Privacy@IETF: Von übermächtigen Datenaggregatoren

Die Internet Engineering Task Force (IETF) sollte sich mehr Sorgen um den Datenschutz machen, riet AT&T Labs-Forscher Balachander Krishnamurthy beim technischen Plenum der Internet-Standardisierungsorganisation in Anaheim. Der Datenschutz lasse sich allerdings nicht rasch in einem Request for Comments (RFC), dem klassischen Standarddokument der Organisation, lösen. Ein spezieller Datenschutzabschnitt in einschlägigen Standards – zusätzlich zu dem bereits vorhandenen über Sicherheit – reiche auch kaum aus. Die großen Aggregatoren wie Google, Omniture (Adobe), Yahoo oder Microsoft, die Daten über die Bewegung der Nutzer im Web und auf Websiten (meist zu Werbezwecken) sammeln und auswerten, nutzten existierende Standardtechnik – ebenso wie bestehende Gesetze in den USA – sehr geschickt aus, wie Krishnamurthy erläuterte. Nutzeraufklärung und mehr Verständnis bei Regulierern für das stetig wachsende Problem seien besonders wichtig.

Krishnamurthy ist einer der Autoren einer Studie, die unter anderem minutiös das Heraussickern persönlicher Daten aus Social Networks beschreibt. Das Hauptproblem der Social Networks sei der Umstand, dass Nutzer bei der Navigation durch das Portal durch ihre persönliche ID in der URL kenntlich seien. Nicht nur das Aufrufen von Werbung, auch zahlreiche andere Aktionen gäben die im Header enthaltenen Daten nach außen preis. Und nicht in jedem Fall könnten Kunden das technisch unterbinden, betonte Krishnamurthy.

Anfragen an Anwendungen, etwa beim Setzen eines Bildes im Social Network, führten regelmäßig dazu, dass der Editor des Netzwerks persönliche Informationen in den Link einbaut (im Stil von http://host/domain/bild?from=twitter&user=joedoe). Gerade in einem solchen Fall, bei einem URI-Request, könne der Nutzer das auch nicht so leicht blockieren wie die in den Social Networks ebenfalls verwendeten Cookies.

Häufig gebe der Nutzer so, ohne es zu realisieren, Daten wie E-Mail, Alter, Postleitzahl oder Geschlecht direkt in die Logs der Datenaggregatoren. Krishnamurthy hat in einem Fall, in dem er eine offensichtliche Verletzung der eigenen Datenschutzerklärung erkannte, das Portal kontaktiert. Beim betreffenden Portal Hi5 wollte man allerdings die E-Mail-Adresse des Datenschutzbeauftragten nicht mitteilen: Man gebe grundsätzlich keine E-Mailadressen heraus. Krishnamurthy sagte, die Preisgabe der Daten in den URLs sei leicht zu vermeiden. IDs könnten beispielsweise gehasht werden. Von US-Gesetzen seien die Praktiken aber durchaus gedeckt.

Von den heraus sickernden Personendaten profitierten die großen Datenaggregatoren, die damit ihre zunächst nur durch IP-Adressen identifizierbaren Profile, die sie über Cookies und Javascript gewonnen haben, anreicherten und schließlich personalisierten: Damit entstünden umfangreiche Profile der Nutzer. Krishnamurthy ist insbesondere über die Konzentration der Information in den Händen weniger Unternehmen beziehungsweise Unternehmensgruppen besorgt.

In einer Langzeitstudie hat der Forscher gemeinsam mit seinem Kollegen Craig Wills, Professor am Computer Science Department des Worcester Polytechnic Institute, die fortschreitende "Aggregierung der Aggregatoren" verfolgt. Im Oktober 2005 verbargen sich hinter 58 Prozent der Top 127 Websites wie eBay, Ikea oder Expedia Seiten der Aggregatoren wie Google, Omniture (Adobe), Microsoft oder Yahoo. Im März 2010 ist diese Zahl auf über 84 Prozent angestiegen. Das bedeutet, Nutzer, die sich auf diesen Seiten bewegen, werden von den Datensammlern getrackt. Selbst auf den Seiten treuhänderischer Unternehmen oder Institutionen wie Banken, Versicherungen oder auf Seiten aus dem medizinischen Bereich wird fleißig für Profile gesammelt, in diesem Fall kamen die Forscher auf über 70 Prozent. Die Unternehmen, die für Dritte checken, wer von wo wie lange auf welchen Teil der Seiten zugreift, benutzen Cookies der sie beauftragenden Unternehmen und Javascript. In vielen Fällen sieht es also so aus, als protokolliere eigenlicht der Betreiber der Site, der aber in Wirklichkeit einen Datenaggregator beauftragt hat. (jk)