RUS-CERT-641 – Archivierte Meldung

Meldung Nr: RUS-CERT-641

[Datenschutz] IVW-Box sammelt Daten
(2002-08-26 17:34:52.988163+00)

Quelle: http://www.ivw.de/news/pm16.html#2

Die Informationsgesellschaft zur Feststellung der Verbreitung von Werbeträgern e.V. (IVW) veranlaßt Web-Browser beim Besuchen zahlreicher Web-Angebote, überdurchschnittlich viel Information preiszugeben.

Das alte Zählungsverfahren, welches im Laufe des Jahres 2001 ersetzt wurde, übertrug die folgenden Daten an den Server des Betreibers des Web-Angebots:

die IP-Adresse des Benutzers
die Browser-Version
weitere Browser-Konfigurationsdetails wie die bevorzugte Sprache
den URL für die besuchten Seite

Dazu kam ein sogenanntes IVW-Pixel zum Einsatz, ein kleines transparentes GIF-Bild, daß vom Server so übertragen wird, daß keine Zwischenspeicherung möglich ist. (Dieses Konstrukt ist auch unter dem Namen web bug - Web-Wanze - bekannt.) Bei jedem Anzeigen der Seite wird ein neuer Zugriff registriert, was schlecht mit dem Ziel zu vereinen ist, Verbreitung im klassischen Sinne zu testen, also die Anzahl der Besucher. Die Auswertung der IP-Adresse liefert insbesondere bei Netzen, die hinter Proxies liegen, nur wenig zusätzliche Daten. Auch ändert sich bei Dial-Up-Zugängen häufig die IP-Adresse während des Besuches eines Web-Angebotes.

Das neue Verfahren

Beim neuen Verfahren wird in einem ersten Schritt daher beim Abruf des IVW-Pixels ein Cookie gesetzt. Auch wenn der Cookie verfällt, wenn der Browser beendet wird, würden bei einem Besuch eines IVW-erfaßten Web-Angebotes nun folgende Daten übertragen (zu einer sogenannten IVW-Box):

die IP-Adresse des Benutzers
die Browser-Version
weitere Browser-Konfigurationsdetails wie die bevorzugte Sprache
der URL der besuchten Seite
die Information, ob der Nutzer das Angebot seit dem letzten Neustart des Browsers bereits besucht hat
über den Cookie bei einem weiteren Besuch der Seite: ein Identifikationswert, der offenbar zeitbasiert ist, aber sehr schnell inkrementiert wird

Nun lassen aber viele Benutzer aus Datenschutzerwägungen Cookies durch ihren Browser generell ablehnen, oder Proxies filtern sie aus dem HTTP-Strom heraus. Wohl aufgrund dieser Beobachtung findet sich in IVW-erfaßten Web-Seiten häufig folgende Zeilen im HTML-Text (umbrochen zur besseren Lesbarkeit):

<img SRC="/cgi-bin/ivw/CP/home/id=NA" 
  WIDTH="1" HEIGHT="1" ALIGN="right">
<script LANGUAGE="JavaScript">
<!--//
  var IVW="http://Anbieter.ivwbox.de/cgi-bin/ivw/CP/home"; 
  document.write("<IMG SRC=\""+IVW+"?r=" 
    + escape(document.referrer)
    + "\" WIDTH=\"1\" HEIGHT=\"1\" ALIGN=\"RIGHT\">");
//-->
</SCRIPT>
<noscript>
<img SRC="http://Anbieter.ivwbox.de/cgi-bin/ivw/CP/home" 
  WIDTH="1" HEIGHT="1" ALIGN="right">
</noscript>

Die ersten beiden Zeilen (mit dem <IMG>-Tag) sind wahrscheinlich ein Überbleibsel der alten Meßmethode. Dieses IVW-Pixel setzt auch kein Cookie. Mit dem JavaScript-Code in dem <SCRIPT>-Tag wird in den vom Browser verarbeiteten HTML-Quelltext ein Verweis auf ein weiteres IVW-Pixel eingefügt. Dabei wird aber dynamisch das sogenannte referrer-Feld eingearbeitet. Dies enthält in der Regel den URL für die vorher besuchten Seite (also der Seite, die den Nutzer auf das IVW-erfaßte Angebot führte). Diese Information wird auch dann preisgegeben, wenn der entsprechende HTTP-Header durch einen Proxy gelöscht wird, um die Anonymität des Nutzers zu wahren. Schließlich wird über den <noscript>-Tag eine Alternative bei ausgeschaltetem JavaScript festgelegt, ein IVW-Pixel mit gesetztem Cookie.

(Neben den hier beschriebenen Mechanismen existiert noch ein weiterer, bei dem der Client einen URL mit einer Pseudozufallszahl übermittelt. Der Sinn dieser Maßnahme ist nicht völlig klar, da sich hierdurch auf den ersten Blick keine weiteren Daten ermitteln lassen und das oben beschriebene Verfahren weiterhin parallel dazu eingesetzt wird.)

Insgesamt werden also (falls JavaScript und Cookies aktiviert sind) folgende Daten übertragen:

die IP-Adresse des Benutzers
die Browser-Version
weitere Browser-Konfigurationsdetails wie die bevorzugte Sprache
der URL für die IVW-erfaßte Seite
der URL für die vorher besuchten Seite
die Information, ob der Nutzer das Angebot seit dem letzten Neustart des Browsers bereits besucht hat
über den Cookie bei einem weiteren Besuch der Seite: ein Identifikationswert, der offenbar zeitbasiert ist, aber sehr schnell inkrementiert wird

Personenbeziehbare Daten

Von den übermittelten Daten sind nach der Legaldefinition des Begriffs durch das BDSG und die LDSG folgende als personenbeziehbar anzusehen:

die IP-Adresse des Benutzers
der URL für die vorher besuchten Seite
vermutlich der Cookie-Identifikationswert

Manche individuellen Arbeitsplatzrechner sind mit einer festen IP-Adresse an das Internet angeschlossen, und häufig kann man über den zugehörigen Rechnernamen die Person relativ sicher identifizieren. Die vorher besuchte Seite kann im URL einen Account-Namen enthalten (insbesondere wenn der Benutzer keine Cookies zuläßt), über den ebenfalls auf die Person zurückgeschlossen werden kann. Der Cookie-Identifikationswert wird anscheinend so schnell hochgezählt, daß diese IDs nicht doppelt vergeben werden. Falls bei einem vorherigen Besuch über einen anderen Mechanismus die Person zugeordnet werden konnte, kann bei einem weiteren Besuch der Cookie-Identifikationswert somit ein zweifelsfreies Wiedererkennen ermöglichen.

Notwendigkeit der erhobenen Daten

Nach dem deutschen Datenschutzrecht ist nicht nur die Verarbeitung der Daten kritisch einzustufen, sondern auch deren Erhebung. Nach § 3a BDSG ist bereits auf die Erhebung unnötiger Daten zu verzichten, wo dies möglich ist.

Auf die Übermittlung von IP-Adressen kann schwerlich verzichten werden, da dies durch das technische Verfahren bedingt ist. Auch ist der Einsatz der IP-Adresse zur Erkennung eines neuen Besuchers vermutlich kaum zu vermeiden, wenn man von der Cookie-Lösung absieht.
Die Übertragung des URLs für die unmittelbar zuvor besuchte Seite bei jedem Besuch einer IVW-erfaßten Seite erscheint unverhältnismäßig. Immerhin läßt sich damit theoretisch der Weg eines Nutzer über mehre IVW-erfaßten Seiten hinweg nachvollziehen und es können recht detaillierte Nutzungsprofile mit Verweildauern etc. erstellt werden. (Bisher war dazu die Kooperation der beteiligten Server-Betreiber nötig.) Der JavaScript-Code könnte selbstständig auswerten, ob die vorherige Seite innerhalb desselben Angebots liegt oder nicht und lediglich diese Information übermitteln, was möglicherweise für die Absichten der IVW ausreicht.
Beim Identifizierungs-Cookie erscheint insbesondere das schnelle Hochzählen des Zählers unnötig zu sein, da die primäre Funktion auch bei Kollisionen wahrgenommen werden kann: Das Erkennen eines weiteren Besuchs ist allein durch die Tatsache des mitgeschickten Session-Cookies (unabhängig von seinem Wert) möglich. Man könnte den Wert des Cookies lediglich jede Minute ändern. Bei hochfrequentierten Seiten dürfte das ausreichen, um die Rückverfolgung praktisch unmöglich zu machen. (Zur Reichweitenermittlung in Analogie zu Printmedien reicht auch das Zählen der Neubesucher pro Tag aus, allerdings fällt es sicherlich schwer, auf die technisch mögliche, höchst detaillierte Auswertung zu verzichten.)

Bei dem Vorliegen des Cookies kann unmittelbar nach der Übertragung die IP-Adresse gelöscht werden, da sie für die Reichweitenermittlung nicht mehr zwingend notwendig ist.

Über die Verarbeitung der Daten läßt sich wenig sagen; auch die Betreiber von IVW-erfaßten Seiten besitzen über die Arbeitsweise der IVW-Boxen keine Kenntnis. (Zum Schutz vor Manipulation sind diese versiegelt, auch wenn sich natürlich leicht Schattenzugriffe erzeugen lassen, die sich von legitimen nicht unterscheiden lassen, insbesondere wenn das System in einem Netz steht, auf das der Anbieter Zugriff hat.) Bei der Verarbeitung können Teile der erhobenen Daten sicherlich sofort verworfen werden, allerdings ist durch die mangelnde Transparenz völlig offen, was wirklich geschieht.

Bei den IVW-Teilnehmern ist die Datenschutzproblematik bekannt, dennoch wird nicht von diesem Verfahren Abstand genommen. Häufig wird darauf verwiesen, daß ein als kritisch bekannter Computerverlag ebenfalls seit geraumer Zeit an dem IVW-Verfahren teilnimmt -- dieser Verlag verzichtet aber gerade auf die oben beschriebene, besonders kritische Form der referrer-Aufzeichnung, bei der die vorher besuchte Seite erfaßt wird.

Fazit

Das Reichweiten-Feststellungsverfahren sollte durch die IVW so überarbeitet werden, daß nur absolut notwendige Daten erhoben werden, die ein grundlegende Reichweitenermittlung gestatten. Eine äußerst detaillierte Erforschung des Surf-Verhaltens ist ohne Sammlung personenbeziehbarer Daten schlicht nicht möglich.

Für die Übergangszeit kann auf Nutzer-Seite (hauptsächlich durch den Systemadministrator) jedoch relativ leicht Abhilfe geschaffen werden:

Manipulation des DNS: Der lokale DNS-Server kann einen Wildcard-A-Record für *.ivwbox.de aufweisen, der auf 127.0.0.1 verweist.
Der Zugriff auf URLs der Form http://*.ivwbox.de/* können von Proxies oder Werbefiltern unterbunden werden.
Bei abgeschalteten Cookies und deaktiviertem JavaScript bekommt die IVW-Box nur wenig Daten (wie bisher) übermittelt.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=641