Unverkennbar in die Jahre gekommen ist nun auch der Big-Brother-Award, denn der einstmals scharfe Blick der Jury ist mittlerweile doch recht ordentlich getrübt. Kein Wunder also, dass sich bei der diesjährigen Verleihung des “Szene”-Preises selbst der Preisträger erstaunt die Augen rieb.
Erwischt hatte es nämlich die Apache Group, weil in der Beispiel-Konfigurationsdatei des Apache Web-Servers frevelhafterweise das Logging der IP-Adresse scharf gemacht worden war. Darin sah die Jury “die mangelhafte Beachtung von Belangen der Privatsphäre”. Grund genug also für die silberne Zitrone, sollten doch “Protokollinformationen nur dann erzeugt werden, wenn sie für den Betrieb der Einrichtung unabdingbar sind”.
Im Prinzip wohl richtig, doch offenbar hat sich die Jury gerade im Winterschlaf befunden, als Denial-of-Service-Angriffe größeren Kalibers nennenswerte Teile des Web wiederholt auf Grundeis gehen ließen. Wer vor diesem Hintergrund auf IP-Logging verzichtet, handelt schlichtweg grob fahrlässig.
Winterschlaf für große Brüder
Doch spätestens nach der Lektüre der Laudatio kommt die bange Frage auf, ob hier womöglich die Bewohner des Containers in Köln-Hürth an der Big-Brother-Preisvergabe maßgeblich beteiligt waren, ganz nach dem Motto: “Wissen ist Macht, nichts wissen macht nichts”.
Mag sein, dass die Jury bei der Bekämpfung von Schneckenplagen im ökologischen Obstanbau ausgesprochen firm ist, im IT-Bereich ist sie es jedenfalls nicht. Von “global verteilten Datenschleimspuren” ist da zu lesen, die der User beim Surfen hinterlässt. Mit derlei Schädlingen offenbar auf Du, hätte die Jury zumindest den Schluss ziehen dürfen, dass hier wie dort Schnecke und Spur wohl nur im Ausnahmefall einander zuzuordnen sind.
Von jeglicher Sachkenntnis ungetrübt ist schließlich auch die Annahme, es sei auf Grund der Protokolldaten im Nachhinein ermittelbar, “welcher Anwender welche Seiten in welcher Reihenfolge abgerufen und wie lange er sie sich angesehen hat”. Das mag zwar auf den ersten Blick so scheinen, doch keine dieser Folgerungen kann auf Grund der Log-Dateien auch nur mit ausreichender Wahrscheinlichkeit gezogen werden – das walte schon allein der Proxy-Cache zwischen Server und Browser. Zugriffe auf häufig angeforderte statische Seiten sind für den Server mitunter komplett unsichtbar. Und von den zehn verschiedenen Web-Seiten, die nacheinander durch einen Proxy-Server hindurch vom Web-Server angefordert wurden, haben sich womöglich zehn verschiedene Benutzer nur jeweils eine einzige Seite angesehen.
Selbst wenn es keine Proxies gäbe, dann würde die vermeintliche “Verweildauer” auf einer Webseite den Gang zum Kaffeeautomaten oder den Plausch mit einem Kollegen oft genug miteinschließen..
Von Tatsachen ungetrübter Blick
Selbst die Annahme, anhand einer IP-Adresse könnten Benutzer identifiziert oder gar wiedererkannt werden, ist reichlich unrealistisch. Das Gros der Privatleute benutzt Dialup-Zugänge à la T-Online, bei denen IP-Adressen dynamisch vergeben werden. Folglich verbergen sich hinter ein und derselben IP zu verschiedenen Zeiten unterschiedliche Personen, und kein Provider wird ohne richterliche Anordnung herausrücken, wer zu einem bestimmten Zeitpunkt eine bestimmte IP benutzt hat.
Bei Surfern aus Firmennetzen liegt der Fall nicht sehr viel anders. Hier sind für den Web-Server nicht die einzelnen PCs sichtbar, mit denen gesurft wurde, sondern nur der Proxy-Server im Firmennetz, der sämtlichen Web Traffic nach außen stellvertretend abwickelt. Hinter der IP des Proxy können sich prinzipiell beliebig viele PCs verbergen, doch für den Web-Server ist nur eine einzige IP sichtbar, nämlich die des Proxy. Eine Zuordnung zwischen protokollierter IP und Surfer ist dabei ebenso unmöglich. Um eine Wiedererkennung des Surfers zu bewerkstelligen, müsste man in beiden Fällen Cookies einsetzen – sofern der Browser derlei Danaer-Geschenke annimmt.
Doch die Jury ließ sich von derlei Umständen nicht anfechten, und kaum auszuschließen, dass auch sie den mittlerweile recht betagten Journalistenwitz kannte: “Ich lass mir meine schöne Geschichte doch nicht durch Tatsachen kaputtmachen.”
Doubleclick Die Gefahren sind woanders
Wirklich interessant zum Thema “User Tracking” wäre es gewesen, Werberinge à la Doubleclick unter die Lupe zu Å
Durch einen einfachen Mechanismus wird die Einschränkung außer Kraft gesetzt, dass nur der “Spender” eines Cookie diesen später wieder vom Browser des Web-Surfers zurückbekommt. Der Trick: Alle Sites im Werbering liefern Cookies nicht mehr selbst an den jeweiligen Browser aus, sondern lassen dies von Doubleclick erledigen. Daher bekommt Doubleclick alle Cookies später wieder zurück, gleichgültig, für welche Site ein Cookie stellvertretend ausgeliefert wurde. Technisch gesehen ist Doubleclick ja auch tatsächlich der Server, der das Cookie gesetzt hatte.
Eine Bedrohung für die Privatsphäre ist dies allemal, denn mittlerweile gibt es im Web kaum noch Doubleclick-freie Zonen. Wer glaubt, auf Web-Sites renommierter Publikationen davor sicher zu sein, möge doch einmal mit dem Maus-Cursor langsam über verschiedene Links fahren und dabei einen Blick auf die Statuszeile werfen. Letztlich hilft nur eins: Cookies abschalten.
Möglicherweise zeigte die Big-Brother-Jury aber doch mehr Weitsicht, als sich auf den ersten Blick erahnen lässt. Bei gleichen Vergabeprinzipien könnte man nämlich im nächsten Jahr sogar Polit-Prominenz der Europäischen Union in Brüssel mit dem Big- Brother- Award adeln, denn als ich vergangene Woche in Brüssel die Generaldirektion 13 der EU besuchte, notierte der Pförtner sogar die Nummer meines Reisepasses.
Mit Sicherheit ließe sich aber die Liste der Preisträger ohne Mühe zum “Who is Who” der deutschen Wirtschaft machen. Schließlich verzichtet kaum ein Unternehmen darauf, dass sich Besucher am Empfang ins Gästebuch eintragen. – Everybody is a winner. (uwo)
| Der Autor |
|---|
| Eitel Dignatz ist IT-Managementberater und Inhaber der Münchner Unternehmensberatung Dignatz Consulting (www.dignatz.de). |
Copyright © 2002 Linux New Media AG
