Montag, Dezember 9

Cookies und der Datenschutz – Drei Fragen drei Antworten

von Vanessa Holer
Lesedauer: ca. 5 min.

Woran denkt ihr, wenn ihr die Themen Zusammenleben von Menschen, Konflikte und Sicherheitsprobleme hört? Heute klärt uns Rainer Böhme über seine Forschung im Bereich Informatik auf. Was haben Cookies damit zu tun? Wie kann man Begriffe wie Datenschutz veranschaulichen?

Makademia: Was sind eigentlich Cookies?

Rainer Böhme: Cookies sind Kekse. *lacht* Cookies ist eine Verniedlichung von einem Datum, welches Webseiten auf den Endgeräten der Benutzer*innen ablegen können. Wann immer sich dasselbe Endgerät mit der Webseite verbindet, werden die abgelegten Daten wieder dorthin geschickt. Soweit klingt das alles recht technisch neutral und unproblematisch. Was sind aber die problematischen Aspekte der Cookies?

Was man als Webseitenbetreiber machen kann? Jedes Mal, wenn ein neuer Benutzer meine Webseite besucht und dieser noch kein Cookie von mir erhalten hat, bekommt die Person eine große Zufahlszahl zugewiesen.  Diese liegt im Bereich von mehreren Milliarden, sodass es höchst unwahrscheinlich ist, dass die gleiche Zahl noch einmal gezogen wird. Schlussendlich kann ich als Webseitenbetreuer jedes einzelne Endgerät wiedererkennen. Geht man davon aus, dass jeder Benutzer ein Endgerät hat, so kann im Endeffekt jeder Benutzer wiedererkannt werden, wenn er oder sie wieder auf der Website ist. Hier könnte man auch wieder argumentieren und sagen, dass dies das gute Recht jeder Webseite ist, jede Person wiederzuerkennen. Letztlich ist man im Internet nicht ganz so anonym, wie man sich das grundsätzlich denkt.

Was macht das nochmal komplizierter bzw. gesellschaftlich relevanter? Es verteilt ja nicht nur eine Seite Cookies, sondern dritte Parteien, die auf einer Webseite eingebettet sind. Als Beispiel: Sie haben Ihre Makademia-Seite. Zusätzlich dazu ist Ihr Twitter-Account oder ein anderes „Soziale Medien Tag“ eingebettet. Dann wird dieser jedem Benutzer auch wiederum sein eigenes Cookie schicken. Wenn der Benutzer schon auf Twitter war, wird das Cookie durch die dritte Partei auf der Webseite wiedererkannt. Somit entsteht dann für diese dritten Parteien, die in vielen Webseiten eingebettet sind, ein komplett gläserner Benutzer. Das heißt dann konkret: Twitter kann komplett verfolgen, wie Sie sich im Web bewegen. Das ist natürlich eine Situation, die an George Orwell erinnert. Die Welt ist tatsächlich so. Fast alles, was Sie heutzutage im Internet tun, wird komplett überwacht und für immer gespeichert.

Makademia: Das geht dann ja Hand in Hand mit Datenschutz. Was versteht man überhaupt unter diesem Begriff? Können Sie uns ein Beispiel dafür liefern?

Rainer Böhme: Datenschutz ist ein Begriff, der oft missverstanden wird. Datenschutz soll nämlich nicht die Daten schützen, sondern den Menschen, der hinter den Daten steckt. Insbesondere dient Datenschutz also dem Schutz von Menschen vor dem Missbrauch von Daten über sie. Die Idee ist, dass sich Menschen in ihrer Persönlichkeitsausprägung besser entwickeln können, wenn sie jederzeit die Hoheit darüber haben, wer was über sie weiß. Sie können sich unvoreingenommener jemanden nähern, wenn derjenige nicht schon vorher ein Dossier über sie gelesen hat. Sie können auch freier und unvoreingenommener Ihre Meinung äußern, wenn Sie nicht fürchten müssen, dass das dann irgendwann einmal gegen Sie verwendet wird. Das ist empirisch gar nicht so gut unterlegt. Wenn man sich in der Soziologie ein wenig umsieht, dann gibt es ein Dogma in der Rechtsgeschichte. Man sagt, die individuelle Freiheit, eine Persönlichkeit zu entwickeln, ist beeinträchtigt, wenn man nicht die Kontrolle über seine Daten hat. Datenschutz ist ein ganzes Bündel an organisatorischen und technischen Maßnahmen, die dafür sorgen, dass diese Hoheit über personenbezogene Informationen des Individuums einigermaßen gewahrt bleibt. Wir haben schon am Beispiel der Komplettverfolgung im Web gesehen, dass der Idealzustand noch bei Weitem nicht erreicht ist, wie es die ein oder anderen Verfassungsjurist*innen und Datenschützer*innen denken. Aber es gibt natürlich Gesetzgebungen, die darauf abzielen, diesem Idealzustand näher zu kommen.
Um den Begriff Datenschutz zu verstehen, ist es besonders wichtig zu verstehen, dass die Probleme, die entstehen nicht ursächlich technischer Natur sind, sondern vielmehr eine Abbildung von menschlichen Konflikten darstellen, die dann im technischen System ausgetragen werden. Wir Informatiker können Systeme so bauen, dass diese Konflikte entweder gut oder fair gelöst werden oder dass diese Konflikte erst gar nicht entstehen.

Wie kann ein solcher Konflikt denn überhaupt aussehen? Beispielsweise könnte ich Zugriff auf Ihre Fotos in der Cloud haben. So könnte ich sie mir anschauen oder an Dritte weitergeben. Der Konflikt entsteht jetzt also darüber, wer auf diese Fotos zugreifen darf. Wenn das Ihre privaten Fotos sind, dann ist das ein Angriff auf Sie. Aber dies kann auch ganz subtil ablaufen, z.B. wenn es sich um ein Foto im privaten Bereich handelt, das uns beide zeigt. Was passiert, wenn wir unterschiedlicher Meinung sind, was damit passieren soll? Oder auch im geschäftlichen Bereich: Was ist wettbewerbsrechtlich noch in Ordnung? Wie stark dürfen Firmen ihre Kunden verfolgen und aufzeichnen? Die Konflikte, die hierbei entstehen, lassen sich leicht aufdröseln: Geschäftsinteressen vs. Datenschutzinteressen der Benutzer*innen. Man könnte sich auch anderen Problemkonstellationen widmen wie gestohlene Bitcoins, gehackte Konten, digitales Geld oder e-Voting. Die meisten Konflikte entstehen jedoch dort, wo es zu zwischenmenschlichen Kontakten kommt.

Spannend in diesem Zusammenhang ist das Sphärenmodell des Datenschutzes. Wie der Begriff nahelegt, gibt es verschiedene Sphären eines jeden Einzelnen. Die Intimsphäre, die ganz persönlich ist, wird normalerweise nicht elektronisch erfasst. Weitere Schichten wären dann die Privatsphäre, die soziale Sphäre mit Freunden und Familie und die öffentliche Sphäre, welche im Internet steht. Sieht man sich das bereits erwähnte Beispiel mit dem Foto, welches uns beide zeigt, genauer an, so wird schnell klar, dass diese Unterteilung nicht immer einfach ist. Da es mehrere Personen zeigt, enthält es womöglich auch verschiedene Interessen. Probleme entstehen, wenn entgegengesetzte Interessen aufeinandertreffen. In welche Sphäre fällt das dann? Im Endeffekt ist das Foto ein gemeinsames Gut. Die Ökonomen würden sagen, wir haben Externalitäten. In dem Moment, wo ich etwas tue, mit dem Foto oder veranlasse, haben Sie, also Dritte, eine Konsequenz davon. Dann ist das nicht mehr so einfach. Technische Systeme sind oft so gebaut, dass sie das Sphärenmodell vorhersehen. Hier meine privaten Daten und hier ist der public folder für alle. So einfach ist die Welt leider nicht.

Makademia: Es werden die Bewegungsdaten von Smartphones verwendet, um die Ausbreitung des Coronavirus einzudämmen. Wie beurteilen Sie die Contact-Tracing-Maßnahmen?

Rainer Böhme: Ich finde das gesamte Konzept des Contact-Tracings mit Handydaten für verfehlt. Erstens, weil man sich an noch mehr Datensammlung gewöhnt. Zweitens denke ich, dass diese Maßnahmen einfach nicht effektiv sind. Das sieht so aus, als könnte man durch die Technologie etwas beheben, was sich durch diese Art und Weise aber nicht beheben lässt. Was sollten wir stattdessen machen? Wir müssten eigentlich unser Kontaktverhalten anpassen und das geht nicht rückwirkend.
Was würde ich also eher unterstützen? Es gibt leider wenig Initiativen dazu, aber sinnvoller wäre es, ein Contact-Planning einzuführen. Wichtig wäre es, dass man die sozialen Kontakte einschränkt und es nicht zu viele Überlappungen dabei gibt. Wenn man im Vorhinein planen könnte, dass zwei Kinder immer von denselben Menschen betreut werden, spricht hier nichts dagegen. Das Wichtige dabei ist aber, dass diese Personen dann nicht 20 verschiedene Sportaktivitäten mit jeweils nochmal 20 anderen Personen unternehmen. Dieses Szenario dann rückwirkend aufzudröseln, ist fast unmöglich. Welche Informationen haben wir von den Staaten bekommen, die bereits monatelange Erfahrung mit der Contact-Tracing-App haben? Sie funktioniert praktisch nicht. Außerdem gibt es dann noch das Problem, dass manche Personen absichtlich Falschmeldungen platzieren.

Weiterführende Links:

Univ.-Prof. Dr. Rainer Böhme am Security and Privacy Lab:
https://informationsecurity.uibk.ac.at/people/rainer-boehme/

Radio Tirol Interview vom 08.06.2020:
Rainer Böhme spricht über die Corona App

Die neuesten Publikationen:

  • Woods, D.W. and Böhme, R. SoK: Quantifying Cyber Risk. In IEEE Symposium on Security and Privacy. Oakland, CA, 2021. [Preprint]
  • Abramova, S., Voskobojnikov, A., Beznosov, K., and Böhme, R. Bits Under the Mattress: Understanding Different Risk Perceptions and Security Behaviors of Crypto-Asset Users. In Conference on Human Factors in Computing Systems (ACM CHI). (virtual) Yokohama, Japan, 2021. [PDF]
  • Böhme, R., Eckey, L., Moore, T., Narula, N., Ruffing, T., and Zohar, A. Responsible Vulnerability Disclosure in Cryptocurrencies. Communications of the ACM, 63, 10 (2020), 62–71. [Publisher] [Video]
  • Keller, P., Florian, M., and Böhme, R. Collaborative Deanonymization. 2020. [Preprint]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert