Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-641

[Datenschutz] IVW-Box sammelt Daten
(2002-08-26 17:34:52.988163+00)

Quelle: http://www.ivw.de/news/pm16.html#2

Die Informationsgesellschaft zur Feststellung der Verbreitung von Werbeträgern e.V. (IVW) veranlaßt Web-Browser beim Besuchen zahlreicher Web-Angebote, überdurchschnittlich viel Information preiszugeben.

Das alte Zählungsverfahren, welches im Laufe des Jahres 2001 ersetzt wurde, übertrug die folgenden Daten an den Server des Betreibers des Web-Angebots:

Dazu kam ein sogenanntes IVW-Pixel zum Einsatz, ein kleines transparentes GIF-Bild, daß vom Server so übertragen wird, daß keine Zwischenspeicherung möglich ist. (Dieses Konstrukt ist auch unter dem Namen web bug - Web-Wanze - bekannt.) Bei jedem Anzeigen der Seite wird ein neuer Zugriff registriert, was schlecht mit dem Ziel zu vereinen ist, Verbreitung im klassischen Sinne zu testen, also die Anzahl der Besucher. Die Auswertung der IP-Adresse liefert insbesondere bei Netzen, die hinter Proxies liegen, nur wenig zusätzliche Daten. Auch ändert sich bei Dial-Up-Zugängen häufig die IP-Adresse während des Besuches eines Web-Angebotes.

Das neue Verfahren

Beim neuen Verfahren wird in einem ersten Schritt daher beim Abruf des IVW-Pixels ein Cookie gesetzt. Auch wenn der Cookie verfällt, wenn der Browser beendet wird, würden bei einem Besuch eines IVW-erfaßten Web-Angebotes nun folgende Daten übertragen (zu einer sogenannten IVW-Box): Nun lassen aber viele Benutzer aus Datenschutzerwägungen Cookies durch ihren Browser generell ablehnen, oder Proxies filtern sie aus dem HTTP-Strom heraus. Wohl aufgrund dieser Beobachtung findet sich in IVW-erfaßten Web-Seiten häufig folgende Zeilen im HTML-Text (umbrochen zur besseren Lesbarkeit):
<img SRC="/cgi-bin/ivw/CP/home/id=NA" 
  WIDTH="1" HEIGHT="1" ALIGN="right">
<script LANGUAGE="JavaScript">
<!--//
  var IVW="http://Anbieter.ivwbox.de/cgi-bin/ivw/CP/home"; 
  document.write("<IMG SRC=\""+IVW+"?r=" 
    + escape(document.referrer)
    + "\" WIDTH=\"1\" HEIGHT=\"1\" ALIGN=\"RIGHT\">");
//-->
</SCRIPT>
<noscript>
<img SRC="http://Anbieter.ivwbox.de/cgi-bin/ivw/CP/home" 
  WIDTH="1" HEIGHT="1" ALIGN="right">
</noscript>
Die ersten beiden Zeilen (mit dem <IMG>-Tag) sind wahrscheinlich ein Überbleibsel der alten Meßmethode. Dieses IVW-Pixel setzt auch kein Cookie. Mit dem JavaScript-Code in dem <SCRIPT>-Tag wird in den vom Browser verarbeiteten HTML-Quelltext ein Verweis auf ein weiteres IVW-Pixel eingefügt. Dabei wird aber dynamisch das sogenannte referrer-Feld eingearbeitet. Dies enthält in der Regel den URL für die vorher besuchten Seite (also der Seite, die den Nutzer auf das IVW-erfaßte Angebot führte). Diese Information wird auch dann preisgegeben, wenn der entsprechende HTTP-Header durch einen Proxy gelöscht wird, um die Anonymität des Nutzers zu wahren. Schließlich wird über den <noscript>-Tag eine Alternative bei ausgeschaltetem JavaScript festgelegt, ein IVW-Pixel mit gesetztem Cookie.

(Neben den hier beschriebenen Mechanismen existiert noch ein weiterer, bei dem der Client einen URL mit einer Pseudozufallszahl übermittelt. Der Sinn dieser Maßnahme ist nicht völlig klar, da sich hierdurch auf den ersten Blick keine weiteren Daten ermitteln lassen und das oben beschriebene Verfahren weiterhin parallel dazu eingesetzt wird.)

Insgesamt werden also (falls JavaScript und Cookies aktiviert sind) folgende Daten übertragen:

Personenbeziehbare Daten

Von den übermittelten Daten sind nach der Legaldefinition des Begriffs durch das BDSG und die LDSG folgende als personenbeziehbar anzusehen: Manche individuellen Arbeitsplatzrechner sind mit einer festen IP-Adresse an das Internet angeschlossen, und häufig kann man über den zugehörigen Rechnernamen die Person relativ sicher identifizieren. Die vorher besuchte Seite kann im URL einen Account-Namen enthalten (insbesondere wenn der Benutzer keine Cookies zuläßt), über den ebenfalls auf die Person zurückgeschlossen werden kann. Der Cookie-Identifikationswert wird anscheinend so schnell hochgezählt, daß diese IDs nicht doppelt vergeben werden. Falls bei einem vorherigen Besuch über einen anderen Mechanismus die Person zugeordnet werden konnte, kann bei einem weiteren Besuch der Cookie-Identifikationswert somit ein zweifelsfreies Wiedererkennen ermöglichen.

Notwendigkeit der erhobenen Daten

Nach dem deutschen Datenschutzrecht ist nicht nur die Verarbeitung der Daten kritisch einzustufen, sondern auch deren Erhebung. Nach § 3a BDSG ist bereits auf die Erhebung unnötiger Daten zu verzichten, wo dies möglich ist. Bei dem Vorliegen des Cookies kann unmittelbar nach der Übertragung die IP-Adresse gelöscht werden, da sie für die Reichweitenermittlung nicht mehr zwingend notwendig ist.

Über die Verarbeitung der Daten läßt sich wenig sagen; auch die Betreiber von IVW-erfaßten Seiten besitzen über die Arbeitsweise der IVW-Boxen keine Kenntnis. (Zum Schutz vor Manipulation sind diese versiegelt, auch wenn sich natürlich leicht Schattenzugriffe erzeugen lassen, die sich von legitimen nicht unterscheiden lassen, insbesondere wenn das System in einem Netz steht, auf das der Anbieter Zugriff hat.) Bei der Verarbeitung können Teile der erhobenen Daten sicherlich sofort verworfen werden, allerdings ist durch die mangelnde Transparenz völlig offen, was wirklich geschieht.

Bei den IVW-Teilnehmern ist die Datenschutzproblematik bekannt, dennoch wird nicht von diesem Verfahren Abstand genommen. Häufig wird darauf verwiesen, daß ein als kritisch bekannter Computerverlag ebenfalls seit geraumer Zeit an dem IVW-Verfahren teilnimmt -- dieser Verlag verzichtet aber gerade auf die oben beschriebene, besonders kritische Form der referrer-Aufzeichnung, bei der die vorher besuchte Seite erfaßt wird.

Fazit

Das Reichweiten-Feststellungsverfahren sollte durch die IVW so überarbeitet werden, daß nur absolut notwendige Daten erhoben werden, die ein grundlegende Reichweitenermittlung gestatten. Eine äußerst detaillierte Erforschung des Surf-Verhaltens ist ohne Sammlung personenbeziehbarer Daten schlicht nicht möglich.

Für die Übergangszeit kann auf Nutzer-Seite (hauptsächlich durch den Systemadministrator) jedoch relativ leicht Abhilfe geschaffen werden:

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=641