geht, wem das Sorgerecht für die Kinder zugesprochen wird. Ob dies in Deutschland oder Österreich möglich wäre, habe ich Zweifel, aber wer kann sich schon sicher sein.

Wenn man in google.com auf die "Lab" geht, dann gibt es dort die Feature "Personalized Search (Beta)" (das ist auf "google.at" nicht aufrufbar). Diese Feature erlaubt es dem Benutzer, dass er alle seine früheren Searches wieder einsehen kann. Man kann diese Protokollierung auch abschalten und Einträge löschen, aber in den Blogs wird bezweifelt, dass dies mehr tut, als die Einträge als "gelöscht" oder "hidden" zu kennzeichnen, d.h. sie ständen einer Behörde doch zur Verfügung. Das ist in der Erklärung der Feature sogar explizit angedeutet: "As is common practice in the industry, Google also maintains a separate logs system for auditing purposes and to help us improve the quality of our services for users." D.h. alles bleibt gespeichert, und zwar für immer (Google ist stolz darauf, die billigste Speicherkapazität zu nutzen. Wie man hört, packen sie 3,5 Petabyte (das sind 15 Stellen, 10 hoch 15) in einen 40 Fuß-Container. Das sollte bei einer geschätzen Zahl von 1 Milliarde Abfragen pro Tag für eine komplette Protokollierung aller unserer Suchbegriffe für 2 1/2 Jahre reichen.)

Das heißt, dass alles was wir in Google als Suchbegriff verwenden, auch gegen uns verwendet werden kann. Und die Suchbegriffe stehen direkt in der URL drin, z.B. als "http://www.google.at/search?hl=de&q=%22Phishing+Kits%22&btnG=Google-Suche&meta=" (sucht nach "Phishing Kits").

Data Retention, Vorratsdatenspeicherung: generell Aufbewahrung von Daten, z.B. um den Auflagen bezüglich Archivierung zu erfüllen.

In der heutigen Diskussion (2005/06) meist die Fristen für die Aufbewahrung der Verkehrs- und Standortdaten die bei den Anbietern von Telephon- und Internet-Diensten anfallen. Europäische Anbieter wehren sich gegen eine zu lange Aufbewahrungsverpflichtung, da dies Kosten für sie verursacht. Datenschützer wehren sich gegen die Aufbewahrung, weil die Weitergabe von Verbindungdaten auch bereits eine Einschränkung der Privatsphäre darstellt.

Hier mehr zu Vorratsdatenspeicherung

Und die URLs, die wir eingeben, werden im Rahmen der Datenspeicherung der Internet-Anbieter sauber mitprotokolliert und gespeichert und müssen den Behörden zur Verfügung stehen.

Googles Datenschutz-bestimmungen sind übrigens recht "locker" verfasst (Link siehe oben). Google sagt, sie speichern alles und geben es nicht weiter, außer die Behörden verlangen die Informationen und haben die entsprechenden Dokumente nach dem jeweiligen Recht. Die Suchbegriffe werden mit IP-Adresse gespeichert, aber nur dann mit dem Namen Namen des Nutzers verknüpft, wenn dieser seinen Namen und andere Angaben freiwillig an Google weitergegeben hat, z.B. im Rahmen der Eröffnung eines Gmail-Kontos. Tja, so einfach ist das. Ein Blogger zitiert aus der US-Privacy Erklärung: "We have a good faith belief that access, use, preservation or disclosure of such information is reasonably necessary to (a)...... or (d) protect against imminent harm to the rights, property or safety of Google, its users or the public as required or permitted by law ". Das klingt so, als ob Google nicht nur bei gesetzlichem Zwang bereit ist, Informationen über die Kunden preis zu geben, sondern immer dann, wenn z.B. jemand sagt, dass seine (intellectual) Property-Rechte in Gefahr sind, z.B. die Musikindustrie im Fall von Raubkopien.

Shumeet Baluja - Silicon Jungle

Dieses Thema ist auch Hintergrund in einem Krimi über eine große Suchmaschinenfirma, die auch Email-Dienste, Messaging und sogar ein Handy-Betriebssystem anbietet. Selbst für uns, die wir wissen, dass diese Firmen ALLES speichern, bietet der Krimi mit seinen weitergedachten Details dann doch wieder erschreckende Erkenntnisse.

Und hinten auf der Rückseite steht als Empfehlung:
Vint Cerf: Google Vicepresident: "Glaubwürdig und erschreckend"
Shumeet Baluja arbeitet übrigens bei Google

Der Artikel in der Boston Globe (Link siehe oben) erwähnt eine interessante Satire aus dem Jahr 2004 "EPIC 2014": It is a short, dystopian picture of the next 10 years. EPIC stands for the Evolving Personalized Information Construct. In this grim view of the near future, Google merges with Amazon and becomes ''Google-zon," the ultimate information market monopoly. By 2014, the press as we know it no longer exists. Google-zon usurps the press's advertising base by ultra-customizing all ads. There is no longer the traditional craft of reporter or editor. Newspapers go out of business or become small niche products." Hier das Video.

Der Tenor des ursprünglichen Artikels in der NY Times war, dass Google, als eine Firma, deren Motto "You can make money without doing evil" ist, sollte eine Vorreiterrolle beim Schutz der Privatsphäre übernehmen und z.B. die persönlichen "search histories" nicht länger aufheben, als für die Erstellung von zusammengefassten Statistiken nötig ist. Durch das unendliche Sammeln von Informationen über jeden Benutzer führt Google die Behörden und andere in Versuchung, diese Informationen anfordern zu wollen.

Hier auf Deutsch zum Thema Google, mit Vorschlägen zum Schutz (wie effektiv die sind, kann ich nicht genau beurteilen, bzw. habe ich meine Zweifel). Und natürlich ist das nicht nur ein Thema für Google, vermutlich speichern alle anderen Suchmaschinen auch alles was wir tun, und Amazon.com macht daraus auch keinen Hehl.

Ergänzung 10. Jänner: Noch ein Aspekt, den heute ein Freund bemerkt hat: Firmen, deren Mitarbeiter über google nach Informationen suchen oder über Amazon nach Fachbüchern müssen damit rechnen, dass die Konkurrenz Zugriff zu diesen Informationen bekommen könnte: die Logs liegen in den USA, die Behörden haben lockeren Zugriff und nationales Interesse ist in Patent-Fragen klar gegeben. Ein Beispiel wurde heute erwähnt: Philips-Mitarbeitern hatten zu einer Zeit, als amazon noch veröffentlicht hat, welche anderen Kunden ähnliche Bücher bestellt haben, angezeigt, dass Philips-Mitarbeiter eine ganze Reihe von technischen Büchern bestellt hatten. Dadurch wusste die Konkurrenz, in welche Richtung dort gedacht und entwickelt wird. Diese Feature ist heute bei amazon zum Glück entschärft worden.

Die Google-Logs

Ergänzung 23. Jänner 2006:
Die US-Regierung hat 1 Woche System Logs von Google angefordert, sie wollen damit eine bessere Begründung für ein Anti-Pornographie-Gesetz finden. Die gute Nachricht: bisher hat sich Google geweigert, die Daten rauszurücken und lässt sich auf Herausgabe verklagen. Die schlechte Nachricht: andere Search Engines haben die Daten bereits abgeliefert. (Die Marktanteile November 2005 lt. Nielsen//NetRatings: Google 46%, Yahoo 23%, MSN 11%.) -

Ergänzung/Präzisierung 26. Jänner 2006:
Die Regierung begnügt sich (in diesem Fall) mit anonymisierten Log-Records, d.h. es werden (in diesem Fall) keine persönlichen Daten angefragt. Andererseits berichtet die NY Times vom 26.1.: "According to a 2004 decision of a federal court in Virginia, America Online alone responds to about 1,000 criminal warrants each month. AOL, Google and other Internet companies also receive subpoenas in divorce, libel, fraud and other types of civil cases. With limited exceptions, they are required by law to comply. Ms. Wong (von Google) said Google tried to notify users so they could object in court before the company turned over information about them. But the law forbids such notification in some criminal cases. .... The situation is more complicated outside the United States. Internet companies have complied with local laws, as they must to do business abroad. Yahoo, for instance, provided information that helped China send a journalist there to prison for 10 years on charges of leaking state secrets to a foreign Web site."

An anderer Stelle berichte ich über Tipps zum Schutz der Privatsphäre bei Suchmaschinen. Allerdings wird dadurch das Suchen auch deutlich erschwert.

Aktualisierung 28.11.2006:
Ein interessanter Artikel in MotherJones: Is Google Evil?

Aktualisierung 16.04.2007:
Google kann sich immer noch nicht dazu durchringen, die Logs irgendwann zu löschen. Aber sie haben ihre Regeln auf Druck von Datenschützern jetzt zumindest so geändert, dass nach 18 bis 24 Monaten das letzte Byte der IP-Adresse entfernt wird und die Cookies ähnlich teil-anonymisiert werden. Google adding search privacy protections. Das geht sicher in die richtige Richtung, aber mir wäre es lieber, wenn sie gleich gelöscht würden. Wie leicht selbst anonymisierte Daten zurückverfoglt werden können, zeigt der AOL-Skandal. Interessant dazu ist m.E. auch, dass Google als Begründung, warum sie die Originaldaten so lange aufbewahren, auf die EU-Data Retention Richtlinie hinweisen. Diese sagt aber nach meinem Verständnis nur etwas über Zugangsdaten und nichts über das Protokollieren und Aufbewahren von Suchanfragen:

Ebenfalls zum Thema google-privacy auf huffingtonpost.com.

Aktualisierung 23.05.2007:
Irgendwie ist es faszinierend. Heise.de berichtet von einem Interview des Google-CEOs, in dem er sagt

Ich habe große Zweifel, ob ich möchte, dass Google (oder jemand anderes) mir Vorschläge macht, welchen Job ich nehmen sollte und dafür versucht, möglichst viel über mich zu lernen. Dass er sich traut, so etwas öffentlich zu sagen, zeugt davon dass google offensichtlich Null Zweifel hat, dass wir alle das wollen.

Aktualisierung 14.06.2007:
Die NY Times berichtete im Mai über einen Brief von 27 europäischen Datenschutzbeauftragten, die Google warnen, dass sie mit der Länge ihrer Logaufbewahrung gegen Datenschutz verstoßen. Jetzt verkündet Google, dass ihre Logs nach 18 Monaten anonymisert werden.

Aktualisierung 07.06.2007:
Noch eine Privatsphäre-Provokation von Google: Google Street View

Aktualisierung 07.07.2007:
Google kauft DoubleClick (genehmigt von der FTC in Dez. 2007), eine der ganz großen Tracking Firmen im Internet, die über Image Cookies die sie als Teil von Werbebannern verteilen, das Surfverhalten der Webnutzer analysieren. Die Kombination des notorischen Datensammlers Google mit einer Tracking Firma integriert 2 der ganz großen Datenbanken und stellt ein weiteres potentielles Risiko für die Privatsphäre dar (Daten, wenn sie erst mal existieren, erzeugen auch Begehrlichkeiten).

Aktualisierung 24.07.2007:
salon.com (dort muss man sich für den Day-Pass durch eine Anzeige klicken) vergleicht die Privacy Policies von Suchmaschinen.

Und noch ein interessantes Dokument: ein Vergleich der Datenschutzpolicies der Suchmaschinene (PDF).

Aktualisierung 29.10.2007:
Dies hier betrifft nicht Google, sondern die derzeit ziemlich populäre Social Networking Site Facebook. Normalerweise kann ein Nutzer von Facebook nicht sehen, wer sein Profil abruft. Aber die Mitarbeiter von Facebook betrachten dies angeblich als einen der Vorteil ihres Jobs, dass sie ein bisschen in den Daten ihrer Kunden schnüffeln können. Und die Privacy Policy hat dies auch nicht ausdrücklich verboten. Nun ja, ....

Gerüchte, dass Mitarbeiter für ihre Freunde (oder für sich selbst) schon mal etwas Vertrauliches über die Kunden nachschauen, das hört man (leider) auch von anderen Unternehmen. In der EU ist dies ganz sicher eine Verletzung der Datenschutzgesetze. Für Firmen ist es wichtig, solche Sachen nachvollziehen zu können (d.h. im Logfile einer Patienten-Datenbank sollte drin stehen, wer sich eine Patientenakte angeschaut hat, das gleiche gilt für die Call-Records bei einem Mobilfunkbetreiber) und dass im Rahmen eines Audits auch wirklich mal stichprobenhaft geprüpft wird, wer auf persönliche Daten zugreift ohne dass es dafür eine dienstliche Notwendigkeit gibt. Und die Mitarbeiter müssen wissen, dass dies ein Dienstvergehen ist, das auch bestraft wird.

Aktualisierung 15.12.2007:
Ein neues Kapitel zu Google Analytics in meinem Text "Spuren im Internet".

Aktualisierung 21.03.2008:
Im Wiener Kurier stehen 2 kritische Artikel zum Anlass der Herausgabe des Buches Die Googlefalle. Hier die Artikel: Weltmacht Google: Das Geheimdossier (wo erwähnt wird, dass Google anscheinend auch Ambitionen hat, sogar die DNA seiner Kunden zu kennen, siehe Beteiligungen an PGP (Personal Genome Project) und 23andMe. Der 2. Artikel ist Google: Attacke auf den Offline-Markt, in dem es darum geht, dass Google das Erfolgskonzept von AdWords auch für Radio und Fernsehen umsetzt.

Aktualisierung 22.04.2008:
Die EU-Datenschutzarbeitsgruppe (Artikel-29-DPWG) hat ein Papier zum Thema Suchmaschinen verfasst: Opinion on data protection issues related to search engines. Kernpunkte sind, dass sie der Meinung ist, dass EU-Datenschutzrecht gilt. Und das hat die Auswirkung, dass die Rechte wie Auskunftsrecht, Recht auf Löschung und Korrektur auch für die Logs bei den Suchmaschinen gelten müssen. Wenn die EU-Kommission auch nur einen Teil dieser angeführten Punkte in eine Regelung überführt steht den Searchengine-Betreibern eine gründliche Umstellung bevor, was Geschäfte mit Benutzerprofilen und zielgerichteter Werbung in Europa angeht. Ein Auskunfts- und Löschungsrecht für die Logs wäre eine ziemliche Herausforderung für die Suchmaschinen. Sie können dies nur vermeiden, wenn sie die Daten sicher anonymisieren würden.

Google hat dazu eine Stellungnahme abgegeben, sie sehen das verständlicherweise anders.

Hier ein Artikel mit viel Hintergrund zum Datensammelwut von Google (Gartner-Studie): "Google is sitting on the biggest pile of information that has ever been collected in the world."

Und dazu Google CEO Eric Schmidt in einem Fernseh-Interview: "If you have something that you don't want anyone to know, maybe you shouldn't be doing it in the first place." Er ist der Meinung "it's important" that all . . . information could be made available to the authorities."

Aktualisierung 05.07.2008:
Ein Richter hat entschieden, dass Google (der Besitzer von Youtube) die Zugriffslogs für Youtube rausrücken muss (die gesamten 4 Terabyte). Die Daten enthalten die IP-Adressen und die Nutzernamen (soweit bekannt) für alle Zugriffe. Hier die Details.

Aktualisierung 20.09.2008:
Google hat sich endlich dazu durchgerungen, ihre Logs "bereits" nach 9 Monaten zu anonymisieren. Die EU-Datenschützer fordern jedoch eine Anonymisierung nach 6 Monaten.

Aktualisierung 07.03.2009:
Google hat sich für ihren FriendFinder Service Latitude von der Electronic Frontier Foundation überreden lassen, keine Logs zu schreiben und nur jeweils den allerletzten Aufenthaltsort zu speichern. Der Grund ist, dass Daten die nicht gespeichert sind, auch nicht angefordert werden können.

Aktualisierung Jan. 2010:
Im Rahmen der ganzen Aufregung um den Zugriff (evtl. der chinesischen Regierung ?) zu der Überwachungsschnittstelle die eigentlich nur den US-Behörden zur Verfügung stehen sollte wird auch immer wieder an die Äußerung von Google-Chef Erich Schmidt erinnert

Die Nutzer der vielen Google-Dienste, von der Suchmaschine, über Google Maps, Gmail, "My Location" für mobile Geräte, Google Apps, etc. sollten sich darüber bewusst sein, dass Google im Prinzip ALLES protokolliert, nur sehr wenig davon anonymisiert und diese Daten bereitwillig den Behörden anbietet (und so schlecht geschützt, dass auch unauthorisierter Zugriff möglich ist. Da kommt übrigens bald noch ein weiterer Aspekt dazu den Google (oder Microsoft) über uns lernen wird - nämlich den Stromverbrauch. Hier ein Vergleich von Google PowerMeter vs. Microsoft Hohm.

Hier ein interessanter (aber auch etwas erschreckender) Artikel über den Umfang der Handy-Standortsabfragen in den USA. Ein Highlight:

Ich vermute, dass solche "tollen" Überwachungsmöglichkeiten sehr bald auch europäische Begehrlichkeiten wecken werden.

Aktualisierung März 2010:
Hier eine Zusammenstellung welche Daten Google von einem intensiven Google-Nutzer alles bekommt:

Aktualisierung Dez. 2010:
Google ist immer für eine Meldung gut: Wer sich die Mühe macht die Datenschutzbestimmungen bei Google näher anzusehen, wird feststellen, dass beim Kauf eines Handys und der Benutzung der Android-Software eine Verknüpfung der Daten mit dem Google-Konto stattfindet. Es erfolgen nicht nur Informationen zum Standort, zum Akkustatus und zur Synchronisierung mit den Kontaktdaten, sondern auch eine umfassende Protokollierung von Suchanfrage, usw. Und das alles im Dienste der Optimierung für den Nutzer.

Aktualisierung Jan. 2012:
Die neue einheitliche Datenschutzerklärung

Google ändert seinen Umgang mit Nutzerdaten und will künftig alle Informationen, die man bei verschiedenen Diensten des Konzerns hinterlässt, gesammelt auswerten. Statt 70 verschiedenen Datenschutzerklärungen wird es künftig für die Google-Dienste nur noch eine geben. Die Kommentatoren sind nicht begeistert. Auch hier: One policy, one Google experience, even more declarations of evil

Aktualisierung Mai 2012:
Es kommt jetzt etwas Licht in die Geschichte mit den WLAN-Daten, die im Rahmen von Google Streetview gesammelt wurde. Nein, die wurden nicht aus Versehen gesammelt, der Techniker der das programmiert hat ist bekannt für seine WLAN-Tricks, er hat die bekannte Software Netstumbler entwickelt und auch innerhalb von Google kommuniziert, was er vorhatte. Hier die Details in der NY Times: Engineer in Google Case Is Identified.

Aktualisierung Mai 2012:
Google ist schon wieder in die Schlagzeilen gekommen, und zwar damit, wie verzweifelt sie derzeit versuchen, Benutzer für Google+ zu ködern. Sie verwenden dabei Tricks die wir von anderen Social Networks auch schon kennen: das Versenden von Einladungen im Namen von anderen Nutzern. D.h. sie lassen es so aussehen, als wäre der Adressat von einer Person eingeladen worden die sich evtl. kränkt, wenn die Einladung nicht angenommen wird, aber dazu muss der Benutzer erst mal Mitglied werden.

 


Philipp Schaumann, http://sicherheitskultur.at/

Home

 

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.