Neue Datenschutzerklärung

Ein kurzer Hinweis: Das Blog hat eine neue, ausführliche Datenschutzerklärung bekommen, um den Anforderungen der EU-Datenschutzgrundverordnung, die im Mai in Kraft tritt, hoffentlich Genüge zu tun. Der Text wurde halbautomatisch generiert; ich erwarte ehrlich gesagt nicht, dass ihn sich irgendjemand komplett durchliest.

Generell versuche ich, das Blog einigermaßen datensparsam zu betreiben. Im Moment verwende ich nicht einmal Google Analytics. Auf WordPress‘ Jetpack möchte ich aber nicht verzichten.

Wie ich meinen eigenen Browser so einstelle, dass ich zu einem guten Kompromiss zwischen Datenschutz und Komfort gelange, habe ich vor einiger Zeit hier beschrieben: Ein bisschen mehr Privatsphäre beim Surfen

2-Faktor-Authentifizierung per SMS? Problematisch.

Der IT-Sicherheitsreporter Brian Krebs beschwert sich in einem Blogpost über eBays Versuch, ihn dazu zu überreden, sich die Codes für die 2-Faktor-Authentifizierung per SMS zuschicken zu lassen anstatt einen Hardware-Token (einen Schlüsselanhänger, der alle 30 Sekunden einen anderen Code anzeigt) zu verwenden. Er schreibt, zu Recht, dass dies weniger sicher ist als andere Methoden.

Eine kurze Anekdote: Vor einiger Zeit musste ich für ein Familienmitglied eine Tausch-SIM-Karte besorgen. Ich ging dazu mit einem anderen Familienmitglied in einen Shop des Netzbetreibers. Die Mitarbeiterin fragte nach Telefonnummer und Adresse des Vertragspartners – und händigte uns prompt die Tausch-SIM-Karte aus. Sie fragte uns weder nach einem Ausweis, noch nach irgendeinem nicht-öffentlichen Detail wie zum Beispiel dem Kundenkennwort. An die alte SIM kam ein SMS mit einem Hinweis. So einfach könnte man einen Mobilfunkanschluss übernehmen und die Codes per SMS empfangen – wenn auch vom Opfer nicht ganz unbemerkt.

Für mich zeigt das: SMS-Codes und SMS-TANs sind nur so sicher wie das System des Mobilfunknetzbetreibers – und darin scheint Sicherheit eine untergeordnete Rolle zu spielen.

Über den Umgang mit Cookies und wie man die Hinweise auf sie entfernt

Diese Website verwendet Cookies, um die angebotenen Services zu verbessern. Die weitere Nutzung der Website wird als Zustimmung zur Verwendung von Cookies betrachtet.
Einverstanden Mehr erfahren

Diese und ähnliche Meldungen gehen mir beim Surfen immer wieder auf die Nerven. Einerseits kommt man nicht darum herum, Cookies zu akzeptieren, weil viele Seiten sonst nicht funktionieren. Andererseits wird dieser Warnhinweis meist erst angezeigt, nachdem eine Handvoll Cookies gesetzt wurden, was ihn erst recht sinnlos macht.

Wer dazu neigt, gerne den Sinn hinter augenscheinlich sinnlosen Dingen zu suchen, stößt auf eine Richtlinie der Europäischen Union (2009/136/EG, „Cookie-Richtlinie“), die in einigen Ländern in nationales Recht umgesetzt wurde.

Dort steht in der Präambel (Abs. 66)

Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

und im Text der Richtlinie (Art. 2 Punkt 5)

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

So weit, so gut. Nobles Ziel, mäßige technische Umsetzung.

Die Richtlinie hindert keinen Websitebetreiber daran, Cookies zu setzen. Mit einem älteren Browser in Standardkonfiguration kann es durchaus vorkommen, dass beim Surfen auf einer einzigen Website viele Dutzend oder sogar mehrere hundert Cookies gesetzt werden, die meisten davon von Drittanbietern. Daher ist es sinnvoll, den eigenen Browser zu instruieren, die Cookies nach dem Ende jeder Sitzung zu löschen. Wie das geht und was man sonst noch tun kann, um beim Surfen ein bisschen mehr Privatsphäre zu wahren, habe ich vor einigen Wochen in einem Blogpost beschrieben.

Blöderweise wird meistens auch die Information darüber, dass man den nervigen Cookie-Hinweis schon gesehen und akzeptiert hat, in einem Cookie gespeichert, das natürlich der Löschaktion am Ende der Sitzung zum Opfer fällt. Wer sich aber, so wie ich, an den Warnungen sattgesehen hat, dem sei ein einfaches Plugin für Firefox oder Google Chrome mit dem bezeichnenden Namen I don’t care about cookies empfohlen. Mit dessen Hilfe wird man die Hinweise effizient und datenschutzfreundlich wieder los. Das Plugin lädt dazu eine Filterliste herunter und entfernt die Meldungen aus den angezeigten Seiten.

Das imaginäre Haustier.

Das imaginäre Haustier.

Mama hat einen Doppelnamen, Geburtsstadt und Schule stehen auf Facebook und das Lieblingsgericht ändert sich von Woche zu Woche. Sicherheitsfragen für Onlinedienste sind für’n Arsch.

Leider kann ich mir selten aussuchen, bei der Registrierung für einen Dienst keine dieser Fragen beantworten zu wollen. Selbst dann nicht, wenn ich weiß, dass ich mich im Falle eines Falles nicht mehr an die richtige Antwort erinnern werden kann. Mit diesem Problem bin ich nicht alleine. Eine aktuelle Studie von Google hat ergeben, dass sich schon nach drei Monaten 20% der User nicht mehr an die richtige Antwort auf eine denkbar einfache Sicherheitsfrage erinnern konnten: „In welcher Stadt wurden Sie geboren?“. An alle anderen Antworten konnten sich noch weniger User erinnern: 73,6% tippten ihr Lieblingsgericht im ersten Monat noch richtig ein, nach einem Jahr waren es nur mehr 46,6% — mehr als die Hälfte hat die richtige Antwort vergessen. Mehr lesen

Ein bisschen mehr Privatsphäre beim Surfen

Ein bisschen mehr Privatsphäre beim Surfen

Kennt ihr das? Ihr stöbert in einem Onlineshop, schaut euch die Detailseiten zu einigen Produkten an, und sehr daraufhin wochenlang immer wieder auf diversen Websites Werbung für genau diese Produkte?

Mir ging diese gezielte Werbung und die Datensammlerei, die dahinter steckt, auf die Nerven. Daher habe ich mich vor einiger Zeit dazu entschlossen, meinen Browser „privacy-freundlicher“ zu konfigurieren. Es geht hier nicht darum, möglichst anonym zu surfen, sondern darum, einen Kompromiss zwischen Komfort und Datenschutz zu finden.

Für weitere Hinweise und Tipps bin ich dankbar.

Update: siehe weiter unten! Mehr lesen