Risiken der Föderation

Neben großen sozialen Netzwerken wie Facebook, Mikrobloggingdiensten wie Twitter und Instant-Messenger-Diensten wie WhatsApp werden manchmal „freie Alternativen“ empfohlen. Oftmals wird in dem Zusammenhang der Vorteil genannt, dass „jeder“ einen Server für diese offenen föderierten Netzwerke betreiben könne. Dies resultiere in maximalem „Datenschutz“.

In diesem Artikel wollen wir einige Überlegungen anstoßen, weshalb man diesen Empfehlungen keinesfalls pauschal vertrauen sollte und welche Risiken im Zusammenhang mit Föderation auftreten, wenn man diese Alternativen nicht vollständig selbst betreibt.

InhaltsĂĽbersicht

  1. Föderation ist gut
  2. FĂĽnf Punkte zum Diskutieren und Nachdenken
  3. Schlussfolgerungen
  4. Fazit

Immer auf aktuellem Stand bleiben?
Abonnier uns via RSS/Atom.

Föderation ist gut

Föderation ist etwas Gutes, da offene Protokolle nicht erfordern, dass man sich an spezielle Anbieter und deren Server bindet. Ein bekanntes Beispiel ist XMPP, welches unter anderem auch die Basis von WhatsApp bildet: Hier kann zwischen einer Vielzahl von Servern gewählt werden (zumindest theoretisch, in der Praxis ist diese Anzahl eingeschränkt und Nutzer verteilen sich nicht gleichmäßig auf Server).

Auch das soziale Netzwerk Movim basiert auf XMPP und offene Protokolle wie OStatus bilden die Basis von GNU Social, Mastodon und identi.ca. Als letzte Beispiele offener Netzwerke seien Diaspora und Friendica genannt – beides Software für verteilte soziale Netzwerke.

FĂĽnf Punkte zum Diskutieren und Nachdenken

All diese Dienste haben die Gemeinsamkeit, dass „jeder“ einen Server mieten oder bereitstellen, die notwendige Software und Abhängigkeiten installieren und dann Teil der Föderation werden kann. Genau dieser Punkt regt aber zum Nachdenken an.

Unsere Daten

Wir alle wissen, dass wir bei der Nutzung des Internets Daten von uns übermitteln. Im einfachsten Fall sind dies technisch notwendige Daten, die beispielsweise durch unseren Webbrowser an einen Server übermittelt werden, um gewünschte Inhalte lokal darstellen zu können. Allein diese technisch notwendigen Daten machen uns identifizierbar, solange wir keine Gegenmaßnahmen treffen.

Klassisch wird hier an IP-Adresse und Cookies gedacht, allerdings ermöglichen modernste Trackingverfahren auch Tracking auf Basis vieler anderer Faktoren. So ist es heute mit einer Trefferwahrscheinlichkeit von über 99 % möglich, Nutzer zu identifizieren, die ein „Mehr-Browser-Konzept“ als Gegenmaßnahme einsetzen. Obwohl die Deaktivierung von JavaScript oder die Nutzung des Tor-Browsers dem in einigen Fällen entgegenwirken, ist beides bei der Nutzung von den oben genannten föderierten Netzwerken entweder nicht möglich oder zwecklos, da weitere Daten übermittelt werden.

Beispielweise sind diese weiteren Daten Login-Zeitpunkte oder Zeiträume, in denen wir das Netzwerk genutzt haben. Schon Kommentare oder Posts innerhalb der Netzwerke lassen sich über einen längeren Zeitraum auswerten, um diese Zeiträume zu ermitteln. Daneben kann es dazu kommen, dass wir personenbezogene Daten übermitteln, was in sozialen Netzwerken absolut verständlich ist.

Datenschutzgesetze

FĂĽr die Regelungen zum Schutz dieser personenbezogenen Daten existieren in vielen Staaten Datenschutzgesetze. Hierzulande gibt es das DSG 2000, in Deutschland das BDSG und ab Mai 2018 die EU-weite Datenschutz-Grundverordnung.

Diese Gesetze schreiben Diensteanbietern unter anderem vor, welche Vorkehrungen sie zu treffen haben, um personenbezogene Daten ihrer Nutzer (meist „Betroffene“ genannt) zu schützen. Weiters findet man dort die Rechte, die einem als Betroffenen zustehen und viele andere Pflichten für Anbieter.

Solange man tatsächlich einen eigenen Server betreibt und nur dort seine eigenen personenbezogenen Daten oder die von Familienmitgliedern verarbeitet, fällt man in der Regel nicht unter diese strengen Vorgaben. Sobald man aber eigene Server für andere Personen nutzbar macht, müssen diese gesetzlichen Vorgaben mehr oder weniger (siehe Gesetzestexte des jeweiligen Landes) erfüllt werden.

Schon an dieser Stelle ist es fraglich, ob Serverbetreiber, die teils nicht einmal über ein Impressum verfügen, welches gesetzlichen Vorgaben genügt, von diesen Vorgaben wissen und diese umsetzen. Im Zweifelsfall ist schon hier keine Möglichkeit vorhanden, Auskunftsrechte als Betroffener (§ 26 DSG 2000, § 34 BDSG) geltend zu machen.

Unter anderem muss bedacht werden, dass bei einem gemieteten Server, der in dem Rechenzentrum eines dritten Dienstleisters betrieben wird, eine Zutritts- und Zugangskontrolle kaum gewährleistet werden kann. Hier ist es auch fragwürdig, inwieweit die Verarbeitung personenbezogener Daten zwischen Serveranbieter und Diensteanbieter vertraglich geregelt ist. Auch der Schutz vor Zerstörung und Verlust oder die Trennung zu anderen Systemen sind auf nicht-dedizierten Servern eventuell nicht umsetzbar.

Zugriff auf personenbezogene Daten

Neben diesen zuvor genannten Punkten ist es auch fraglich, inwieweit Unbefugten der Zugriff auf personenbezogene Daten verwehrt wird. Dies schließt das unbefugte Lesen, Verändern, Kopieren und Entfernen bei der Verarbeitung, Nutzung und Speicherung der personenbezogenen Daten ein.

Einerseits muss der Diensteanbieter die Software seines Dienstes stets aktuell halten und entsprechend konfigurieren, damit öffentlich bekanntgewordene Sicherheitslücken geschlossen werden können. Andererseits muss aber der Diensteanbieter auch generell sicherstellen, dass beispielsweise verwendete Datenbanken nicht von Unbefugten gelesen oder kopiert werden können.

An dieser Stelle kann diskutiert werden, ob beispielsweise eine Privatperson als hobbymäßiger Diensteanbieter in der Lage ist, die Serversoftware zeitnah zu aktualisieren und festzustellen, ob Unbefugte Datenbanken kopiert oder ausgelesen haben.

Gehackt oder nicht

Dieser zuletzt genannte Punkt ist ganz entscheidend: Kann eine Privatperson als Diensteanbieter überhaupt zuverlässig erkennen, ob die Daten der eigenen Kunden ausgelesen oder kopiert wurden, wenn er viele der technisch-organisatorischen Maßnahmen selbst unzureichend umsetzen kann? Schließlich darf an dieser Stelle nicht vergessen werden, dass selbst bekannte große Unternehmen diese Hacks erst nach Monaten oder Jahren feststellen (wenn überhaupt).

Installation und Betrieb der genannten Serversoftware sind teilweise auch technisch komplex oder aber so einfach gehalten, dass Diensteanbieter ohne technisches Know-how Serversoftware installieren und betreiben. Auch hier kann wieder diskutiert werden, inwieweit der abgesicherte Betrieb der Serversoftware erfolgt, wenn quasi „jeder“ Teil eines föderierten Netzwerkes werden kann. Ein einmaliges Einrichten nach „irgendeiner Anleitung aus dem Internet“ ist in den wenigstens Fällen ausreichend.

Ist der Betreiber eigentlich der Betreiber

Abschließend sollte überlegt werden, ob der mutmaßliche Diensteanbieter auch wirklich existiert, noch hinter dem Dienst steht oder jemals stand. Wie kann sichergestellt werden, dass der Diensteanbieter nicht eine erfundene Person oder Institution ist? Während dies bei Unternehmen in der Regel prüfbar ist, kann man hier als Betroffener nichts machen, außer darauf zu vertrauen, dass man eigene Daten in die richtigen Hände übergibt und diese in den richtigen Händen bleiben.

So könnte ein Diensteanbieter kurzfristig entweder den Dienst abstellen, diesen an ein Unternehmen verkaufen oder durch Behörden gezwungen werden, Daten weiterzugeben oder den Dienst durch Behörden betreiben zu lassen.

Schlussfolgerungen

Ob technische Sicherheitsmaßnahmen wie TLS mit moderner Konfiguration, geeignete CSPs oder sichere Cookies zum Einsatz kommen, kann man als Betroffener im Voraus mit Diensten wie dem Observatory by mozilla, Webbkoll oder Hardenize überprüfen. Diese Überprüfung ist aber in allen Fällen immer eine Momemtaufnahme. Temporäre Änderungen, die Datenabfluss ermöglichen, können dadurch nicht erkannt werden. Dies gilt auch für nicht-föderierte Netzwerke.

Es ist nicht feststellbar, was mit einmal ĂĽbermittelten Daten passiert. So bleiben die Versprechen, dass Nutzerverhalten nicht getrackt wird oder personenbezogene Daten nicht weiterverkauft oder analysiert werden, weiter nur Versprechen.

Föderation und offene Protokolle sind folglich ideal, wenn man nur eigene Daten auf eigenen Servern verarbeitet und diese Server technisch absichert und überwacht. Diese Hoheit über eigene Daten geht aber aufgrund der Offenheit einiger Netzwerke wieder verloren. So kann man zwar einen eigenen XMPP-Server betreiben, muss sich aber auch bei nicht-öffentlichen unverschlüsselten Chats auf anderen Servern oder mit Kommunikationspartner auf anderen Servern darauf verlassen, dass dabei bekanntgegebene Daten „in guten Händen“ bleiben.

Fazit

Wenn man einmal wieder über die Empfehlungen stolpert, man solle statt Facebook lieber Diaspora oder statt WhatsApp lieber XMPP nutzen – also auf „freie Alternativen“ zurückgreifen – muss grundsätzlich überlegt werden, ob man personenbezogene und weitere nutzungsbedingte Daten „irgendwem aus dem Internet“ oder einer nachprüfbar existieren Firma mit Regelungen zum Datenschutz, Datenschutzbeauftragten und Impressum anvertraut. Nicht zuletzt ist es meist auch im wirtschaftlichen Interesse eines Unternehmens, die Daten seiner Kunden wirtschaftlich angemessen zu schützen. So hätte die Kopie der eigenen Kundendatenbank für ein Unternehmen rufschädigende und finanzielle Auswirkungen, für einen hobbymäßig betriebenen Server einer Privatperson aber eher kaum.

Wer sich wirklich Gedanken über den Schutz eigener personenbezogener und anderer Daten macht, muss deren Verbreitung entweder im Voraus verhindern (sprich Dienste gar nicht nutzen) oder aber solche Dienste weitgehend selbst geschlossen betreiben. Ansonsten bieten offene Netzwerke zwar viele Versprechen, allerdings ist weder ein technisch einheitliches Sicherheitsniveau vorhanden noch die Kontrolle über einmal preisgegebene Daten besser möglich.

War der Beitrag verständlich?
Gibt es Fragen, Anmerkungen, Korrekturvorschläge?
Schreib uns.