Datenschnüffelei auf Providerebene

Sonntag, 06. April 2008

SecDaß Hinz und Kunz auch in Deutschland Nutzerdaten sammeln zum Zweck der kommerziellen Auswertung, war ja bereits bekannt. In der Regel meidet man solche vermeintlich kostenlosen Veranstaltungen (von Xing bis StudiVZ, die sind ja auch nicht gemeinnützig…) oder, wenn es nicht anders geht, widerspricht der Verwendung der eigenen Daten. Bei Google läßt sich die Datenschnüffelei zumindest im Bereich der Suchmaschine mit einem Browser-Plugin wie CustomizeGoogle umgehen.

Nicht wehren kann man sich jedoch dann, wenn bereits der Provider direkt an der Quelle das Nutzerverhalten auf Paketebene dokumentiert und auswertet. Das funktioniert logischerweise nur, wenn der Kunde davon nichts weiß und möglichst nichts davon mitbekommt. Heise zitiert aus einem Bericht der Washington Post, nach dem vor allem britische und amerikanische Provider zunächst testweise („mehrere Hunderttausend“) das Verhalten ihrer Kunden analysieren und in Profilen speichern. Zum Zuge kommt eine „Deep Packet“-Inspektion, die den gesamten Datenverkehr des Nutzers analysiert. Besuchte Websites werden danach auf Stichwörter gescannt und in Relation zum sonstigen Verhalten des Kunden gesetzt. Wahrscheinlich nur zur Verbesserung des Kundenservices und zum Beschmeißen mit zielgerichteter Werbung. ;-) Sollte in D jemand auf eine solche Schnapsidee kommen, können sie den Laden bald zumachen. Versprochen.

TrueCrypt 5 nun kernelunabhängig

Mittwoch, 06. Februar 2008

SecDie heute erschienene Version 5.0 des Verschlüsselungstools Truecrypt bringt diverse wichtige Neuerungen mit. Neben dem SHA-512 Hash-Algorhythmus, der das bisherige SHA-1 ablöst, erfreuen sich nun auch Linux-Anwender an einer GUI-Variante und vor allem an einem Redesign der Software, das sie unabhängig von den jeweils verwendeten Kernelversionen macht. Das hat den unschätzbaren Vorteil, daß bei einem Kernelupdate nicht ggf. jedesmal das TrueCrypt-Modul erneuert bzw. neu übersetzt werden muß. Unter Windows läßt sich nun auch die Systempartition verschlüsseln. Eine Liste der Änderungen findet sich auf der Projekt-Website.

Mit TrueCrypt lassen sich einzelne verschlüsselte Datei-Container erstellen, die beispielsweise unter Windows als zusätzliche Laufwerke eingebunden werden können. Auch ganze Partitionen lassen sich verschlüsseln und bei Bedarf mounten. Die Software ist erhältlich für Windows (2000 bis Vista), MacOS X sowie als vorkompilierte Pakete für Linux (SuSE und Ubuntu). Der Sourcecode ist ebenfalls erhältlich unter der Truecrypt Collective License.

[Update] Die neue Version scheint sich nicht mit der Ubuntu/Kubuntu Gutsy 7.10 zu vertragen – nach dem Kopieren von 80 MB in den TC-Container ist Schluß und das System hängt komplett. Intelligenterweise wird die funktionierende Vorgängerversion 4.3a, die noch ein Kernelmodul verwendete, nicht mehr als Download angeboten, sondern nur noch die Windows-Version. Im Forum von ubuntuusers.de findet sich ein Link zu einem Rapidshare-File des 4.3a-gutsy-debs, das dankenswerterweise jemand hochgeladen hat. Da ist auch kein Bundestrojaner drin, Prüfsumme stimmt. ;-)

Alle nackich dank Google

Mittwoch, 05. September 2007

SecGoogle und der Datenschutz wird hier allmählich eine Art Running Gag. Allerdings gibt sich die Firma aus Seattle auch alle Mühe, das Google-Bashing ordentlich zu befeuern. Nach der bekannten Schnüffelei durch Cookies und Nutzer-IDs und deren Speicherung auf den Google-Servern erfreut uns diesmal die deutsche AGB des neuen Google-Dienstes „Text und Tabellen“, die sich golem.de näher angesehen hat. Dieser neue Dienst, von dem es inzwischen auch eine deutschsprachige Version gibt, ist das vom allgemeinen „Web 2.0“-Geschwurbel bekannte Outsourcen von Programmen und Diensten und deren browserbasierte Umsetzung auf externe Applikationsservern – in diesem Fall laufen die (Web)Anwendungen (Tabellenkalkulation und Textverarbeitung) bei Google, wo ebenfalls die Speicherung der Daten und Texte stattfindet. Einige Firmen bekamen daher schon große Augen, da sie dachten, dank dieser kostenlosen bis relativ preiswerten Dienste sich die Ausgaben für interne Software sparen zu können. Auch einige Schulen spekulierten schon, daß sie sich Ausgaben für Software sparen und die Schüler übers Netz mit diesen externen Anwendungen arbeiten lassen könnten.

Nach Punkt 11 ihrer AGB sichert sich Google die kostenlose „Lizenz“ zur Weiterverarbeitung der durch Nutzer eingestellten Daten sowie deren Öffentlichmachung, Anpassung und ggf. Modifikation. Zwar soll dies nur der „Bewerbung“ des Anwenders dienen, jedoch hält sich Google eine Hintertür offen durch so schöne Formulierungen wie

„dass diese Lizenz Google auch das Recht einräumt, entsprechende Inhalte anderen Gesellschaften, Organisationen oder Personen, mit denen Google vertragliche Beziehungen über die gemeinsame Erbringung von Diensten unterhält, zugänglich zu machen und die Inhalte im Zusammenhang mit der Erbringung entsprechender Dienste zu nutzen.“

Im Gegensatz zu den US-AGB fehlt in der deutschen Version der Hinweis, daß der Nutzer (Urheber) bei der Öffentlichmachung seiner von ihm eingestellten Daten explizit zustimmen muß. Daher sei gewarnt, wer außer dem Brief an die Omma auch nur halbwegs vertrauliche Daten dort eingeben will. Dasselbe gilt erst recht für Dienste wie Kalender und Adressen. Big Brother kann alles gebrauchen und erstellt aus den gesammelten Daten ein Gesamtbild des Nutzers in einer Weise, wie man es vor ein paar Jahren nicht für möglich hielt. Vorausgesetzt, der Anwender macht sich freiwilig nackich. Wann kommt die Google-Kundenkarte?

Mach Dich nackich für Google

Donnerstag, 02. August 2007

SecNach einem Bericht von Heise Online erweitert Google seinen personalisierten Dienst „Search History“ um einen Webcache, in dem der einzelne Nutzer auch in bereits besuchten Webseiten recherchieren kann. Darüberhinaus erhält jeder Nutzer auch eine ausführliche eigene Surfstatistik. Dieser personalisierte Dienst soll laut Google dann „stärker personalisierte und zielgerichtetere Ergebnisse liefern“ können, indem sonstige Suchthemen und -begriffe des Nutzers bei den Ergebnissen berücksichtigt würden.

„Datenschutzbedenken wischte er [der zuständige „Google-Produktchef“] beiseite, in dem er betonte, der Nutzer habe jederzeit die Kontrolle darüber, was Google serverseitig speichert.“

Immerhin muß man sich für diesen Service explizit anmelden (Opt-In), wenn man sein „Surfverhalten“ für Google dokumentieren möchte. Davon unberührt bleibt die übrige Datenschnüffelei via Cookies, über die hier bereits mehrfach berichtet wurde und bei denen sich den hiesigen Datenschutzbeauftragten die Haare sträuben. Aber im Zweifelsfall gilt ja amerikanisches Recht. Wie immer der Hinweis auf das Firefox-Addon CustomizeGoogle, das die Suchanfragen pp. anonymisiert.