Digitaler Radiergummi Was im Netz steht, bleibt

Schutzsysteme, mit denen persönliche Daten im Internet nach Überschreiten eines Verfallsdatums nicht mehr zugänglich sein sollen, sind nicht neu. Seit fünf Jahren werden solche Mechanismen in regelmäßiger Folge vorgestellt. Alle beruhen letztlich auf der Verschlüsselung von Daten. So auch das von Michael Backes an der Universität des Saarlands entwickelte Verfahren, das Verbraucherministerin Ilse Aigner nun vorgestellt hat. „Das ist eine Art digitaler Radiergummi“, lobt die Ministerin und sieht sogar Vermarktungschancen in aller Welt dafür.

Fotos, Videos und andere persönliche Informationen werden dabei verschlüsselt. Und nur die verschlüsselte Datei wird auf den Webserver zum Beispiel eines sozialen Netzwerkes eingestellt, also gespeichert. Der zu dieser Datei gehörige Schlüssel wird auf einem separaten Server hinterlegt. Will sich nun ein Internetsurfer ein Bild oder auch andere persönliche Daten anschauen, die auf diese Weise geschützt sind, dann müssen Bild oder Text entschlüsselt werden.

Dafür ist eine kleine Erweiterungssoftware des Browsers zuständig, die ursprünglich für den Firefox entwickelt wurde. „Der Browser mit dem X-Pire genannten Plugin erkennt, dass das Bild geschützt ist, und fragt den dazugehörigen Schlüssel an, der auf einem Schlüsselserver gespeichert ist“, erläutert Entwickler Backes die Funktionsweise der Software. Ist das Verfallsdatum noch nicht überschritten, erhält der Browser den ungefähr 300 Bit langen Schlüssel, um die Datei unverschlüsselt anzeigen zu können.

Roboter wollen Daten einsammeln

Damit die Datenroboter von Suchmaschinen nicht einfach die verschlüsselten Dateien und die dazugehörigen Schlüssel automatisch einsammeln, beide Bestandteile des Schutzsystems auf einem Server des Suchmaschinenbetreibers speichern und auf diese Weise sicherstellen, dass die verschlüsselte Datei auch nach Überschreiten des Verfallsdatums im Klartext angezeigt werden kann, haben Backes und sein Team eine zusätzliche Sicherheitsabfrage eingebaut. Bevor der Internet-Surfer das gewünschte Bild anschauen kann, muss er noch die Frage beantworten, was er auf einem eingeblendeten Prüfbild sieht, oder muss eine dort gestellte Aufgabe lösen.

Mit diesen „Captcha-Tests“ genannten Sicherheitsabfragen soll garantiert werden, dass am anderen Ende der Leitung wirklich ein Mensch sitzt, der das angeforderte Bild anschauen will, und diese Anfrage eben nicht von einer Suchmaschine stammt. „Captchas sind kleine Puzzles, die ein Mensch gut lösen kann, eine Maschine hingegen nicht“, begründet Michael Backes die zusätzlich eingebaute Hürde. Der Internetsurfer muss dann beispielsweise verschwommene Buchstaben eintippen, die Frage beantworten, wie viele rote Striche er auf dem angezeigten Prüfbild sieht, oder er muss 134 mit 36 multiplizieren.

„Solche Captcha-Tests lassen sich leicht aushebeln“, bemängelt der Berliner Internetexperte Kristian Köhntopp und erläutert: „Dort wird eine Variante von Recaptcha verwendet. Das ist ein Standardverfahren, das von Suchrobotern leicht umgangen werden kann.“ Schlagzeilen machte eine Gruppe von Adresshändlern, die im Herbst 2009 eine Software gegen das soziale Netzwerk Schüler VZ einsetzten, um die Captcha-Sicherheitsabfrage zu umgehen. Seitdem zählt es zu den Standardverfahren, Captcha-Grafiken mit einer Sicherheitsabfrage auf einen Analyseserver herunterzuladen. Eine Software für die Mustererkennung zerlegt dann die Captcha-Grafik in ihre einzelnen Zahlen, Buchstaben oder Grafiksymbole und gleicht Zeichen für Zeichen und Symbol für Symbol die heruntergeladenen Captcha-Elemente mit einer Captcha-Zeichendatenbank ab. So wird das Captcha mit der Sicherheitsabfrage dann erkannt und der Suchroboter mit der korrekten Antwort aus der Captcha-Datenbank des Analyse-Servers versorgt. Der Suchroboter speist die Zeichenkette mit der korrekten Antwort dann in das dafür vorgesehene Eingabefeld der Sicherheitsabfrage ein, erhält eine Freigabe und kann anschließend die Daten, auf die er programmiert wurde, einsammeln. Und so kann auch die Captcha-Abfrage des Schutzsystems für ein Verfallsdatum persönlicher Daten im Internet überlistet werden.

Kontrolle hat man mit dieser Schutzsoftware nicht

Wenn Suchmaschinenbetreiber in einem solchen Fall über die Schlüssel der geschützten Dateien verfügen, spielen Verfallsdaten keine Rolle mehr, und die von den Suchrobotern „eingefangenen“ Daten können beliebig kopiert und weiterverbreitet werden.

„Diese Gefahr ist allerdings, verglichen mit dem Anfertigen von Bildschirmfotos, sogenannten Screenshots, fast schon zu vernachlässigen“, meint Experte Köhntopp. Und in diesem Punkt stimmt ihm auch der Entwickler des Schutzsystems zu. „Man kann sich nicht dagegen schützen, dass von einem Bild ein Bildschirmfoto gemacht wird, solange das Bild noch sichtbar ist, das Verfallsdatum also noch nicht überschritten ist“, räumt der Informatik-Professor aus dem Saarland ein. Bildschirmfotos von geschützten persönlichen Daten, zum Beispiel Partyfotos, können mit marktgängiger Software sogar vollautomatisch erstellt werden. Eine wirkliche Kontrolle, wo überall die eigenen Bilder dann im Internet gespeichert werden, hat man also auch mit dieser Schutzsoftware nicht.

Allerdings war das erklärtermaßen nicht das Entwicklungsziel. „Es geht nicht darum, den perfekten Schutz zu bekommen. Das ist technisch unmöglich“, betont Backes. In der politischen Diskussion über den „digitalen Radiergummi“ ist dieser Aspekt ein wenig verdrängt worden. Deshalb stellt Backes noch einmal klar: „Das Verfallsdatum funktioniert nur, wenn niemand Böses will und die Bilder nicht kopiert werden.“

Die Daten werden nämlich überhaupt nicht gelöscht

Backes und sein Team sind von der klassischen Situation ausgegangen, dass Jugendliche Partybilder in ein soziales Netzwerk einstellen. „Im Moment interessieren die keinen, und solche Bilder will auch niemand speichern“, urteilt er und meint: „Fünf Jahre später, wenn diese Jugendlichen sich nach dem Studium bewerben, sind sie vielleicht ganz froh, wenn die Bilder nicht mehr im Internet sind.“

Doch Bundesinnenminister Thomas de Maizière und Verbraucherschutzministerin Ilse Aigner erwarten und versprechen sich und den Bürgern mehr von einem „digitalen Radiergummi“. Persönliche Daten sollen nach dem Verfallsdatum nicht mehr im Internet vorhanden sein. Das aber kann die von der Verbraucherschutzministerin vorgestellte Lösung gerade nicht leisten. Die Daten werden nämlich überhaupt nicht gelöscht. Sie bleiben weiterhin auf Internetservern gespeichert. Nur der Zugriff auf diese Daten und ihre Darstellung wird ein wenig erschwert. Deshalb vergleichen Kritiker das Schutzsystem auch lieber mit einem Container oder Schließfach, das sich nach Überschreiten eines zuvor festgelegten Datums nicht mehr öffnen lässt. Alle Inhalte sind noch vorhanden, nur der Zugriff auf den Inhalt soll verwehrt werden. „Aber das klappt eben auch nicht vollständig“, resümiert Kritiker Köhntopp.

Er sieht hier zudem ein gravierendes Datenschutzproblem. Denn die Schlüssel, mit denen die kodierten Dateien entschlüsselt und damit sichtbar gemacht werden können, müssen auf einem eigenen Server hinterlegt werden. Und hier landen alle Anfragen. Werden diese Anfragen gespeichert und ausgewertet, kann der Serverbetreiber zumindest genau nachvollziehen, wer sich wann welche Bilder und Texte im Internet angeschaut hat. Schon die Speicherung und Auswertung der Internetprotokollnummer des einen Schlüssel anfragenden Rechners ist aus Sicht von Datenschützern problematisch.

Staatliche Stellen sollten diese Schlüsselserver nicht betreiben

„Es fallen aber noch viel mehr Daten an, weil diese Schutzsoftware als Browser-Plugin läuft“, erklärt Kristian Köhntopp. Zuvor angeschaute Websites, persönliche Daten, die dazu verwendet werden, Anfragen von Online-Formularen automatisch zu beantworten, und sogar Nutzernamen und Kontenkennungen werden in der Browser-Historie gespeichert und können in technischer Hinsicht von solchen Browsererweiterungen derartiger Schutzsysteme an angefragte Schlüsselserver übermittelt werden. „Das ist wohlgemerkt nur eine technische Möglichkeit“, will Köhntopp kein Horrorszenario malen. „Aber der Anwender eines solchen Schutzsystems hat keine Möglichkeit zu prüfen, welche Daten an wen übermittelt werden. Er muss dem Serverbetreiber einfach vertrauen.“

Deshalb ist auch die Frage so wichtig, wer derartige Schlüsselserver betreiben soll, welche datenschutzrechtlichen Bestimmungen dafür gelten und wer die Einhaltung dieser Bestimmungen überwacht. In einem Punkt sind sich Datenschützer einig: Staatliche Stellen sollten diese Schlüsselserver nicht betreiben. Kritiker meinen deshalb, dass die Risiken eines solchen „Schließfach-Schutzsystems“ in keinem vernünftigen Verhältnis zum realisierten Schutz für Mitglieder sozialer Netzwerke stehen, die verhindern wollen, dass ihre Daten in räumlicher und zeitlicher Hinsicht unkontrollierbar im Internet verfügbar sind. „Das System kann nicht nur leicht ausgehebelt werden, es ist auch nur für persönliche Daten anwendbar, die in eigenen Dateien gespeichert werden“, engt Kristian Köhntopp den Einsatzbereich weiter ein.

Alles Datensätze in einer Datenbank

Die Content-Managementsysteme vieler sozialer Netzwerke und zahlreicher anderer Websites speichern nämlich beispielsweise persönliche Daten wie Tagebucheinträge, Geburtstage, Kurznachrichten, Verweise auf Freunde oder Blogeinträge und kurze Artikel nicht jeweils in einer eigenen Datei, sondern als Datensätze in einer Datenbank. „Dieses Schutzsystem ist aber nur auf Daten anwendbar, die in einer eigenen Datei gespeichert sind“, berichtet Köhntopp. „Datensätze, die Bestandteile irgendwelcher riesiger Datenbanken sind, kann man mit solch einem System nicht zurückrufen oder mit einem Verfallsdatum versehen.“ Die eigentlich von Verbraucherschutzministerin Aigner anvisierte Zielgruppe der Mitglieder von sozialen Netzwerken mit ihren persönlichen Daten in den Datenbanken von Facebook & Co. könnten also gar nicht von einem solchen Schutzsystem profitieren, weil es auf die von ihnen erzeugten Datensätze nicht angewendet werden kann.

Auch in der Wirtschaft wird der digitale Radiergummi von Ministerin Aigner mit Argwohn betrachtet. „Anwendungen im Bereich Electronic Commerce können nur erfolgreich sein, wenn mit offenen Standardformaten gearbeitet wird, erläutert der Ludwigsburger Unternehmensberater und Mittelstandsexperte Martin Müller. Ein solches Schutzsystem setze aber gerade voraus, dass eine Textdatei oder Bilddatei in einem offenen Standardformat in ein proprietäres Kopierschutzformat „eingepackt“ werde. „Wer das tut, macht sich von einem herstellereigenen Format abhängig“, meint Müller und ergänzt: „Damit haben insbesondere mittelständische Unternehmen in der Vergangenheit keine guten Erfahrungen gemacht.“ Die Zeit der Abhängigkeit von einzelnen Herstellern mit ihren proprietären Formaten sei eigentlich vorbei.