Sicherer Hafen Microsoft?
Passport und Hailstorm sind die Nagelprobe des "Safe Harbor"-Konzepts
Die Beschwerde
Ende Juli haben sich der Beschwerde von EPIC bei der Federal Trade Commission (FTC) wegen Microsofts Passport-System US-amerikanische Verbraucher-Organisationen angeschlossen. Mitte August erweiterten sie sogar noch ihre Vorwürfe, denen sich auch der berühmte Verbraucheranwalt und Präsidentschaftskandidat Ralph Nader mit seinem "Consumer Project on Technology" anschloss.
|
|
Sie werfen Microsoft vor, Nutzern mit Passport und Hailstorm Anonymität und Pseudonymität im Internet zu verwehren. Durch die wachsende Integration des Microsoft-Passportkonzepts in Betriebsysteme, Browser und den Internetzugang selbst, sei die Verletzung der Privatsphäre für den durchschnittlichen Verbraucher "unvermeidlich".
Microsofts Geschäftsmodelle
So stattet das Passport-System, das das neue Betriebssystem WindowsXP in seiner Benutzerverwaltung integriert, alle Kunden mit einer Identität aus. Vor dem ersten Einloggen ins Netz weist WindowsXP seine Nutzer darauf hin, dass einige der Internetprogramme ein Passport-Konto benötigen. Dabei suggeriert es, dass der Nutzer seine persönlichen Daten selbst kontrolliert, obwohl alle Daten auf Microsoft-Servern gespeichert werden. Letztlich unterliege die Kontrolle über die Daten jedoch, so der Vorwurf der Verbraucherschützer, den Unwägbarkeiten von Microsofts Geschäftsmodell.
Über 100 Millionen sollen bereits Passport-Nutzer sein. Übrigens verfügen auch alle Hotmail-Kunden über ein Passport-Konto - ohne es zu wissen. Falls Passport-Besitzer E-Commerce betreiben, teilen sie Microsoft automatisch alle Einzelheiten ihrer privaten Transaktionen mit anderen Händlern mit. Die Nutzer werden über die "Hailstorm-Plattform" mit einem "verwirrenden Labyrinth" miteinander verbundenen Microsoft-Websites" konfrontiert, so die Beschwerde, "die ihre persönlichen Daten sammeln und untereinander austauschen".
Ziel von Microsoft ist es laut eigener Aussage "Hailstorm als Business zu betreiben". Dabei sind die "Endnutzer die Haupt-Umsatzquelle für Microsoft". Letztlich bezahlen die Kunden also dafür, dass sie auf ihre eigenen Daten zugreifen können. Die Microsoft-Geschäftspraxis sei, so die Beschwerde, "unfair" und "irreführend", da die Registration-Praktiken "irreführend", die Privacy-Policies "uneinheitlich" und die Übereinkommen zum Datenaustausch "geheim" seien.
Teilrückzug
Aufgerüttelt von der Klage kündigte Microsofts Vize-Präsident Brian Arbogast gegenüber der Presse an, dass künftig insbesondere Online-Händler, die neue "Platform for Privacy Preferences" (P3P) unterstützen wollen. Auch sollen neue Passport-Benutzer bald nur noch ihre E-Mail-Adresse und ein Passwort benötigen, um sich anzumelden. Zuvor fragte Microsoft umfangreiche Angaben ab über Adresse, Geschlecht, Alter, Beschäftigung, Familienverhältnisse, ja gar Hobbies und Lieblingszitate. Doch in ihrer neuen Beschwerde beklagte EPIC, dass immer noch Adresse, Land, Bundesstaat und Postleitzahl erhoben werden.
Wesentliche Probleme bleiben auch bei einer reinen E-Mail-Anmeldung bestehen: Die Nutzer sind nicht durch ein Opt-In-Verfahren vor Spam geschützt. Im Gegenteil: Microsoft "kann meine E-Mail-Adresse anderen Passport-Websites austauschen, die ich benutze", heißt es bei der Opt-Out-Option.
Was noch schwerer wiegen dürfte, ist ein offensichtlich unlösbares Sicherheitsproblem: Nutzer sind nicht davor geschützt, dass auch andere unbefugt ihre Passport-Authentifikationen benutzen. Die AT&T-Sicherheitsexperten David Kormann und Avi Rubin hatten schon letztes Jahr darauf aufmerksam gemacht, dass das Passport-Protokoll schon durch einfache Angriffe in die Knie geht. So könnte beispielsweise ein Scheinhändler eine Sign-on-Webpage einrichten und so an Nutzerdaten gelangen. Auch würden die persönlichen Daten auf Microsoft-Servern gespeichert, die jedoch gegen Attacken nicht vollkommen geschützt sind. Avi Rubin sagte, die Probleme seien "grundlegend" und könnten "nicht wirklich behoben" werden.
P3P bezeichneten jedoch die Sprecher der Verbraucherverbände als absolut unzureichend, solange die Standardeinstellungen der Internet-Browser das Setzen von Cookies zum Zwecke des Nutzertrackings vornehmen. Zudem befolgten viele der Privacy-Policies eine Opt-Out-Politik. Auch sei weniger als ein Drittel der Passport-Geschäftspartner Mitglied von Privacy-Siegel-Programmen wie Trust-E. Microsoft behalte sich außerdem das Recht vor, jederzeit die Geschäftsbedingungen von Passport zu ändern.
Ungelöst auch das Online-Shopping: Passport-Nutzer bei Online-Einkäufen müssen zusätzliche Daten wie die Kreditkartennummer übermitteln. Diese würden dann dauerhaft in Redmond gespeichert. Umfangreiche Kundenprofile seien auch dann noch möglich. Microsoft kündigte jedoch an, ab dem nächsten Jahr den Authentifizierungs-Service vom Billing-System zu trennen.
Dass diese Kritik keineswegs nur theoretisch ist und anonymes Einkaufen im Netz bereits funktioniert, bewies erst kürzlich das Dasit-Projekt der Frankfurter DG Bank. Bezahlt werden die Waren auf der Basis des Kreditkarten-Bezahlverfahrens "Secure Electronic Transaction" (SET). Es verschlüsselt die Bestellung des Kunden so, dass der Verkäufer und seine Bank nur die Information bekommen, die sie benötigen. So kennt der Händler nur das verkaufte Produkt und den Preis, nicht aber den Namen und die Kreditkarteninformationen des Kunden. Die Bank kennt zwar die Identität des Käufers und den zu bezahlenden Betrag, nicht aber das Produkt. Für die Lieferung wird die Kundenanschrift direkt an das Transportunternehmen übertragen.
Die Verbraucherschützer fügten der zweiten Beschwerde noch weitere Klagen hinzu: So hatten sie in der Zwischenzeit erfahren, dass Nutzer ihr Passport-Konto wie auch ihre persönlichen Daten von Microsoft-Servern nicht selbst löschen können. Einzelne Nutzer hatten dies von Microsoft verlangt und erfahren, dass sie ein Jahr lang warten müssten, bis ihr Konto auslaufe.
Doch nicht allein Passport macht den Verbraucherschützern Sorgen: Auch das "Digital Rights Management" (DRM), der in WindowsXP implementiert werden soll, kann verfolgen und überwachen, wie Nutzer mit Informationen umgehen. Microsoft gab selbst an, dass WindowsXP ein "aggressives Internet-Überwachungsprogramm" ermögliche, "das 24 Stunden am Tag, sieben Tage in der Woche nach einer unautorisierten Verbreitung von E-Book-Inhalten Ausschau halte". Außerdem blockiert XP für DRM auch Gerätetreiber, um zu verhindern, dass Nutzer mit anderen Programmen Urheberrechtsverletzungen begehen können.
Microsofts Gespür für Nutzerdaten
Schon in der Vergangenheit fiel Microsoft nicht gerade wegen seiner Sensibilität für Privacy-Fragen auf. 1998 schon brillierte die Microsoft-Tochter WebTV, die das Internetsurfen per Fernsehgerät möglich machte, mit dem zukunftweisenden Konzept des Nutzertrackings: WebTV unterhielt schon damals eine eigene Abteilung zur Auswertung des Nutzerverhaltens. Ohne dass die Zuschauer es ahnten, verschickte die Settop-Box von WebTV nachts E-Mails an das Unternehmen: Darin informierte die Settop-Box die Firma darüber, welche Websites aufgesucht, welche Werbebanner angeklickt und welche Fernsehprogramme gesehen und aufgezeichnet wurden. Die Ergebnisse wurden nach Postleitzahlen aufbereitet. Über ein Jahr dauerte es trotz weltweiter, massiver Kritik, bis das Unternehmen per Softwareaktualisierung diese Überwachungsfunktion zurücknahm.
Ein Jahr später kam ans Licht, dass Microsoft eine für eine Weile in allen Word- und Excel-Dateien die GUID-Nummern gesammelt hatte. Anhand einer Datenbank mit GUIDs und Personendaten hätte Microsoft ermitteln können, woher jede Datei stammte und so beispielsweise feststellen, welcher registrierte Windows-98-Anwender mit nicht registrierten Microsoft-Anwendungsprogrammen arbeitet. Obwohl der Konzern zunächst bestritt seine Kunden ausspioniert zu haben, gaben Microsoft-Manager zu, dass die GUID bei der Registrierung übertragen wurde. Die c't-Redaktion entdeckte daraufhin, dass die GUIDs vereinzelt in E-Mails, die mit Microsofts E-Mail-Programm Outlook verschickt worden waren. Nachdem das Aufsehen in der Öffentlichkeit erheblich war, versprach Microsoft, mit einer Reparatursoftware Windows98 von der GUID-Sammelei zu kurieren, und auch Windows 2000 sollte das Feature nicht mehr enthalten. Aber Microsoft wäre nicht Microsoft, wenn sie nicht dafür ein wesentlich effektiveres Tool entwickelt hätte: Passport.
Schutz im Safe Harbor?
Glaubt man den mit dem Safe-Harbor-Konzept verbundenen Datenschutzversprechen, dürften europäische Nutzer wenig Sorge haben, dass Microsoft ihre Daten missbraucht. Immerhin gibt es auch seitens der Federal Trade Commission (FTC) keinen Einwand gegen Microsofts Mitgliedschaft - allerdings muss sie auch gar nicht prüfen, ob der Eintrag korrekt ist. Werner Schmidt beim Bundesdatenschutzbeauftragten verspricht sich vom Safe-Harbor im Passport-Fall jedenfalls wenig:
"Wenn ein Nutzer sich darauf einlässt, ist es seine eigene persönliche Entscheidung".
Erst am 1. November 2000 waren die so genannten Safe-Harbor-Regelungen in Kraft getreten. Sie regeln, wie US-Firmen Daten von EU-Bürgern verarbeiten dürfen. Doch nach langen Verhandlungen sind die Vorgaben der EU-Datenschutzrichtlinie so verwässert, dass es genügt, wenn das Unternehmen die Einhaltung der Datenschutzregeln selbst überwacht. Die Datenschutzregeln können auch von Selbstregulierungs-Organisationen wie Trust-E oder BBB-Online aufgestellt werden, die ihren Mitgliedern Datenschutz-Siegel verleihen. Angesichts der wenigen erfolgreichen Regulierungsfälle, rufen jedoch US-Verbraucherschützer schon lange nach gesetzlichen Regelungen.
Eigentlich geht es beim "Safe Harbor" darum, einen "angemessenen Schutz" für die persönlichen Daten von EU-Bürgern zu gewährleisten. Doch eine ausdrückliche Einwilligung des Betroffenen, also eine Opt-In-Regelung ist nicht zwingend vorgesehen. Tätig wird die Handelskommission erst dann, wenn eine Firma gegen den von ihr behaupteten Datenschutzstandard verstößt. Denn dann kann sie wegen "Betrug" einschreiten.
Zahnloser Tiger
Ob die US-Verbraucherschützer aber auch mit ihrer Beschwerde Erfolg haben werden, ist trotz der massiven Vorwürfe ungewiss. Denn bislang erwies sich die FTC als zahmer Tiger: Sie hatte eine eigene Untersuchung der Firma Doubleclick wegen Cookie-Missbrauchs Anfang des Jahres beendet, nach dem sie ihr keine Verletzungen der Privatsphäre von Kunden nachweisen konnte.
Und auch im Mai 2001 platzte ein spektakulärer Fall gegen Amazon: Im Fall Amazon.com und Alexa verzichtete die FTC von vornherein auf eine Untersuchung samt Bestrafung. Hier hatten Nutzer vermutet, dass die Browser-Erweiterung Alexa, die seit 1999 im Besitz von Amazon.com war, alle eingegebenen Daten an die zentrale Datenbank von Amazon übermittelt hat - ohne dass die Nutzer dies wussten. Die Vorwürfe bestritten Alexa und Amazon, räumten aber ein, dass einige Daten versehentlich gespeichert wurden. 2 Millionen Dollar zahlten sie vorsichtshalber, um eine zivilgerichtliche Sammelklage abzuwenden. Damit erhielt jeder Kläger 40 Dollar Schadensersatz - für die verloren gegangene Privatsphäre
- GUID ? (28.8.2001 22:05)
- Re: Prima Zusammenstellung (27.8.2001 14:53)
- Re: Prima Zusammenstellung (27.8.2001 10:30)
Darstellungsbreite ändern
Da bei großen Monitoren im Fullscreen-Modus die Zeilen teils unleserlich lang werden, können Sie hier die Breite auf das Minimum zurücksetzen. Die einmal gewählte Einstellung wird durch ein Cookie fortgesetzt, sofern Sie dieses akzeptieren.
