Schlagwort-Archive: it-sicherheit

datenschutzlöcher im web 2.0

ambivalente aussage: ist das die ankündigung von unterstützung oder doch eher eine drohung?

hieße ich hans müller, könnte ich mich vielleicht aufgrund dieses allerweltnamens im web 2.0 etwas mehr in  sicherheit wiegen (googletreffer heute ca. 3.170.000). trügerisch, denn selbst diese aussage unterliegt weiteren einschränkungen: wohne ich in einer großstadt oder in einem dorf mit weniger als hundert einwohnern? hinterlasse ich also zusätzlich noch angaben über wohnort und arbeitgeber im netz, steigt die wahrscheinlichkeit, mit dem namen eine person in verbindung bringen zu können. so www, so schlecht für manchen user, denn  eben jene unbedarftheit führte in diversen fällen (z.b. hier und hier) zu nervigen eskalationen verbaler auseinandersetzungen, zum kleinkrieg mit schimpfkanonaden, zum fallenlassen jeglicher hemmschwellen oder zu abmahnungen. auch die anonymität hat einen nicht unerheblichen anteil an diesen kommunikativen entgleisungen. denn wer weiß, wie er seine identität verschleiert, neigt schneller auch mal (aber nicht in jedem fall) zur gezielten beleidigung, bloßstellung, diffamierung, nach dem motto netiquette?! was ist das denn?, bis hin zu handgreiflichkeiten, wenn man erst einmal die adresse herausgefunden hat und die rachegelüste völlig freidrehen, weil jeglicher appell an die vernunft einfach ignoriert wird. ist denn das virtuelle ich weniger verletztbar als das reale? ich sage nein.

wohl jeder webmaster, foren-moderator, blogger kennt solche schriftlichen äußerungen, die, würde man sie hören können, vermutlich ein erhebliches maß an normaler gesprächslautstärke überschritten. dabei ist klar zu unterscheiden zwischen freier meinungsäußerung, auch konstruktive kritik genannt, rechthaberisch motiviertem streit oder etwa schriftwechsel mit gegenseitigen vorwürfen in der mitmach-arena moderner cyber-stierkämpfer. ein kollege, seines zeichens webmaster, wies mich kürzlich darauf hin, daß es in zahlreichen gästebüchern und virtuellen gemeinschaften tatsächlich  immer noch gebräuchlich ist, zu den realnamen oder nicknames gleich noch den wohnort oder/und die mail-adresse unverschlüsselt zu veröffentlichen. dabei nützt es recht wenig, sich ein pseudonym zuzulegen, wenn in der mailadresse ein klarname auftaucht. es empfiehlt sich  grundsätzlich, mindestens eine alias-adresse  zu benutzen, die keine rückschlüsse zuläßt, aber auch nicht für die rufschädigung anderer personen zweckentfremdet wird.

weil ich das persönlichkeitsrecht respektiere und nicht auch noch computerkriminelle mit der nase darauf stoßen will, überlasse ich die überprüfung dieser aussagen ausnahmsweise dem leser (die rechercheergebnisse teile ich nur auf ausdrücklichen wunsch und bei in meinen augen seriösen anfragen mit, d.h. nicht per blogkommentar). für mich ergibt diese praxis allerdings nur in ausnahmefällen einen sinn (z.b. xing, da aber auch mit abstrichen, vgl. hier der absatz: ratgeber für nutzer), ansonsten sehe ich eher die privatsphäre gefährdet als die glaubwürdigkeit der diskussionsteilnehmer herabgesetzt, denn diese wird vorwiegend per inhalt und wortwahl vermittelt. bei solch datenunsicheren gästebüchern wird leichtfertig vertrauen  gegen den verlust von vertraulichkeit eingetauscht, was ich mehr als fahrlässig finde.

jetzt könnte der kritische oder hämische geist einwenden: die nutzer tragen doch freiwillig ihre daten ein, ergo sind sie selbst schuld. das stimmt zwar, ist aber kein argument für mehr schutz von sensiblen daten im netz, nicht im zeitalter von spamming und sonstigen netzschikanen. denn das „böse“ findet das „arglose“ überall, um es ganz einfach auszudrücken. auch wenn weniger netzaffine vielleicht mal etwas von privatsphäre-einstellungen bei facebook vernommen haben, so fehlen ihnen doch leider zu oft das verständnis für technische raffinessen oder das interesse daran. die frage ist doch eher, ob man nicht mit regulierung der voreinstellungen datenmißbrauch umgehen könnte? also die seite so zu konfigurieren, daß der admin zwar die daten einsehen kann, sie aber nicht öffentlich macht bzw. im falle von mißbrauch notfalls eine möglichkeit der rückverfolgung hat, wenn nicht gerade surfen via proxy oder vpn  die herkunft verdunkeln. welches interesse kann ein homepage-eigentümer daran haben, unerfahrene nutzer erst mal selbst schlechte erfahrungen sammeln zu lassen, bis dieser dann mit dem antrag auf löschung personenbezogener daten zitternd, zeternd und zagend bei ihm vorstellig wird? mit dem löschen auf der jeweiligen internetseite ist das verschwinden aus den suchmaschinen allerdings nicht gleichzusetzen. aus den fängen einer datenkrake wie google muß man sich in zeitraubenden und mühsamen kämpfen entfernen (hier gibt es aber nützliche tips). gegen  internetkra(n)ke sind spuren im schnee vergleichsweise ephemer, schon alleine deshalb, weil es so etwas wie jahreszeiten und temperaturschwankungen gibt.

ein ganz allgemeiner hinweis zur nutzung des internets (auch an mich selbst): erst denken, dann klicken und senden.

datendiebe

als ich heute eine collage einscannen wollte, bekam ich folgende meldung, an der umfrage (extended survey program) des herstellers teilzunehmen:

druckerder text erinnert ungemein an die anrufe von marktforschungsinstituten mit ihren eintönig abgelesenen einfängersätzen, die man nur schwer unterbrechen kann, um mitzuteilen, daß man gerade gar keine zeit und generell keine lust auf solche anrufe hat. anfänglich bedankt sich der hersteller nämlich für die unterstützung, während man irritiert den satz in sich nachhallen läßt. wie? wann habe ich denn für diesen kram mein einverständnis erteilt? kloßartiges schlucken, kehlkopf zugeschnürt! erst im letzten textabsatz erfährt man, daß es sich um ein zukünftges projekt handelt. logisch entscheide ich mich für nicht akzeptieren. denn was weiß ich als laie schon vom bedeutungsgehalt dieser aufgezeichneten informationen: bs-versions-, sprach- und anzeigeeinstellungsinfos, gerätetreiber und anwendungs-software-nutzungsprotokolle, id-nummer des druckers, installationsdatum und -uhrzeit, tintenverbrauch, anzahl ausgedruckter seiten und wartungsinfos. dazu der übliche hinweis, das sonst keine daten erfasst werden. na, da bin ich aber gaaanz beruhigt. wo ich nur eine verschwommene vorstellung davon habe, was man wohl mit den dokumentierten daten so alles anstellen kann…

und in diesem kontext fällt mir ein, daß ich noch recht wenig im netz darüber gelesen habe, wie die mittlerweile üblichen multifunktionsgeräte (kopierer, scanner, fax, drucker) von hackern ausspioniert werden können. mit relativ geringem aufwand gelangt der gewiefte zugriff auf ungesicherte geräte und deren web-interface und kann ausgedruckte/kopierte dokumente per webprotokoll einsehen, ausdrucken, manipulieren. nebenbei könnte auch der admin sehen, welche privatkopien auf firmenkosten angefertigt werden. und wenn schon eine kassiererin für einen pfandbon in höhe von 1,30 € fristlos gekündigt wurde, warum sollte nicht irgendein paranoid-pedantischer chef in einer kopie im wert von einem cent ein ähnlich zerstörtes vertrauensverhältnis sehen. abgesehen davon habe ich noch von keinem der hersteller die eingeforderte ruhmesverkündung gelesen, daß ihre geräte jetzt den ansprüchen des datenschutzes bei automatischer installation genügen würden. die online verfügbaren daten interessieren offenbar auch den bnd. das bundesamt sicherheit informationstechnik (bsi) gibt lediglich den lapidaren hinweis, daß für die datensicherheit der administrator bzw. privatnutzer verantwortlich ist. na toll! und wie??? habe ich den bruderkuß zwischen herstellern von informationstechnik und dem geheimdienst verpaßt? oder hat das im halbdunkel tappen lassen methode?