Categories
Administration / Webmaster Datenschutz English Linux OccuSearch SearX

Daemonize and control SearX with the service command

Under several Linux distributions, including Debian and Ubuntu, we have the service command to controll daemons, e.g. service apache2 restart. In this article, we learn how to create a service-command for the standalone version of the SearX meta search engine. We build upon the default installation as prescribed within the quick start guide of the project documentation. We include both, searX and filtron.

Introduction

First we need a possibility to start SearX as a daemon, so we install the daemonize command:

sudo apt-get install daemonize

With daemonize, we can have an error-log, a std-out log and some pid that takes care about having only one instance running. With SearX installed at the default destination /opt/searx, we can execute the following command to start a SearX daemon:

daemonize -a -e /var/log/searx.error.log -o /var/log/searx.log -p /var/run/searx.pid -l /var/lock/subsys/searx /opt/searx/searx-ve/bin/python /opt/searx/searx/webapp.py

In a similar way, we can start a filtron instance (assuming the filter rules at /etc/filtron/rules.json):

daemonize -a -e /var/log/filtron.error.log -o /var/log/filtron.log -p /var/run/filtron.pid -l /var/lock/subsys/filtron /root/go/bin/filtron -rules /etc/filtron/rules.json

Usually, we will start filtron first and then start SearX.

We furthermore need some kill commands to stop filtron and SearX. We use ps, grep, awk and kill.

Stopping filtron:

kill $(ps -aux | grep filtron | awk '{print $2}')

Stopping SearX:

kill $(ps -aux | grep /opt/searx/searx/webapp.py | awk '{print $2}')

Realizing the service commands

We usually have three options following the service command: service searx start, service searx stop and service searx restart. This results in the following code snippet for the searx.sh file stored at /etc/init.d/searx.sh:

#! /bin/sh
sleep 3
case "$1" in
  start)
        daemonize -a -e /var/log/filtron.error.log -o /var/log/filtron.log -p /var/run/filtron.pid -l /var/lock/subsys/filtron /root/go/bin/filtron -rules /etc/filtron/rules.json
        daemonize -a -e /var/log/searx.error.log -o /var/log/searx.log -p /var/run/searx.pid -l /var/lock/subsys/searx /opt/searx/searx-ve/bin/python /opt/searx/searx/webapp.py
        ;;
   stop)
        kill $(ps -aux | grep filtron | awk '{print $2}')
        kill $(ps -aux | grep /opt/searx/searx/webapp.py | awk '{print $2}')
        ;;
  restart)
        kill $(ps -aux | grep filtron | awk '{print $2}')
        kill $(ps -aux | grep /opt/searx/searx/webapp.py | awk '{print $2}')
        daemonize -a -e /var/log/filtron.error.log -o /var/log/filtron.log -p /var/run/filtron.pid -l /var/lock/subsys/filtron /root/go/bin/filtron -rules /etc/filtron/rules.json
        daemonize -a -e /var/log/searx.error.log -o /var/log/searx.log -p /var/run/searx.pid -l /var/lock/subsys/searx /opt/searx/searx-ve/bin/python /opt/searx/searx/webapp.py
        ;;
        *)
        ;;
esac
exit 0

In some cases we have issues with uswgi. Therefore, consider to uninstall uswgi.

sudo apt-get remove uswgi

Now, reinitialize the service command with the following command:

systemctl daemon-reload

Now it is possible to controll filtron and SearX in a comfortable way. Try the following:

service searx start
service searx stop
service seary restart

You will see SearX and filtron starting, stopping or restarting.

Final Remarks

Have some fun with this comfortable solution!

Do it! Build your own search engine! Go go go!

For an example instance, have a look at https://occusearch.net. Feel free to use and recommend this instance to your family, friends and colleagues.

Categories
Datenschutz German OccuSearch

OccuSearch überarbeitet und in neuer Version

Kürzlich habe ich bei OccuSearch ein Update auf Searx 0.16.0 auf 0.17.0 durchgeführt. Dabei handelt es sich um eine Open-Source Metasuchmaschine, die von quasi jedem Serverbetreiber selbst aufgesetzt und für private Zwecke oder auch die Öffentlichkeit zur Verfügung gestellt werden kann.

Das stellte sich nicht ganz so einfach heraus, da anscheinend Python 2 nicht mehr unterstützt wird. Anmerkung: Das ist prinzipiell auch gut so, da Python 2 eine alte Leiche im Keller ist und schon viel zu lange gelebt hat. Also Update auf Python 3. Ein inkrementelles Upgrade habe ich damit leider nicht hinbekommen, sodass ich Searx schlussendlich komplett neu aufgesetzt habe.

Auch da bin ich auf die ein oder anderen Unwegsamkeiten gestoßen. Leider haben meine Skripte wie etwa “service searx start” leider nicht mehr so funktioniert und ich musste sie anpassen (dazu in einem anderen Artikel).

Neue Features

Zuerst ein mal gibt es neue Suchengines. Darunter wären die Folgenden:

  • eTools
  • Wikibooks
  • Wikinews
  • Wikiquote
  • Wikisource
  • Wiktionary
  • Wikiversity
  • Wikivoyage
  • Rubygems

Interessant ist insbesondere eTools, da diese Suchmaschine zum Teil sogar mehr finden soll als Google es tut. So schreibt zumindest Digitalcourage (Quelle).

Auch wurden einige Suchmaschinen gefixed: Google, Google Images, Startpage, Gigablast und YaCy. Außerdem wurde die Dokumentation wesentlich überarbeitet, was Betreiber freuen wird. Kleinere Änderungen im Oscar-Theme haben leider mein selbst gestaltetes Design etwas kaputt gemacht. Ich bin nun wieder bei “Simple”-Design, zumindest vorübergehend. Außerdem wurde eine Reihe von Design- und Usabilityverbesserungen durchgeführt. Es gibt nun einige weitere Anbieter zur Autovervollständigung von Sucheingaben. Dazu zählen nun “dbpedia”, “duckduckgo”, “google”, “startpage”, “swisscows”, “qwant” und “wikipedia”. Bei OccuSearch setzen wir standardmäßig auf DuckDuckGo, da die Ergebnisse relativ gut sind und wir gerne eine Alternative zu google haben möchten. Unter der Haube gibt es noch viele weitere Änderungen, die ihr den Changelogs entnehmen könnt.

Suchmaschinen: Unsere Auswahl

Außen vor lassen möchten wir Google, da die Interessen der Weltbevölkerung schon genug durch Google gelenkt werden. Abgesehen von der Marktmacht ist es Google so sehr einfach möglich bestimmte Meinungen besonders zu pushen. In wie fern das gezielt getan wird, ist umstritten, aber zumindest geben uns die Algorithmen vor, was wir sehen und was nicht.

Wir haben aktuell folgende Suchmaschinen per Default eingebunden:

  • Wikipedia – Die freie Datenquelle. Einfach sinnvoll.
  • Bing – Der größte Konkurrenz von Google im internationalen Vergleich. Wird von Microsoft betrieben. Die gute Durchmischung der Resultate macht es aber durchaus ok diesen Anbieter hier hinzuzufügen. Die Auswahl wird so nicht einseitig.
  • Wikidata – Eine frei bearbeitbare Wissensdatenbank mit dem Ziel Wikipedia zu unterstützen.
  • DuckDuckGo – Eine Suchmaschine die einen eigenen Suchindex betreibt, aber auch Ergebnisse von einigen anderen Suchanbietern einschließt (insbesondere Bing)
  • ETools – Ansich schon eine Metasuchmaschine, wie diese hier auch, die aber den Ruf besitzt seltene Webseiten zu finden, die selbst nicht von Google gefunden werden.
  • MetaGer – Eine deutschsprachige Metasuchmaschine mit schon ganz guten Suchergebnissen. Insbesondere für deutschsprachiges Publikum von Relevanz. Hält sehr hohe Ansprüche an Datenschutz ein.
  • Qwant – Eine französische Suchmaschine mit ebenfalls eigenem Index. Nach eigenen Angaben ist der Suchindex aber noch nicht vollständig und wird von Bing ergänzt. Zu begrüßen sind eigene Suchindizes aber auf jeden Fall!
  • Wikibooks – Ist ein Wiki zur Erstellung von Lehr-, Sach- und Fachbüchern unter der Creative Commons Attribution/Share-Alike Lizenz 3.0 und GNU-Lizenz für freie Dokumentation. Die deutschsprachige Variante hat 746 Bücher mit insgesamt 28.000 Buchkapiteln – immerhin!
  • Wictionary – Ein Wörterbuch ähnlich dem Duden aber basieren auf freiem Wissen, wie auch die Wikipedia. Mit cA. 1.000.000 deutssprachigen Einträgen.
  • dictzone – Ein Wörterbuch nicht nur für Deutsch-Englisch / Englisch-Deutsch.

Fußnote

So viel zu meiner Aktualisierung von Searx auf OccuSearch und die letzten Anpassungen an den vorbelegten Suchmaschinen. Ich wünsche weiterhin viel Spaß beim Nutzen von OccuSearch. Empfehlt es gerne an Freunde und Bekannte weiter. Die Suche lässt sich in den meisten Browsern auf einfach in die Adressleiste hinzufügen – schlechte Browser mit wenig Freiheiten wie der von Samsung auf Android mal außen vorgelassen. Nutzt lieber Firefox oder einen anderen privatsphärenfreundlichen Browser mit Addons zu eurem Schutz. Das soll es nun für heute hier gewesen sein. Ich wünsche noch eine schöne Woche.

Categories
Datenschutz Dokumentenvorlagen German

Wir bieten nun Dokumentenvorlagen an

Eigentlich war ich auf der Suche nach einer Website, wo ich meine Vorlagen für Ordnerrücken, Deckblätter für Ordnerregister und Visitenkarten Online stellen kann. Nun habe ich leider keine entsprechende Seite gefunden und so sind die Vorlagen nun hier auf the-digital-native.de gelandet. Auch wenn das nicht ganz dem Kernthema dieser Seite entspricht, habe ich mir bei einigen Vorlagen wirklich Mühe gegeben und möchte diese auch der Allgemeinheit zur Verfügung stellen.

Solltest du einen Dienst kennen, wo man Vorlagen kostenlos unter einer freien Lizenz zur Verfügung stellen kann, dass melde ich unbedingt bei mir. Ich würde die Sachen dann auch gerne noch dort veröffentlichen, da die Audienz vermutlich doch größer sein wird.

Musterschreiben

Etwas Themennäher sind wiederum die Musterschreiben, die dem Durchsatz vom persönlichen Datenschutz gelten. Darunter der häufig sinnvolle Widerspruch Markt- und Meinungsforschung sowie ein Auskunftsersuchen für Bewegungsdaten.

Categories
Datenschutz German Mailserver OccuMail

Ein Spamfreies Postfach mit OccuMail ZeroSpam

Heute soll es um unseren Maildienst OccuMail gehen, für den auch du eine kostenlose Adresse bekommen kannst. Typischerweise vergeben wir etwa 1GB Speicher kostenlos. Mehr Speicher können wir gerne zur Verfügung stellen, aber wir bitten dann um eine geringfügige Beteiligung an den Serverkosten. Für mehr Informationen, bitte anfragen!

Mögliche, kostenlose Mailaliase sind:

  • nickname@occumail.net
  • nickname@new-visual-dimension.de
  • nickname@the-digital-native.de
  • nickname@the-digital-native.net
  • nickname@your-domain.tld (zum Selbstkostenpreis)

Unser Dienst ist Datenschutzfreundlich, Werbefrei und deine Mailinhalte werden von uns nicht eingesehen oder kontrolliert. Außerdem geben wir deine Mailinhalte niemals an Behörden oder sonstige staatliche Institutionen heraus. Im Zweifelsfall würden wir es auf einen Gerichtsprozess ankommen lassen. Glücklicherweise gab es eine solche Anfrage bis heute noch nie.

Bei OccuMail gibt es keinen Spamfilter

Einige Nutzer von OccuMail fragten mich bereits, warum es denn keinen Spam-Ordner in Ihrem Postfach geben würde. Die Antwort ist einfach: Wir bieten keinen Spamfilter an. Warum das so ist? Weil man seine E-Mailadresse Spamfrei halten kann. Ich habe meine aktuelle E-Mailadresse seit Oktober 2013, also knapp 7 Jahre, und erhalte immernoch keinerlei Spam.

Dafür muss man jedoch ein paar Regeln einhalten:

  • Poste deine E-Mailadresse niemals öffentlich im Internet auf irgendeiner Website.
  • Wenn du deine E-Mailadresse doch irgendwo publizieren musst (z.B. Impressum), dann nimm dafür, wenn möglich, einen Alias, der auf deine E-Mailadresse weiterleitet. Du kannst diesen Alias dann im Notfall einfach deaktivieren, ohne deine Hauptadresse zu verlieren.
  • Wenn du deine E-Mailadresse publizierst, tue dies niemals im Klartext, sondern als Privacy Captcha. Als Bild, oder besser als Privacy Captcha, kann deine E-Mailadresse nicht durch Bots gefunden und für Spam missbraucht werden. Solche Bots durchsuchen tagtäglich so gut wie alle Webseiten und schnüffeln E-Mailadressen auf!
  • Wann immer du dich bei irgendeinem Service oder Dienstleister mit einer E-Mailadresse registrierst, tue dies mit OccuMail ZeroSpam.

Über OccuMail ZeroSpam

Die Idee ist, wann immer du dich irgendwo mit einer E-Mailadresse registrierst, eine neue Mailadresse zu benutzen. Diese E-Mailadresse ist dann ausschließlich für diesen einen Anbieter bestimmt. Der Hintergrund: Meist wird deine E-Mailadresse nicht durch Freunde und Bekannte an Spammer und Phisher gegeben, sondern durch irgendeinen Serviceanbieter oder Dienstleister.

Wie funktioniert das bei OccuMail ZeroSpam?

Wenn du bei uns eine Adresse nickname@occumail.net hast, kannst du selbst über unsere Administrationsoberfläche Postfix Admin E-Mailadressen der Form alias@nickname.occumail.net anlegen. Wenn du deine eigene Top-Level Domain hast, dann natürlich auch alias@your-domain.tld. Wir empfehlen, sprechende Namen zu verwenden.

Erstelle dir z.B. eine der folgenden E-Mailadressen:

  • amazon@nickname.occumail.net
  • buch7@nickname.occumail.net
  • facebook@nickname.occumail.net
  • diaspora@nickname.occumail.net
  • twitter@nickname.occumail.net
  • mastodon@nickname.occumail.net

Das sieht in unserer Administrationsoberfläche wie folgt aus:

Wenn du Spam erhältst, kannst du einen Mailalias nun jederzeit wieder löschen. Wir empfehlen jedoch den Eintrag einfach zu deaktivieren. Dann kommen auch keine Mails mehr an, aber du hast den Überblick von wo schon mal Spam- oder Phishingmails kamen.

Tritt den Übeltätern auf die Füße!

Eine weitere tolle Eigenschaft dieser Methode: Erhältst du Mails auf eine Adresse, weißt du ja wo du diese Adresse benutzt hast. Von daher hast du die Möglichkeit dem Verantwortlichen auf die Füße zu treten. Entweder dieser hat die Daten selbst an Spammer oder Phisher weitergegeben, oder es gab ein Sicherheitsleck, über das die Kundendaten entwendet wurden. Auch letzteres gilt es zu Verfolgen, da die Kunden darüber informiert werden müssen. Das gilt sogar qua Gesetz!

Der Fall Foto Erhardt

Tatsächlich hatte ich schon mal einen solchen Fall, wo bei mir persönlich ein Phishingversuch auf meinen PayPal Account stattgefunden hat und das sogar unter Angabe meines Namens und meiner kompletten Adresse. Dank OccuMail ZeroSpam konnte ich den Ursprung des Ganzen nachverfolgen. An dieser Stelle nehme ich auch kein Blatt vor den Mund und sage, dass dieser Fall Foto Erhardt betraf, wo ich einige Zeit zuvor eine Onlinebestellung getätigt hatte. Ich ging zunächst von keiner böswilligen Absicht aus und unterstellte ein Sicherheitsleck, also dass die Daten gestohlen wurden. Ich informierte Foto Erhardt sofort telefonisch, wo man sich wenig zu interessieren schien und man mir sagte, ich sollte doch eine E-Mail schreiben. Das tat ich auch. Diese blieb jedoch unbeantwortet. Es gab auch keine Information der Kunden über ein Datenleck, sodass Foto Erhardt seinen gesetzlichen Pflichten nicht nachgekommen ist. Ich entschied mich deswegen damals, zumindest den Fall publik zu machen. Ich postete den Vorfall in einigen Foren für Fotografie. Angesichts dieses Verhaltens, sollte man doch noch mal überdenken, ob man denn gerade bei diesem Anbieter bestellen möchte (sei es auch gerade der günstigste).

Fazit

Mit ein paar grundlegenden Regeln und OccuMail ZeroSpam kann man den Spammern und Phishern ein Schnippchen schlagen. Möglich wird dies durch das Prinzip “eine Adresse pro Dienst”. Als Zusatznutzen kann man die Schuldigen identifizieren. Ich selbst habe übrigens inzwischen etwa 370 Aliase, wovon 40 deaktiviert sind. Das Prinzip hat mein Postfach also wirkungsvoll geschützt.

Wer noch keinen Adresse von OccuMail hat, der darf sich nun gerne melden und in den Genuss von OccuMail ZeroSpam kommen. Wer schon einen Account hat und ZeroSpam noch nicht nutzt, der möge sich zwecks Einrichtung kurz bei mir melden. Ich wünsche ein Spamfreies Wochenende!

Categories
Android Corona Datenschutz German IT-Security

Einschätzungen zur Corona-Warn-App

Letzes Update: 25.06.2020 um 21:57 Uhr
(Änderungen sind farblich gekennzeichnet)

Inzwischen nutzen stand Heute (24.06.2020) etwa bereits 13 Millionen Menschen die Corona-Warn-App. 15 Prozent der Bevölkerung werden erreicht, es gibt erste Infektionswarnungen. Es sollten sich nun erste positive Effekte zeigen. (Quelle)

Ich möchte hier meine Einschätzungen zur Corona-Warn-App hinsichtlich Datenschutz, IT-Sicherheit und Nützlichkeit kund tun. Dabei bemühe ich mich, alle Blickwinkel der verschiedenen involvierten Parteien und Berichterstatter Gehör zu schenken und abschließend eine rationale Empfehlung zu geben. Nach meiner Ansicht muss bei jeder digitalen Entscheidung der Trade-Off zwischen Risiko und Nutzen gezogen werden. Das berührt die Themen Datenschutz, IT-Security sowie Offenheit und Vertrauenswürdigkeit des Dienstanbieters gleichermaßen.

Funktion und Datenschutz

Konkret funktioniert die App so: Ein Handy sendet stets IDs per Bluethooth aus, die von anderen Handys empfangen werden können. Diese IDs ändern sich zudem über die Zeit. Rückschlüsse auf personenbezogene Daten (Name, Handynummer, usw.) der Nutzer sind nicht möglich. So kann man den Kontakt zwischen Nutzern über pseudonomysierte IDs nachzuweisen. Gespeicherte Daten sind neben der ID auch das Datum des Kontakts und die Distanz der Personen. Dies scheint sinnvoll, um das Gefahrenpotenzial zu bemessen. Die IDs der Nutzer werden generell erst mal nicht übertragen. Ist nun ein Mensch positiv, kann und sollte dieser dies in die App hinterlegen (per QR-Code Scan auf dem Bescheid oder per TAN-Verfahren). Nun werden die (pseudonymen) IDs dieses Benutzers auf den zentralen Servern abgelegt und für Warnmeldungen an die Nutzer verbreitet. Die Smartphones der Anwender entscheiden nun selbst gemäß ihres Protokolls, ob sie mit einer infizierten Person in Kontakt getreten sind. Das Infektionsrisiko wird in “niedriges Risiko” oder “hohes Risiko” oder “Risiko unbekannt” eingeteilt. Ein niedriges Risiko wird angegeben, wenn “keine Begegnung mit nachweislich Corona-positiv getesteten Personen aufgezeichnet wurde oder sich Ihre Begegnung auf kurze Zeit und einen größeren Abstand beschränkt hat” (Zitat aus der App). Der Server erfährt davon nichts. Zudem werden IDs nach 14 Tagen gelöscht, da hier die übliche Inkubationszeit erreicht ist. Damit ist dem Datenschutz nochmals besser genüge Getan. Auf die Übertragung einer GPS-Position wird bewusst verzichtet, sodass sich die Erstellung von Bewegungsprofilen der Nutzer ausschließt.

Hinsichtlich Datenschutz ist ein eindeutig positives Fazit zu ziehen: Das Konzept Privacy-by-Design wurde hier berücksichtigt. Tatsächlich funktioniert die App nicht, wie zuerst von einigen Datenschützern befürchtet, zentral, sondern die Datenhoheit bleibt so weit wie eben möglich in den Händen der Nutzer.

Die Datenschutzbestimmungen der App zeigen sich sehr offen und gut erklärt. Die zu verarbeitenden und zu speichernden Daten scheinen im gegebenen Kontext sinnvoll, d.h. so streng wie möglich, um den Einsatzzweck der App noch zu erfüllen.

Digitalcourage führt als Problem an “Detaillierte Bewegungsprofile der User können erstellt werden.” Das sehe ich Anhand der oben beschriebenen Funktionsweise als sehr unwahrscheinlich an. Die App ist gerade so konzipiert, dass das kaum möglich erscheint.

Digitalcourage führt als Problem an “Beteiligte Personen können unter Umständen de-anonymisiert werden.” Wie das konkret passieren soll, bleibt unklar. Die App ist Open Source und es wäre nachzuvollziehen, wenn das passieren würde. Es scheint nicht sehr wahrscheinlich.

Ein berechtigter Kritikpunkt ist hingegen, dass die App wohl nicht ohne die Google Play Services läuft (Quelle). Diese stehen unter Verdacht, den Benutzer auf die ein- oder andere Weise auszuspionieren und die Ergebnisse an Google zu senden. Jedes übliche Android-Smartphone von der Stange hat diese Services. Es gibt jedoch Möglichkeiten durch Installation eines eigenen Betriebssystems (z.B. LinageOS) trotz der Android-Basis sein Handy komplett entgooglet laufen zu lassen. Das machen zwar nur die wenigsten, besonders datenschutzaffine Menschen, aber es gibt gute Gründe dafür. Es sollte keiner auf Grund der Corona-Warn-App dazu gezwungen werden, sich die Google Play Services installieren zu müssen. Klare Forderung: Corona Warn-App bitte auch ohne Google Play Services! Es gibt bereits ein Projekt namens CoraLibre-android-sdk, welches eine freie, aber kompatible, Alternative zu Googles Privacy-Preserving Contact Tracing entwickeln möchte. Wir wünschen dem Projekt viel Erfolg und dass es auch in der offiziellen Corona-Warn-App Einzug hält.

IT-Security

Die App ist in sehr kurzer Zeit entstanden und konnte dementsprechend wenig getestet werden. Das liegt hier aber in der Natur der Sache, denn noch X Monate warten erhöht auch die Corona-Gefahren weiter. Sehr schön ist, dass die Corona-App von Anfang an von einem deutsches Team (SAP, Deutsche Telekom) entwickelt und Open Source publiziert wurde. Damit hat jeder die Möglichkeit in den Source Code zu gucken, Fehler zu finden und diese zu melden. Das können natürlich insbesondere auch unabhängige IT-Security-Spezialisten und Penetration-Tester.

Von Seiten des TÜV Nord wurden Fehler dann tatsächlich auch gefunden und mitgeteilt. Die Verantwortlichen von Telekom und SAP hätten darauf aber schnell reagiert und die kritischen Punkte noch vor Veröffentlichung der App beseitigt. So wünscht man es sich eigentlich. Fehler in Software werden wir nie verhindern, aber der Umgang damit ist entscheidend. Und der scheint hier gut zu sein. Während der TÜV sich zuerst über den kurzen Testzeitraum von 14 Tagen und die frühe Veröffentlichung beschwerte, lautete das Fazit zwei Tage später dann doch, die App werde “stabil und sicher laufen, ohne die Anwender auszuspionieren.” (Quelle).

Ein letzter, ernst zu nehmender Kritikpunkt: Warum gibt es die App nicht bei F-Droid? Wenn die App doch Open Source ist und unter einer entsprechenden Lizenz steht, sollte das möglich sein. Grund sind hier die nötigen Google Play Services, die proprietär sind, sodass das F-Droid jegliches Projekt auf dessen Basis ablehnt. Hier haben wir auch den Punkt, dass wir jederzeit sicherstellen können, dass die binäre *.apk-Datei dem frei verfügbaren Source Code entspricht und nichts untergejubelt wird (Reproducible Builds). Hier bleibt also noch ein Kritikpunkt, trotz Open Source. Wir werden sehen, ob das Projekt CoraLibre-android-sdk es schaffen kann, die App auch in den F-Droid Store zu bringen!

Ältere Geräte

Ein Problem scheint tatsächlich zu sein, dass die App für ältere Geräte nicht zur Verfügung steht. Es wird mindestens ein iPhone 6 / iPhone SE oder Android 6 benötigt. Nach aktuellen Zahlen wären damit tatsächlich etwa 12% der Android-Nutzer ausgeschlossen, da diese eine ältere Version nutzen (Quelle). Das ist nicht wenig und betrifft tatsächlich wohl vor allem sozial schlechter gestellte wie Geringverdiener, Arbeitslose und arme Familien.

Tatsächlich muss man sich in der heutigen Zeit als Nutzer jedoch die kritische Frage stellen, ob man es denn für sich selbst verantworten kann, mit einem so alten Android durch die Gegend zu laufen. Schließlich gibt es hier auch gehörig Sicherheitslücken, die schon lange nicht mehr geschlossen werden. Schutz würde hier nur liefern, was ich schon länger fordere: Eine gesetzlich vorgeschriebene Updatepflicht über mehrere Jahre für noch auf dem Markt befindliche Geräte. Ich denke, 5 Jahre sollten es schon mindestens sein, wenn man ein neues Smartphone erwirbt. Also: Gesetze schaffen!

An dieser Stelle müssten übrigens Google (für Android) und Apple (für das iPhone) etwas machen. Es liegt an ihren Schnittstellen, dass es diese Versionsbeschränkungen gibt. Ganz vermeiden lässt sich das Problem jedoch auch bei bestem Willen nicht, da es alte Smartphones mit unzureichender Hardwareausstattung (insbesondere Bluetooth-Version) gibt, die nicht überwunden werden können.

Freiwilligkeit

Ein großer Punkt ist der der Freiwilligkeit. Diese sollte stets gewahrt bleiben. Auch wenn von der Bundesregierung die Freiwilligkeit betont wird, heißt das nicht, dass sich z.B. auch die Wirtschaft daran halten muss. Der Arbeitgeber könnte z.B. die Installation der App einfordern. Oder ein Supermarkt/Restaurant. Oder ein Veranstalter eine Großveranstaltung. Dass ein solcher Zwang nicht sein darf, klingt selbstverständlich. Daher sind die Forderungen eines entsprechenden Gesetzes nicht unberechtigt. Eine Formulierung wie “Die nicht-Installation der so genannten Corona-Warn-App darf zu keiner Benachteiligung führen” würde da schon reichen.

Die Sichtweisen

“Da kann man nicht meckern”, sagen sie dann. Übersetzt heißt das so viel wie: “Alle Achtung, das ist ja mal richtig gut geworden.”

So ähnlich darf man Linus Neumann interpretieren, wenn er sich zur deutschen Corona-App äußert. Niemals würde er als Sprecher des Chaos Computer Club (CCC) zum Download der App aufrufen. “Wir haben aus grundsätzlichen Erwägungen noch nie ein Produkt oder eine Dienstleistung empfohlen”, sagt er ZDFheute. Wohl aber würde er vor der App warnen, sollte er Bedenken haben. Eine solche Warnung aber spricht Neumann nicht aus. Was für ein Lob.

Linus Neumann, Hacker, Netzaktivist und einer der Sprecher des Chaos Computer Clubs (CCC).
Quelle: ZDF Heute

[Die App wird] stabil und sicher laufen, ohne die Anwender auszuspionieren

Dirk Kretzschmar, TÜV Informationstechnik (TÜVit)

Es sprechen gute Gründe dafür, die Corona-Warn-App zu installieren: Die App scheint, nach allem was wir bisher wissen, solide programmiert, der Quellcode ist offen und IT-Sicherheits- und Privatsphäre-Experten haben keine Bedenken angemeldet. Falls die App funktioniert, könnte sie helfen, die Verbreitung von COVID-19, jedenfalls in Deutschland, einzudämmen. Alle, die dabei mithelfen, ihre Mitmenschen auf diese Art zu schützen, erweisen der gesamten Gesellschaft einen Dienst.

Heise Online, Quelle

Unser Fazit: Die App ist ein Placebo mit Nebenwirkungen!

[…]

Darum können wir gegenwärtig nicht dazu raten, die App zu nutzen.

Digitalcourage BLOG, Quelle

Es fällt auf, dass hier Digitalcourage als einzige Instanz zu dem Ergebnis kommt, explizit vom Einsatz der App abzuraten. Ansonsten scheint ein Großteil der Experten, auch für Datenschutz, im Gesamtfazit zufrieden. Ich kann mich dem Fazit von Digitalcourage nicht so ganz anschließen. Einige Kritikpunkte von Digitalcourage sind zu entschärfen, andere sind berechtigt und sollten durchdacht werden. Das Gesamtfazit kann ich angesichts der ehrlichen Bemühungen der Bundesregierung und der Verantwortlichen jedoch nicht nachvollziehen. Mein persönliches Fazit folgt im Anschluss.

Fazit

Ja, ein paar Kritikpunkte sind stehen geblieben: Probleme mit alten Geräten, das Thema Freiwilligkeit, die Pflicht zu den proprietären Google Play Services bzw. iOS Schnittstellen, das Fehlen im freien F-Droid Store und die kurzen Testzeiten für die IT-Security.

Der konkrete Nutzen muss sich während der Verwendung beweisen. Pauschale Vorabkritik zu möglicherweise erhöhten False-Positive- oder False-Negative-Ergebnissen halte ich für falsch. Auch, dass die Menschen dank ihrer tollen App dann plötzlich unvorsichtig werden, halte ich für fragwürdig.

Insgesamt ist das Projekt “Corona-Warn-App” ein Musterbeispiel für gute Entscheidungen der Bundesregierung. Es wird konsequent auf Datenschutz und Privacy-By-Design gesetzt, die Entwicklung erfolgt in Deutschland, das Projekt ist Open Source und auf gemeldete Kritik/Sicherheitslücken wird schnell reagiert.

Im Allgemeinen würde ich eine Installation der Corona-Warn-App befürworten. Im Speziellen muss jeder für sich selbst die richtige Entscheidung treffen.

Categories
Datenschutz German

Im Hotel: Kostenloses High-Speed Internet nur mit Facebook Login?

Vor einiger Zeit war ich im Arcotel Rubin in Hamburg zu Gast. Der Urlaub war auch wirklich wunderschön, aber darum soll es in diesem Beitrag natürlich nicht gehen.

Warum mein Urlaub dennoch etwas interessantes für diesen Blog zu Tage gefördert hat, liegt daran, dass ich natürlich auch den kostenlosen W-LAN Zugang nutzen wollte. Nun, an dieser Stelle kam dann die Überraschung: High-Speed W-LAN kostet 4,95€ am Tag, es sei denn, man loggt sich mit seinem Facebook-Zugang ein! Es stellt sich die Frage: Welche Intention kann es hierfür geben? Werden Daten gesammelt? Wenn ja, von Facebook oder vom Arcotel? Auch wenn ich hier keine konkrete Antwort geben kann – einen fader Beigeschmack bleibt allemal.

Bitte zur Stellungnahme – Keine Reaktion

Diesen Artikel habe ich bereits 2014 in meinem damaligem Blog unter gleichem Namen gepostet – und dem Arcotel Rubin die Möglichkeit zur Stellungnahme gegeben. Konkret wollte ich Informationen dazu warum und wofür Daten erhoben werden und was damit passiert. Auf die Stellungnahme warte ich bis heute. Und so findet dieser Beitrag heute im Jahre 2020 noch mal einen Platz in meinem Blog.

Hier mein Brief

Categories
Datenschutz German

HanseMerkur speichert nach Versicherungsantrag rechtswidrig Daten beim HIS und muss sie wieder löschen

Es war März 2014 und ich entschied mich, dass eine Berufsunfähigkeitsversicherung für mich eine gute Sache sei. Daher sprach ich mit einigen Versicherungen und stellte auch Anträge. Darunter: Die HanseMerkur. Nun liest man als datenschutzaffiner Mensch ja die Datenschutzbestimmungen genau durch. Darunter stand dann auch, dass sich die HanseMerkur vorbehält, Einträge beim HIS (Hinweis- und Informationssystem der Versicherungswirtschaft) vorzunehmen und fordert dafür eine Schweigepflichtsentbindung.

Auszug aus der HanseMerkur “Schlusserklärung” zum Vertrag

Das HIS, das muss man wissen, ist eine “Gemeinsame Warn- und Hinweisdatenbank der im Gesamtverband der Deutschen Versicherungswirtschaft (GDV) organisierten Versicherungsunternehmen.” (Wikiepdia) Kurz gesagt heißt das: Passt einem Versicherer irgendetwas bei seinem Kunden nicht, werden hier Einträge getätigt, damit man bei einer anderen Versicherung auch bloß keinen Vertrag mehr bekommen kann.

Man muss dazu sagen, dass diese Warnungen nicht sehr konkret sind und keinen Hinweis darauf geben, welche Gründe wirklich zu dem Eintrag geführt haben. Es wird eine so genannte “Erschwernis” eingetragen. Was die tatsächliche “Erschwernis” ist bleibt unklar. Und so passiert es ganz schnell, dass man auf dieser Blacklist der Versicherungen landet und so keine Versicherung mehr bekommt! Dabei kann es sehr wohl sein, dass der neue Versicherer die “Erschwernis”, wenn sie denn wüsste was genau diese Erschwernis war, gar nicht so bewerten würde. Aber man steht ja auf einer Blacklist und da ist es doch besser, einen Vertrag einfach mal pauschal abzulehnen. Sicher ist die Mutter der Porzellankiste. Das HIS ist also nicht unbedingt die tollste Sache. Auch für unbescholtene Versicherte.

Speicherung trotz Widerspruch. Interesse der Versicherung überwiegt?

Nun habe ich die Versicherungsbedingungen ja ausführlich gelesen und mich informiert. Daher strich ich zum Einen den oben genannten Passus im Vertrag und schrieb zusätzlich unter “Nebenabreden”:

Die Datenweitergabe an das HIS wird nicht gestattet.

Aus dem VersicherungsANTRAG, Nebenabreden (PDF)

Dieser Hinweis wurde geflissentlich ignoriert. Sehr wahrscheinlich führten angegebene Vorerkrankungen dazu, dass man mir keinen Vertrag für eine BU geben wollte. Und das heißt nun für mich: Ein Eintrag “Erschwernis” in der Kategorie “Leben”. Folge: So wird mir keine Versicherung aus dem Bereich “Leben” mehr einen Vertrag geben. Das ist schon eine Ungeheuerlichkeit.

Das ist, by the way, ein Grund, warum ich eine vollständige Absicherung von Berufsunfähigkeit durch den Staat fordere. Denn nicht jeder ist in der komfortablen Situation sich absichern zu können. Die Einen können es sich einfach nicht leisten, die Anderen werden wegen vermeintlich zu hohen Risiken abgelehnt, wie wir es hier sehen. Mich haben 5 Versicherungen abgelehnt. Dann habe ich aufgegeben. Die lächerliche Erwerbsunfähigkeitsrente reicht auf jeden Fall weder zum Leben noch zum Sterben. Ein klarer Fall von “unverschuldet in Not geraten”, was in unserer sozialen Marktwirtschaft doch abgesichert sein sollte?

Da die HanseMerkur verpflichtet ist, mich über einen HIS-Eintrag in Kenntnis zu setzen, erhielt ich einen Brief mit folgendem Inhalt:

HIS Einmeldung

Sehr geehrter Herr Benter,
im Zusammenhang mit der Bearbeitung Ihres Antrags / Ihres Leistungsfalles haben wir Ihre Daten, insbesondere Name, Anschrift, Geburtsdatum sowie Angaben zum Risiko, zur Versicherungssummen bzw. Rentenhöhen oder zu Häufigkeit und Besonderheiten von Versicherungsfällen an das Hinweis- und Informationssystem (HIS) gegeben, welches von der Insurance Risk+Fraud Prevention GmbH, Rheinstraße 99, 76532 Bade-Baden, unterhalten wird.

Zweck des durch das HIS ermöglichten Informationsaustausches ist die Unterstützung der Risikobeurteilung bei Versicherungsanträgen, der Sachverhaltsaufklärung bei Versicherungsfällen unter Rückgriff auf frühere Leistungsfälle sowie die Bekämpfung von Versicherungsmissbrauch. Die Daten werden daher zu einem späteren Zeitpunkt, wenn Sie einen Versicherungsantrag stellen oder einem Versicherer einen Leistungsfall melden, von dem jeweiligen Versicherer abgefragt und genutzt werden. Weitere Informationen erhalten Sie unter www.informa-irfp.de

Mit freundlichen Grüßen,
HanseMerkur Lebensversicherung AG

Gezeichnet von Holger Ehses und Gerhard Krebs.

Brief der HanseMErkur vom 12. Juni 2014 (PDF)

Umgehend legte ich bei der HanseMerkur Widerspruch gegen den HIS Eintrag ein, verwies auf meinen Widerspruch in den Nebenabreden des Vertrags und forderte die sofortige Löschung:

Betreff: Unverzügliche Löschung von Daten beim HIS und bei der HanseMerkur

Sehr geehrte Damen und Herren,,
in Ihrem Schreiben vom 12. Juni 2014 informierten Sie mich über die Weitergabe von Daten an das HIS (Hinweis- und Informationssystem). In den Vertragsunterlagen wurde meinerseits jedoch der Abschnitt über die Weitergabe von Daten an das HIS gestrichen. Zusätzlich ist unter “Besondere Vereinbarungen” folgendes vermerkt “Die Datenweitergabe an das HIS wird nicht gestattet”.

Ich weise darauf hin, dass Sie mit der Weitergabe bereits einen Verstoß gegen das BSDG (Bundesdatenschutzgesetz) begangen haben. Ich weise Sie an, das HIS unverzüglich aufzufordern, die Übermittelten Daten zu löschen, da für die Übermittlung und Speicherung die Rechtsgrundlage fehlt. Ich setzte hierfür eine Frist von 14 Tagen, d.h. bis zum 11. Juli 2014 und bitte um schriftliche Bestätigung. Ich behalte mir Rechtsschritte bezüglich des bereits erfolgten Verstoßes gegen das BDSG vor.

Ich weise zudem darauf hin, dass im Vertrag auch die Speicherung von Personenbezogenen Daten sowie Gesundheitsdaten meinerseits, bei nicht zu Stande kommenden des Vertrages, untersagt wurde. Da dieser Fall eingetreten ist, weise ich die HanseMerkur an, die genannten Daten zu löschen. Auch hierfür setze ich eine Frist von 14 Tagen, also zum 11. Juni 2014, und bitte um schriftliche Bestätigung der erfolgten Löschung.

Mit freundlichen Grüßen,
M. Benter

Mein Schreiben vom 27.06.14 an die HanseMerkur (PDF)

Es antwortete der Datenschutzbeauftragte der HanseMerkur, der doch glatt behauptete, die Interessen der Versicherung würden meinen Interessen an Datenschutz überwiegen:

Auch ohne erteilte Einwilligung kann eine Übermittlung [an das HIS] im Wege der Interessenabwägung erfolgen. Dies ist zulässig, wenn keine überwiegenden schutzwürdigen Interessen des Betroffenen, also Ihre, vorhanden sind.

Brief der HanseMerkur vom 14.07.2014 (PDF)

Der HIS Eintrag bleibt wage

Natürlich wollte ich erst mal sehen, wie denn mein HIS-Eintrag nun aussieht. Daher stellte ich beim HIS auf Grundlage meiner Auskunftsrechte nach BSDG einen Antrag auf eine vollständige Information über die über mich gespeicherten Daten (Antrag auf Selbstauskunft als PDF). Und was soll man sagen, die Datenlage bleibt wage. Folgende Informationen sind in einem solchen Eintrag enthalten:

  • Das Stichwort “Erschwernis”
  • Das Meldegrunddatum
  • Die Meldende Stelle (also die Versicherung)
  • Die Sparte, die eines der Folgenden Kategorien enthalten kann: Kfz, Unfall, Rechtsschutz, Sach, Leben, Transport, Haftpflicht
  • Eine Vorgangs-ID
  • Eine Referenznummer der meldenden Stelle (sozusagen eine ID der meldenden Versicherungsgesellschaft).

Wer mal sehen möchte wie so was aussieht (ganzes PDF):

Vorgehen mit dem Hamburgischen Datenschutzbeauftragten und Sieg auf ganzer Linie

Nun schrieb ich also den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit an, der die Sache ganz anders sah: Er forderte die HanseMerkur auf, meine Daten umgehend zu löschen. Und das taten sie dann auch. Hier der entsprechende Brief:

Ihre Beschwerde gegen die Hanse Merkur Versicherungsgruppe

Sehr geehrter Herr Benter,
ich nehme Bezug auf Ihre uns vom schleswig-holsteinischen unabhängigen Landeszentrum für Datenschutz weitergeleitete Beschwerde gegen die Hanse Merkur Versicherungsgruppe vom 22.07.2014. Wie Ihnen bereits eine Kollegin mitgeteilt hat, hatten wir die Hanse Merkur zur Stellungnahme hinsichtlich des von Ihnen geschilderten Sachverhalts sowie zur Löschung Ihrer Daten aufgefordert.

Die Veranlassung der Löschung Ihrer Daten wurde uns nunmehr durch die Hanse Merkur am 29.09.2014 schriftlich angezeigt. Dies umfasst sowohl die Daten, welche bei der Hanse Merkur gespeichert sind, als auch die Daten, welche in der HIS Datenbank hinterlegt worden waren.

Darüber hinaus erklärte die Hanse Merkur uns gegenüber, dass in Zukunft nur noch Versicherungsanträge bearbeitet würden, die mit einer unveränderten und vollständigen Einwilligungs- und Schweigepflichtentbindungserklärung versehen sind.

Wir beachten die Angelegenheit damit als abgeschlossen.

Brief vom hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 14.10.2014 (PDF)

Sieg auf ganzer Linie würde ich dazu sagen

Mein Widerspruch war also gültig und mein Interesse am Schutz meiner Daten überwiegt. Das musste auch die HanseMerkur eingestehen. Dass man daraus nun schlussfolgert, Anträge mit derartigen Einschränkungen in der Einwilligungserklärung gar nicht mehr zu bearbeiten, ist jedoch höchst bedenklich. So ist der Versicherungsnehmer nun am Ende doch wieder der Leidtragende! Eine erneute Anfrage meinerseits an das HIS bestätigte übrigens, dass nun keine Einträge mehr vorlagen.

Categories
Administration / Webmaster Datenschutz German IT-Security Linux Wordpress

Sicherheit und Datenschutz mit Content-Security-Policy Header für WordPress

Heute wollen wir uns mit Content Security Policy (CSP) Headern beschäftigen. In erster Linie ist dies ein Sicherheitsfeature, um das Laden von (Java-)Skripten, aber auch Bilder, Fonts, iFrames etc. aus böswilligen Quellen zu unterbinden und so insbesondere Cross-Site-Scripting zu unterbinden. Wikipedia sagt dazu folgendes:

Content Security Policy (CSP) ist ein Sicherheitskonzept, um Cross-Site-Scripting und andere Angriffe durch Einschleusen von Daten in Webseiten zu verhindern.

In der Praxis sind jedoch Cross-Site-Scripting-Schwachstellen sehr verbreitet. Die Content Security Policy erzwingt eine strikte Trennung zwischen Inhaltsdaten im HTML-Code und externen Dateien z.B. mit JavaScript-Code. In der Regel ist der JavaScript-Code statisch und wird nicht dynamisch generiert.

Content Security Policy, Wikipedia

Wir wollen CSP aber für noch mehr benutzen: Wir können damit auch unerwünschte Drittanbieter ausschließen, die uns WordPress quasi aufzwingt. Diese Drittanbieter können die Besucher eurer Webseite möglicherweise (in einigen Fällen sogar ziemlich sicher) tracken. Wer seinen Benutzern gegenüber Datenschutzfreundlich sein möchte, verzichtet nicht nur auf Google Analytics, sondern auch auf andere Drittanbieter. Dennoch möchte ich das Analysieren von Benutzerverhalten nicht gänzlich verteufeln, denn es liefert nützliche Einsichten, welche Reichweite man mit seinem Angebot erzielt und welche Angebote die Besucher womöglich besonders interessieren. Aber dazu gibt es auch Datenschutzfreundliche Alternativen: Matomo ist ein Paradebeispiel, welche ein selbst gehostetes System darstellt und freingranulare Einstellungen im Bezug auf Datenschutz bietet. Aus meiner Sicht ist der wichtigste Punkt, dass die Daten in den eigenen Händen bleiben und nicht z.B. bei Google landen. Ich beschreibe daher hier auch wie Matomo mit CSP funktioniert, wenn dieses auf einer Subdomain wie https://matomo.the-digital-native.de betrieben wird.

Für WordPress ganz übliche Drittanbeiter sind:

  • Gravatar: Verknüpft beim Dienstanbieter hinterlegte Avatare mit der E-Mailadresse. Sammelt möglicherweise Daten und wird ohnehin von nur wenigen Nutzern gebraucht. Damit Benutzer trotzdem Avatare verwenden können, ist es ratsam das Plugin WP User Avatar als Ersatz zu installieren.
  • Google Fonts: Stellt zentral und kostenlos Schriftarten zur Verfügung, die durch Webdesigner einfach als Fremdresource eingebunden werden können. Eine der ärgerlichsten Datenschutzsünden, denn Google erfährt so von jedem Besucher! Außerdem ist es wirklich sehr einfach möglich, Fonts auch auf dem eigenen Server abzulegen und per CSS nachzuladen. Es gibt also nicht mal einen guten Grund auf diesen Service zurück zu greifen.

Basiskonfiguration für WordPress

Folgende Konfiguration habe ich ausführlich getestet und kann im VirtualHost von apache2 so in der Form hinterlegt werden:

Header always set Content-Security-Policy \
  "default-src 'none'; \
  img-src 'self' data: \
  style-src 'self' 'unsafe-inline'; \
  font-src 'self' data:; \
  script-src 'self' 'unsafe-inline' 'unsafe-eval'; \
  frame-src 'self' \
  form-action 'self'; \
  base-uri 'none'; \
  frame-ancestors 'self'"

Was bedeuten diese Optionen nun?

  • default-src wird immer dann angewandt, wenn eine Ressource geladen werden soll, auf die keine andere Regel zutrifft. Es wird hier empfohlen none zu setzen. Wer ein Kontakt-Formular wie Contact Form 7 einsetzt, wird hier leider zumindest self setzen müssen. Theoretisch sollte das auch anders gehen (via Direktive connect-src auf self). Leider funktioniert dies in der Praxis nicht.
  • img-src definiert, woher Bilder per <img>-Tag geladen werden können. self benötigt man hier logischerweise. Die Option data: ermöglicht das Laden von Bildern aus im HTML codierten Bildmaterial. Dies nutzt WordPress ebenfalls. Wer weitere Quellen für Bilder hat, muss diese hier angeben. Hier schließen wir u.a. Gravatar aus. Wer seinen Benutzern trotz allem Gravatar zur Verfügung stellen möchte, muss hier die URL https://secure.gravatar.com hinzufügen.
  • style-css gibt an, woher CSS-Dateien geladen werden können. Leider muss hier die unsichere Option unsafe-inline hinzugefügt werden, weil WordPress mittels <style>-Tag CSS-Attribute in das HTML einbettet. Dies ist ein Sicherheitsdefizit von WordPress. Wir schließen hier insbesondere auch Google Fonts aus, denn darauf kann man bei auch nur etwas Liebe zum Datenschutz wirklich verzichten.
  • font-src gibt Möglichkeiten zum Nachladen von Schriftarten an. Werden nur Systemschriftarten eingesetzt, kann hier none gewählt werden. WordPress lädt aber, je nach Theme, Schriftarten nach. Zum Teil auch eingebettete Schriftarten, sodass data: nötig wird.
  • script-src gibt insbesondere die Quellen für JavaScripte an. Dass wir hier self haben ist ok, jedoch erfordert WordPress auch unsafe-inline und unsafe-eval, was ein besonderes Sicherheitsrisiko darstellt. Letzteres ermöglicht das Ausführen von JavaScript-Code mit der so genannten eval()-Funktion und gibt als typischer Punkt, um Schadcode einzuschleusen. Die Entwickler von WordPress sollten hier dringend nachbessern und auch ohne unsafe-eval auskommen.
  • frame-src ermöglicht das Laden von Webseiten in <frame> oder <iframe> Elementen. Sollte aus Sicherheitsgründen auf self beschränkt bleiben, falls möglich.
  • form-action beschränkt die Webseiten, die durch das Absenden eines Formulars erreicht werden können. Für Funktionen wie Kontaktformulare, Newsletteranmeldung (lokal) etc. sollte hier self genügen.
  • Setzt man base-uri auf none, muss jede verlinkte Ressource mit einem vollständigen Pfad angegeben werden. Damit wäre z.B. <img src="my_picture.png"> nicht zulässig, sehr wohl aber <img src="https://the-digital-native.de/my_picture.png">. Erfreulicherweise setzt Wodpress dieses Sicherheitsfeature um!
  • frame-ancestors erlaubt bzw. verbietet, dass die eigene Webseite in andere Webseiten eingebunden werden kann, z.B. per iframe. Die Option self verhindert möglicherweise Missbrauch des eigenen Contents durch andere Webseitenbetreiber.

Konfiguration von Matomo

Ich empfehle Matomo auf der eigenen Domain zu hosten, z.B. als Subdomain. In dem Fall muss Matomo in img-src sowie script-src hinzugefügt werden. Wenn man die Opt-Out-Box von Matomo z.B. in die Datenschutzerklärung einbinden möchte, muss Matomo auch als frame-src zulassen, da es mittels iFrame eingebunden wird.

Header always set Content-Security-Policy \
  "default-src 'none'; \
  img-src 'self' data:  https://matomo.the-digital-native.de; \
  style-src 'self' 'unsafe-inline'; \
  font-src 'self' data:; \
  script-src 'self' https://matomo.the-digital-native.de 'unsafe-inline' 'unsafe-eval'; \
  frame-src 'self' https://matomo.the-digital-native.de; \
  form-action 'self'; \
  base-uri 'none'; \
  frame-ancestors 'self'"

Konfiguration für WordPress Administration

Die WordPress-Administration benötigt etwas mehr Rechte, um korrekt zu funktionieren. Da ich die Rechte für die Benutzerspezifischen Seiten nicht unnötig ausweiten möchte, habe ich in apache2 eine Location-Direktive erstellt, die auf das Unterverzeichnis wp-admin abzielt.

<Location ~ "/wp-admin">
Header always set Content-Security-Policy \
  "default-src 'self'; \
  img-src 'self' data: https://ps.w.org https://s.w.org; \
  style-src 'self' 'unsafe-inline'; \
  font-src 'self' data:; \
  script-src 'self' 'unsafe-inline' 'unsafe-eval'; \
  form-action 'self'; \
  base-uri 'none'; \
  frame-ancestors 'self'"
</Location>

Konfiguration von Matomo

Auch hier braucht eine Matomo Instanz ein paar extra-Regeln, um die Einbettung in das Adminmenü zu ermöglichen. Eine Konfiguration kann wie folgt aussehen:

<Location ~ "/wp-admin">
Header always set Content-Security-Policy \
  "default-src 'self'  https://matomo.the-digital-native.de; \
  img-src 'self' data: https://ps.w.org https://s.w.org  https://matomo.the-digital-native.de; \
  style-src 'self' 'unsafe-inline'; \
  font-src 'self' data:; \
  script-src 'self' https://matomo.the-digital-native.de 'unsafe-inline' 'unsafe-eval'; \
  form-action 'self'; \
  base-uri 'none'; \
  frame-ancestors 'self'"
</Location>

Weitere Plugins

Wer das Plugin Yoast zur SEO-Optimierung benutzt, muss unter default-src den Eintrag https://yoast.com hinzufügen.

Generell gilt, dass ihr bei weiteren Plugins immer überprüfen solltet, ob diese auch funktionieren. Unter F12 gibt es in Firefox & Chrome die Console, wo durch CSP geblockte Inhalte angezeigt werden. Surft damit durch eure Webseite und auch das Admin-Menü. Fügt, falls nötig, weitere Webseiten zu den einzelnen Policies hinzu. Bedenkt aber: Lokale Lösungen sind Drittanbietern aus Datenschutzsicht immer vorzuziehen! Verwendet z.B. einen eigenen Captcha-Generator statt Googles ReCaptcha. Ja, es gibt viele Dienste, die euren Benutzern tolle Funktionalitäten bieten, aber wägt immer zwischen Datenschutz und Nice-To-Have Features ab!

Qualität der CSPs testen

Dafür gibt es das Mozilla Obversatory. Trotz dass wir das Maximum rausgeholt haben und einige grüne Häkchen sammeln, bekommen wir aktuell leider -20 Punkte. Kaputt macht uns das Ranking unsafe-inline und unsafe-eval. Hier sind die Softwareentwickler von WordPress gefragt, die hier als einziges Abhilfe schaffen können. Es bleibt Verbesserungspotential!

Mozilla Obversatory für https://the-digital-native.de

Garvatar Ersetzen

Fazit

Mit Content Security Policy Headern kann man eine Menge an zusätzlicher Sicherheit und Datenschutz für seine Nutzer erzielen. Eine gut getestete Grundlage für eine WordPress-Basisinstallation sowie eine Matomo Instanz haben wir hier geliefert. Bereits dies war tagelange Ausprobiererei, bis wir das Optimum an CSPs erreicht haben, ohne das die Funktionalität Schaden genommen hat. Komplexere Installationen benötigen hier evtl. nochmals mehr Aufwand.

Categories
Cloud Datenschutz German IT-Security

Datenschutzfreundliche Cloudspeicherdienste im Vergleichstest

Aktueller Stand: 28. Mai 2020

Warum brauchen wir alternative Cloudspeicherdienste?

Ob Dropbox, Google Drive, Microsoft OneDrive oder die iCloud, all diese Dienste sind nicht für ihre guten Datenschutzbestimmungen bekannt und bieten keine Ende-zu-Ende-Verschlüsselung. Wir zeigen, warum das ein Problem ist und dass es sehr wohl Alternativen gibt: Vertrauenswürdige Anbieter und Clouds, die auf dem eigenen Webserver betrieben werden – selbst gehostet also. Diese Alternativen sind nicht immer kostenlos im monetärem Sinne, aber bedenke: Du zahlst immer etwas – entweder mit Geld oder halt mit deinen Daten. Überlege selbst, was dir besser erscheint!

Kriterien für einen guten Cloudspeicher

Ende-zu-Ende-Verschlüsselung: Ein wichtiges Kriterium ist die Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass Dateien direkt auf dem Rechner bzw. Smartphone verschlüsselt werden und erst danach zum Server transportiert werden. Der Vorteil: Sogar die Person, die verwendeten Server betreibt, kann Ihre Daten nicht sehen. Das sogenannte „Zero-Kowledge-Prinzip“: Ihr Schlüssel wird nicht beim Anbieter hinterlegt und nur Sie haben Zugriff auf Ihre Daten. Das schließt natürlich auch Geheimdienste und Sicherheitsbehören aus und sichert die Daten vor Diebstahl bei einem Einbruch in den Cloud-Server. Wichtig: Vergessen Sie niemals Ihr Passwort, denn auch der Serverbetreiber kann dieses nicht zurücksetzen und Ihre Daten wären nach einem Passwort-Verlust endgültig verloren.

Zwei-Faktor-Authentifizierung: Als zusätzliches Sicherheitskriterium gilt die Zwei-Faktor-Authentifizierung. Davon spricht man, wenn neben Ihrem Passwort eine weitere Komponente zum Einloggen benötigt wird. Eine gängige Methode ist die Nutzung eines mobilen Authentikators, d.h. einer App, die ein einmal zu verwendendes Passwort erzeugt. Wir empfehlen auch hier, nicht auf Google zu setzen, sondern die Open-Source-Apps Aegis bzw. andOTP für Android oder Authenticator von Matt Rubin für iOS. Möglich ist aber auch eine Authentifizierierung per SMS (mTAN). Wichtig: Wenn Sie sich über Ihr Smartphone in die Cloud einloggen und das Einmalpasswort auch auf dem Smartphone generieren, handelt es sich streng genommen nicht mehr um eine Zwei-Faktor-Authentifizierung. Denn dann nutzen Sie das gleiche Endgerät für beide Faktoren.

Open Source Software: Auch wenn Sie sich dafür entscheiden keinen eigenen Server zu betreiben und einem Anbieter zu vertrauen, ist ein wichtiges Kriterium, ob die verwendete Software Open Source ist. D.h. der Programmcode ist einsehbar. Dies ermöglicht es Dritten, die Versprechen von Anbietern zu prüfen: Funktioniert die Verschlüsselung wirklich wie versprochen? Ist die Anwendung sicher?

Örtlichkeit: Einige der genanten Dienste sind US-Firmen und hosten auch dort. Gemäß PATRIOT Act  müssen Ihre Daten, wenn sie abgegriffen werden den US-Behörden zur Verfügung gestellt werden. Durch den  CLOUD Act gilt dies auch für US-Firmen, die im Ausland hosten. Unter Umständen müssen US Anbieter sogar Backdoors, also Hintertüren einbauen, die die Verschlüsselung unterwandern. Der CLOUD Act verpflichtet Unternehmen sogar zum Schweigen darüber. Diese Hintertüren machen die Software natürlich unsicherer, denn sie können auch von Dritten ausgenutzt werden. Nutzen Sie Cloud-Dienste-Anbieter aus Deutschland, anderen EU-Ländern oder der Schweiz. Sie sind weder vom PATRIOT noch dem CLOUD Act betroffen und unterliegen stregeren Datenschutzbestimmungen – was ein weiteres gutes Argument ist.   Grundsätzlich gibt es zwei Möglichkeiten: Entweder Sie wählen einen Anbieter, der Ihnen den Dienst zur Verfügung stellt oder Sie installieren eine Software auf einem eigenen Server. Wer selbst hostet, behält die Hoheit über die eigenen Daten und hat viele Möglichkeiten, die eigene Cloud zu gestalten. Allerdings wird auch einiges technisches Know-How vorausgesetzt. Immerhin benötigen Sie einen eigenen Server, müssen diesen einrichten und selbst betreuen. Beide Varianten besprechen wir in diesem Artikel.

Funktionalität: Natürlich kommt es uns auch auf die Funktionalität an: Werden Clients für die gängigen Betriebssysteme zur Verfügung gestellt? Funktionieren diese schnell und vor allem zuverlässig? Wie sieht es mit Apps fürs Smartphone aus? Was können diese? Wir fragen uns auch, wie das Teilen von Dateien mit Dritten funktioniert und ob dies per Ende-zu-Ende-Verschlüsselung möglich ist. Außerdem interessieren wir uns für Zusatzfeatures wie eine Versionsverwaltung (alte Dateien wiederherstellen können), Bildervorschau und Galerie im Browser sowie in den Apps, Kamera-Upload-Funktion in der App und Office-Plugins für den Browser. Des Weiteren bieten manche Anbieter Zusatzfunktionen an, die über die Dateiverwaltung hinaus gehen: Verwaltung von Passwörtern, Kalender, Adressbuch und To-Do-Listen, um einpaar zu nennen.

[iheu_ultimate_oxi id=”1″]

Testbericht

SpiderOak One Backup

SpiderOak ist ein von Edward Snowden empfohlener Dienst, der für Windows, macOS, Linux, Android, iOS und im Browser zur Verfügung steht. Auf den ersten Blick bietet er Ende-zu-Ende Verschlüsselung und das Zero-Knowledge Prinzip. Auf den zweiten Blick gibt es jedoch auch ein paar kritische Punkte: So speichert SpiderOak in der USA. Beim Zugriff über mobile Clients oder den Browser wird das Passwort während der Sitzung auf dem SpiderOak-Server gespeichert. Der Speicher ist verschlüsselt. Nach Abschluss der Sitzung wird das Passwort gelöscht. Die Entschlüsselung erfolgt hier bereits auf dem Server, das Zero-Knowledge-Prinzip streng genommen durchbrochen wird.

Funktionsumfang

Die Anzahl der Geräte, die man nutzen möchte ist nicht beschränkt. Das Teilen von Dateien und Ordnern ist passwortgeschützt und als so genannter ShareRoom möglich. Um Inhalte mit anderen zu teilen, kann ein Link versendet werden. Auch hier erfolgt die Entschlüsselung bereits auf dem Server. Ausnahmen bilden die Nutzung im Browser und auf mobilen Geräten: Hier werden nur rudimentäre Funktionen zur Verfügung gestellt. Es kann durch Ordnerstrukturen navigiert werden und Dateien können heruntergeladen werden. Es ist nicht möglich, Dateien hochzuladen oder zu teilen. Eine Synchronisation ist auf mobilen Geräten ebenfalls nicht möglich. Außerdem gibt es keine Explorer/Dateimanager-Integration, die den Synchronisationsstatus von Dateien anzeigt.

TresorIT

Tresorit ist ein schweizer Anbieter, der in Irland und den Niederladen hostet. Das ist ein Pluspunkt in Sachen Datenschutz und Sicherheit. Es werden Clients für Windows, macOS, Linux, Android, iOS, Windows Phone und Blackberry geboten. Auch der Zugriff per Browser ist möglich. Der Anbieter bietet Ende-zu-Ende Verschlüsselung und das Zero-Knowledge Prinzip. Es gibt die Möglichkeit einer Zwei-Faktor-Authentifizierung per Authentikator-App, SMS, Telefonanruf oder E-Mail, um den Account zusätzlich vor unberechtigten Zugriffen zu schützen.

Kleiner Wehmutstropfen für den Datenschutzbewussten: Auf den Informationsseiten zur Cloud ist Google Analytics eingebunden (Tracking). Beginnend mit der Loginseite ist das jedoch passé. Man wird also bei der täglichen Arbeit mit der Cloud nicht ständig verfolgt. Wir haben den Anbieter dennoch angeschrieben und auf diesen Makel hingewiesen.

Funktionsumfang

Per Brower steht der volle Funktionsumfang zur Verfügung. Dateien werden hier vom Browser clientseitig entschlüsselt, sodass eine Ende-zu-Ende Verschlüsselung sichergestellt ist.

Praktisches Feature: Zu Bildern werden Vorschaubilder angezeigt und das Navigieren durch eine Bildergalerie ist möglich.
Die App stellt alle Features von Tresorit zur Verfügung. Dateien können direkt geöffnet werden oder innerhalb von Tresorit offline verfügbar gemacht werden. Einzelne Dateien können auch heruntergeladen und in einem beliebigen Ordner gespeichert werden. Leider ist es nicht möglich, ganze Ordner herunterzuladen. Auch fehlt die Möglichkeit zur Synchronisation von Ordnern mit einem Tresor, wie es auf dem Desktop möglich ist. Mit der Kamera-Upload-Funktion können Fotos oder Videos automatisch hochgeladen werden. Auch die App bietet Vorschaubilder für Fotos und ermöglicht das Navigieren durch eine Bildergalerie. Der Windows- und Linux Client funktionierte im Test schnell und fehlerfrei. Es gibt allerdings keine Explorer/Dateimanager-Integration, die den Synchronisationsstatus der Dateien anzeigt. Das Teilen von Dateien und Ordnern ist passwortgeschützt und kann optional mit einem Ablaufdatum versehen werden. Auch hier greift die Ende-zu-Ende-Verschlüsselung. Außerdem ist das Teilen von Tresoren mit anderen Tresorit-Mitgliedern möglich, die, wenn gewünscht, auch Schreibzugriff erhalten können. Bis zu 10 Geräte können synchronisiert werden.

SecureSafe

SecureSafe ist ein schweizer Anbieter und speichert vor Ort. Damit unterliegen die Daten dem vergleichsweise strengem schweizer Datenschutzgesetz. Es gibt Clients für Windows, macOS, iOS, Android. Leider fehlt ein Linux-Client. SecureSafe bietet Ende-zu-Ende Verschlüsselung und das Zero-Knowledge Prinzip. Es besteht die Möglichkeit, eine Zwei-Faktor-Authentifizierung per SMS (mTAN) zu nutzen.

Kleiner Wehmutstropfen für den Datenschutzbewussten: Auf den Informationsseiten zur Cloud ist Google Analytics eingebunden (Tracking). Beginnend mit der Loginseite ist das jedoch passé. Man wird also bei der täglichen Arbeit mit der Cloud nicht ständig verfolgt. Wir haben den Anbieter dennoch angeschrieben und auf diesen Makel hingewiesen.

Funktionsumfang

Die Anzahl der Geräte, die man nutzen möchte ist nicht beschränkt. Als Zusatzfunktion gibt es einen Passwort-Safe, als sicheren Ablageort für Passwörter. Dieser ist per Browser, Desktop- und Mobile-App zugreifbar. Per Browser steht der volle Funktionsumfang zur Verfügung, einschließlich Ende-zu-Ende-Verschlüsselung.

Praktisches Feature: Zu Bildern werden per Klick Vorschaubilder angezeigt und es ist möglich durch eine Bildergalerie zu navigieren. Vorschaubilder direkt in der Dateiübersicht gibt es leider nicht, es muss zuerst eine Datei ausgewählt werden. Auch zu PDF-Dateien wird eine Vorschau, allerdings können PDFs nicht direkt im Browser betrachtet werden.

Der Windows-Client funktionierte im Test nicht fehlerfrei. Zum Teil wurden Dateien vom Desktop nicht in die Cloud übertragen. Und es gibt keine Explorer/Dateimanager-Integration, die den Synchronisationsstatus der Dateien anzeigt.

In der SecureSafe-App stehen alle Features zur Verfügung. Dateien können direkt geöffnet oder heruntergeladen werden. Zumindest unter Android stellt sich das Herunterladen unnötig kompliziert dar. Denn es muss jedes Mal ein externer Dateimanager ausgewählt und aufgerufen werden. Leider ist es nicht möglich ganze Ordner herunterzuladen. Auch fehlt die Möglichkeit zur Synchronisation von Ordnern. Eine Kamera-Upload-Funktion stellt die App nicht zur Verfügung. Außerdem fehlt die Möglichkeit regelmäßig Daten zu synchronisieren; Was mit der Desktop-Version möglich ist.
Gut zu wissen: Nutzende werden nach einer bestimmten Zeit, in der das Smartphone im Standby ist oder sich die App im Hintergrund befindet, ausgeloggt – maximal 30 Minuten. In der App fehlt die Möglichkeit zur regelmäßigen Synchronisation der Daten, wie es auf den Desktop möglich ist. Dateien können geteilt werden, der Link kann direkt per Browser als E-Mail weitergegeben werden. Hierbei wird ein Sicherheitscode (Passwort) generiert, das man sich entweder angezeigen lassen kann oder direkt per SMS empfangen. Das Teilen ganzer Ordner ist leider nicht möglich.

Your Secure Cloud

Your Secure Cloud ist ein deutscher Anbieter, der auch in Deutschland speichert. Im Hinblick auf Sicherheit und Datenschutz ist dies für deutsche Nutzer.innen optimal. Es gibt Clients für Windows, macOS, Linux, einen Terminal-Client, Android und iOS. Der Anbieter bietet Ende-zu-Ende Verschlüsselung mit AES-256 und das Zero-Knowledge Prinzip. Großer Vorteil: Der Anbieter basiert auf dem Open-Source-Client (GPLv2) und -Server des SeaFile Projekts. Die hier beschriebene Funktionalität kann also auch auf einem eigenem Server selbst gehostet werden.

Funktionsumfang

Die Anzahl der Geräte, die man nutzen möchte ist nicht beschränkt. Die Struktur basiert auf so genannten Bibliotheken, in denen Dateien abgelegt werden können. Es kann entsprechend auf jedem Client ausgewählt werden, welche Bibliotheken synchronisiert werden. Es ist darauf zu achten, dass die standardmäßig angelegte Bibliothek keine Ende-zu-Ende-Verschlüsselung unterstützt. Denken Sie daher daran, eine neue und verschlüsselte Bibliothek mit Passwortschutz zu erstellen. Es gibt ein Versionsverwaltungssystem, d.h. man kann sich ältere Versionen einer Datei anschauen und auch wiederherstellen. Das ist sehr praktisch beim Bearbeiten von Dokumenten. Auch versehentlich gelöschte Dateien können bis zu 60 Tage lang wiederhergestellt werden.
Per Browser steht der volle Funktionsumfang zur Verfügung, einschließlich Ende-zu-Ende-Verschlüsselung. Praktisches Feature: Zu Bildern werden Vorschaubilder angezeigt und man kann durch eine Bildergalerie navigieren. Videos können direkt im Browser abgespielt werden. Als Besonderheit ist hier das Erstellen und Editieren von Markdowndateien und Microsoft Office Dateien – Word, Excel, PowerPoint – möglich. Die Untersützung ist sehr umfangreich. Das Speichern von Microsoft Office-Dateien funktionierte in unserem Test allerdings nicht immer fehlerfrei. Zudem können PDFs und OpenDocument-Dateien nur betrachtet werden.

Für den Desktop werden zwei Clients zur Verfügung gestellt: Ein Sync-Client, der die Dateien auf der lokalen Festplatte synchronisiert und ein Netzlaufwerk-Client, der den Fernzugriff ermöglicht, ohne die Daten lokal zu halten. Der Desktop-Client funktionierte unter Windows wie Linux zuverlässig und synchronisiert schnell. Es gibt eine Explorer/Dateimanager-Integration, die den Synchronisationsstatus der Dateien anzeigt. Unter Windows 7 gab es in unserem Test Probleme bei der Installation, die wir jedoch lösen konnten. Unter Windows 10 gab es keine Probleme. Unter Linux funktionierte das Netzlaufwerk ebenfalls zuverlässig. Es fiel allerdings auf, dass wir nicht auf verschlüsselte Bibliotheken zugreifen konnten. Nach Angabe der Betreiber soll dies zukünftig möglich sein.
Die App stellt alle Features von Your Secure Cloud zur Verfügung. Dateien können direkt geöffnet oder heruntergeladen werden. Sie erscheint dann im Seafile-Ordner, der im Root-Verzeichnis des Smartphones liegt. Es ist auch möglich, ganze Ordner herunterzuladen. Es fehlt die Möglichkeit zur Daten regelmäßig zu synchronisieren, wie es auf dem Desktop möglich ist. Eine Kamera-Upload-Funktion wird zur Verfügung gestellt und es werden Vorschaubilder in der App angezeigt. Auch durch eine Bildergalerie kann man navigieren. Es können sowohl Dateien als auch Ordner geteilt werden, optional auch mit Passwortschutz. Ein entsprechender Link wird generiert. Es ist außerdem möglich, ein Ablaufdatum zu vergeben. Auch können Freigaben für andere Your Secure Cloud-Nutzer .innen erstellt werden, die diese dann in ihrem eigenen Profil sehen können. Wenn gewünscht, können sogar Schreibrechte vergeben werden. Leider ist es nicht möglich, einzelne Dateien bzw. Ordner aus verschlüsselten Bibliotheken zu teilen. Möglich ist hingegen, eine vollständig verschlüsselte Bibliothek für einen anderen Your Secure Cloud-Nutzer.innen freizugeben.

Nextcloud

Nextcloud ist ein selbst gehostetes Projekt, d.h. man setzt das Projekt auf dem eigenen Server auf. Dennoch gibt es auch Anbieter, die die Nextcloud als Drittanbieter fix und fertig zur Nutzung anbieten (siehe dazu weiter unten). Es gibt Clients für Windows, macOS, Linux, Android und iOS. Natürlich ist auch der Zugriff per Browser möglich. Es werden ein Open-Source-Server unter AGPLv3 Lizenz geboten, mobile Clients laufen unter der AGPLv3, Desktop-Clients unter der GPLv2. Zwei-Faktor-Authentifizierung mit mobilem Authentifikator [als Erweiterung] wird geboten. Es ist möglich eine Verschlüsselung auf dem Server einzurichten. Eine Ende-zu-Ende-Verschlüsselung befindet sich in der Entwicklung und ist als Alpha Version verfügbar. Vom Produktivbetrieb wird derzeit noch abgeraten.
Zudem gibt es folgende Einschränkungen:

  • Kein Zugriff auf verschlüsselte Dateien per Browser
  • Verlust des serverseitigen Papierkorbs – Dateien werden direkt gelöscht.
  • Verlust der serverseitigen Suche
  • Verlust von serverseitigen Vorschauen, z.B. Bilder
  • Einzelne Dateien können nicht mehr geteilt werden.

Funktionsumfang

Standardmäßig stellt Nextcloud Möglichkeiten zur Dateiverwaltung zur Verfügung. Erweiterungen bieten jedoch ein viel umfangreicheres Angebot: Kalender, Adressbuch, To-Do-Liste, Passwortmanager, um nur einige zu nennen. Dabei können Kalender auch über das offene CalDAV Protokoll mit dem Smartphone synchronisiert werden. Das Adressbuch kann über CardDAV mit dem Smartphone verbunden werden. Dazu wird auf dem Smartphone ggf. weitere Software benötigt, z.B. das quelloffene DAVx5 für Android. Eine Versionsverwaltung ist mit an Bord.

Im Browser stehen umfangreiche Funktionen zur Verfügung. Nach Angabe der Entwickler wird bei einer Ende-zu-Ende-Verschlüsselung in Kauf genommen, dass Dateien nicht mehr per Browser abgerufen werden können. Vorschaubilder werden angezeigt und es ist möglich durch eine Bildergalerie zu navigieren. Videos können direkt im Browser abgespielt werden. Mittels der optionalen Erweiterungen OnlyOffice oder Callobra Office gibt es umfangreiche Möglichkeiten zur Bearbeitung von MS Office- und OpenOffice-Dokumenten. Mittels Erweiterung können PDFs online betrachtet werden. Unzählige Erweiterungen bieten weitere Möglichkeiten.

Für den Desktop stehen für Windows, Linux, Unix und macOS ein Clients zur Verfügung. Die Synchronisation funktionierte unter Windows und Linux schnell und problemlos. Für Windows gibt es eine Explorer-Integration, unter macOS gibt es eine für den Finder und unter Linux für Nautilus. So wird der Synchronisationsstatus von Dateien und Ordnern sichtbar gemacht. Es ist unter Windows, Linux und MacOS auch möglich, Nextcloud per WebDAV als Netzlaufwerk einzubinden. Für Ende-zu-Ende-verschlüsselte Clouds ist dies prinzipbedingt leider nicht möglich.

Die App stellt umfangreiche Features zur Verfügung. Es können eine oder mehrere Dateien hoch- und heruntergeladen oder auch direkt geöffnet werden. Auch ganze Ordner können heruntergeladen bzw. synchronisiert werden. Die Synchronisation in der Nextcloud-App muss jedoch manuell angestoßen werden. Alternativ gibt es Apps, die per WebDAV eine kontinuierliche Synchronisation auf mobilen Plattformen anbieten – FolderSync für Android sowie WebDAV Nav+ für iOS (kostenpflichtig). Dies funktioniert jedoch leider nicht für eine Ende-zu-Ende-Verschlüsselung. Eine Kamera-Upload-Funktion wird zur Verfügung gestellt. Es werden Vorschaubilder in der App angezeigt und es ist möglich durch eine Galerie zu navigieren. Es können sowohl Dateien als auch Ordner geteilt werden, optional auch mit Passwortschutz. Ein entsprechender Link wird generiert. Es ist außerdem möglich, ein Ablaufdatum zu vergeben. Man kann Inhalte aus der eigenen Cloud auch für andere Nextcloud-Nutzer.innen erstellen. Wenn gewünscht, können sogar Schreibrechte vergeben werden. Das Teilen funktioniert auch Ende-zu-Ende-verschlüsst.

Eine größere Auswahl von Nextcloudanbietern hat Digitalcourage in diesem Artikel im Hinblick auf Datenschutz, Datensicherheit (Backups), Verschlüsselung, Tracking, Finanzierung, Ökostrom und Kundenservice getestet.

OwnCube

OwnCube ist ein NextCloud Anbieter und bietet daher den Funktionsumfang wie oben beschrieben. Die Daten werden serverseitig verschlüsselt gespeichert. Eine Ende-zu-Ende-Verschlüsselung wird nicht zur Verfügung gestellt. Es bleibt abzuwarten, ob dies in Zukunft der Fall sein wird, wenn Nextcloud die Funktionalität als stabil einstuft zur Verfügung stellt. Der Firmensitz ist in Österreich, die Speicherung findet in der EU statt. Zwei-Faktor-Authentifizierung mit mobilem Authentifikator wird geboten.

Funktionsumfang

Der Funktionsumfang entspricht dem von Nextcloud. Als Erweiterung sind ein Kalender, ein Adressbuch, eine Bildergalerie, Audio-Player, ein Board für Notizen, Lesezeichen und eine To-Do-Liste verfügbar.

Fazit

SpiderOak wird zwar von Edward Snowden empfohlen, ist allerdings ein US-Anbieter und bietet Ende-zu-Ende-Verschlüsselung nur eingeschränkt an: Im Browser und in mobilen Apps funktioniert diese Verschlüsselung nicht. Außerdem ist die Funktionalität im Browser und in den Apps stark eingeschränkt (kein Upload). Besser als die Angebote von Dropbox, Google, Microsoft und Co. ist SpiderOak aber allemal.

Tresorit ist in der Schweiz ansässig, hostet in den Niederladen oder Irland, bietet Ende-zu-Ende-Verschlüsselung im Browser, Desktop Anwendung und mobilen Clients und hat einen großen Funktionsumfang. Wer ein Windows Phone oder ein Blackberry besitzt, sollte sich diese Option genauer anschauen, da dies der einzige Anbieter mit entsprechenden Apps in unserem Test ist. Leider ist die verwendete Software nicht Open Source. Wer dem Anbieter vertraut, für den ist er eine Option.

SecureSafe ist ebenfalls in der Schweiz ansässig und hostet auch dort. Ende-zu-Ende-Verschlüsselung wird in der Desktop Anwendung, im Browser und in den Apps geboten. Wir hatten unter Windows allerdings Probleme mit dem Client. Für Linux gibt es leider keine Anwendung. Der Funktionsumfang ist groß, es fehlt eine Kamera-Upload-Funktion. Leider ist auch hier die Software nicht Open Source. Wer dem Anbieter vertraut, für den ist er eine Option.

Your Secure Cloud basiert auf dem quelloffenen Seafile und ist daher Open Source. Die Firma ist in Deutschland ansässig und hostet auch hier. Ende-zu-Ende-Verschlüsselung wird in der Desktop-Anwendung, im Browser und in den Apps geboten. Leider funktioniert das Teilen von Dateien nicht auf verschlüsselten Speicherorten, wie einzelen Dateien oder Ordnern. Es ist hingegen möglich ganze verschlüsselte Bibliotheken zu teilen. Die Versionsverwaltung ist ein besonderes Schmankerl. Wer mit der Einschränkung bezüglich des Teilens von Dateien leben kann, für den ist dieser Anbieter eine empfehlenswerte Alternative.

Schließlich gibt es noch die Möglichkeit, eine Nextcloud selbst zu hosten. Da man die Hoheit über die eigenen Daten behält, ist eine Ende-zu-Ende-Verschlüsselung hier entbehrlich, zumindest wenn die Daten auf der Festplatte verschlüsselt werden. Der Funktionsumfang ist besonders groß: Es wird auch ein Kalender, Adressbuch, Passwortsafe, To-Do-Liste und vieles mehr geboten. Diese können über offene Protokolle auch mit dem Smartphone synchronisiert werden. Auch eine Versionsverwaltung ist dabei. Dies ist die einzige Alternative, für die ein echter Sync-Client für Apps existiert. Für Menschen, die sich technisch in der Lage fühlen, einen eigenen Server zu betreiben und die den Aufwand nicht scheuen, ist eine selbst gehostete Nextcloud die beste Alternative.

Zuletzt haben wir mit Owncube einen Anbieter getestet, der eine Nextcloud hostet. Der Funktionsumfang ist entsprechend groß: Es gibt alles, was die Nextcloud bietet. Als Erweiterungen sind ein Kalender, ein Adressbuch, eine Bildergalerie, ein Audio-Player, ein Board für Notizen, Lesezeichen und eine To-Do-Liste vorinstalliert. Außerdem ist die zugrundeliegende Software Open Source. Der Anbieter kommt aus Österreich und hostet in der EU. Größte Schwäche: Ende-zu-Ende-Verschlüsselung gibt es hier nicht. Wer keine eigene Nextcloud aufsetzen will oder kann, aber die Zusatzfunktionen wie Kalender etc. benötigt, für den mag dieser Anbieter dennoch die beste Wahl sein. Eine größere Auswahl von Nextcloudanbietern hat Digitalcourage in diesem Artikel im Hinblick auf Datenschutz, Datensicherheit (Backups), Verschlüsselung, Tracking, Finanzierung, Ökostrom und Kundenservice getestet.

Zum Newsletter anmelden

[newsletter_form type=”minimal” lists=”undefined” button_color=”undefined”]

Schlussbemerkung

Dieser Artikel ist zuerst im Blog von Digitalcourage erschienen (hier) und wurde hier in überarbeiteter Fassung publiziert. Ich bedanke mich ausdrücklich bei den Mitarbeitern und Ehrenamtlichen, die den Artikel probe gelesen und sinnvolle Verbesserungsvorschläge eingebracht haben.

Titelbild von Sam Schooler

Categories
Datenschutz German

reBuy.de: Kunden mit Ansprüchen an Datenschutz unerwünscht. Ist die Widerspruchslösung noch zeitgemäß?

Unternehmen dürfen personenbezogene Daten ohne Zustimmung speichern und verarbeiten. Was kann man tun?

Was selbst viele immer wieder erstaunt: Bestimmte personenbezogene Daten dürfen von Unternehmen auch ohne explizite Zustimmung des Kunden genutzt werden (§28 BDSG). Dazu gehören zum Beispiel: Der Name, die Anschrift, das Geburtsjahr, die Berufsbezeichnung und Zugehörigkeit zu einer Personengruppe (zum Beispiel “Autofahrer” oder “Homosexuelle”). Dies kann, je nachdem was gespeichert wird und wie diese Daten weiter genutzt werden, langfristig durchaus zu unangenehmen Konsequenzen für den Betroffenen führen. Häufig liegen die Konsequenzen fern in der Zukunft und sind zum Zeitpunkt der Entscheidungsfindung kaum abzusehen. Darum stellt sich die Frage: Wäre es nicht sinnvoll per se einen Widerspruch zu formulieren und nur bei begründeten Einzelfällen die Datenerhebung zu gestatten? Denn wo keine Daten sind, können auch keine Konsequenzen aus ihnen folgen.

Wie im Folgenden ausgeführt, ist ein solcher Widerspruch in der Theorie recht einfach. Warum er in der Praxis doch relativ selten erfolgt, erläutere ich im Anschluss. Und schließlich möchte ich einen Lösungsvorschlag geben, der das Problem durch eine Anpassung im Datenschutzgesetz ermöglicht.

Widerspruch möglich

Damit hier kein allzu großes Ungleichgewicht entsteht, hat der Gesetzgeber die Möglichkeit des Widerspruchs geschaffen. Dies kann durch einen einfachen Satz – etwa per E-Mail, im Kommentar eines Onlineshops oder auch postalisch – erfolgen:

Ich widerspreche der Nutzung oder Übermittlung meiner Daten für Werbezwecke oder für die Markt- und Meinungsforschung (Paragraph 28 Absatz 3 + 4 Bundesdatenschutzgesetz).

Stellt man diese Forderung, erhält man üblicherweise als Antwort, dass der Widerspruch eingegangen sei und ein Sperrvermerk gesetzt worden sei. Praktisch heißt dies in der Regel, dass der Anbieter in seiner Datenbank ein Häkchen gesetzt hat: “Widerspruch nach §28 Absatz 4 BDSG”. Ist alles richtig gelaufen, erhält man keine Werbung mehr, weder postalisch, noch per E-Mail. Außerdem dürfen die erhobenen Daten ausschließlich für die Abwicklung des Geschäfts genutzt werden, z.B. um den Versand von Ware zu veranlassen. Die Verwendung von personenbezogenen Daten für die Marktforschung sowie
Meinungsforschung sind nun dahingegen explizit untersagt.

Widerspruch als Aufkleber oder Stempel

Sehr praktisch: Im Digitalcourage Onlineshop gibt es Bögen mit kleinen Aufklebern, sowie einem nützlichen Stempel. Beide sind hervorragend geeignet für Verträge in Textform. Der Widerspruch ist damit Teil des Vertrags und rechtlich bindend. Hier bedarf es nicht einmal einer Bestätigung durch den Vertragspartner.

Widerspruchslösung nicht mehr zeitgemäß?

Kommen wir nun zu der Praxis. Ob die Daten erhoben und dennoch anderweitig genutzt werden, z.B. unrechtmäßig an Dritte zwecks Werbung weitergegeben wurden, ist für den Kunden in der Regel kaum feststellbar. Zwar begeht das betroffene Unternehmen damit einen Verstoß gegen das BDSG. Dies ist für den Kunden jedoch kaum nachzuweisen. Gelegentlich passiert es auch, dass entsprechende Widersprüche nicht beantwortet werden. Hat man nicht gerade eine rechtssichere Form, wie etwa ein verfasstes Einschreiben, ist auch kaum nachzuweisen, dass ein gültiger Widerspruch erfolgt ist. Und bleiben wir mal realistisch: So viel wie heutzutage über das Internet bestellt wird, und das bei zahlreichen Anbietern, ist es völlig utopisch, einen solchen Aufwand zu betreiben. Fazit ist: Wenn des Unternehmen sich einfach nicht an die Rechtslage hält, ist der Kunde häufig der Dumme.

Um noch ein Beispiel aus der Praxis zu geben: Ich selbst habe vor einiger Zeit bei einem großen Onlineversandhändler Möbel bestellt und direkt einen Widerspruch per E-Mail abgeschickt. Diese wird zwar freundlich und zustimmend beantwortet, was den Versandhändler jedoch nicht davon abgehalten hat, mir ungefragt Werbung und sogar eine Kundenkarte zuzustellen. Um es abzukürzen: Es hat zwei sehr deutliche postalisch zugestellte Aufforderungen an den Datenschutzbeauftragen des Onlineverstandhändlers benötigt, bis die Werbemaßnahmen endlich eingestellt wurden. Wie man sieht: Die Unternehmen sitzen häufig am längeren Hebel. Und dies war nicht der einzige Fallen, den ich schon persönlich erleben durfte.

Ein weiteres Problem habe ich bereits zu Beginn des Textes benannt: De facto weiß kaum jemand, dass eine solche Speicherung überhaupt zulässig ist. Noch weniger wissen, dass man dagegen widersprechen kann. So verwundert es nicht, dass der Anteil von Kunden, die einen solchen Widerspruch formulieren, verschwindend gering ist.

reBuy.de: Auf Widerspruch folgt Löschung des Accounts

Hier kann ich mich relativ kurz halten. Sendet man reBuy.de eine E-Mail mit folgendem Inhalt, so wird die Löschung des Accounts angeboten.

Sehr geehrtes Team von eBuy.de,

ich widerspreche der Nutzung oder Übermittlung meiner Daten für Werbezwecke oder für die Markt- und Meinungsforschung (Paragraph 28 Absatz 3 + 4 Bundesdatenschutzgesetz).

Mit freundlichen Grüßen,
Max Mustermann

E-Mail an ReBuy mit widerspruch

Sehr geehrter Herr Mustermann,
vielen Dank für Ihre Nachricht.
Dies hat zur Folge, dass wir Ihr Kundenkonto unwiderruflich löschen. Bitte teilen Sie uns mit, ob Sie hiermit einverstanden sind.

Antwort von Rebuy auf Widerspruch

Ein Lösungsvorschlag

Angesichts der aktuellen Entwicklungen, sollte die Ausformulierung von §28 Absatz 3 + 4 im Bundesdatenschutzgesetz überdacht werden. Es stellt sich die Frage: Ist hier die derzeitige “Opt-Out”-Lösung ohne weitere Vorgaben akzeptabel? Die derzeitige Lösung: Möchte der Kunde nicht, dass seine Daten verwendet werden, so muss er dem explizit widersprechen (Opt-Out). Dabei werden dem Anbieter keine Möglichkeiten vorgegeben, wie er einen Widerspruch zu ermöglichen hat. So kann sich selbst der Betreiber eines Online-Shops darauf berufen “der Nutzer hätte ja von sich aus der Nutzung, z.B. via E-Mail, widersprechen können”. Angesichts dessen, dass kaum einer diese Regelung kennt und angesichts der schieren Masse an Onlineshops, scheint dies jedoch keine Option. Zudem sollte darüber nachgedacht werden, ob die “Folgelosigkeit” des Widerspruchs nicht Teil des Gesetz werden sollte. So wäre die Kündigung wegen eines Widerspruchs bzgl. §28 rechtswidrig.

Möchte man noch etwas weiter gehen, könnte man auch eine “Opt-In” Lösung denken. Dabei müsste der Kunde der Nutzung seiner Daten explizit zustimmen. Dies wäre die stärkste aller Forderungen, um §28 BDSG zu erweitern. Denn so wären Betreiber von Onlineshops de facto gezwungen, einen Satz in etwa wie folgt zu formulieren

“Ich stimme der Verwendung meiner Daten für die Markt- und Meinungsforschung durch den Anbieter zu”

Dies könnte in Form einer Checkbox erfolgen, so wie wir es jetzt schon von den AGB kennen. Diese Checkbox darf dabei nicht vorausgewählt sein (Opt-In), um ein versehentliches Zustimmen des Nutzers zu vermeiden.

Jetzt zum Newsletter anmelden

[newsletter]

Fazit

Der Artikel zeigt auf, dass §28 BDSG den aktuellen Anforderungen der digitalen Welt nicht mehr gerecht wird. Er erlaubt das Nutzen von Daten für Markt- und Meinungsforschung durch den Anbieter, auch ohne explizite Zustimmung des Käufers. Dies wird dem häufigen Kauf von Waren in wechselnden Onlineshops nicht mehr gerecht, gerade in Zeiten von zahlreichen Preisvergleichsanbietern.

Eine dringende gesetzliche Verbesserung wäre, die Einwilligung durch den Käufer expliziter zu machen im Sinne von einer deutlich besseren Sichtbarkeit, indem vor dem Kauf über die Gesetzeslage informiert wird. Zudem sollte dem Kunden kein Nachteil durch seinen Widerspruch entstehen, wie etwa die Kündigung durch den Anbieter. Stellvertretend sei hier der Anbieter reBuy.de genannt, der anscheinend bei einem Widerspruch nach §28 Absatz 3 + 4 BDSG direkt kündigt.

Dies sind Gesetzesänderungen, die in jedem Fall im Sinne des Verbraucherschutzes getroffen werden sollten. Möchte man noch weiter gehen, könnte man eine Opt-In Lösung fordern. De Facto heißt dies, dass der Nutzer zum Beispiel explizit in die Nutzung seiner Daten für die Markt- und Meinungsforschung einwilligen muss, wie es derzeit für AGBs auf Onlineportalen schon der Fall ist. Aber: Anders als bei den AGB darf der Vertrag nicht verwehrt werden, wenn die Option nicht angewählt wird.

Die zentralen Forderungen an Paragraph 28:

  1. Expliziter im Sinne von einer deutlich besseren Sichtbarkeit der Einwilligung in die Datennutzung durch den Anbieter.
  2. Keine Nachteile durch einen Widerspruch durch den Käufer (z.B. Kündigung).
  3. Eine Opt-In Lösung, d.h. der Käufer muss explizit zustimmen.
  4. Keine Nachteile, wenn der Käufer der Nutzung seiner Daten nicht zustimmt.