10       Aus dem IT-Labor

10.1       Google Analytics

Nach anhaltenden Beschwerden über das Tracking-System „Google Analy­tics“ hatte Google im März 2010 „die Entwicklung eines globalen browser­basierten Plug-ins“ angekündigt. Das Ergebnis bleibt ungenügend.

Funktionsweise von Google Analytics Webseitenbetreiber können den Pro­grammcode von Google Analytics einfach in ihre Webseite integrieren. Wird die Seite aufgerufen, wird der Browser des Besuchers von der Seite angewiesen, zusätzlich ein Programm, ein sogenanntes Script, vom Google-Server herunterzuladen und auszufüh­ren. Dieses Programm führt auf dem Rechner des Nutzers eine kurze Ana­lyse durch und schickt die gewonne­nen Informationen an Google zurück.

Im Mai 2010 war es so weit: Google hob das „Deaktivierungs-Add-on für Browser von Google Analytics (BETA)“ aus der Taufe. Nutzer können sich diese Browsererweiterung herun­terladen, die automatisch und ohne weitere Konfiguration eine Datenüber­mittlung an den Tracking-Dienst unter­bindet. Die von Google präsentierte Lösung stellt sich bei näherer Betrach­tung allerdings als höchstens halbher­zig heraus.

Google beschränkt seine Erweiterung auf die Browser Firefox, Chrome und Internet Explorer. Damit ist zwar der größte Teil des Marktes abgedeckt. Wenig verbreitete Browser wie Opera oder Safari werden jedoch ausgespart, ebenso die Vielzahl mobiler Browser auf Smartphones.

Die Installation der Erweiterung gestaltet sich einfach – ohne Einstellungen oder Aktivierungen. Einmal installiert, verhindert die Erweiterung, dass das Analytics-Script Daten an Google sendet. Ärgerlich ist, dass das Script selbst von Googles Servern heruntergeladen wird, sodass doch zumindest die Information, dass eine Seite besucht wurde, an Google übermittelt wird. Die aufmerksame Lektüre der Download-Seite der Erweiterung macht klar, wie feinsinnig Google seine Form von „Opt-Out“ definiert. Es geht nicht um ein Opt-Out aus Google Analytics. Das würde schlicht durch ein Blockieren des Script-Downloads möglich sein. Viel­mehr teilt Google artig mit, die Erweiterung teile „dem JavaScript (ga.js) von Google Analytics mit, dass keine Informationen über den Website-Besuch an Google Analytics übermittelt werden sollen“.

Ärgerlich ist weiterhin der Umstand, dass die Browsererweiterung nur das Script „ga.js“ behandelt. Google nutzt mit Analytics ein zweites, älteres Script namens „urchin.js“. Webangebote, die dieses Script auf ihren Seiten einbinden, senden fleißig weiter Daten an Google – egal ob der Nutzer die Opt-Out-Erweiterung installiert hat oder nicht. Google sollte die Funktionsweise der Erweiterung über­denken. Die Filterung muss auf alle Analytics-Scripte ausgedehnt werden. Nut­zer sollten auf die Google-Erweiterungen verzichten und stattdessen in ihrem Browser den Zugriff auf die Analytics-Scripte mithilfe bewährter Filtererweite­rungen einrichten. Das ULD gibt hierzu Hilfestellungen.

https://www.datenschutzzentrum.de/tracking/

Für die Google Analytics nutzenden Webseitenanbieter sind die Änderungen ohnehin keine Lösungen, da das Opt-Out nicht den Anforderungen des Teleme­diengesetzes genügt. Es gilt also weiterhin die Aussage, dass die Nutzung dieses Analysewerkzeugs unzulässig ist.

Was ist zu tun?
Googles Opt-Out-Lösung ist inkonsequent und technisch mangelhaft. Nutzer, die ein Tracking ihrer Internetaktivitäten vermeiden wollen, sollten ihren Brow­ser entsprechend einrichten. Webseitenanbieter sollten weiterhin die Finger von Google Analytics lassen.

10.2       Doodle 

Doodle ist ein in der Schweiz beheimateter Online-Dienst, der Terminab­sprachen und -organisation vereinfachen soll. Leider gibt es Datenschutz­probleme.

Mit dem Dienst lassen sich ohne Anmeldung Einladungen erstellen, in denen Terminvorschläge enthalten sind. Der Link zu dieser Einladung wird dann allen potenziellen Teilnehmern geschickt. Auf der hinter dem Link stehenden Webseite können die Teilnehmer ihre Terminpräferenzen angeben und bei Bedarf Kom­mentare hinterlassen. Auf diese Weise lassen sich sehr einfach Termine abstim­men – auch in größeren Gruppen. So gut die Idee zunächst klingt, so hat die Umsetzung trotzdem einige Haken.

Der Dienst verwendet das Werbenetzwerk Google AdSense zur Einblendung von Werbebannern. Google Analytics kommt für statistische Auswertungen zum Ein­satz (Tz. 10.1). Nutzer von doodle.com müssen also davon ausgehen, dass Infor­mationen über sie ungefragt in die USA gesandt werden. Immerhin wendet doodle dabei die von Google angebotene IP-Kürzung an und deklariert die Nutzung von Analytics in der Datenschutzerklärung. Neben dem gratis verfüg­baren Basisdienst wird eine werbefreie Premiumvariante angeboten. Nach Aus­kunft der Betreiber werden dabei aber dieselben Daten an Google übermittelt, sodass ein Premiumkonto in Sachen Datenschutz keinen Mehrwert bietet.

Das Anlegen von doodle-Umfragen ist einfach und für jedermann ohne weitere Registrierung möglich. Ob und welche personenbezogenen Daten dort eingetra­gen werden, steht im Ermessen der Nutzer. Wer die in den Umfragen eingetrage­nen Informationen einsehen kann, ist nicht vollständig steuerbar. Da der Zugriff auf eine eingerichtete Umfrage durch Weitergabe des zugehörigen Links erfolgt, besteht kein effektiver Zugriffsschutz.

Doodle unternimmt Anstrengungen, damit der Link nicht erraten werden kann. Trotzdem kommen zwangsläufig unbeteiligte Dritte in den Besitz der URL, zuvorderst Router- und Zugangsprovider sowie WLAN-Nutzer, die mit dem doodle-Kunden dasselbe Funknetz teilen, beispielsweise im Internetcafé. Aber auch andere Nutzer des lokalen PCs können über den Browserverlauf sehr einfach die bereits aufgerufenen Umfragen öffnen. Dies ist ein konzeptionelles Problem, das doodle auf seiner Webseite leider verschweigt. Nutzer sollten sich im Klaren sein, dass personenbezogene Daten wie Telefonnummern, Adressen oder persön­liche Kommentare unter Umständen in die Hände Unbeteiligter geraten können.

Was ist zu tun?
Nutzer sind von doodle aufzuklären, dass es keinen effektiven Zugriffsschutz auf Umfragen gibt. Die Übermittlung von Daten an Google muss – wenn man doodle nutzen möchte – hingenommen oder durch entsprechende Selbstschutz­maßnahmen unterbunden werden.

10.3       Mobile Endgeräte

Komplexe mobile Endgeräte, sogenannte Smartphones, erfreuen sich zuneh­mender Beliebtheit und Marktdurchdringung. Mit deren Funktionsvielfalt wächst auch die Zahl der Fragen nach Datensicherheit und dem Schutz personenbezogener Informationen.

Smartphones erlauben den Zugriff auf das World Wide Web, E-Mail und andere Dienste des Internets, enthalten Kameras, Navigationssignalempfänger und unzählige andere Sensoren. Die Telefoniefunktion rückt in den Hintergrund; die mobile Datenverarbeitung rückt nach vorn. Die verschiedenen am Markt vertrete­nen Smartphone-Angebote lassen sich kaum nutzen, ohne persönliche Daten preiszugeben.

Die Apple-Produkte lassen sich nur in Betrieb nehmen, wenn man einwilligt, personenbezogene Daten an Apple zu übermitteln. Bei anderen Anbietern sieht es ähnlich aus. Nutzt man ein Telefon mit dem sich derzeit schnell verbreitenden Linux-Derivat Android, kommt man kaum umhin, sich ein Benutzerkonto bei Google anzulegen. In beiden Fällen werden personenbezogene Daten in die USA übermittelt. Theoretisch könnte man bei Android die Google-Verdrahtung los­werden. Aufgrund seines Open-Source-Charakters ist es möglich, das System nach eigenen Wünschen anzupassen. Doch versuchen die meisten Hersteller, ein Einspielen modifizierter Versionen des Betriebssystems auf die Geräte mit technischen Mitteln zu verhindern. Dies wird insbesondere zum Problem, wenn in einer bestimmten Systemversion Sicherheitsmängel entdeckt werden. Bei älteren Geräten lohnt es sich für die Hersteller anscheinend wirtschaftlich nicht mehr, ihre Produkte zu pflegen und Aktualisierungen anzubieten. Findet man im Netz von der Open-Source-Community erstellte Updates für so ein Gerät, kann man sie nicht einspielen, ohne zunächst den Herstellerschutz zu durchbrechen. Letzteres ist dabei rechtlich nicht unproblematisch.

Im Fokus der Datenschützer stehen weiterhin die Anwendungen: Bei der Instal­lation bekommt man zwar meist mitgeteilt, auf welche Funktionen des Gerätes ein Programm zugreifen will. Doch lassen sich die Berechtigungen nicht einzeln selektieren. Man kann so nicht steuern, dass ein Programm beispielsweise vom Zugriff auf Netzwerkverbindungen ausgeschlossen ist, wenn man es nicht dafür verwenden will. Die von Anwendungen ausgehenden Risiken lassen sich so durch die Nutzer nicht einschränken.

Dazu kommt, dass viele Anwendungen fleißig Daten über die Nutzer sammeln und an Server im Netz übertragen. Nutzt man alle Möglichkeiten eines Smart­phones, ist man nicht der Einzige, der Nutzen daraus zieht. Werden etwa GPS und WLAN aktiviert, werden häufig die eigenen Positionsdaten sowie die gefundener WLAN-Access Points an Navigationsdienstleister übertragen, die damit die Ergebnisse ihrer Dienste verbessern wollen. Positions- und Verhaltensmuster der Anwender sind insbesondere für Werbedienste interessant, die auf die Vorlieben der Nutzer zugeschnittene Anzeigen ausliefern wollen. Nur selten wird für solche Auswertungen ein explizites Einverständnis eingeholt.

Was ist zu tun?
Smartphones müssen sich auch aktivieren und nutzen lassen, ohne dass perso­nenbezogene Daten an die Hersteller übermittelt werden.

Hersteller von Smartphones und Applikationen müssen die Sicherheitskonzepte für ihre Architekturen offenlegen und auf gefundene Fehler schnell mit Updates reagieren.

Nutzer müssen die Möglichkeit haben, installierten Anwendungen die Zugriffs­rechte auf Netzwerk, Kamera usw. auch einzeln zuzuweisen oder zu entziehen.

Werden Smartphones von Behörden und Unternehmen eingesetzt, so müssen für die Datenspeicherung auf dem Gerät und die Datenübertragung per Netz offen­gelegte und von unabhängigen Stellen als sicher anerkannte (Ende-zu-Ende-) Verschlüsselungsmechanismen genutzt werden. Ein Zugriff von Herstellern, Diensteanbietern und Netzbetreibern auf die Daten ist auszuschließen.

10.4       Faxgeräte

Faxgeräte gelten aus technischer Sicht mit ihrer Punkt-zu-Punkt-Verbin­dung als hinreichend sicher. Für eine sichere Übertragung personenbezoge­ner Daten sind jedoch zusätzliche organisatorische Maßnahmen notwendig.

Wie jedes andere technische Gerät ist das Faxgerät – damit ist zunächst das „ein­fache“ Stand-alone-Gerät gemeint – bei dem Einsatz in einer Behörde oder einem Unternehmen bestimmten Gefährdungen ausgesetzt, z. B.:

  • Unbefugte Personen können, wenn sie Zugang zu dem Faxgerät haben, Faxe versenden. Damit erscheint auf der Empfängerseite die Faxnummer des Sen­ders, obwohl das Fax durch eine unberechtigte Person versendet wurde (unbe­fugte Benutzung von Faxgeräten).
  • Unbefugte Personen können, wenn sie Zugang zu dem Faxgerät haben, Faxe mit einer gefälschten abgehenden Nummer versenden. Die abgehende Nummer kann ähnlich wie eine MAC-Adresse gefälscht werden (gefälschte Faxsendun­gen).
  • Personen können, wenn sie Zugang zu dem Faxgerät haben, die Kurzwahl­tasten eines Faxgerätes umprogrammieren. Damit werden alle Faxe, die mit diesen Kurzwahltasten versendet werden, den falschen Empfängern zugestellt (versehentliches oder vorsätzliches Umprogrammieren der Kurzwahlnum­mern).
  • Unbefugte Personen können, wenn sie Zugang zu einem Faxgerät in einem öffentlichen Bereich haben, Faxsendungen zur Kenntnis nehmen, die nicht für sie bestimmt sind (unbefugtes Lesen von Faxsendungen).
  • Unbefugte Personen können Kenntnis von Restinformationen auf Verbrauchs­material von Faxgeräten erhalten. Bei Faxgeräten mit Thermotransferfolie werden eingehende Faxsendungen auf eine Zwischenfolie geschrieben, bevor sie ausgedruckt werden. Diese Folie ist Verbrauchsmaterial und muss ausge­tauscht werden. Die Inhalte auf dieser Zwischenfolie können wiederhergestellt und ausgelesen werden (unberechtigtes Auslesen von Restinformationen auf Verbrauchsmaterial).

Beim Einsatz von Faxservern bestehen spezifische „organisatorische Gefährdun­gen“. In Adressbüchern oder Verteilergruppen können falsche bzw. zu viele Empfängeradressen gespeichert werden. Das kann dazu führen, dass Faxsendun­gen an falsche bzw. an zu viele Empfänger verschickt werden. Wenn der Drucker des Faxservers in einem öffentlichen Bereich steht, können unberechtigte Perso­nen Kenntnisse von den ausgedruckten Faxsendungen erhalten. Auch bei der automatischen Verteilung der Faxsendungen durch den Faxserver an die Empfän­ger können aufgrund von Zuordnungsfehlern unberechtigte Personen Kenntnis von Faxsendungen erhalten, die nicht für sie bestimmt sind. Als Ergebnis bleibt: Die Faxsendung erreicht nicht den Empfänger, den sie erreichen sollte, und der Sender geht davon aus, dass die Faxsendung fehlerfrei den richtigen Empfänger erreicht hat.

Mit einfachen Maßnahmen können diese organisatorischen Mängel gezielt mini­miert werden. Für das Faxgerät sollte ein Systemverantwortlicher festgelegt werden, der in Zusammenarbeit mit der Leitung, den Fachbereichs- bzw. Abtei­lungsleitern, dem behördlichen bzw. betrieblichen Datenschutzbeauftragten und der Administration alle technisch-organisatorischen Fragen regelt und im laufen­den Betrieb koordiniert, z. B. Zugang, Zugriff, Faxverteilung, Versorgung mit und Entsorgung von Verbrauchsgütern, Regelungen bei Wartungen.

Weiterhin sollten Regelungen zur Verwendung des Faxgerätes getroffen wer­den, beispielsweise folgende Festlegungen:

  • welche Daten mit dem Faxgerät versendet werden dürfen,
  • wo das Faxgerät steht und wer wann Zugang zum Faxgerät hat,
  • ob ein Faxgerät 24 Stunden an 7 Tagen erreichbar sein muss,
  • wie ankommende Faxsendungen verteilt werden,
  • dass erwartete Faxsendungen sofort am Faxgerät abgeholt werden,
  • wenn das Gerät diese Funktion unterstützt, dass zum Ausdrucken am Gerät zunächst eine PIN-Nummer eingegeben werden muss,
  • wie Verbrauchsgüter entsorgt werden,
  • wie Wartungspersonal beaufsichtigt wird.

Es kann sinnvoll sein, ein Faxvorblatt zu erstellen, das für jede Faxsendung verwendet wird. Dieses Vorblatt enthält Informationen über den Sender, z. B. Faxnummer, Ansprechpartner (Name, Telefonnummer, E-Mail), Anzahl der folgenden Seiten und eventuell eine Unterschrift. Damit kann der Empfänger nachvollziehen, ob die Faxsendung vollständig bei ihm eingegangen ist. Wurde die Faxsendung nicht vollständig oder fehlerhaft empfangen, dann kann sich der Empfänger an den genannten Ansprechpartner wenden.

Um zu kontrollieren, ob die organisatorischen Maßnahmen den gewünschten Sicherheitsgewinn bringen, sollte ein Prozess zur Protokollierung und zur regel­mäßigen Überprüfung festgelegt werden. So kann festgestellt werden, wann welche Faxsendungen an wen versendet wurden, welche Faxnummern in den Kurzwahltasten hinterlegt sind bzw. welche Faxnummern bei einem Faxserver den verschiedenen Verteilern zugeordnet sind.

Alle getroffenen Maßnahmen sind in der Sicherheitsdokumentation entspre­chend LDSG und DSVO zu dokumentieren. In einer Dienst- bzw. Betriebsanwei­sung werden die Mitarbeiter der Behörde bzw. des Unternehmens über die Maß­nahmen zum Gebrauch des Faxgerätes informiert. In dieser Anweisung sollten auch praktische Hinweise (Was mache ich, wenn …?) zum Faxversand und ‑empfang aufgenommen werden, beispielsweise:

  • Verwenden von Schreddern am Faxgerät, um Faxsendungen mit personenbezo­genen Daten datenschutzkonform zu entsorgen.
  • Informationen darüber, wann ein Fax verwendet werden darf und wann kein Fax, sondern eine andere Kommunikationsart gewählt werden muss (z. B. bei Daten, die einem besonderen Berufs- und Amtsgeheimnis unterliegen).
  • Festlegung, dass Faxsendungen telefonisch angekündigt werden sollen. So kann der Empfänger das Fax am Gerät direkt entgegennehmen und Fehl­sendungen werden gleich zur Kenntnis genommen. Auch eine telefonische Rückversicherung, ob der Empfänger eine Faxsendung vollständig und fehler­frei erhalten hat, ist denkbar.
  • Festlegung, dass es bei empfangenen „eigenartigen“ Faxsendungen zu einer telefonischen Rückversicherung kommt, ob eine Faxsendung auch tatsächlich vom Absender abgeschickt wurde. So kann eine Fälschung der Absender­adresse ausgeschlossen werden.
  • Verfahren zum Schutz vor Fehlzustellung (und damit einer unbefugten Kennt­nisnahme) einer Faxsendung durch Falscheingabe der Faxnummer durch Vertippen: Zunächst wird ein Dummy-Fax (z. B. nur das Deckblatt) an den Empfänger versendet. Bestätigt dieser den erfolgreichen Empfang, kann die eigentliche Faxsendung durch Betätigen der Wahlwiederholung versendet werden. Auch danach kann eine Bestätigung des Empfängers erfolgen.

Immer häufiger wird die Faxfunktion im Zusammenhang mit modernen Multi­funktionsgeräten angeboten. Bei deren Einsatz sollten zusätzlich zu den hier aufgeführten Maßnahmen die Hinweise in der Veröffentlichung „Sicherheitsmaß­nahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)“ im Internet berücksichtigt werden.

https://www.datenschutzzentrum.de/kopierer/

Was ist zu tun?
Analysieren Sie den Einsatz Ihrer Faxgeräte in Bezug auf Technik und Organi­sation.

Benennen Sie einen Systemverantwortlichen für das Faxgerät, der alle tech­nisch-organisatorischen Maßnahmen in diesem Zusammenhang koordiniert.

Legen Sie organisatorische Maßnahmen zur Verwendung der Faxfunktion fest und dokumentieren Sie diese in Ihrer Sicherheitsdokumentation.

Erstellen Sie eine Dienst- bzw. Betriebsanweisung für die Mitarbeiter.

Kontrollieren Sie die Einhaltung der getroffenen Sicherheitsmaßnahmen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel