Von Kleingebäck und Schmorbraten

Kürzlich habe ich mich wieder einmal mit Datenschutz befasst. Genauer mit zwei Technologien, die mit Datenschutz in Zusammenhang stehen: Cookies und Telemetrie. Ich wollte wissen, ob und was man tun kann, um „ausspioniert“ werden zu verhindern. Fazit ist, dass nicht viel dagegen gemacht werden kann, vor allem auch, weil ich gar nicht weiss, wo und bei welchen Gegebenheiten ich „ausspioniert“ werde. Das Wort setze ich in Anführungszeichen, weil es ja eigentlich eine bösartige Absicht unterstellt. Aber nicht jedes Cookie und nicht jede Telemetrieanwendung hat einen bösartigen Hintergrund. Es ist jedoch ausserordentlich schwierig, Grenzen sachlich zu ziehen und die entsprechenden Absichten zu erkennen und zu identifizieren.

Selbstorganisation

Wenn man sich ein wenig mit diesen Technologien befasst, befindet man sich sofort in einer Art Albtraumwelt, die jede Verschwörungstheorie alt aussehen lässt. Der Unterschied besteht bloss darin, dass Verschwörungstheorien von einer kleinen homogenen Guilde ausgeht, die sich gegen den Rest der Welt verschworen hat. Das ist jedoch aus prinzipiellen Gründen, die in der Natur eines Systems liegen, unmöglich. Die Guilde und der Rest der Welt sind weitgehend miteinander verstrickt. Es ist nicht möglich, eine kleine eingeschworene Truppe über einen operativ sinnvollen Zeitraum solidarisch zu erhalten.
Im Falle der Informationstechnologie liegt die „Verschwörung“ nicht bei einer Handvoll böser Männern. Vielmehr ist sie eine echte Emergenz, die durch Selbstorganisation entstanden ist. Die Treiber sind in erster Linie wirtschaftliche und strategische Interessen. Aber wer hat solche Interessen? Es gibt nur wenige Individuen, die wir benennen könnten. In den USA sind beispielseise kaum einzelne Individuen auszumachen. Es sind Beamte der NSA, die kommen und gehen. Aber solange sie im Dienst des Dienstes stehen, bauen sie an der grossen Spionagemaschine mit. Oder es sind Marketingangestellte, die solange für einen Multikonzern arbeiten, bis sie bei der Konkurrenz ein besseres Angebot haben. Und immer optimieren sie die Technologien, die dem aktuellen Arbeitgeber ermöglichen, seinen Marktanteil zu erhöhen. Den Nutzen haben immer Organisationen und nicht einzelne Individuen. Diese sind selbst genauso Opfer ihrer eigenen Anstrengungen. Niemand könnte irgendwo an einem Schalter drehen, um sich selbst aus der weltweiten Datensammlungs- und -auswertungsmaschinerie auszunehmen.

Ich möchte hier die Entwicklung der IT nicht kommentieren oder gar eine Prognose wagen, wohin das führen wird, wie z.B. Yuval Noah Harari in „Homo Deus“. Niemand kann in die Zukunft sehen, und Hararis Prognosen sind mir stellenweise zu einseitig und zu pessimistisch.

Cookies

In den Achzigerjahren konkurrierten zwei Computerkommunikationsarchitekturen gegeneinander, die beide als Basis für das Internet in Frage kamen: die bereits bestehende TCP/IP-Architektur und die OSI-Architektur von der International Standardisation Organisation ISO. OSI orientierte sich an einer 7-Schichten-Struktur, die bis in’s kleinste Detail definiert war. Demgegenüber hat TCP/IP bloss die Hälfte der OSI-Architektur abgedeckt und auch die eher schlecht als recht. Der Rest wird jeweils ad hoc programmiert und verhalf vielen Informatikstudenten zu Diplomarbeiten. Um 1990 herum lief das Internet auf einem fast unübersichtlichem Sammelsurium von Protokollfragmenten. Immer wieder stösst es auch heute noch an Grenzen, so dass die Internetgemeinde wieder einen neuen Patch stricken muss.

Als 1991/92 das HTT-Protokoll das Worldwide Web begründete, fehlten zwischen dem TC- und dem HTT-Protokoll wichtige Protokollteile, die in OSI standardmässig vorhanden gewesen wären. Aber die Wirtschaft hat sich gegen OSI entschieden, wei es zu teuer und das TCP/IP-Sammelsurium open source war. Mit TCP/IP/HTTP kann eine einzelne Webseite aufgerufen werden. Wird eine weitere Seite aufgerufen, sind die Informationen der aktuellen Sitzung verloren. Wenn ich z.B. die Katalogseite eines Webshops aufrufe und einen Artikel anklicke, um ihn zu bestellen, so erwarte ich, dass mir als nächstes z.B. eine Seite angeboten wird, über die ich den Kauf bezahlen kann. Aber diese Seite weiss nicht mehr, was ich bestellt habe, weil es eine andere Seite ist. Es ist, als würde ich jeden Morgen beim Aufwachen vergessen haben, wer ich bin. Da muss irgend etwas in meinem Unterbewusstsein existieren, das mir das ganzen Leben durchgehend ermöglicht, mich selber wiederzuerkennen, auch nach einem komatösen Tiefschlaf.
OSI hat dieses Problem durch eine sogenannte Sessionschicht gelöst. Das sind Protokolle und Dienste, die zu Beginn dem Aufrufer eine Idendität zuordnen und diese dann über mehrere Anwendungen weitergeben. TCP/IP/HTTP kann das nicht. Man musste irgend etwas improvisieren. Die Lösung hiess: „Cookies“.

Vier Gruppen von Cookies

Cookies sind grundsätzlich nützlich und notwendig. Interaktive Web-2.0 Dienste lassen sich nur mit Cookies überhaupt betreiben! Aber Cookies können auch für allerlei andere Dinge ge- und missbraucht werden. In OSI hätten solche Missbräuche wohl kaum das Ausmass angenommen, das die Cookie-Technologie in der Zwischenzeit erreicht hat. Und kosten tut’s allemal, vielleicht das Mehrfache, als wenn die IT-Welt sich für OSI statt TCP/IT & Consorten entschieden hätte.

Im allgemeinen gibt es

Essentielle Cookies
Funktionale Cookies
Marketing Cookies
Statistik Cookies

Ausser den essentiellen Cookies können Sie alles ausschalten. Gehen Sie z.B. auf berlin.de. Dann erhalten Sie wie üblich den nervigen Cookie-Banner und haben dort die Möglichkeit, die Cookies zu „akzeptieren“ oder zu „konfigurieren“. Wählen Sie „konfigurieren“ sieht das so aus:

Klicken Sie auf den grünen Schalter bei „Statistik“! Er verfärbt sich rot, was bedeutet, dass die Statistikcookies nun ausgeschaltet sind. Die Website berlin.de ist in dieser Hinsicht vorbildlich. Vergleichen Sie sie z.B. mit hamburg.de! Auf dem Cookie-Banner können Sie bloss „Cookie Richtlinie“ anklicken und dort finde ich keine Einstellungsmöglichkeiten. Die Website spektrum.de (eine populärwissenschaftliche Zeitschrift) bietet ebenfalls Einstellungen an. Hier heissen die vier Kategorien

unbeding erforderliche Cookies
Funktionelle Cookies
Targeting Cookies (Marketing)
Leistungs- und Datenanalyse Cookies (Statistik)

Über die Marketing- oder Targeting Cookies können Drittanbieter ihre Cookies übertragen. Bei spektrum.de wird Ihnen sogar eine Liste derjenigen Unternehmen gezeigt, die ihre Cookies via Spektrum auf Ihren Rechner übertragen dürfen, wenn Sie sie nicht ausschalten.

Z. B. schreibt Spektrum

Unsere Website verwendet die ‚Teilen‘-Schaltfläche des sozialen Netzwerkes Facebook. Wenn Sie eine Website unseres Internetauftritts aufrufen, die eine solche Schaltfläche enthält, baut Ihr Browser eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt der ‚Teilen‘-Schaltfläche wird von Facebook direkt an Ihren Browser übermittelt und von Facebook in die Website eingebunden. Wir haben daher keinen Einfluss auf den Umfang der Daten, die Facebook mit der Schaltfläche erhebt. Facebook sammelt nach eigenen Angaben Informationen, wenn Sie Websites Dritter besuchen, die Dienste von Facebook nutzen. Dazu zählen Informationen über die von Ihnen besuchten Webseiten und über Ihre Nutzung der Dienste von Facebook auf solchen Webseiten. Wenn Sie bei Ihrem Besuch unserer Website gleichzeitig bei Facebook angemeldet sind, erhält Facebook unter anderem Ihre Nutzer-ID, die besuchte Webseite, das Datum und die Uhrzeit sowie andere browserbezogene Informationen.

Dasselbe für LinkedIn, Xing, Twitter, Google Maps, YouTube, reCAPTCHA, online Quiz, etc.

Da Sie diese Third-Parties ausschalten können, versuchen immer mehr Firmen, in die First-Party Cookies übernommen zu werden. Spektrum schreibt in ihrer Datenschutzerklärung z.B. zu Facebook:

Auf der Website setzen wir den Dienst ‚Website Custom Audiences‘ des sozialen Netzwerkes Facebook ein. Durch diesen Dienst erzeugt Facebook nach eigenen Angaben eine nichtreversible und nichtpersonenbezogene Prüfsumme (Hash-Wert) aus Ihren Nutzungsdaten, die Facebook zu Analyse- und Marketingzwecken nutzen kann. Für das Produkt „Website Custom Audiences“ wird auf der Website durch Facebook ein Cookie, Web Beacon, Pixel oder eine ähnliche Technologie angesprochen und eventuell auf Ihrem Endgerät abgelegt. Da der Dienst und die über diesen Dienst stattfindende Datenverarbeitung allein im Verantwortungsbereich von Facebook liegen, haben wir keinerlei Einfluss auf eine mögliche Verarbeitung personenbezogener Daten. Wenn Sie der Nutzung von Facebook Website Custom Audiences widersprechen möchten, können Sie diesen Widerspruch (Opt-out) unter folgendem Link …. ausüben.

D.h., dass Sie nun auf die Facebook-Einstellungen gehen müssen, um dort den Website Custom Audience Dienst zu sperren. Das müssten Sie dann für alle First-Parties machen, wenn sie überhaupt eine solche Möglichkeit anbieten. Ein enormer Aufwand!

Opt-In oder Opt-Out?

„Opt-out“ ist ein Kunstwort, das in diesem Zusammenhang oft ziemlich diffus angewendet wird. Z.B. schreibt datenschutzexperte.de, die innovative Datenschutzlösung ab 150€ im Monat anbietet:

Opt-in ist eine Methode aus dem sogenannten Permission-Marketing. Hierbei handelt es sich um ein Marketing-Verfahren, bei dem die Kontakte gefragt werden müssen, ob sie mit Informationen oder Werbung z.B. in Form eines Newsletters bespielt werden dürfen.

Typische Opt-In-Optionen, die Ihnen im Internet wohl täglich begegnen, sind z.B. die Zustimmung zu Cookies oder das Aktivieren einer Checkbox, z.B. bei Onlineshops.

Opt-Out ist nichts weiter als die technische Funktion um eine Datenverarbeitung zu untersagen. Opt-Out heißt wörtlich etwa „nicht mitmachen“ und kann sich sowohl auf das Widerrufs- als auch das Widerspruchsrecht beziehen. Typische Opt-Out Möglichkeiten sind beispielsweise das Entfernen eines Häkchens, um der Verarbeitung zu widersprechen oder ein Link am Ende einer E-Mail um die Einwilligung zum Erhalt des Newsletters zu widerrufen.

So ganz sonnenklar ist’s nicht. Eigentlich könnte es mir recht sein, wenn ich gefragt würde, ob ein Cookie verwendet werden darf oder nicht. Also setze ich opt-in!? Zwar heisst es, dass Opt-out die Datenverarbeitung untersagt, aber dann steht, Opt-out sei beim Widerspruchrecht nicht mitzumachen. Aber ich will ja gerade ein Widerspruchrecht haben, was für Opt-in spricht.

Richtig ist: wer keine Cookies will, muss Opt-out wählen!

Mit der DAA gibt es offenbar so etwas wie eine Vereinigung von digitalen Werbetreibenden (also Werbetreibende, die ihre Werbung digital verbreiten).
Auf optout.aboutads.info (YourAdChoices) habe ich folgendes gelesen:

What is the Digital Advertising Alliance? The Digital Advertising Alliance (DAA) establishes and enforces responsible privacy practices across industry for relevant digital advertising

Wenn Sie auf diese Website gehen, können Sie in einer grosse Liste Drittanbieter für eine Weile sperren. Man kann aber auch im Browser unter „Datenschutz und Sicherheit“ den Gebrauch von Cookies festlegen.

Zunächst wird ein Browser specific status check durchgeführt.
Bei mir stand: „133 participating companies. Use the ‚OPT OUT OF ALL‘ feature to control data collection and use covered by the DAA from all currently participating companies in one step. You may still receive other types of online advertising from participating companies, and these companies may still collect information for other purposes consistent with the DAA Principles“.

Meines Erachtens sollte das dann für alle Websites gelten, auf die Sie mit eben diesem Browser zugreifen, auch wenn diese Websites ein Opt-in der Marketing-Cookies gesetzt hat.

Third-Party Anbieter ausschalten

Eine andere nützliche Website ist youronlinechoices.com, mit der Sie Drittanbieter sperren können. Die Website präsentiert Ihnen ein Cookie-Banner (Annehmen/ Ablehnen/weitere Informationen). Gehen Sie auf „Weitere Informationen“ erhalten Sie ein Menu. Wählen Sie „Präferenzmanagement“, um eine Liste von Drittanbietern zu erhalten (darunter Facebook, Google, Twitter, etc.), die Sie sperren können. Doch zuvor geht dasselbe Cookie-Banner auf, das Sie schon hatten. So könnten Sie in einem unendlichen Loop gefangen sein. Ich habe dann mal auf „ablehnen“ geklickt. Dann geht’s los mit „Collecting your status, this may take a moment…“ und schliesslich erhalten Sie eine sehr lange Liste deren Anfang so aussieht:

Compressed by jpeg-recompress

Wählen Sie „Bei allen Anbietern deaktivieren“. Die Seite versucht dann, mit allen Anbietern der Liste Kontakt aufzunehmen und Ihren Browser dort als Empfänger angepasster Werbung zu sperren. „Einige Unternehmen zeigen eine Fehlermeldung an. Dies kann an technischen Problemen des Dienstes oder an Ihrer stark ausgelasteten Internetverbindung liegen“ oder die Unternehmen verweigern schlicht das Opt-out.

„Wenn Sie ‚Deaktiveren‘ wählen, bedeutet das nicht, dass Sie keinerlei Online-Werbung mehr erhalten. Es bedeutet jedoch, dass die Online-Werbung, die Sie auf den Webseiten sehen, nicht auf der Basis Ihrer vermeintlichen Interessen oder Vorlieben (abgeleitet von Ihrer Internetnutzung) angepasst wird.“

Facebook, Google u.a. bieten in ihren Einstellungen ein direktes Opt-out an. Wenn Sie z.B. auf adssettings.google.com gehen, können Sie „ads personalization across the web (see more useful ads on YouTube and 2+ million websites that partner with Google to show ads)“ auf „off“ schalten, ebenso „ads personalization on Google search (see more useful ads when you’re using Google search)“. Es gibt auch einen Link zu youronlinechoices.

Meistens gehe ich jetzt auf die Einstellungen, wenn es mir in einem Cookie-Banner angeboten wird, schon nur aus Neugier, wie die Grundeinstellungen einer Website sind und was mir für Einstellungen angeboten werden. Aber können Sie sich vorstellen, wie aufwändig das ist? Irgend einmal bin ich es müde und akzeptiere oder lehne allgemein ab.

Natürlich gäbe es noch viel mehr über Cookies zu schreiben. Aber das soll für den Anfang genügen. Ich möchte mich hier noch einem anderen Thema zuwenden, nämlich der

Telemetrie

Wenn Sie einen Braten im Ofen haben, dann können Sie seine Kerntemperatur mit einem smarten Thermometer direkt auf Ihr Handy senden lassen. Möglicherweise gibt es sogar Backofen, die einen solchen Thermometer gleich eingebaut haben. Die Übertragung von Sensordaten auf ein fernes Empfangsgerät nennt man „Telemetrie“. Mittlerweile sammelt jeder Hersteller von „smarten“ Produkten Betriebsdaten der verkauften Produkte. Beispielsweise übermittelt die Fotovoltaikanlage auf dem Dach unseres Hauses Betriebsdaten an den Hersteller, damit dieser weiss, wie seine Installation arbeitet und was es zu verbessern gibt. Während meiner Beratertätigkeit hatte ich bereits vor ca. 20 Jahren mit einem Hersteller von Güterschiffen auf dem Bodensee zu tun. Dabei lernte ich, dass das Schiff laufend Telemetriedaten an den Hersteller schickt.

Toll, wenn der Hersteller seine ausgelieferten Produkte stets im Auge behält. Demnächst wird Ihnen Ihr Friseur wohl einen Chip in die Haare einsetzen, der wie ein einzenes Haar aussieht und nicht auffällt. Der Chip misst die Temperatur der Kopfhaut, das Wachstum Ihrer Haare, wie oft Sie sie waschen und mit welchem Shampoo und übermittelt alles dem Friseur. Dort analysiert eine Software die eintreffenden Daten und schickt Ihnen laufen e-Mails mit Ratschlägen und einem Termin für den nächsten Friseurbesuch. Was halten Sie von dieser Idee?

Viele wären skeptisch, weil es z.B. den Friseur nichts angeht, ob Sie das Shampoo verwenden, das er Ihnen beim letzten Besuch empfohlen hat oder eines nach Ihrem Gusto. Aber es geht noch weiter: Die Daten gibt Ihr Friseur gegen Geld den Shampooherstellern weiter, weil er damit etwas dazu verdienen kann. Und Sie erhalten jede Menge Shampoowerbung, sei es via e-Mail oder indem die Spots in diversen Programmen, die Sie nutzen, auftauchen.

Das wäre ja alles noch gar nicht so schlimm. Aber es geht viel weiter! Es gibt nur noch wenig PW, die nicht via Telemetrie ihre Fahrdaten dem jeweiligen Automobilhersteller „nach Hause telefonieren“. Nicht nur die Routen, die Sie fahren, ist Ihrem Automobilhersteller bekannt, sondern auch, bei welchem Restaurant Sie wie lange parkten. Im Sitz ist eine Waage eingebaut, die laufend Ihr Körpergewicht misst und es an den Hersteller weiterleitet. PW-Daten sind schon ganz schön persönliche Daten. Zwar schimpfen alle über Google, das persönliche Daten sammelt, aber über die Automobilhersteller regt sich diesbezüglich kaum jemand auf. Das zeigt, wie psychologisch die Wahrnehmung der Telemetrieanwendungen ist. Vor allem bei Computerbetriebssystemen wird mit ganz verschiedenen Ellen gemessen.

Wie wir schon bei den Cookies gesehen haben, tauschen Hersteller untereinander ihre Telemetriedaten aus. Krankenkassen tauschen ihre Daten mit Banken, Banken mit der Steuerverwaltung, Versicherungen haben Daten von Einwohnerkontrollen und die Geheimdienste erhalten Informationen über Ihre Person von den Computer- und Betriebssystemherstellern. Alle sind mit allen vernetzt und tauschen die Daten aus, die sie durch Telemetrie von den Geräten und Systemen der Benutzer abgezogen haben. Silvana Ebert hat folgenden Dialog zwischen einem Kunde K, der eine Pizza bestellen möchte und einer künstlichen Intelligenz einer Pizzeria (P) publiziert:

P: „Danke, dass Sie Pizza XXX angerufen haben. Kann ich Ihre …“

K: „Hi, ich möche etwas bestellen.“

P: „Kann ich bitte erst Ihre NIDN haben?“

K: „Meine Nationale ID Nummer, ja, warten Sie, die ist 6102049998-45-54610.“

P: „Vielen Dank, Herr Schwardt. Sie wohnen in der Rosenstraße 25 und Ihre Telefonnummer lautet 89 568 345. Ihre Firmennummer bei der Allianz ist 74 523 032 und Ihre Durchwahl ist -56. Von welchem Anschluss aus rufen Sie an?“

K: „Hä? Ich bin zu Hause. Wo haben Sie alle diese Informationen her?“

P: „Wir sind an das System angeschlossen.“

K: (seufzt) „Oh, natürlich. Ich möchte zwei von Ihren Spezial-Pizzen mit besonders viel Fleisch bestellen.“

P: „Ich glaube nicht, dass das gut für Sie ist.“

K: „Wie bitte??!!“

P: „Laut Ihrer Krankenakte haben Sie einen zu hohen Blutdruck und extrem hohe Cholesterinwerte. Ihre Krankenkasse würde eine solche ungesunde Auswahl nicht gestatten.“

K: „Verdammt! Was empfehlen Sie denn?“

P: „Sie könnten unsere Soja-Joghurt-Pizza mit ganz wenig Fett probieren. Sie wird Ihnen bestimmt schmecken.“

K: „Wie kommen Sie darauf, dass ich das mögen könnte?“

P: „Nun, Sie haben letzte Woche das Buch ‚Sojarezepte für Feinschmecker‘ aus der Bücherei ausgeliehen. Deswegen habe ich Ihnen diese Pizza empfohlen.“

K: „Ok, ok. Geben Sie mir zwei davon in Familiengröße. Was kostet der Spaß?“

P: „Das sollte für Sie, Ihre Frau und Ihre vier Kinder reichen. Der Spaß, wie Sie es nennen, kostet 45 Euro.“

K: „Ich gebe Ihnen meine Kreditkartennummer.“

P: „Es tut mir leid, aber Sie werden bar zahlen müssen. Der Kreditrahmen Ihrer Karte ist bereits überzogen.“

K: „Ich laufe runter zum Geldautomaten und hole Bargeld, bevor Ihr Fahrer hier ist.“

P: „Das wird wohl auch nichts. Ihr Girokonto ist auch überzogen.“

K: „Egal. Schicken Sie einfach die Pizza los. Ich werde das Geld da haben. Wie lange wird es dauern?“

P: „Wir hängen ein wenig hinterher. Es wird etwa 45 Minuten dauern. Wenn Sie es eilig haben, können Sie sie selbst abholen, wenn Sie das Geld besorgen, obwohl der Transport von Pizza auf dem Motorrad immer etwas schwierig ist.“

K: „Woher wissen Sie, dass ich Motorrad fahre?“

P: „Hier steht, dass Sie mit den Ratenzahlungen für Ihren Wagen im Rückstand sind und ihn zurückgeben mussten. Aber Ihre Harley ist bezahlt, also nehme ich an, dass Sie die benutzen.“

K: „@#%/$@&?#!“

P: „Achten Sie lieber darauf, was Sie sagen. Sie haben sich bereits im Juli 2006 eine Verurteilung wegen Beamtenbeleidigung eingefangen.“

K: (sprachlos)

P: „Möchten Sie noch etwas?“

K: „Nein, danke. Oh doch, bitte vergessen Sie nicht, die beiden kostenlosen Liter Cola einzupacken, die es laut Ihrer Werbung zu den Pizzen gibt.“

P: „Es tut mir leid, aber die Ausschlussklausel unserer Werbung verbietet es uns, kostenlose Softdrinks an Diabetiker auszugeben.“

(Dialog aus diesem Quora-Artikel).

Gibt es eine Möglichkeit, das Versenden persönlicher Daten zu unterdrücken? Beim PW dürfte es schwierig sein, denn dort gibt es kaum User Interfaces, über die Sie etwas einstellen können. Aber beim Computer? Auf einem Computer kann man doch immer alles einstellen und wenn nicht, dann gibt es sicher Tools, die das können! Z.B. soll man mit WIN10Privacy und O&OShutup das „nach Hause telefonieren“ von Windows fast vollständig abstellen können, aber eben nur „fast“. Für Linux, Android und Mac-OS wird es wohl ähnliche Tools geben. Aber auch jedes zusätzlich installierte Anwenderprogramm hat Telemetriemodule, die von der Betriebssystemtelemetrie unabhängig sind. Sie müssten also für jedes Programm zusätzliche „Handstände“ machen, wenn Sie das „nach Hause telefonieren“ unterdrücken möchten.

Telemetrieserver

Wie werden die Daten übertragen? Ein Hersteller, der Daten von seinen installierten Produkten einholen will, muss sogenannte Telemetrie-Server einrichten, an die die Daten übertragen werden. Diese Server haben eine Adresse, meistens mit dem Format x.y.z (z.B. geo.hersteller.com), die in der Software „fest verdrahtet“ sind. Sobald gewisse Daten anfallen, verbindet sich die Software mit der gespeicherten Serveradresse und überträgt die Daten dorthin.
Für Windows hat das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI, nicht zu verwechseln mit der „British Standards Institution“, die natürlich viel älter ist, als das Deutsche Amt) die Telemetrieanwendungen genauer untersucht und kommt zum Schluss, dass sie durch Konfigurationseinstellungen nicht vollständig deaktivierbar sind. Es werden laufend gegen 25’000 Datenquellen an ca. 30 Entwicklerteams in Redmond geschickt. Das Privacy-Handbuch publiziert die Adressen von ungefähr 30 Telemetrie-Servern. Bei einer kurzen Web-Recherche, die ich selber durchgeführt habe, hatte ich aber schnell eine Liste mit mehreren Hundert Serveradressen zusammen getragen. Wenn immer eine Serveradresse bekannt wird und der Datenstrom zu versiegen droht, weil viele Anwender die Adresse sperren, dann bennent das Entwicklerteam, das den Server besitzt, einfach die Adresse um, z.B. von x.y.z in x.y1.z. Bei nächsten Softwareupdate wird die neue Adresse ausgerollt und liefert die Daten wieder in neuer Frische.

Bei Computerbetriebssystemen wissen wir wenigstens, wann Softwareupdates durchgeführt werden und können versuchen, die Telemetrieserver in Erfahrung zu bringen. Bei anderen Programmen oder gar anderen Geräten, wie PW, Solaranlagen oder Spielekonsolen, haben wir überhaupt keine Möglichkeit, uns vom „nach Hause telefonieren“ durch das Gerät zu entziehen. Oft kann jedes Entwicklerteam für sein Programmmodul problemlos einen Telemetrieserver einrichten, von dem die anderen Teams nichts wissen, weil sie sich gar nicht für diese Daten interessieren. So kommt es, dass ein grosses System, das seit Jahren und Jahrzehnten auf dem Markt ist, viele Hundert Telemetrieendpunkte hat. Meist haben die Hersteller selber keinen Überblick über ihre Telemetrieanwendungen. Aber wahrscheinlich werden alle Telemetriedaten dann doch zentral gespeichert, damit ein Gesamtbild entsteht. Es nützt also nichts, wenn ein Ingenieur seine privaten Anwendungen bei sich zu Hause ausschaltet, da er nicht weiss, wie die Telemetrie-Serveradressen seiner Kollegen lauten. Wenn z.B. ein BMW-Ingenieur irgendeine Telemetrieanwendung im Kofferraumdeckel einbaut und diese in seinem eigenen BMW ausschaltet, dann bleiben die Telemetrieanwendungen seiner Kollegen weiterhin aktiv, von denen er gar nichts weiss. Es kann also gar keine böse mächtige Guilde geben, die versucht, die Welt zu beherrschen. Wir alle bauen an der globalen Überwachungsmaschine mit und sie hat sich längst selbstständig gemacht.

4 Kommentare

  • Super Analyse! Danke Peter für das kostenlose zur Verfügung stellen Deines Know-Hows! Ich denke aber, dass es nicht viele Leser geben wird, die sich Zeit und Musse nehmen, um Deinen Hinweisen und Ratschlägen im Detail zu folgen – und die Selbstständigkeit der globalen Überwachungsmaschine nimmt weiter zu…!

    • Vielen Dank, Peter! Beachte, dass ich die Verselbstständigung der Überwachungsmaschine nicht beurteilt habe. Es sieht so aus, als dass die Gesellschaft diese Entwicklung mitmacht, weil die Vorteile überwiegen. Die meisten sind dabei glücklich. So what?
      Ja, ich denke auch, dass kaum einer meine Anleitungen durchspielt. Es genügt aber, wenn die Leser verstehen, dass sie auf dem Cookiebanner mehr als bloss annehmen oder ablehen können.
      Herzlichst,
      Peter

  • Hallo Peter
    guter Artikel. Hier etwas von mir dazu da ich selber vor kurzem mal musste. Seit langem bin ich mit http://www.vocabulix.com am Sprachen lernen. Spanisch ist angesagt da ich in Venezuela leben. Auf einmal ging diese Seite bei mir in Venezuela nicht mehr auf. Aber bei meinem Junior in der Schweiz problemlos. Also Hersteller kontaktieren und diskutieren. Mit einer Web Adresse beglückt die ein paar Daten bereitstellt habe ich dann sofort Verdacht geschöpft, dass da wieder einmal die Amerikaner die Finger drin haben. Ein Server in USA verhinderte, dass mein Request zum Server gelangte. Zumindest kam per Wireshark (Protokollanalyzer) nie ein Respons Objekt zurück. Nun denn halt. Bauen wir einen sicheren Tunnel in die Schweiz und erst von dort wieder ins öffentliche Internet. Ich habe dann, musste dann, für 99 USD ExpressVPN kaufen für 15 Monate und installiert dieses Packet problemlos. Und sie da, seit dem geht der Request via einen VPN Server in der Schweiz zum Vocabulix Server und die Antworten gelangen via sicheren Tunnel zu mir zurück Problem gelöst.

    • Das ist ja erstaunlich, Josef. Vielen Dank für diese Story. Das sind über 6 USD pro Monat! Als ich nach China reiste, lies ich zuhause meinen PC mit Teamviewer laufen. Ich konnte ihn dann von China aus remote bedienen und so z.B. unsere Reisefotos auf Facebook veröffentlichen. Das war hemdsärmliger als ein VPN und kostenlos. Aber klar, wenn der PC abstürzt oder so, dann wäre finish. Irgend jemand müsste ihn dann wieder starten können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.