Private Daten im Web 2.0

Inhalt

1. Einleitung

2. Private Daten
2.1 Was sind private Daten?
2.2 Generelle Gefahren für private Daten
2.2.1 „Ausspähen“ der Zugangsdaten von Anwendungen des Web 2.0
2.2.1.1 „Ausspähen“ durch Keylogger
2.2.1.2 Abhören
2.2.1.3 „Ausspähen“ durch Phishing und Pharming
2.2.1.4 Ausprobieren von Zugangsdaten
2.2.2 Protokollieren von privaten Daten
2.2.2.1 Browser-Cookies
2.2.2.2 Log-Dateien
2.2.2.3 Web-Tracking
2.2.3 Cyber-Mobbing
2.2.4 Cyber-Stalking

3. Private Daten in Google-Diensten
3.1 Was ist Google?
3.2 Private Daten bei Google-Diensten
3.2.1 Private Daten in Verbindung mit einem Google-Konto
3.2.2 Google-Analytics
3.2.3 Google-AdSense /AdWords
3.3 Gefahren für private Daten bei Google-Diensten
3.3.1 Gefahren für private Daten beim Einsatz von Google-Analytics
3.3.3 Gefahren für private Daten beim Einsatz von Google-AdSense/AdWords

4. Blogs
4.1 Was ist ein Blog?
4.2 Private Daten in Blogs
4.2.1 Notwendige private Daten in Blogs
4.2.1.1 Blogprovider
4.2.1.2 Webspace Anbieter mit der Option einen Blog einzurichten
4.2.2 Nicht notwendige private Daten in Blogs
4.3 Private Daten in Feeds
4.4 Gefahren für private Daten in Blogs
4.4.1 Systembedingte Gefahren
4.4.2 Allgemeine Gefahren
4.5 Mikro-Blogging-Dienst
4.5.1 Twitter
4.5.2 Private Daten in Twitter
4.5.3 Gefahren für private Daten bei der Nutzung von Twitter

5. Social-Network-Services
5.1 Was sind Social-Network-Services?
5.2 Private Daten in Social-Network-Services
5.2.1 Notwendige private Daten in Social-Network-Services
5.2.2 Nicht notwendige private Daten in Social-Network-Services
5.2.3 Privatsphäre innerhalb der Social-Network-Services
5.3 Gefahren für private Daten in Social-Network-Services
5.3.1 Systembedingte Gefahren
5.3.2 Allgemeine Gefahren
5.3.3 Zugriff auf begrenzte Social-Network-Services
5.4 E-Recruiting in Social-Network-Services

6. Fazit

7. Literatur

8. Internet Quellen

9. Abkürzungsverzeichnis

10. Abbildungsverzeichnis

11. Anhang
Twitter Followers von Greifswald
Cookies in den untersuchten Anwendungen
Ergebnisse der Onlineumfrage zu privaten Daten in Social-Network-Services

1. Einleitung

Der Begriff Web 2.0 erscheint auf den ersten Blick wie ein in der IT-Branche übliches Konstrukt aus dem Produktnamen und der Versionsnummer.^[1] Doch schon bei der Reflexion über diesen Begriff können einige Fragen entstehen, z.B.: „Gab es eine Vorgängerversion - ein so genanntes Web 1.0?“ oder „Was genau umschreibt dieses Konstrukt?“.

Der Versuch der Klärung dieser Fragen wirft jedoch ein Problem auf, da keine einheitliche Erklärung für den Begriff Web 2.0 existiert. Um allerdings einer willkürlichen Definition entgegenzuwirken, sollen die Gründe bzw. die Grundidee, die zu diesem Begriff führten, betrachten werden.

Zunächst ist die Bezeichnung Web eine Kurzform von World Wide Web (WWW) einem Dienst des Internet. Die Bezeichnung Web wird jedoch mittlerweile generell als Synonym für das gesamte Internet genutzt.

Der Begriff Web 2.0 ist eine Schöpfung der Firma des „Internet-Pioniers“ Tim O’Reilly.^[2] O‘Reilly hielt 2004 innerhalb seines Verlages Brainstorming-Sitzungen für eine zukünftige Konferenz bei der es um die Gemeinsamkeiten der Firmen und der Produkte gehen sollte, die den Crash der „New Economy“^[3] überlebt hatten, und derer, die sogar ohne diese tief greifende Veränderung der IT-Branche, gar nicht existiert hätten.^[4] Das Ergebnis einer dieser Sitzungen waren die Begriffe Web 1.0 und Web 2.0. Dale Dougherty und Craig Cline hatten die beiden Begriffe als Schlagwörter verwendet und ihnen für sie typische Beispiele von Webunternehmen und Webanwendungen zugeordnet (siehe Abb.1).^[5]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Ergebnis einer Brainstorming-Sitzung für das Web 2.0

Das Web 2.0 war in den Augen der Beiden praktisch eine Überarbeitung bzw. ein „Update“ des Web 1.0. Demnach hat beispielsweise Wikipedia das Online-Lexikon nicht erfunden, aber durch das Konzept, dass jeder mithelfen kann es zu verbessern, die Welt der Online-Lexika revolutioniert.

Für Dale Dougherty und Craig Cline war Web 2.0 das beste Schlagwort für das „neue“ Internet. Auf Grundlage dieses Ergebnisses wurde im Oktober 2004 die erste Web 2.0-Konferenz in San Francisco abgehalten.^[6] Tim O’Reilly fasste im September 2005 in seinem Artikel „What is web 2.0“ die Ergebnisse der Konferenz und der vorangegangenen Brainstorming-Sitzungen zusammen.^[7] Für ihn waren die typischen Web 2.0-Unternehmen diejenigen die das Internet als Plattform nutzen und deren Anwendungen das gesamte Internet erfassen, dabei aber auch die Nutzung der Anwendungen auf verschiedenen Geräten erlauben und deren Programmierung als auch deren Geschäftsmodell für den Nutzer leicht zugänglich sind. Weiterhin zählte Tim O’Reilly diejenigen zu den typischen Web 2.0-Unternehmen die die kollektive Intelligenz der Nutzer miteinbeziehen und so Daten zur Verfügung stellen, die für den einzelnen Nutzer schwer oder gar nicht zu bekommen sind.^[8]

Die Konferenz und vor allem der Artikel O’Reillys sorgten für eine schnelle Verbreitung des Begriffes. Schon vier Jahre nach der Veröffentlichung existiert eine fast unüber-schaubare Menge von Web 2.0-Anwendungen, Plattformen und Unternehmen (siehe Schlagwortwolke von Markus Angermeier in Abb. 2.).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Schlagwortwolke zum Web 2.0

Das Web 2.0 ist mittlerweile ein Massenphänomen. Beispielsweise wurden im letzten Jahr in den USA Millionen Wähler des jetzigen US-Präsidenten über Web 2.0-Anwendungen wie Twitter^[9] und Facebook^[10] mobilisiert und auch im Bundestagswahljahr 2009 sind etliche Politiker in Blogs^[11] und Social-Netzwerks-Services^[12] aktiv, um möglichst viele Wähler anzusprechen.^[13] Das Web 2.0 ist jedoch nicht nur in der Politik angekommen, Millionen Menschen nutzten es ebenfalls, um soziale Kontakte zu pflegen oder um schnell und gezielt an Informationen zu kommen.

Viele der millionenfach benutzten Anwendungen des Web 2.0 stehen kostenlos zur Verfügung. Oft reicht eine kurze Registrierung und die Anwendungen können voll genutzt werden. Bei einer solchen Registrierung werden viele private Daten erfasst, sowie über die Nutzung der Anwendung wiederum viele private Informationen der Nutzer gespeichert und veröffentlicht. Es stellen sich daher die Fragen: welche Daten dies sind, wofür können sie genutzt werden und welche Gefahren können aus dem Preisgeben der private Daten in Bezug auf die Nutzung der Anwendung entstehen? Um diese Fragen zu beantworten wurden einzelne Google-Dienste (Punkt 3.), verschiedene Blogs (Punkt 4.) und einige Sozial-Networks-Services (Punkt 5.) untersucht, da diese einen Teil der typischen Anwendungen des Web 2.0 repräsentieren. Der Fokus der Untersuchung liegt dabei auf den Angaben die die Anbieter der Anwendungen bereitstellen.

2. Private Daten

2.1 Was sind private Daten?

Vor der Untersuchung der privaten Daten innerhalb einzelner Anwendungen des Web 2.0 muss geklärt werden, welche Daten generell als privat bezeichnet werden. Private Daten sind personenbezogene Daten. Laut Bundesdatenschutzgesetz (BDSG) sind dies: „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“.^[14]

Diese Einzelangaben können beispielsweise Name, Alter, Adressdaten, eventuelle Vorstrafen, Krankendaten, Interessen, Hobbys, Bilder oder auch Videos von einer natürlichen Person (keiner juristischen Person) sein. Bestimmbar bedeutet in diesem Zusammenhang, dass diese Einzelangaben auch dann personenbezogen sind, wenn mithilfe von Zusatzwissen ein Bezug zu einer bestimmten Person hergestellt werden kann. In dieser Arbeit werden somit alle Daten, die sich auf diese Weise einteilen lassen, als private Daten bezeichnet.

Ebenfalls werden in dieser Arbeit sowohl feste als auch dynamische Internetprotokoll-Adressen (IP-Adressen) zu den privaten Daten gezählt.^[15] Auch wenn der eben genannte Zusammenhang momentan aufgrund verschiedener Gerichtsurteile sehr kontrovers diskutiert und gehandhabt wird.^[16]

Private Daten unterliegen in Deutschland besonderem Schutz. Zum Schutz dieser Daten dient das schon erwähnte BDSG als auch die Datenschutzregelung in den einzelnen Länderverfassungen. Zusätzlich beinhaltet auch das Telemediengesetz (TMG) eine Reihe von Regelungen bezüglich privater Daten.^[17] Europaweit gilt die „ Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr “ als Mindeststandard für den Datenschutz.^[18]

2.2 Generelle Gefahren für private Daten

Private Daten sind immer dann gefährdet, wenn der Datenschutz verletzt wird oder nicht vorhanden ist. Somit bestehen Gefahren für private Daten im Web 2.0, sobald die Möglichkeit gegeben ist, dass Unbefugte auf private Daten zugreifen können oder wenn private Daten anderweitig genutzt werden, als für den Zweck für den sie erhoben oder veröffentlicht wurden. Die Quellen für solche Gefahren sind dabei sehr unterschiedlich. Einige Gefahren, die die Anwendungen des Web 2.0 betreffen können, werden im Folgenden kurz beschrieben.

2.2.1 „Ausspähen“ der Zugangsdaten von Anwendungen des Web 2.0

In vielen Anwendungen des Web 2.0 kann der Nutzer ein spezielles Konto bzw. einen Account anlegen. Der Zugriff auf den Account wird in der Regel mit Zugangsdaten wie Passwort und Nutzerkennung abgesichert. Kann ein Unbefugter an diese Daten gelangen, so ist es ihm möglich auf den Account des Betroffenen und somit auch auf alle privaten Daten die hier enthalten sind zuzugreifen. Weiterhin kann es ihm möglich sein auf Grundlage dieser Daten eine falsche Identität aufzubauen und so den Betroffenen noch mehr oder weitere Personen zu schädigen.

2.2.1.1 „Ausspähen“ durch Keylogger

Das „Ausspähen“ der Zugangsdaten ist auf unterschiedliche Arten möglich. Eine Möglichkeit ist das Beobachten des Betroffenen, der gerade seine Zugangsdaten eingibt. Dies kann das reale „über die Schulter schauen und mitschreiben“ oder das „virtuelle Mitschreiben“ sein. Die virtuelle Methode kann wiederum in unterschiedlicher Weise praktiziert werden. So kann auf bzw. an dem Rechner des Opfers ein sogenannter Keylogger als Software oder physisch als Hardware (siehe Abb. 3.) installiert sein.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Hardware-Keylogger, rechts PS/2 Variante, links USB Variante

Beide Varianten ermöglichen das Mitschreiben und Protokollieren aller Tastatureingaben, die der Betroffene tätigt. Zusätzlich können mit der Softwarevariante auch Bildschirm-fotos, ausgeführte Prozesse oder Mauseingaben aufgezeichnet werden.

Während bei der Hardwarevariante die Installation immer und das Auslesen meistens einen physischen Zugang zum Computer erfordern,^[19] kann die Installation und das Auslesen der Softwarevariante auch mithilfe von Trojanern oder anderer Malware über den Internetzugang geschehen.^[20]

Selbstverständlich können diese Arten des „Ausspähens“ weitgehend unterbunden werden, wenn der Betroffene sicherstellt, dass keiner ihm über die Schulter schaut, kein zusätzliches Gerät am Computer montiert und unterschiedliche Schutzsoftware wie Antiviren-Programme, Antispyware und eine Firewall vorhanden, aktuell und aktiv sind.

2.2.1.2 Abhören

Eine weitere Möglichkeit des „Mitschreibens“ oder besser gesagt des Abhörens ist das Sniffing. Hierbei wird mithilfe einer Software dem Sniffer der ganze Datenverkehr eines lokalen Netzes abgefangen und ausgewertet.^[21] Dadurch könnten beispielsweise bei einem unverschlüsselten W-LAN alle Daten,^[22] somit auch die Zugangsdaten für Anwendungen des Web 2.0, die vom einem Rechner zum Access-Point geleitet werden, aufgezeichnet und ausgewertet werden.^[23]

Eine weitere Möglichkeit des Abhörens ist der „Man-in-the-Middle-Angriff“. Wie der Name schon sagt, steht der Angreifer in der Mitte von zwei Kommunikationspartnern. Der Angreifer bringt beispielsweise hierfür das System unter seine Kontrolle, das normalerweise als eine Zwischenstation für den Datenverkehr genutzt wird. Besitzt der Angreifer die Kontrolle, gibt er sich für beide Kommunikationspartner als der jeweils andere aus und gelangt so an alle Daten, die zwischen den Beiden ausgetauscht werden.^[24]

Verhindert bzw. erschwert werden kann ein solcher Angriff, wenn der Datenverkehr verschlüsselt stattfindet und sich die beiden Kommunikationspartner gegenseitig authentifizieren müssen. Dies kann durch die Nutzung des „Hypertext Transfer Protocol Secure“ (HTTPS) anstatt des normalen „Hypertext Transfer Protocol“ (HTTP), geschehen.^[25]

2.2.1.3 „Ausspähen“ durch Phishing und Pharming

Neben der schon erwähnten Methode des „Ausspähens“ ist auch das Phishing eine gängige Möglichkeit Zugangsdaten zu erhalten. Beim Phishing wird in der Regel mit einer E-Mail der Nutzer eines speziellen Dienstes unter einem Vorwand aufgefordert seine Zugangs-daten preiszugeben.

Dabei kann die Vorgehensweise des Phishings wie folgt aussehen: Der Angreifer schickt als Erstes massenhaft E-Mails an die Nutzer einer bestimmten Webplattform. In den E-Mails werden die Nutzer dieser Plattform, aufgrund von technischen Problemen in der Vergangenheit, gebeten sich schnellstmöglich mit ihren Zugangsdaten einzuloggen. Dafür wird den Betroffenen gleich der „passende“ Hyperlink mitgeschickt. Der angegebene Hyperlink führt zu einer täuschend echt aussehenden Kopie der Website der eigentlichen Webplattform,^[26] die nur dazu dient die Zugangsdaten der Opfer zu sammeln.^[27]

Aus dem Phishing hat sich eine weitere Methode das sogenannte Pharming entwickelt. Beim Pharming wird in der Regel Malware, die zuvor auf den Rechner eingeschleust wurde, benutzt, um das jeweilige Opfer trotz richtiger URL-Eingabe im Webbrowser auf eine gefälschte Website zu leiten.^[28] Ein Szenario ist, dass das Schadprogramm die Host-Datei des Betriebssystems manipuliert.^[29] Hierbei wird in der Host-Datei die URL beispielsweise der Homepage einer Webplattform mit der IP-Adresse einer anderen Seite verknüpft (siehe Abb. 4.). Wird nach dieser Verknüpfung die URL der Plattform aufgerufen, gelangt das Opfer zu einer falschen Seite. Diese kann anlog zum Phishing eine täuschend echt aussehende Kopie sein die auf die Zugangsdaten der Opfer wartet.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Unten links: Veränderung der Host-Datei von Windows XP (die URL ebay.de wird zur Homepage von Google umgeleitet), oben rechts: das Ergebnis nach Eingabe von „ebay.de“

Ein sinnvoller Schutz vor Phishing ist der gesunde Menschenverstand in Kombination mit einem guten Verständnis für die verwendete Technik. Oft können bestimme E-Mails als Phishing enttarnt werden, da sie unlogisch erscheinen.^[30] Pharming kann in der Regel mithilfe von aktuellen Antiviren, Antispyware und Firewall Programmen verhindert oder unterbunden werden.

2.2.1.4 Ausprobieren von Zugangsdaten

Weiterhin gibt es die Möglichkeit einen Zugang zum Account eines Betroffenen zu erhalten, indem verschiedene Zugangsdaten ausprobiert werden. Ist beispielsweise der Benutzername für eine Webanwendung dem Angreifer bekannt, könnte er das Passwort erraten. Das Erraten kann dabei vollautomatisiert durch das Testen aller möglichen Kombinationen über ein Programm geschehen.^[31] Um dies zu unterbinden haben viele Webanwendungen eine maximale Anzahl von Falscheingaben. Einige setzen zusätzlich auch sogenannte „Completely Automated Public Turing test to tell Computers and Humans Apart“ kurz CAPTCHAs ein.^[32]

Hat der Angreifer Zugriff auf die Datenbank in der die Passwörter der Webanwendung abgelegt werden, könnte er das Passwort des Betroffenen „rekonstruieren“, indem er die Hashwerte der Passwörter mit einer sogenannten „Rainbow-Table“,^[33] die eine Vielzahl von Passwörtern und deren Hashwerte enthält, vergleicht.^[34]

2.2.2 Protokollieren von privaten Daten

Das Protokollieren von privaten Daten könnte vor allem dann gefährlich werden, wenn es ohne Zustimmung oder ohne Wissen der Person geschieht, über die diese Daten gesammelt werden. Aus den gesammelten Daten könnten sich Profile erstellen lassen, die Rück-schlüsse auf Gewohnheiten und Verhalten einer Personen geben. Für das Protokollieren stehen verschiedene Möglichkeiten zur Verfügung.

2.2.2.1 Browser-Cookies

Eine Möglichkeit des Protokollierens ist das Anlegen und Auslesen von Browser-Cookies (im weiteren Verlauf kurz Cookies genannt). Cookies sind Dateien die beim Surfen bzw. beim Nutzen einer Webanwendung auf der Festplatte des Nutzers angelegt werden können und nur eine eingeschränkte Lebensdauer besitzen. Diese Lebensdauer kann lediglich die Zeit bis der Browser beendet wird oder aber eine festgelegte Zeit, die meist mehrere Jahre in der Zukunft liegt, umfassen.^[35] Des Weiteren werden Cookies nur vom Client, also von der Nutzerseite, verwaltet.

In Cookies können sich Informationen zur Identität des Nutzers wie beispielsweise ein speziell dem Nutzer zugeordnetes Pseudonym in Form eines Nutzerschlüssels oder auch alle Angaben, die auf der jeweiligen Seite getätigt werden wie Benutzername, E-Mail, Passwort, Name oder Adresse enthalten sein. Ferner können auch spezielle Einstellungen oder besuchte Bereiche der Website in Cookies hinterlegt werden.

Mit Cookies ist es somit möglich das Benutzerverhalten zu protokollieren. Diese Informationen könnten dann wiederum für personalisierte Werbung missbraucht werden.^[36]

Cookies können eine größere Gefahr darstellen, wenn der Betroffene dem Webbrowser erlaubt, dass auch Dritte (nicht nur der Webserver der angewählten Domain) Cookies erstellen dürfen. Der Webbrowser kann beispielweise durch Werbeanzeigen eines Unternehmens auf einer beliebigen Seite veranlasst werden Cookies der Domain des Unternehmens zu erstellen. Hat das Unternehmen viele dieser Webeanzeigen auf verschiedenen Websites, so könnte das Surfverhalten einer Person relativ ausführlich, von dem Unternehmen, protokolliert werden (weitere Informationen hierzu in Abschnitt 3.2.3).

Es gibt jedoch die Möglichkeit den Webbrowser so zu konfigurieren, dass keine Cookies erstellt werden können. Diese Konfiguration führt eventuell aber dazu, dass nicht alle Webanwendungen ohne Einschränkungen funktionieren.

2.2.2.2 Log-Dateien

Eine Log-Datei ist das Zugriffsprotokoll eines Webservers. In ihr werden alle Zugriffe auf die Inhalte einer Website protokolliert. Dabei können vom Besucher einer Website des Webservers die IP-Adresse, Benutzername, das Datum und die Uhrzeit des Zugriffes, Name und Pfad der Datei auf die zugegriffen wurde, Betriebssystem, Version und Sprache, Browsername und Browserversion, die URL von der der Aufruf erfolgte bzw. die Seite die unmittelbar zuvor aufgerufen wurde (kurz: Referrer URL), protokolliert werden (Farben der Unterstreichungen entsprechen den Positionen im Beispiel in Abb. 5).^[37]

www.datenimweb.de 95.89.12.142 - - [27/Jul/2009:09:29:03 +0200] "GET /limesurvey/index.php?sid=13462&lang=de-informal HTTP/1.1" 200 17830 " http://forum.uni-greifswald.de/viewtopic.php?f=25&t=66791" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11"

Abbildung 5: Ausschnitt aus der Log-Datei der Website www.datenimweb.de

Diese Daten dienen vor allem der Fehlererkennung und Optimierung der Websites des Webservers.

Die auf diese Weise gesammelten Daten eines Besuchers könnten aber auch ausführlich ausgewertet und weiterverwendet werden. Es ist beispielsweise möglich durch die IP-Adresse den ungefähren Aufenthaltsort des Seitenaufrufers zu ermitteln.^[38] Dies wird oft für das Anzeigen von regional begrenzter Werbung benutzt. Weiterhin wäre es mit der IP-Adresse und dem Zugriff auf die Log-Dateien vieler Webserver möglich ein sehr genaues Beobachtungsprofil über einen Betroffenen anzulegen.

Die IP-Adresse kann allerdings mit der Hilfe von Proxy- oder Torservern „anonymisiert“ werden.^[39] Proxy- oder Torserver werden dabei als Vermittler zwischen Nutzer und dem eigentlichen Webserver genutzt. Der Webserver erhält nur die IP-Adresse des jeweiligen Proxy- bzw. Torservers. Allerdings sorgt ein solcher Einsatz oft für einen Geschwindigkeitsverlust. Dieser Verlust der Geschwindigkeit macht den Einsatz oft nicht praktikabel. Weiterhin könnten ebenso Proxy- und Torserver Log-Dateien anlegen oder sogar den gesamten Datenverkehr aufzeichnen.

2.2.2.3 Web-Tracking

Unter Web-Tracking, was vom Wortsinn soviel wie das Verfolgen einer Spur im Internet bedeutet, versteht man das Sammeln und Auswerten von Informationen über die Webseitenbesucher. Meist werden hierfür sogenannte Web-Tracking-Dienste in Anspruch genommen.

Für das Sammeln und Übertragen der Daten werden auf einer Website Bilder mit der Größe von einem Pixel, sogenannte Web-Bugs untergebracht,^[40] meist in Verbindung mit einem speziellen Quellcode, der in die Website eingebunden wird (nähere Informationen hierzu in Abschnitt 3.2.2).^[41]

Auf diese Art kann bei einem Seitenaufruf die Bilddatei von einem beliebigen Webserver heruntergeladen werden. Dadurch ist es möglich, dass auch andere Webserver als der auf dem die Website liegt mit dem Webbrowser des Seitenbesuchers in Interaktion treten und beispielsweise Informationen in einer Log-Datei oder in Cookies sammeln.

Die gesammelten Daten können unter anderem Aufschluss über den ungefähren Aufenthaltsort (über die IP-Adresse), Interessen oder das Surfverhalten der Besucher geben. Diese Informationen dienen meist zu Optimierung der jeweiligen Website.^[42] Sie können aber auch für Webezwecke genutzt werden.

Innerhalb dieser Arbeit wird auf den Einsatz von Web-Tracking-Diensten Bezug genommen. Für das Feststellen ob eine Seite ein Web-Tracking-Dienst nutzt, wurde die Firefox-Erweiterung Counterpixel genutzt.^[43] Diese erfasst den Web-Bug und gibt den möglichen Web-Tracking-Dienst an.

2.2.3 Cyber-Mobbing

Cyber-Mobbing, welches auch als Cyber-Bullying bezeichnet wird, ist eine Form des Mobbings.^[44] Der Begriff Cyber dient als Synonym für die neuen Medien mit dessen Hilfe Mobbing in diesen Fällen praktiziert wird. Der Begriff Mobbing umschreibt dabei:

„negative kommunikative Handlungen, die gegen eine Person gerichtet sind (von einer oder mehreren anderen ausgehend) und die sehr oft und über einen längeren Zeitraum hinaus vorkommen und damit die Beziehung zwischen Täter und Opfer kennzeichnen".^[45]

Das Mobbing tritt oft innerhalb von Gruppierungen beispielsweise Schüler einer Klasse oder Arbeitnehmer einer Firma auf. Das Ziel des oder der Täter ist häufig eine Ausgrenzung des Opfers aus dieser entsprechenden Gruppe.

Für das Cyber-Mobbing nutzen die Täter oft private Daten, wie Bilder oder Videos, die ihre Opfer diskreditieren. Häufig werden der Name und bzw. oder die Kontaktdaten des Opfers ohne sein Wissen veröffentlicht. In schweren Fällen des Cyber-Mobbings findet auch ein Identitätsdiebstahl (beispielsweise durch die in Punkt 2.2.1.1 - 2.2.1.4 genannten Möglichkeiten) statt mit der Intention das Opfer sozial zu schädigen. Die Anwendungen des Web 2.0 dienen ebenso als Verbreitungsplattform, um möglichst viele Menschen zu erreichen und das Opfer dadurch massiv zu schädigen. Sobald das Material des Täters veröffentlicht wurde, kann es auf vielen verschiedenen Plattformen für eine ungewisse Zeit abrufbar sein. Selbst wenn das Opfer einen Unterlassungsanspruch geltend macht, kann es sein, dass nicht alle Vervielfältigungen der privaten Daten entfernt werden.^[46]

2.2.4 Cyber-Stalking

Beim Cyber-Stalking steht der Begriff Cyber für die neuen Medien. Generell ist das Stalking dem Mobbing sehr ähnlich. Stalking kann auch als eine Form des Mobbings angesehen werden, bei dem der Täter das Opfer verfolgt oder belästigt. Meist geht dem Stalking eine Abweisung des Stalkers durch das Opfer voraus.

Bei dem Cyber-Stalking nutzen die Täter ebenso die privaten Daten der Opfer, die sich in den einzelnen Webanwendungen und Plattformen finden oder einbinden lassen. Genauso wie beim Mobbing ist es für das Opfer im Nachhinein sehr schwer veröffentlichte Informationen über sich entfernen zu lassen.^[47]

3. Private Daten in Google-Diensten

3.1 Was ist Google?

Google ist mittlerweile das größte Webunternehmen der Welt. Entstanden ist das Weltunternehmen aus der Idee von Larry Page und Sergey Brin eine bessere Such-maschine zu erfinden. Die Idee hatten die damaligen Informatikstudenten in ihrer Abschlussarbeit „The Anatomy of a Large Scale Hypertextual Web Search Engine“ 1998 schon sehr detailliert beschrieben und mit der Gründung der Google Inc. und der ersten Testversion ihrer Suchmaschine verwirklicht. Die Suchmaschine wurde aufgrund der überlegenden Suchqualität, die dem Page-Rank-Verfahren zu verdanken ist,^[48] welches Page und Brin entwickelt hatten, der hohen Performance und der leichten Bedienung relativ zum schnell Marktführer.^[49] Weltweit hat die Suchmaschine bei den Suchanfragen bis 2008 ein Marktanteil von 62% (90,2% in Deutschland) erreicht.^[50] Selbst das Wort „Google“ das in Anlehnung an die Zahl 10100, die als Googol bezeichnet wird, entstanden ist, hat es in vielen Sprachen bis in den Grundwortschatz geschafft.^[51] Daher findet sich ab der 23. Auflage des Dudens der Begriff „googeln“ mit der Beschreibung: etwas im Internet suchen.^[52]

Aufgrund des hohen Marktanteils und Bekanntheitsgrades war es der Google Inc. möglich sich von einer Suchmaschine zu einem Onlinedienstleister mit mittlerweile über 100 unterschiedlichen Diensten und Produkten zu entwickeln. Diese Palette reicht vom Werbeanzeigedienst Google-AdSense, dem Blogprovider Blogger.com, dem E-Mail-Dienst Google-Mail über den digitalen Globus Google-Earth und dem Webbrowser Google-Chrome bis hin zur Videoplattform YouTube und dem Betriebssystem Android. Dabei sind fast alle Dienste der Google Inc. über Werbung (meist durch Werbeanzeigen in der Anwendung) finanziert und daher für den Endnutzer kostenlos.^[53]

3.2 Private Daten bei Google-Diensten

Google stellt, neben der Suchmaschine, viele verschiedene Dienste kostenlos zur Verfügung. Für die Nutzung dieser Dienste ist oft das Anlegen eines Nutzerkontos notwendig, daher wird in Abschnitt 3.2.1 erläutert, welche privaten Daten Google hierfür erfasst. Ferner wird auf einige weitere Google-Dienste Bezug genommen. In Abschnitt 3.2.2 und 3.2.3 werden zusätzlich die Dienste Google-Anaylitcs, Google-AdSense/AdWords separat betrachtet, da diese bei vielen Anwendungen des Web 2.0 zum Einsatz kommen.

3.2.1 Private Daten in Verbindung mit einem Google-Konto

Viele der Google-Dienste benötigen ein sogenanntes Google-Konto. Um ein solches zu erhalten braucht der Nutzer sich nur registrieren. Bei der Registrierung müssen private Daten in Form von Passwort, E-Mail-Adresse und Standort (damit ist das Herkunftsland gemeint) angegeben werden. Zusätzlich können später der Vor- und Nachname, Spitz-name und Postleitzahl eingetragen werden.

Bei der Registrierung muss der Nutzer den Nutzungsbedingungen und der Datenschutz-bestimmung zustimmen. Mit der Zustimmung hat der Nutzer Google die Erlaubnis erteilt alle von ihm in das Konto eingetragenen Daten zu nutzen. Google gibt hierzu in der Datenschutzbestimmung folgendes an:

“Möglicherweise kombinieren wir die von Ihnen bei der Verwendung Ihres Kontos bereitgestellten Informationen mit Informationen aus anderen Google-Services oder Services von Drittanbietern. Auf diese Weise verbessern sich für Sie die Funktionalität und die Servicequalität“.^[54]

Weiterhin ist standardmäßig die Zustimmung der Nutzung des Google-Webprotokolls bei der Registrierung aktiviert.^[55] Über das Webprotokoll kann der Nutzer einen Einblick gewinnen, welche Informationen Google sammeln kann.

Google selbst gibt zum Webprotokoll Folgendes an:

„Im Webprotokoll werden Informationen zu den von Ihnen besuchten Webseiten und Ihren Google-Aktivitäten aufgezeichnet. Diese schließen auch Ihre Suchanfragen, Ergebnisse, auf die Sie klicken sowie Datum und Uhrzeit Ihrer Suchen mit ein, um Ihre Suche zu optimieren und Ihre Webaktivitäten anzuzeigen. Mit der Zeit werden möglicherweise weitere Informationen zu Ihren Google-Aktivitäten oder zusätzliche Angaben von Ihnen verwendet, um eine noch individuellere Suche zu ermöglichen“.^[56]

Google setzt zusätzlich Cookies und Log-Dateien für die Informationsgewinnung ein. Laut Google können damit die IP-Adresse, der Browsertyp, die Sprache des Browsers, Datum und Zeitpunkt der Anfrage, sowie ein oder mehrere Cookies, die den Browser eindeutig identifizieren, erfasst werden. Neben dem eindeutigen Identifizieren dienen die Cookies der individuelle Nutzereinstellung und Werbemaßnamen von Google oder von Google Inserenten.^[57]

In Verbindung mit verschiedenen Google-Diensten können noch weitere Daten über den Nutzer gesammelt werden.

Der Dienst iGoogle ermöglicht das Erfassen von Nutzerinteressen. Dabei ist iGoogle nichts anderes als eine personalisierte Startseite. Jeder Nutzer kann hier selbst bestimmte Inhalte (Google-Gadgets) festlegen. Dadurch können neben der üblichen Google Suchfunktion beispielsweise aktuelle Nachrichten und neue Videobeiträge von YouTube in die Seite eingebunden werden. Diese Einstellungen können mit Hilfe von Cookies auch nach einem Neustart des Webbrowsers erhalten bleiben und in Verbindung mit einem Google-Konto auch Rechner unabhängig. Alle vorgenommenen Einstellungen geben Google ein relativ gutes Bild über die Interessen der Nutzer.

Weiterhin kann auch der hauseigene E-Mail-Dienst Google-Mail private Daten der Nutzer und der Personen mit denen diese über Google-Mail in Kontakt stehen erfassen.^[58]

Hierzu steht im „Google Mail-Datenschutzhinweis“ Folgendes:

„ Der Google Mail-Dienst präsentiert relevante Werbung und verwandte Links auf Grundlage der IP-Adresse, des Inhalts der Nachrichten und anderer Daten im Zusammenhang mit Ihrer Verwendung von Google Mail.

Die Computer von Google werten die Informationen in Ihren Nachrichten aus verschiedenen Gründen aus, unter anderem zur Formatierung und Darstellung der Informationen für Sie, zur Schaltung von Anzeigen und verwandten Links, zur Vermeidung von unerwünschten Massen-E-Mails (Spam), zur Sicherung Ihrer Nachrichten und zu anderen Zwecken im Zusammenhang mit dem Angebot von Google Mail“.^[59]

Somit wird der Inhalt der Nachrichten von Google erfasst und könnte auch mit den schon gesammelten Informationen des Google Kontos in Verbindung gebracht werden.

3.2.2 Google-Analytics

Google-Analytics ist ein Web-Tracking-Dienst. Diesen Dienst kann jeder Webseiten-inhaber kostenlos einsetzten. Um Google-Analytics zu nutzen sind ein Google-Konto und eine Registrierung für den Dienst notwendig. Bei der Registrierung werden der Name und eine Telefonnummer verlangt und man wird aufgefordert den Google-Analytics-Tracking-Code (GATC) in seine Website einzubinden (GATC Bsp. in Abb. 6.).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Beispiel eines GATC

[...]

---

^[1] Eine Version ist die Ausprägung eines IT-Produktes zu einem bestimmten Zeitpunkt.

^[2] O’Reilly gilt als „Internet-Pionier“, da er mit seiner Firma „O’Reilly Media“ im Jahr 1993 das erste Buch über das Internet verfasste und das erste Webportal gründete, welches wiederum das erste Webverzeichnis enthielt.

^[3] „New Economy“ bezeichnete einen „neuen“ Bereich der Wirtschaft der sich mit der Verbreitung des Internet und der Computertechnologie beschäftigte. Allerdings wurde die „New Economy“ als eine Art Goldesel angesehen bei dem jede Idee in der Zukunft riesige Gewinne versprach. Dieser Irrglaube bzw. die Ernüchterung, dass dies nicht der Realität entsprach, führte zu einem Aktien-Crash in dem viel des zuvor zur Verfügung stehenden Kapitals der „New Economy“ blitzartig entzogen wurde, was den Zusammenbruch nur noch weiter verstärkte.

^[4] Vgl. Alby, Tom: Web 2.0 Konzepte – Anwendungen, Technologien, 2. Auflg., München 2007, S. 15.

^[5] Dale Dougherty arbeitet für die Firma von O’Reilly. Craig Cline ist bei MediaLive International (heute CMP Technology) beschäftigt. MediaLive war der zukünftige Konferenzveranstalter.

^[6] Diese Konferenz wird bis heute regelmäßig abgehalten.

^[7] Vgl. http://oreilly.com/web2/archive/what-is-web-20.html (Stand: 19:09 Uhr am 12.06.2009).

^[8] Ebd.

^[9] Twitter ist ein Mikro-Blogging-Dienst. Weitere Informationen hierzu in Abschnitt 4.6.1.

^[10] Facebook ist ein Social-Network-Service. Weitere Information hierzu in Abschnitt 5.1.

^[11] Blogs werden in Abschnitt 4. behandelt.

^[12] Social-Network-Services werden in Abschnitt 4. behandelt.

^[13] Vgl. http://www.welt.de/wams_print/article2375573/Im-Internet-von-Barack-Obama-lernen.html (Stand: 20:12 Uhr am 13.08.2009).

^[14] §3 Absatz (1) des Bundesdatenschutzgesetz, siehe auch: http://www.gesetze-im-internet.de/bdsg_1990/ BJNR029550990.html#BJNR029550990BJNG000102301 (Stand: 15:03 Uhr am 29.07.2009).

^[15] Dynamisch ist eine IP-Adresse, wenn sie nur für die Dauer einer Internetverbindung gültig ist. Dabei ist die IP-Adresse die für die Sitzung vergeben wird nicht immer die gleiche. Dem gegenüber ist eine feste IP-Adressen bei jeder Internetverbindung gleich.

^[16] Hierzu gibt es zwei gegensätzliche Entscheidungen des Amtsgerichts Berlin-Mitte (Urt. v. 27.03.2007 – 5 C 314/06) und des Amtsgerichts München (Urt. v. 30.09.2008 – 133 C 5677/08). Das Amtsgericht Berlin hält in seinem Urteil fest das dynamische IP-Adresse personenbezogene Daten sind, während das Urteil des Amtsgerichts München die dynamischen IP-Adressen nicht als personenbezogene Daten ansieht.

^[17] Zu finden auf: http://www.gesetze-im-internet.de/tmg/ (Stand: 15:01 Uhr am 29.07.2009).

^[18] Zu finden auf: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:DE:NOT (Stand: 14:56 Uhr am 29.07.2009).

^[19] Es gibt bei einigen Modellen auch die Möglichkeit des Auslesens über Funk oder das Netzwerk. Somit muss bei diesen Modellen nicht direkt ein physischer Kontakt gegeben sein.

^[20] Trojaner sind meist in „nützlichen“ Programmen versteckte Anwendungen die dem Angreifer ermöglichen auf dem jeweiligen Rechner zuzugreifen. Malware ist der Oberbegriff für alle Schadprogramme unter anderem zählen auch Würmer und Viren hierzu. Vgl. Janowicz, Krzytof: Sicherheit im Internet, 3. Aufl., Köln 2007, S. 5-6 & S. 209-211.

^[21] Die eigentliche Aufgabe einer Sniffer-Software ist die Netzwerkanalyse. Sie kann auch für einen Angriff missbraucht werden.

^[22] Wireless Local Area Network kurz W-LAN.

^[23] Vgl. Janowicz, S. 7.

^[24] Vgl. Eckert, Claudia: IT-Sicherheit, 5. Aufl., Oldenbourg 2008, S. 417.

^[25] Der Datenverkehr über HTTP gilt als unsicher, da er hier unverschlüsselt stattfindet. Während beim HTTPS durch den Einsatz von Secure-Socket-Layer (SSL) bzw. Transport-Layer-Security (TSL [TSL=SSL ab Version 3.0]) der Datenverkehr mit Verschlüsslungsverfahren und der Vergabe von Zertifikaten abgesichert wird.

^[26] Website dient als Oberbegriff für alle Seiten eines speziellen Webauftritts.

^[27] Es gibt auch Varianten des Phishing in indem der Hyperlink zu Malware führt.

^[28] Uniform Resource Locator kurz URL (Ort einer Netzwerkressorce).

^[29] Die Host-Datei eines Betriebssystems dient bzw. diente dazu die URL in eine IP-Adresse aufzulösen. Mittlerweile wird sie bei Windows Betriebssystemen kaum noch genutzt, da das Auflösen direkt über einen DNS-Server geregelt wird. Vgl. Janowicz, S. 303-304.

^[30] Beispielsweise ist die Internetadresse auf die ein Hyperlink verweist eine andere als die, der Seite die in der E-Mail beschrieben wird.

^[31] Bei langen Passwörtern mit Zahlen, Buchstaben und Sonderzeichen ist dies zeitlich gesehen nicht praktikabel. Denn beispielsweise bei einem 10 stelligen Passwort können mit der momentanen Technik leicht 600 Jahre vergehen bis alle Kombinationen getestet wurden.

^[32] Bei dem Einsatz von CAPCHA wird dem Nutzer eine Aufgabe gestellt die für den Menschen leicht zu lösen ist für einen Computer jedoch sehr schwer.

^[33] Hashwerte entstehen wenn Passwörter mit Einweg-Algorithmen wie dem Hashalgorithmus verschlüsselt werden. Ist ein Passwort auf diese Weise verschlüsselt ist es nicht mehr möglich aus einem Hashwert das Passwort zu errechnen. Vgl. Kraft, B. Peter: Anti Hackerz Book, 3. Aufl., Poing 2008, S. 244.

^[34] Vgl. Kraft, S. 255.

^[35] Ist die Lebensdauer abgelaufen wird der Cookie gelöscht. Eine Ausnahme sind hierbei Flash-Cookies, da sie keine Angabe der Lebensdauer benötigen und auch unabhängig von verschiedenen Webbrowsern ausgelesen werden können. Vgl. Kraft, S. 262.

^[36] Bei personalisierter Werbung können private Daten wie Interessen, Alter, Geschlecht, Surfverhalten miteinander verknüpft und zielgereichtet für Werbeeinblendungen oder Werbemails genutzt werden.

^[37] Die Seite www.datenimweb.de verwendet keinen Benutzernamen, daher ist hierzu kein Eintrag. Die Logdatei entspricht dem NCSA Format. Zusätzlich kann die Zugriffsart (GET=Dokument angefordert), der Return-Code (200=erfolgreich) und Anzahl der übertragenen Bytes (17830) gespeichert werden. Vgl. Hockmann, Volker / Knöll, Heinz-Dieter: Profikurs Sicherheit von Web-Servern, Wiesbaden 2008, S. 14-15.

^[38] Es kann der Besitzer der IP-Adresse ermittelt werden. Beispielsweise wird bei einer dynamischen IP-Adresse der Besitzer somit der Internetprovider ermittelt. Dieser vergibt der Regel bestimmte Adressen für bestimmte Regionen und Orte, welche dem ungefähren Aufhaltort des Nutzers entspricht.

^[39] Als Proxy wird generell ein Vermittler in Computernetzwerken bezeichnet. Ein Torserver ist Teil des Tornetzwerkes. Jeder Computer kann mit einer Clientsoftware Teil dieses Netzwerkes werden. Im Netzwerk kann die Verbindung zu einem Webserver mit Hilfe vieler hintereinander verbundener Server fast nicht zurückverfolgt werden, da jedem Server jeweils nur Vorgänger und Nachfolger bekannt ist.

^[40] Die Bilddateien liegen dabei auf einem anderen Webserver als der auf dem sich die Website befindet.

^[41] Vgl. Steidle, Roland /Pordesch Ulrich: Im Netz von Google. Web-Tracking und Datenschutz, In Datenschutz und Datensicherheit 2008, S. 325.

^[42] Beispielsweise optimale Erreichbarkeit häufig abgerufener Informationen.

^[43] Erhältlich über: https://addons.mozilla.org/de/firefox/addon/5414 (Stand: 13:25 Uhr am 10.08.2008).

^[44] Im deutschen Sprachraum wird für alle Altersklassen hauptsächlich der Begriff Mobbing verwendet. Im angelsächsischen Sprachraum wird dieser Begriff durch die Bezeichnung Bullying für das Mobbing unter Kindern etwas weiter differenziert. Vgl. Langfeldt, Hans-Peter: Psychologie für die Schule, Weinheim 2006, S. 104-105.

^[45] Leymann, Heinz: Mobbing – Psychoterror am Arbeitsplatz und wie man sich dagegen wehren kann, Reinbek 1993, S. 21.

^[46] Unterlassungsanspruch kann beispielsweise nach §§1004 des BGB geltend gemacht werden. Da sich jedoch der größte Teil der Webserver im Ausland befindet, muss geprüft werden ob hier ebenfalls ein Rechtsanspruch auf Unterlassung besteht.

^[47] Vgl. Fielder, Peter: Stalking , Weinheim 2006, S. 25-26.

^[48] Beim Page-Rank wird eine Website nach ihren externen Referenzen beurteiltet, ähnlich dem Verfahren der Linkpopularität. Allerdings werden im Gegensatz zur Linkpopularität bei der Berechnung des Gewichts bzw. des Page-Ranks einer Seite sämtliche interne und externe Links und der Page-Rank der Seiten auf die diese Links verweisen mitberücksichtigt. Vgl. http://pr.efactory.de/d-index.shtml (Stand: 17:01 Uhr am 24.07.2009) & Hübener, Markus: Suchmaschinenoptimierung kompakt, Leipzig 2009, S. 18-19.

^[49] Bereits im Jahr 2000 war Google weltweit Marktführer.

^[50] Vgl. http://www.bitkom.org/de/presse/30739_59404.aspx (Stand: 13:19 Uhr am 25.07.2009) & http://www.onlinemarketing-blog.de/2009/01/26/93-prozent-marktanteil-google-in-deutschland (Stand: 13:19 Uhr am 25.07.2009).

^[51] Vgl. Alby, Tom/ Karzauninkat, Stefan: Suchmaschinenoptimierung, 2. Aufl., München 2007, S.29.

^[52] Ab der 24. Aufl. wird „googeln“ im Duden „mit Google im Internet suchen“ aufgeführt.

^[53] Hier reicht die Werbung von normalen Anzeigen über personalisierter Werbung bis hin zu Werbeeinblendungen in Computerspielen.

^[54] http://www.google.com/intl/de/privacypolicy.html (Stand: 15:11 Uhr am 10.08.2009).

^[55] Diese kann aber jederzeit deaktiviert werden.

^[56] http://www.google.com/history/intl/de/privacy.html (Stand: 16:00 Uhr am 10.08.2009).

^[57] Vgl. ebd.

^[58] Google Mail ist ein kostenloser E-Mail-Account mit integriertem E-Mail-Programm.

^[59] http://mail.google.com/mail/help/intl/de/privacy.html (Stand: 20:13 Uhr am 10.08.2009).