Sag mir, wer du bist!
■ Nach der Zensur der große Durchblick: Die Programmierer von Websites sind professionelle Datensammler geworden
Wer sich beim Surfen durch das World Wide Web anonym und unbeobachtet fühlt, irrt sehr. Das Center for Democracy and Technology in Washington (CDT) hat eine kleine Demonstration auf seiner Website eingerichtet, um die Ahnunglsoen aufzuklären. Die Adresse lautet: http:// www.cdt.org/privacy/. Wenn man sie aufruft, erscheint ein paar Sekunden später eine Oberservationsmeldung auf dem Bildschirm:
Hi! Das ist es, was wir über dich wissen: Dein Computer ist ein PC, auf dem Windows 95 läuft. Dein Web-Browser heißt Netscape. Du kommst von ppx39.berlin.snafu.de Ich sehe hier, du hast kürzlich diese Seite bei www.cdt.org besucht. Aber andere könnten eine Menge mehr über dich wissen...
CDT ist eine kleine Bürgerrechtsorganisation, die sich beim Datensammeln zurückhält. Webmeister mit größeren finanziellen und technischen Möglichkeiten können leicht sehr viel mehr über Nutzer ihrer Sites herausfinden, wie die CDT-Aktivisten ausführen. Zu den leichteren Übungen gehört es noch, alle Aktivitäten des Besuchers aufzuzeichnen: welche Seiten angewählt, welche Bilder wie lange betrachtet werden. Schon daraus kann sich ein ziemlich klares Bild nicht nur über das Konsumverhalten, sondern auch über private Hobbys, politische und vielleicht auch sexuelle Vorlieben ergeben. Aus den Übertragungsdaten kann außerdem entnommen werden, woher der Gast kam und mit welchem Hyperlink er sich in welche Richtung wieder entfernt hat.
Das alles mag zunächst nur der Statistik dienen, die in Form von bunten Balkendiagrammen den Werbeagenturen zeigt, welche Angebote einer Website die beliebtesten sind. Doch die Daten können auch längerfristig gespeichert und identifizierbaren Personen zugeordnet werden – das neue deutsche Telekommunikationsgesetz verpflichtet Internetprovider sogar dazu, der Polizei jederzeit Einblick in die Verbindungsdaten ihrer Kunden zu gewähren.
Zur Identifizierung eines unbekannten Websurfers reicht bereits seine E-Mail-Adresse. Daß sie zu einer Flut von Werbemüll im elektronischen Briefkasten führen kann, ist nur ein lästiger Nebeneffekt. Die E-Mail-Adresse ist der Schlüssel zur Privatsphäre. Deshalb verführen viele Websites ihre Besucher dazu, möglichst schnell eine Anfrage an den Server zu schicken, natürlich mit Absenderadresse, oft ist eine Registrierung mit Angabe von Beruf, Geschlecht und Alter erforderlich, in jedem Fall nimmt der Empfänger dankbar die E-Mail-Adresse entgegen.
Dasselbe läßt sich manchmal sogar ohne psychologische Überredungskunst auf der Homepage erreichen: Bei bestimmten Versionen von Web-Browsern kann durch eine Sicherheitslücke in der Programmiersprache Java die E-Mail-Adresse auch herausgekitzelt werden, ohne daß der Surfer das Geringste davon merkt. Genau diesen Programmfehler nutzt denn auch das CDT für seine Demonstration. Fairerweise lassen die Bürgerrechtler ihren Opfern eine automatische Antwortmail zukommen. „Sorry, wir haben da was vergessen“ steht schon in der „Subject“-Zeile. Im Text wird dann erklärt, daß der Besucher der CDT- Site E-Mail zum Server nach Washington geschickt hat – „aus Versehen“.
Bei neueren Browsern soll dieser Fehler behoben sein. Doch wie lange wird es dauern, bis die nächsten Schwachstellen freigehackt werden? Manche Betreiber von Websites versichern, daß sie die erworbenen Adressen und Daten nicht weiterverkaufen. Andere machen sich diese Mühe gar nicht erst – von amerikanischen Online- Diensten ist bekannt, daß sie ein gutes Zubrot mit der Weitergabe von Kundenadressen verdienen.
Datenschutz? Wo, in welchem Land, nach welchen Gesetzen? Vielleicht stellt das Streben der kommerziellen Internet-Anbieter nach dem gläsernen Verbraucher eine größere Bedrohung der persönlichen Freiheit dar als all die staatlichen Zensurversuche, die bisher bekanntgeworden sind.
Aussagekräftige Datensammlungen entstehen vor allem dann, wenn die im Web eingefangenen Daten mit anderen Daten abgeglichen werden, zu denen Marketing- Datenbanken, Telefonbücher, Wählerverzeichnisse gehören können. Private Mails können zwar mit PGP (Pretty Good Privacy) verschlüsselt werden. Und wer Diskussionsbeiträge an eine Newsgruppe schicken will, ohne daß seine Adresse damit öffentlich werden soll, kann das über den Umweg eines anonymen Remailers machen. Aber es ist kam möglich, sich völlig anonym und unbeobachtet durch das Netz der Netze zu schwingen.
Allzu leicht sollte man es den professionellen Spähern dennoch nicht machen. Relativ einfach wehren kann man sich gegen den Versuch von Web-Anbietern, auch gleich die eigene Festplatte als Lagerplatz für gesammelte Besuchsdaten zu mißbrauchen. „Cookies“ (Plätzchen) heißen aus einem unerfindlichen Grund Dateien, die von neueren Browsern wie Netscape Navigator und Microsoft Internet Explorer automatisch angelegt werden. Webmeister benutzen sie, um alle möglichen Daten über die bisherigen Zugriffe des jeweiligen Websurfers festzuhalten. Beim nächsten Aufrufen der Website kann sie dann individuell konfiguriert abgeschickt werden, so eben, wie der Anbieter glaubt, daß es diesem einen Besucher am besten gefällt.
Die Datei namens „cookies.txt“ läßt sich mit jeder Textverarbeitung öffnen. Sie enthält vorwiegend unsinnige Zeichenfolgen – Codes, die nur die Gegenseite versteht. Manchmal sind aber auch persönliche Angaben im Klartext zu entdecken, die der Server in Erfahrung gebracht hat. Dazu können der wirkliche Name, die postalische und die E-Mail-Adresse, der Geburtstag und mehr gehören. Mag sein, daß sie nur aus Kundenfreundlichkeit registriert wurden, um sie bei jedem weiteren Zugriff nutzen zu können. Wer aber über das Netzwerk einer Firma oder Universität ins Web geht, hat ein Plätzchen auf der Festplatte liegen, das auch Kollegen oder Vorgesetzte interessieren dürfte.
Eigentlich müßten deutsche Datenschützer schon lange Sturm laufen gegen die Keks-Invasion. Ohne die ausdrückliche Einwilligung des Betroffenen ist das Speichern und Abrufen von personenbezogenen Daten nicht zulässig.
Niemand hindert aber bislang auch deutsche Anbieter wie die Lufthansa, Wildpark, Stellenbörse, Uni-Online, Netzmarkt und Hannoversche Leben daran, ihre Datenkekse abzulagern. Bei den internationalen Web-Anbietern gehören Disney und Microsoft ebenso dazu wie Hotbot, die Suchmaschine von Hotwired.
Die neuste Browser-Generation – Navigator und Internet Explorer 3.0 – bietet zwar als wählbare Option eine Cookie-Warnung an. Aber der Kuchenbackofen läßt sich damit noch nicht völlig ausschalten. Gegen die Krümelmonster hilft bislang nur ein kleiner Trick aus der Mottenkiste des Betriebssystems: Man öffne die Datei „cookies.txt“ mit irgendeinem Editor, lösche den Inhalt, schreibe ein paar willkürliche Zeichen hinein – vielleicht „Ätsch!“ – und speichere das Ganze mit der Option „schreibgeschützt“, die jedes Betriebssystem anbietet.
Fortan wird der Webserver zwar eine Cookie-Datei finden, aber nichts hineinschreiben können. Das muß frustrierend sein für die Webdesigner, deswegen werden sie sich – wenigstens für ihre Geldgeber aus der Werbewirtschaft – wohl auch dagegen etwas einfallen lassen. Bernd Kling
