Datenschutz im Internet
1 Inhalt
2. Wieso Datenschutz?
3. Mögliche Gefahrenquellen
4. Lösungsansätze
5. Konfigurationshilfen
2 Wieso Datenschutz?
Obschon man bei fast allen Diensten, die über das Internet
verfügbar sind, nie einen Gegenüber zu Gesicht bekommt,
ist man bei weitem nicht anonym, wie viele meinen. Vielmehr eignet
sich das Internet gerade dazu, systematisch Daten zu erheben. Die
Frage stellt sich nun: Sind die Daten, die so über jemanden
zusammengetragen werden können, von so grosser Tragweite, dass
sie unbedingt geschützt werden müssen? Geht ein einzelner
Datensatz nicht in der Menge unter? Die erste Frage ist nicht
leicht zu beantworten. Angenommen ein Spammer findet heraus, dass
Sie sich kürzlich in ein Gästebuch auf einer PC- Support-
Seite eingetragen haben, was mit einem automatischen Suchprogramm
kein Problem sein dürfte. Möglicherweise wird er die
Adresse mit anderen Spammern tauschen oder sie verkaufen, mit dem
Hinweis, dass sie sich für PCs interessieren. So kann es
durchaus passieren, dass Sie wegen eines Gästebucheintrages 50
- 100 Spams pro Jahr zugeschickt erhalten. Dabei muss es nicht
sein, dass er sich gerade für Ihren Datensatz interessiert,
denn solche Suchprogramme können ohne weiteres vollautomatisch
ablaufen.
Weiter können Spammer auch grosse Teile des Internets oder
interessante Auskunftsdienste, wie Whois- Datenbanken, Foren,
Adressverzeichnisse und ähnliches automatisiert durchsuchen.
Die gewonnenen Informationen können Sie in einer Datenbank
ablegen. Mit entsprechenden Programmen kann die Datenbank nun
ausgewertet werden. Zu jedem einzelnen User kann so ein Profil
erstellt werden, welche andern E-Mailadressen er vermutlich kennt,
welche Seiten ihn interessieren usw. Solche Informatioen
können Spammer in Zukunft benützen, um Spam so zu
personalisieren, dass er nicht mehr als solcher erkennbar ist.
Entsprechende Programme sind dazu bereits in Entwicklung. Mit
einfachen Programmen ist es möglich, jeden einzelnen Spam auf
Erfolg zu überprüfen, d.h. ob der Emfpänger ihn
liest, ob er reagiert und sogar auch, wie lange er liest und ob er
eine beworbene Seite besucht. Unter solchen Gesichtspunkten finde
ich es unumgänglich, dass man einige elementare Massnahmen zu
seiner eigenen Sicherheit ergreift.
Oben
Zur Hauptseite
3 Mögliche Gefahrenquellen
HTML- Mails
Eine grosse und selten genannte Gefahrenquelle sind HTML- E-Mails.
Die meisten E-Mail- Clients nehmen solche HTML E-Mails
standardmässig an. Darin kann sich Code verbergen, der nach
Erhalt des E-Mails mit einem Server irgendwo auf der Welt Kontakt
aufnimmt und Daten zurücksendet, die jeden einzelnen Benutzer
eindeutig identifizieren können. Mittels JavaScript oder Java
ist es sogar möglich, bis auf die Sekunde genau zu bestimmen,
wie lange jemand ein Mail geöffnet hält (d.h. wie lange
er liest). Durch entsprechenden weiteren Code kann sichergestellt
werden, dass jeder, der auf einen Link in seinem Mail klickt,
eindeutig identifizierbar ist. Mittels der Cookie- Technologie kann
ein User, der einmal auf einen solchen Link geklickt hat, so
gebrandmarkt werden, dass er jederzeit wiedererkennbar ist, wenn er
auf Server kommt, solange er den gleichen PC benutzt oder seine
alten Daten auf einen neuen PC überspielt. Mit einer
serverseitigen Datenbankapplikation kann also festgestellt werden,
wessen E-Mailadresse gültig ist, wie lange jemand ein E-Mail
liest, ob er Links anklickt, wenn er auf dem Server ist, wie lange
er welche Seiten anschaut, selbst wenn er erst nach Monaten oder
gar Jahren wieder auf die Seite kommt. Wenn Spammer nun solche
Daten untereinander vergleichen ist es ohne weiteres möglich,
ein sehr genaues Bild über die User zu kommen.
Oben
Zur Hauptseite
Cookies
Cookies sind eine leidige Sache. Entwickelt wurden sie von
Netscape. Entstanden sind sie aus dem Problem, dass es für
Webseiten- Entwickler extrem mühsam ist, Informationen
zwischen dem Abruf von zwei Seiten zwischenzuspeichern. Das Problem
tritt z.B. dann auf, wenn Sie auf dem Internet einkaufen. Wie soll
das Programm zwischenspeichern, was Sie schon eingekauft haben?
Natürlich gibt es andere Lösungen als Cookies, diese
vereinfachen das oben genannte Problem jedoch radikal. Cookies
können mit einer bestimmten Laufzeit versehen werden und
werden nachher automatisch ungültig und gelöscht.
Für den Online- Einkauf sind Laufzeiten von ca. einer halben
Stunde sinnvoll. Problematisch wird es dort, wo die Aussteller der
Cookies Laufzeiten von Jahren oder Jahrzehnten definieren. Dies
bedeutet faktisch, dass das Cookie solange gespeichert bleibt, wie
Ihr PC lebt. Diese Verwendungsweise der Cookies hat nichts mehr mit
der Vereinfachung von Online- Shopping (eine durchaus sinnvolle
Anwendung von Cookies), sondern nur noch mit gezielter Spionage zu
tun.
Zum Thema Cookies hat der Eidg. Datenschutzbeauftragte ein Infoblatt
veröffentlicht.
Oben
Zur Hauptseite
Webformulare
Eine einfache Möglichkeit für Spammer, an Daten zu
kommen, sind Webformulare. Dort können Sie diverse weitere
Informationen zu sich eingeben, die es dem Spammer sehr einfach
machen, Daten zu erheben. Kein Wunder sind die Nutzungsbedingungen,
die unter dem Webformular stehen, oft sehr klein gedruckt. Nicht
selten steht dort mehr oder weniger deutlich, dass Informationen an
Partner weitergegeben werden können. Weniger juristisch
formuliert bedeutet dies, dass sich die Fira durchaus erlauben
wird, die Adresse an x-beliebige Personen zu verkaufen.
Oben
Zur Hauptseite
Scanning von Newsgroups / Webseiten
Sehr einfach ist das Scannen von Newsgroups: Dort stehen viele
Adressen auf wenig Raum. Ebenso einfach gestaltet sich das Scannen
von Webseiten oder von Adressverzeichnissen.
Oben
Zur Hauptseite
4 Lösungansätze
Leider musste ich feststellen, dass viele Mailprogramme das
Ausschalten von HTML- Mails nicht mehr erlauben. Unter Linux geht
dies z.B. mit KMail und Pine. Unter Windows, so wurde mir gesagt,
soll z.B. Pegasus Mail diese Funktion enthalten.
Zu ihrer eigenen Sicherheit sollten Sie ebenfalls die Anzeige
aller aktiven Inhalte in Ihrem Mailprogramm abschalten, da diese
allenfalls dazu dienen könnten, eine E-Mailadresse zu
verifizieren.
Als weitere Massnahme sollten Sie die Verwendung von Cookies
abschalten. Diese können zwar oft hilfreich sein, leider
bieten Sie aber auch zuviel Risiken für den einzelnen Nutzer.
Gut gestaltete Seiten verlassen sich nicht auf Cookies, da diese
dem Benutzer ein grosses Risiko aufbürden. Im äussersten
Notfall können Sie die Cookies immer noch beim Besuch einer
speziellen Seite kurz ein- und danach wieder ausschalten.
Vor Webformularen können Sie sich ebenfalls gut
schützen: Geben Sie die Adresse nur bei seriösen
Unternehmen an. Seriöse Unternehmen erkennen Sie daran, dass
Sie ihre Benutzungsbestimmungen nicht auf einer separaten Seite in
winziger Schrift darstellen müssen. Überlegen Sie sich
auch, wozu ein Anbieter die Daten, die Sie ihm angeben, brauchen
kann.
Das leidigste Problem ist das Scannen der Newsgroups und
Webseiten. Gegen diese Art von Belästigung können Sie
sich nur effektiv wehren, indem Sie dort nicht posten und Ihre
E-Mailadresse nicht angeben. Dies ist jedoch keine wirkliche
Lösung. Eine Möglichkeit ist die Einrichtung eines
Gratisaccounts mit gut gesetzten Filtern, so wie in Was tun gegen Spam beschrieben.
Oben
Zur Hauptseite
5 Was kann gegen den Missbrauch von Personendaten tun?
Das hängt davon ab, welche Bereiche des Internets Sie
gebrauchen:
E-Mail
Eine üble Marotte ist das Versenden von E-Mails an das ganze
Adressenverzeichnis. Wie Sie vielleicht auch schon festgestellt
haben, werden dabei alle E-Mailadressen an jeden Empfänger
versandt. Es ist nicht ausgeschlossen, dass nun ein Empfänger
den Inhalt lustig findet und nun seinerseits an alle ihm bekannten
E-Mailadressen weiterleitet. Auf diese Weise wandern E-Mailadressen
weit herum zu Personen, die Sie nicht im entferntesten kennen.
Nicht selten bieten solche Adressen ein gefundenes Fressen für
irgendwelche Firmen, die nun Werbung an alle, die im E-Mail stehen
senden kann. Dabei liesse sich dieses Problem einfach beheben. Alle
brauchbaren Mailclients bieten die Möglichkeit, E-Mailadressen
als "Blind Carbon Copies" zu senden, also als blinde Kopien, kurz
BCC. Das E-Mailprogramm versendet das E-Mail nun so, dass jeder
Empfänger nur noch seine eigene Adresse sieht.
Möglichkeit, einem Empfänger ein Mail als BCC zukommen zu
lassen in Netscape Mail.
Angabe fremder Adressen
Schreiben Sie fremde E-Mailadressen nicht grundlos auf Webseiten
oder in Newsgroup- Postings. Problematisch sind insbesondere
Gästebücher oder Diskussionsforen. Technisch ist es
durchaus möglich, dass die Absender z.B. über ein
Webinterface erreicht werden können. Wenn Sie Mailinglisten,
etc. betreiben: Achten Sie darauf, dass die E-Mailadressen nicht
auf einer Seite allesamt aufgelistet sind. Heikel ist es auch
immer, wenn Sie Daten Ihrer Besucher einsammeln. Es kann zwar von
Vorteil sein, viel über seine Besucher zu wissen. Gleichzeitig
ist es aber auch eine Last, die Sie tragen müssen,
schliesslich vertrauen Ihnen die Leute, die ihre Daten angeben. Das
heisst, dass Sie entsprechend für genügende Sicherheit
sorgen müssen. Auf keinen Fall sollten Sie wichtige Daten im
Klartext (z.B. CSV- File) über das Web abrufbar machen, auch
nicht über einen "geheimen" Link. Geheime Links sind viel
leichter auffindbar, als viele glauben: So erscheinen Sie z.B. in
Benutzungsstatistiken Ihres Webservers. Wenn Sie von einem geheimen
Link auf eine andere Seite ausserhalb Ihres Webservers gehen,
senden die meisten Browser die Herkunftsadresse dem nächsten
Server. Dies hat zur Folge, dass Ihr geheimer Link in der dortigen
Statistik als Herkunftsseite aufgeführt wird. Nun ist es nur
noch eine Frage der Zeit, bis eine grosse Suchmaschine wie Google
oder AltaVista diese Statistiken sieht. Spätestens ab dann ist
Ihr geheimer Link in den grossen Suchmaschinen problemlos
auffindbar. Kundendaten sollten Sie deshalb gar nicht auf einem
Webserver, oberhalb des Wurzelverzeichnisses des Webservers oder
zumindest passwortgeschützt lagern. Wenn Sie trotzdem einmal
in einer HTML- Datei E-Mailadressen angeben müssen, so
können Sie überall, wo ein @ steht, diesen Code durch
@ ersetzen, der ein Äquivalent für @ ist.
Oben
Zur Hauptseite
Kommentare
An dieser Stelle können Sie einen Kommentar oder
Ergänzungen zu diesem Text schreiben. Rot hinterlegter Text
bedeutet, dass ich diesen Text noch nicht gelesen habe. Grün
hinterlegte Texte stammen von mir.
Eigenen Kommentar
abgeben
| 147 Von: Stefan Datum: Mon Dec 3 10:58:35 2001 Leider funktioniert @ nicht. Ich habe das Programm "Websnake" ausprobiert, und er fand selbst verschlüsselte Mails... |
| 148 Von: Stefan Datum: Mon Dec 3 11:01:06 2001 Dieses Programm interpretiert &.#.6.4.; gleich als "@"... |
| 149 Zum ersten: Es gibt sicher Programme, die den Trick mit dem @ erkennen, einige tun das nicht. Gegen die hilft's. Es liegt übrigens nicht am Programm, das @ nicht erkennt. Dein Webbrowser interpretiert dies als @, was normal ist. |
| 205
Von: Dani
Datum: Sun Jun 8 14:34:05 2003
Seit ein paar Monaten bin folgendes Script am testen. Bis jetzt habe ich noch kein Spam auf die Testemail bekommen: Email mit Javascript zerstückeln Mailto und @ als Unicode var name = "ihrname"; var domain = "ihredomain.ch"; document.write(''); document.write(name + '@' + domain + ''); |
| 214
Von: opera benutzer
Datum: Tue Aug 12 14:09:33 2003
das leidige cookie thema wird mit dem browser von opera elegant gelöst. wenn man die option "cookie automatisch löschen" werden die cookies automatisch nach beenden von opera gelöscht. |
| 280
Von: becks 17
Datum: Thu Sep 22 10:19:22 2005
ihr geht mir alle aufn sack |
Oben
Zur Hauptseite
|
URL: http://spam.trash.net/persoenlich.shtml
Letzte Änderung:
27.Oct.2002
E-Mail an: Siehe Impressum