Damit Sie Lösungen nicht suchen, sondern finden ! Damit Sie Lösungen nicht suchen, sondern finden !


 

Big Brother Award für Apache:
Schneckenplage im Web?

Gastkommentar, Linux-Magazin 01/2001

ungekürzte Originalfassung


Weitere Kommentare, Reden, Interviews

Unverkennbar in die Jahre gekommen ist nun auch George Orwells Big Brother, denn der einstmals scharfe Blick ist mittlerweile doch recht ordentlich getrübt. Kein Wunder also, dass sich bei der Verleihung des "Szene"-Preises des Big-Brother-Award selbst der Preisträger erstaunt die Augen rieb.

Erwischt hatte es nämlich die Apache Group, weil in der Beispiel-Konfigurationsdatei des Apache Web-Servers frevelhafterweise das Logging der IP-Adresse scharf gemacht worden war. Darin sah die Jury "die mangelhafte Beachtung von Belangen der Privatsphäre". Grund genug also für die silberne Zitrone, sollten doch "Protokollinformationen nur dann erzeugt werden, wenn sie für den Betrieb der Einrichtung unabdingbar sind".

Im Prinzip wohl richtig, doch hat sich die Jury wohl gerade im Winterschlaf befunden, als Denial-of-Service-Angriffe größeren Kalibers nennenswerte Teile des Web wiederholt auf Grundeis gehen ließen. Wer vor diesem Hintergrund auf IP-Logging verzichtet, handelt schlichtweg grob fahrlässig. Die üblichen Einbruchsversuche, von denen jeder Webmaster ohnehin ein Lied singen kann, sind schon für sich allein ein guter Grund, Besucher nicht völlig anonym herumspazieren zu lassen.

Spätestens nach der Lektüre der Laudatio kommt die bange Frage auf, ob hier womöglich die Bewohner des Containers in Köln-Hürth an der Big-Brother-Preisvergabe beteiligt waren, ganz nach dem Motto:

"Wissen ist Macht, nichts wissen macht nichts."

Mag sein, dass die Jury bei der Bekämpfung von Schneckenplagen im ökologischen Obstanbau ausgesprochen firm ist, im IT-Bereich ist sie es jedenfalls nicht. Von "global verteilten Datenschleimspuren" ist da zu lesen, die der User beim Surfen hinterlässt. Mit derlei Schädlingen offenbar auf "Du", hätte die Jury zumindest den Schluss ziehen dürfen, dass hier wie dort Schnecke und Spur wohl nur im Ausnahmefall einander zuzuordnen sind.

Von jeglicher Sachkenntnis ungetrübt ist schließlich auch die Annahme, es sei auf Grund der Protokolldaten im Nachhinein ermittelbar, "welcher Anwender welche Seiten in welcher Reihenfolge abgerufen und wie lange er sie sich angesehen hat". Das mag zwar auf den ersten Blick so scheinen, doch keine dieser Folgerungen kann auf Grund der Log-Dateien auch nur mit ausreichender Wahrscheinlichkeit gezogen werden - das walte schon allein der Proxy-Cache zwischen Server und Browser. Zugriffe auf häufig angeforderte statische Seiten sind für den Server mitunter komplett unsichtbar. Und von den zehn verschiedenen Web-Seiten, die nacheinander durch einen Proxy-Cache hindurch vom Web-Server angefordert wurden, haben sich womöglich zehn verschiedene Benutzer nur jeweils eine einzige Seite angesehen.

Selbst wenn es keine Proxies gäbe, dann würde die vermeintliche "Verweildauer" auf einer Webseite den Gang zum Kaffeeautomaten oder den Plausch mit einem Kollegen oft genug miteinschließen. Derlei Ungereimtes ist allerdings oft genug zu lesen, vor allem wenn Werbe- oder Web-Agenturen kräftig über Auswertemöglichkeiten zum Thema "Surfer-Verhalten" schwadronieren.

Auch die Annahme, anhand einer IP-Adresse könnten Benutzer identifiziert oder gar wiedererkannt werden, ist reichlich unrealistisch. Das Gros der Privatleute benutzt Dialup-Zugänge à la T-Online, bei denen IP-Adressen dynamisch vergeben werden. Folglich verbergen sich hinter ein und derselben IP zu verschiedenen Zeiten unterschiedliche Personen, und kein Provider wird ohne richterliche Anordnung herausrücken, wer zu einem bestimmten Zeitpunkt eine bestimmte IP benutzt hat.

Bei Surfern aus Firmennetzen liegt der Fall nicht sehr viel anders. Hier sind für den Web-Server nicht die einzelnen PCs sichtbar, mit denen gesurft wurde, sondern nur der Proxy-Server im Firmennetz, der sämtlichen Web Traffic nach außen stellvertretend abwickelt. Hinter der IP des Proxy können sich prinzipiell beliebig viele PCs verbergen, doch für den Web-Server ist nur eine einzige IP sichtbar, nämlich die des Proxy. Eine Zuordnung zwischen protokollierter IP und Surfer ist dabei ebenso unmöglich. Um eine Wiedererkennung des Surfers zu bewerkstelligen, müsste man in beiden Fällen Cookies einsetzen - sofern der Browser solche Danaer-Geschenke überhaupt annimmt.

Doch die Jury ließ sich von derlei Umständen nicht anfechten, und kaum auszuschließen, dass auch sie den mittlerweile recht betagten Journalistenwitz kannte: "Ich lass mir meine schöne Geschichte doch nicht durch Tatsachen kaputtmachen."

Wirklich interessant zum Thema "User Tracking" wäre es gewesen, Werberinge à la Doubleclick unter die Lupe zu nehmen und an den Pranger zu stellen. Solche Werberinge spionieren Surfern durch einen Trick auch Site-übergreifend mit Hilfe von Cookies nach, denn im Gegensatz zu IP-Logging erlauben Cookies zumindest ein Wiedererkennen des gleichen Surfers.

Durch einen ebenso pfiffigen wie einfachen Mechanismus wird die Einschränkung außer Kraft gesetzt, dass nur der "Spender" eines Cookie diesen später wieder vom Browser des Web-Surfers zurückbekommt. Der Trick: Alle Sites im Werbering liefern Cookies nicht mehr selbst an den jeweiligen Browser aus, sondern lassen dies von Doubleclick erledigen. Daher bekommt Doubleclick alle Cookies später wieder zurück, gleichgültig, für welche Site ein Cookie stellvertretend ausgeliefert wurde. Technisch gesehen ist Doubleclick ja auch tatsächlich der Server, der das Cookie gesetzt hatte.

Eine Bedrohung für die Privatspäre ist dies allemal, denn mittlerweile gibt es im Web kaum noch Doubleclick-freie Zonen. Wer glaubt, auf Web-Sites renommierter Publikationen davor sicher zu sein, möge doch einmal mit dem Maus-Cursor langsam über verschiedene Links fahren und dabei einen Blick auf die Statuszeile werfen. Letztlich hilft nur eines: Cookies abschalten.

Möglicherweise zeigte die Big-Brother-Jury aber doch mehr Weitsicht, als sich auf den ersten Blick erahnen lässt. Bei gleichen Vergabeprinzipien könnte man nämlich im nächsten Jahr sogar Polit-Prominenz der Europäischen Union in Brüssel mit dem Big Brother Award adeln, denn als ich vergangene Woche in Brüssel die Generaldirektion 13 der EU besuchte, notierte der Pförtner sogar die Nummer meines Reisepasses. Die aber ist, im Gegensatz zur IP-Adresse, in jedem Falle eindeutig - und das nicht nur bis zum nächsten Logout.

Mit Sicherheit ließe sich die Liste der Preisträger ohne Mühe zum "Who is Who" der deutschen Wirtschaft machen, denn schließlich verzichtet kaum ein Unternehmen darauf, dass sich Besucher am Empfang ins Gästebuch eintragen.

Everybody is a winner.


Eitel Dignatz ist Managementberater und Inhaber der Münchner Unternehmensberatung Dignatz Consulting.

zum Seitenanfang   Seitenanfang
vorherige Seite   zurück