Die EU-Datenschutzgrundverordnung und Webkoll

Geschrieben von am .

Am ist die EU-Datenschutz-Grundverordnung in Kraft getreten.

Diese Verordnung ist handwerklich schlecht gemacht, so wie es bei der EU normal ist:

  • sie bevorteilt große Unternehmen, die "mal eben" einen Anwalt bezahlen oder einstellen können;
  • sie erzeugt Rechtsunsicherheit gerade bei kleinen Unternehmen, Vereinen und Privatpersonen;
  • sie bereitet das Feld für Abmahn-Abzocker;
  • sie erzeugt Kosten und Zeitaufwand und Stress ohne ein greifbares Ergebnis und schädigt so die Wettbewerbsfähigkeit europäischer Unternehmen;
    (ein Einzeiler keine Abmahnungen wegen DSGVO hätte die Einführung stressfrei gemacht)
  • sie führt zur Verunstaltung von Webseiten;
  • und natürlich wird das angestrebte Ziel nicht erreicht, denn Anbieter wie Facebook, Google oder Twitter lassen sich ihren Umgang mit Daten einfach durch einen alternativlosen Bestätigungsbutton erlauben: wer nicht mitmacht, wird ausgesperrt.

Obwohl sie grober Unfug ist, mussten bis gestern alle europäischen Webseiten an die DSGVO angepasst werden.

Wir schauen uns jetzt einige datenschutzrelevante Einstellungen einer Handvoll Webseiten an.

Dazu nutzen wir den Webdienst Webkoll. Webkoll ruft eine angegebene Seite wie ein normaler Browser ohne irgendein Addon auf, und überprüft folgende Eigenschaften, die ich dann in den Tabellen aufliste:

Nutzung von TLS (Transport-Layer-Security, früher SSL):

Mit TLS wird die Verbindung zwischen Browser und Server verschlüsselt. Diese Verschlüsselung ist, wenn richtig implementiert, so leistungsfähig, dass staatliche Stellen und Geheimdienste nicht versuchen, die Verbindung zu belauschem, sondern lieber ein Endgerät kompromitieren (mit Keyloggern oder Trojanern).

Man erkennt die aktivierte Verschlüsselung an der Protokoll-Kennzeichnung https:// und/oder einem Schloss-Symbol in der Adresszeile des Browsers. Früher war das für TLS nötige Zertifikat relativ teuer, heute bekommt man es kostenlos. Deshalb sollte TLS heute Standard sein, auch für kleine Hobby-Seiten.

Fast alle der geprüften Seiten unterstützen TLS; die unrühmlichen Ausnahmen sind mit einem × in der ersten Spalte (TLS/on) markiert. Die Betreiber dieser Seiten sollten sich schämen, deren IT-Dienstleister ihr Unternehmen schließen.

Weiterleitung von unverschlüsselter Übertragung auf verschlüsselte Übertragung:

Wenn ich eine Webadresse ohne Protokoll in die Adresszeile des Browsers eingebe, ergänzt der Browser das Protokoll http:// (ohne das s). Damit wird eine unverschlüsselte Verbindung aufgebaut, obwohl Browser und Server Verschlüsselung unterstützen.

Mit trivialem Aufwand lassen sich die meisten Server so konfigurieren, dass sie bei einem Aufruf mit http://… automatisch auf https://… weiterleiten.

Webseiten ohne diese Weiterleitung sind in der zweiten Spalte (TLS/redir) mit einem × markiert. Ich habe gelb gewählt, weil der Nutzer mitverantwortlich ist für die unverschlüsselte Übertragung, er hätte ja das https:// eingeben können.

Weiterleitung von unverschlüsselter Übertragung auf verschlüsselte Übertragung:

Ein gruseliger Sonderfall sind Server, die verschlüssele Übertragung zwar anbieten, dann aber nicht die gewünschte Seite verschlüsselt ausliefern, sondern den Browser auf unverschlüsselte Übertragung weiterleiten.

Man erkennt es daran, dass man https://… eingibt und der Browser dies gegen http://… austauscht. Ich habe solche Server mit einem ×  in den ersten beiden Spalten markiert.

Wer seinen Server so konfiguriert, gehört geteert und gefedert.

Referrer-Policy:

Wenn man einem Link von einer Webseite zu einer anderen folgt, oder wenn die Webseite Objekte, z.B. Bilder, Fonts oder JavaScript, von einer anderen einbindet, überträgt der Browser die URL der aufrufenden Seite im Referer:-Header an die fremde Seite. Die fremde Seite sieht also, was in der Adress-Zeile des Browsers steht, und das ist besonders gefährlich, wenn dort z.B. Login-Daten stehen.

Ein Webserver kann diese Übertragung im Browser deaktivieren, indem er einen Referrer-Policy: "same-origin"-Header mit jeder Seite ausliefert. Obwohl dies trivial zu konfigurieren ist, wird es nur von wenigen Webseiten genutzt. Webseiten, die diesen Header nicht ausliefern, sind mit einem × in der dritten Spalte (Referer/policy) markiert. Ich habe gelb gewählt, weil der Nutzer die gleiche Wirkung auch mit einem Browser-Addon erzielen kann.

Cookies:

Cookies sind vergleichsweise harmlos, solange sie für eine Webseite gesetzt werden und nicht von eingebunden Objekten anderer Server, und solange es sogenannte Session-Cookies sind, die der Browser beim Schließen verwirft.

Fast alle Webseiten werfen heute Cookies, und wegen irgendeiner dämlichen EU-Verordnung müssen diese Seiten ein grausliches und sinnfreies Cookie-Informations-Overlay anzeigen mit einem Button, der die Nutzung von Cookies erlaubt; zum Glück kann man die meisten dieser störenden Overlays mit einem Adblocker unterdrücken.

In der vierten Spalte werden First-Party-Cookies angezeigt. Die wenigen Cookie-freien Webseiten sind mit grün markiert, die übrigen mit gelb, weil ich First-Party-Cookies für recht harmlos halte.

In der fünften Spalte werden Third-Party-Cookies angezeigt, die von Fremd-Servern geworfen werden. Diese sind gefährlich, sie dienen praktisch immer zur Beobachtung und Überwachung der Nutzer, und zwar auch über verschiedene Angebote hinweg. Deshalb markiere ich rot, wenn auch nur ein einziges Third-Party-Cookie geworfen wird.

Einbindung externer Resourcen:

Grundsetzlich ist die Einbindung externer Resourcen gefährlich. Nehmen wir als Beispiel eine Seite https://example.org/, die einen Schrift-Font von https://fonts.googleapis.com/ einbindet: bei einem Zugriff auf example.org verbindet sich der Browser auch mit fonts.googleapis.com, ohne dass der Nutzer davon erfährt. Dafür erfährt der fremde Server googleapis, welche Seite ich gerade besuche, solange nicht eine der im Absatz Referrer-Policy beschriebenen Abwehr-Maßnahmen aktiv ist.

Besonders gefährlich ist das Einbinden von JavaScript-Dateien fremder Server, denn die enthaltenen Skripte werden mit der Berechtigung der aufrufenden Seite ausgeführt, sie können also alle Inhalte der Seite lesen, verändern und an andere Server übertragen. Wenn ich externe Skripte einbinde, muss ich dem externen Server zu 100% vertrauen.

In der sechsten Spalte (third party/requests) wird die Zahl der von Fremdservern abgerufenen Objekte angezeigt, dabei wird nicht nach Bildern, Fonts, Skripten usw. unterschieden; in der siebten Spalte (third party/hosts) wird angezeigt, von wieviel verschiedenen Servern die Objekte abgerufen werden. Der zweite Wert kann natürlich nie kleiner sein als der erste. Die Spalten 6 und 7 sind bei einem Wert 0 grün markiert, Werte bis zu 10 (willkürliche Grenze) mit gelb, und Werte von mehr als 10 Cookies mit rot.

Wichtig zu wissen: diese Abrufe erfolgen ohne Zustimmung des Nutzers bereits beim ersten Zugriff auf eine Seite, denn das Webtool kann nicht auf irgendwelche Freigabe-Buttons klicken. Deshalb nehme ich an, dass alle Seiten abmahnfähig sind, die in einer der drei Third-Party-Spalten rot markiert sind.

Server-Standort:

In der siebten Spalte wird der Standort des jeweiligen Servers angezeigt, Deutschland in grün, die übrigen EU-Länder in gelb, und die Datenschutz-Wüste USA in rot.

Diese Angabe (besonders das NL) ist mit Vorsicht zu genießen, denn viele Angebote nutzen ein Content Delivery Network wie Akamai, das die Anfragen des Browser automatisch von einem geographisch nahen Server beantwortet; damit können zwei verschiedene Nutzer die gleiche Webseite aus zwei verschiedenen Servern in unterschiedlichen Ländern ausgeliefert bekommen. Das Ergebnis für einen Nutzer in Deutschland kann vom Ergebnis von Webkoll (in Frankreich gehostet) abweichen.

Die Werte der folgenden Tabellen wurden zwischen dem 25.  und dem  27. Mai 2018 ermittelt. Wer danach seine Seite verändert hat, möge mir Bescheid sagen, damit ich seinen Eintrag anpassen kann.


1. Webdienste:

Name SSL/TLS Referer
policy
1st party
Cookies
Third party Server-
standort
on redir Cookies requests hosts
facebook.com ~ 2 0 19 5 USA
www.google.de ~ 3 0 4 4 USA
instagram.com × 0 0 0 0 USA
twitter.com × 8 0 8 2 USA
www.youtube.com ~ 5 1 35 5 USA

Die großen US-amerikanischen Webdienste haben ihre Hausaufgaben gemacht.


2. Zeitschriften und zeitschriftenähnliche Blogs:

Name SSL/TLS Referer
policy
1st party
Cookies
Third party Server-
standort
on redir Cookies requests hosts
Achse des Guten × × 8 36 95 28 DE
Bayernkurier × 3 0 6 4 DE
bento × × × 12 21 103 42 DE
Badische Zeitung × × 8 53 191 64 DE
Berliner Zeitung × 5 20 37 39 NL
Express × 18 67 297 106 NL
Focus Online ~ 24 28 142 57 NL
Frankfurter Allgemeine Zeitung × × 24 28 142 57 NL
Huffington Post × 16 39 261 77 USA
Kölner Stadtanzeiger × 20 73 271 105 NL
Merkur × 10 90 344 119 DE
Neues Deutschland × 3 1 7 4 DE
Rheinische Post × 8 45 129 57 DE
Spiegel Online × × 17 34 240 69 DE
Stern × 15 70 307 90 NL
Süddeutsche Zeitung × × 23 23 110 43 FR
Tagesspiegel × 11 13 109 39 NL
taz × × 6 88 228 80 DE
Tichys Einblick × × 7 37 106 41 USA
Welt × 18 32 94 44 NL
Zeit Online × 17 29 107 47 UK
ze.tt × 14 43 141 60 DE

Die meisten deutschen Zeitschriften haben ihre Hausaufgaben nicht gemacht und schneiden miserabel ab. Lichtblicke sind nur der Bayernkurier und das Neue Deutschland.

Das Schlusslicht bilden bento, Badische Zeitung, FAZ, SPON und die SZ, die keine verschlüsselte Übertragung anbieten; die Verantwortlichen sollten vielleicht einmal jemanden fragen, der sich mit der Sache auskennt.

Während die Huffington-Post wirklich in den USA gehostet ist, wird das USA von Tichys durch das CDN Cloudflare verursacht.

Gemeinsam ist den Angeboten mit einer einzigen Ausnahme, dass sie wie bekloppt mit Cookies um sich werfen und hunderte Seitenkomponenten von dutzenden externen Servern zusammenklauben. Alle diese externen Zugriffe erfolgen ohne Zustimmung des Nutzers; dies ist eine Katastrophe für die Privatsphäre der Nutzer.

Mich würde interessieren, ob diese Webseiten in ihren Datenschutzerklärungen wirklich auf jeden einzelnen externen Server hinweisen und auch den jeweiligen Betreiber auf die DSGVO verpflichtet haben.


3. Öffentlich rechtliche Fernsehsender:

Name SSL/TLS Referer
policy
1st party
Cookies
Third party Server-
standort
on redir Cookies requests hosts
ARD × × 0 2 6 4 NL
ZDF × 0 2 6 3 NL

Abgesehen von den Cookies von Fremdservern sind das akzeptable Werte. Ich verstehe bloß nicht, warum die ARD nicht auf TLS weiterleitet.


4. Parteien:

Name SSL/TLS Referer
policy
1st party
Cookies
Third party Server-
standort
on redir Cookies requests hosts
AfD × 2 6 314 24 USA
CDU × 1 0 10 5 DE
CSU × 6 0 8 4 NL
FDP × 3 0 4 2 USA
SPD × 4 0 0 0 DE
Bündnis 90 / Die Grünen × 7 0 9 5 DE
Die Linke × 2 0 0 0 UK
Piratenpartei 2 0 2 1 DE

Die Seiten der Parteien zeigen ein überraschend gutes Ergebnis.

Einziger Ausreißer ist die Seite der AfD, die über 300 Objekte von 25 Servern abruft und als einzige Cookies von Fremdservern wirft. Ich würde an Stelle der AfD dem Webdienstleister einmal kräftig in den Hintern treten und außerdem prüfen, ob sich ein U-Boot der Antifa eingeschlichen hat.

Ein Lob an die Piratenpartei für die Nutzung des Referrer-Policy-Headers. Obwohl es trivial und kostenlos ist, gibt es nur zwei weitere Nutzer: Mike Kuketz und das Bundeskriminalamt. Eine Koalition aus der SPD und den Piraten würde ein fast perfektes Ergebnis liefern.

Zu den Servern in den USA: die AfD nutzt das CDN Cloudfront von Amazon, die FDP nutzt den Google-Cloud-Service. Damit haben sich beide Parteien für das Thema Datenschutz disqualifiert.


5. Experten für IT-Sicherheit:

Name SSL/TLS Referer
policy
1st party
Cookies
Third party Server-
standort
on redir Cookies requests hosts
Hadmut Danisch × × × 1 124 351 97 DE
Mike Kuketz 0 0 0 0 DE
Felix von Leitner × × 0 0 0 0 DE

Eine beeindruckte Spannweite perfekt bis gruselig (124 Cookies von externen Servern).


6. Behörden:

Name SSL/TLS Referer
policy
1st party
Cookies
Third party Server-
standort
on redir Cookies requests hosts
Bundesamt für Sicherheit in der Informationstechnik × 2 0 0 0 DE
Bundeskriminalamt 1 0 4 2 DE
Bundesnachrichtendienst × × 3 0 2 1 DE
Bundeswehr × 2 0 0 0 DE
Deutscher Bundestag × × 1 0 0 0 DE

Überraschend gute Werte, alles im gelbgrünen Bereich: Hausaufgaben gemacht.