Über den Umgang mit Cookies und wie man die Hinweise auf sie entfernt

Diese Website verwendet Cookies, um die angebotenen Services zu verbessern. Die weitere Nutzung der Website wird als Zustimmung zur Verwendung von Cookies betrachtet.
Einverstanden Mehr erfahren

Diese und ähnliche Meldungen gehen mir beim Surfen immer wieder auf die Nerven. Einerseits kommt man nicht darum herum, Cookies zu akzeptieren, weil viele Seiten sonst nicht funktionieren. Andererseits wird dieser Warnhinweis meist erst angezeigt, nachdem eine Handvoll Cookies gesetzt wurden, was ihn erst recht sinnlos macht.

Wer dazu neigt, gerne den Sinn hinter augenscheinlich sinnlosen Dingen zu suchen, stößt auf eine Richtlinie der Europäischen Union (2009/136/EG, „Cookie-Richtlinie“), die in einigen Ländern in nationales Recht umgesetzt wurde.

Dort steht in der Präambel (Abs. 66)

Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

und im Text der Richtlinie (Art. 2 Punkt 5)

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

So weit, so gut. Nobles Ziel, mäßige technische Umsetzung.

Die Richtlinie hindert keinen Websitebetreiber daran, Cookies zu setzen. Mit einem älteren Browser in Standardkonfiguration kann es durchaus vorkommen, dass beim Surfen auf einer einzigen Website viele Dutzend oder sogar mehrere hundert Cookies gesetzt werden, die meisten davon von Drittanbietern. Daher ist es sinnvoll, den eigenen Browser zu instruieren, die Cookies nach dem Ende jeder Sitzung zu löschen. Wie das geht und was man sonst noch tun kann, um beim Surfen ein bisschen mehr Privatsphäre zu wahren, habe ich vor einigen Wochen in einem Blogpost beschrieben.

Blöderweise wird meistens auch die Information darüber, dass man den nervigen Cookie-Hinweis schon gesehen und akzeptiert hat, in einem Cookie gespeichert, das natürlich der Löschaktion am Ende der Sitzung zum Opfer fällt. Wer sich aber, so wie ich, an den Warnungen sattgesehen hat, dem sei ein einfaches Plugin für Firefox oder Google Chrome mit dem bezeichnenden Namen I don’t care about cookies empfohlen. Mit dessen Hilfe wird man die Hinweise effizient und datenschutzfreundlich wieder los. Das Plugin lädt dazu eine Filterliste herunter und entfernt die Meldungen aus den angezeigten Seiten.

Das imaginäre Haustier.

Das imaginäre Haustier.

Mama hat einen Doppelnamen, Geburtsstadt und Schule stehen auf Facebook und das Lieblingsgericht ändert sich von Woche zu Woche. Sicherheitsfragen für Onlinedienste sind für’n Arsch.

Leider kann ich mir selten aussuchen, bei der Registrierung für einen Dienst keine dieser Fragen beantworten zu wollen. Selbst dann nicht, wenn ich weiß, dass ich mich im Falle eines Falles nicht mehr an die richtige Antwort erinnern werden kann. Mit diesem Problem bin ich nicht alleine. Eine aktuelle Studie von Google hat ergeben, dass sich schon nach drei Monaten 20% der User nicht mehr an die richtige Antwort auf eine denkbar einfache Sicherheitsfrage erinnern konnten: „In welcher Stadt wurden Sie geboren?“. An alle anderen Antworten konnten sich noch weniger User erinnern: 73,6% tippten ihr Lieblingsgericht im ersten Monat noch richtig ein, nach einem Jahr waren es nur mehr 46,6% — mehr als die Hälfte hat die richtige Antwort vergessen. Weiterlesen

Ein bisschen mehr Privatsphäre beim Surfen

Ein bisschen mehr Privatsphäre beim Surfen

Kennt ihr das? Ihr stöbert in einem Onlineshop, schaut euch die Detailseiten zu einigen Produkten an, und sehr daraufhin wochenlang immer wieder auf diversen Websites Werbung für genau diese Produkte?

Mir ging diese gezielte Werbung und die Datensammlerei, die dahinter steckt, auf die Nerven. Daher habe ich mich vor einiger Zeit dazu entschlossen, meinen Browser „privacy-freundlicher“ zu konfigurieren. Es geht hier nicht darum, möglichst anonym zu surfen, sondern darum, einen Kompromiss zwischen Komfort und Datenschutz zu finden.

Für weitere Hinweise und Tipps bin ich dankbar.

Update: siehe weiter unten! Weiterlesen

Wikileaks: Spionage(abwehr) für Dummies

WikiLeaks hat am 1. Dezember einen ganzen Haufen neuer Dokumente veröffentlicht. Die Spy Files zeigen, welche Möglichkeiten Behörden und Geheimdienste haben, um ihre Bürger zu überwachen — mehr oder weniger gesetzeskonform, mehr oder weniger gründlich. Die Dokumente sind offenbar zu einem guten Teil Präsentationen, die Unternehmen auf einer der ISS-Konferenzen (Intelligence Support Systems for Lawful Interception, Criminal Investigation and Intelligence Gathering) gezeigt haben. Sie geben Aufschluss darüber, welche Fähigkeiten die von den Unternehmen angebotenen Produkte auf jeden Fall haben.

Laut der Karte gibt es einige Unternehmen, die auch Verbindungen nach Deutschland haben. Von besonderem Interesse dürfte dabei die Firma DigiTask sein, die in den letzten Monaten oft in Verbindung mit dem deutschen „Staatstrojaner“ genannt wurde. Dieser, auch „Quellen-Telekommunikationsüberwachung“ und „Bundestrojaner“ genannt, wird auf dem Computer der zu überwachenden Person installiert und hat die Aufgabe, den Behörden das Abhören von verschlüsselten Nachrichten zu gestatten, indem er diese vor dem Verschlüsseln oder nach dem Entschlüsseln abfängt. Der deutsche „Chaos Computer Club“ (CCC) hat sich mit einer älteren und einer neueren Variante des Staatstrojaners beschäftigt und darin einige eklatante Sicherheitslücken gefunden: „Wir waren überrascht und vor allem entsetzt, daß diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen“ sagte ein CCC-Sprecher. Der detaillierte Bericht ist sehr lesenswert:

Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.

Mittlerweile erkennen viele Antivirenprogramme die erste veröffentlichte Version als Schadprogramm und blocken es.

In den Veröffentlichungen von WikiLeaks sieht man nun, wie die Firma DigiTask sich und ihre Abhörprogramme vorgestellt hat. DigiTask hat den Konferenzteilnehmern (Behördenvertreter etc.) offenbar wirklich ein System präsentiert*, das angeblich mit AES (Advanced Encryption Standard) verschlüsselt. Der CCC hat dann herausgefunden, dass zwar der Datenverkehr vom Trojaner zum Server verschlüsselt wird (und noch dazu über einen Server in den USA läuft), der Trojaner aber selbst die Befehle mehr oder weniger unverschlüsselt empfängt, was eine Sicherheitslücke darstellt. Interessanterweise geht die Präsentation auch explizit auf die Möglichkeit ein, weitere Programmbestandteile nachzuladen und „verbotene“ Funktionalitäten der Software zu sperren.

Was nützt es, das zu wissen?

Wir erhalten Informationen darüber, was den Behörden beim „gewöhnlichen“ Abhören von Datenverbindungen Probleme bereitet. Darunter sind…

  • Informationen, die zwar entschlüsselt werden könnten, aber nicht gesammelt werden können
    • TOR (auch verschlüsselt)
    • Verwendung von Internetcafés, Hotspots usw.
  • verschlüsselte Informationen, die nicht entschlüsselt werden können
    • verschlüsselte Instant Messenger
    • per TLS oder SSL verschlüsselte Verbindungen zu Mailservern
    • mit PGP/GnuPG verschlüsselte E-Mails
    • Websites, die HTTPS verwenden
    • VPN-Verbindungen
  • Informationen, die trotz Beschlagnahme (von Datenträgern) nicht erhalten werden können
    • verschlüsselte Festplatten und andere Datenträger

Das sind also jene Dinge, die man als Computernutzer tun kann, um zu verhindern, dass es Hacker/Geheimdienste/Industriespione usw. allzu leicht haben. Natürlich ist die Quellen-Telekommunikationsüberwachung genau darauf ausgerichtet, diese Probleme zu umgehen. Die Software dazu muss aber zuerst auf den Computer gelangen — und das ist einiges an Arbeit, weil es mitunter physischen Zugriff auf den Computer erfordert.

 

*kleines Glossar:

RFS: remote forensics software
LI: lawful interception

Wie man mit Hilfe der Uni Wien einigermaßen sicher in WLANs surft

Vor ein paar Tagen ist das Firefox-Add-On Firesheep (Bericht) auf einer Konferenz vorgestellt worden. Firesheep untersucht den Datenverkehr in drahtlosen Netzen (WLAN) auf Pakete, die unverschlüsselt an Dienste wie zum Beispiel Twitter oder Facebook gesendet werden. Aus diesen Paketen filtert Firesheep jene heraus, die  Session Cookies enthalten. Session Cookies werden dazu verwendet, einen eingeloggten Benutzer gegenüber einer Website zu indentifizieren. Firesheep ermöglicht es, mit Hilfe der Session Cookies die Session des anderen Benutzers zu kapern und so zum Beispiel dessen Facebook-Account zu verwenden.

Dabei ist es egal, ob man sich in einem verschlüsselten oder unverschlüsselten WLAN befindet. In beiden Fällen können die in diesem WLAN eingeloggten Benutzer die Session Cookies mitlesen.

Websites, die für alle Vorgänge (also nicht nur zur Übertragung des Passworts) eine per SSL verschlüsselte Verbindung verwenden, sind von diesem Problem nicht betroffen. Leider verwenden viele Websites (z.B. Facebook) SSL nur für die Übertragung des Passworts beim Login-Vorgang.

Wie kann ich verhindern, dass jemand meine Accounts verwendet?

Ein VPN (Virtual Private Network) verwenden. VPN sind ursprünglich dafür gedacht, mehrere private LANs über das Internet zu verbinden oder es einem Benutzer zu ermöglichen, von überall auf der Welt über das Internet auf ein privates LAN (z.B. das Firmennetzwerk) zuzugreifen. Die Verbindung vom Client (z.B. dem Notebook im Internetcafé) zum VPN-Endpunkt (z.B. einem Server der Firma) ist verschlüsselt, der weitere Weg der Pakete vom VPN-Endpunkt zum Empfänger (z.B. Facebook) nicht unbedingt.

Uni Wien

Die Uni Wien stellt einen VPN-Server zur Verfügung, der auch dazu gedacht ist, Online-Angebote von Zeitschriften wie z.B. Nature von daheim aus über den Zugang der Universität Wien nützen zu können. Jeder, der einen gültigen Mailbox-Account (für Mitarbeiter) oder unet-Account (für Studierende) hat, kann diesen VPN-Server verwenden. Wie das geht, steht hier (VPN via Klient), genauere Anleitungen für einige verschiedene Betriebssysteme findet man hier. Wenn die Verbindung aufgebaut ist, ist der eigene Computer Teil des Datennetzes der Uni Wien.

Wegen des Rechenaufwands und der nötigen Bandbreite sind VPN-Verbindungen langsamer als direkte Verbindungen. Im eigenen Interesse sollte man die VPN-Verbindung nicht für bandbreitenintensive Dienste wie z.B. Youtube oder illegale Dinge wie z.B. Filesharing verwenden, sondern nur Dinge tun, die den Benützungsbedingungen des Uni Wien-Datennetzes entsprechen.

Andere

Viele andere Unis und Arbeitgeber bieten VPN-Zugänge an–Fragen schadet nicht. Außerdem gibt es einige Anbieter von kostenpflichtigen VPN-Endpunkten, die zum Teil auch Nutzer anwerben, die regional begrenzte Dienste wie z.B. Hulu von außerhalb verwenden möchten.