Menü
aus ein
Ansicht umschalten Baum an
Avatar von Holger Voss

mehr als 1000 Beiträge seit 07.01.2000

Ubuntu entwickelt Spyware

Eine Software, die ungefragt "nach Hause telefoniert", ohne dass dies
für ihre Funktion erforderlich ist, bezeichnet man als Spyware. Und
genau das ist es, was Ubuntu (Canonical) hier entwickelt und
bereitgestellt hat.

Das Softwarepaket enthält zumindest in seiner jetzigen Form keinen
Mechanismus, der dafür sorgt, dass vor der Installation (z. B.
debian/preinst-Skript) oder vor der ersten Ausführung gefragt wird,
ob das Skript installiert/ausgeführt werden darf. Damit ist das
Skript offenbar als Spyware konzipiert, auch wenn es zur Zeit noch
nicht ungefragt verbreitet wird.

Ich kann verstehen, dass Anbieter von Ubuntu-Computern gerne wissen
möchten, wie häufig das vorinstallierte Ubuntu tatsächlich genutzt
wird. Und sie dürfen mich auch gerne fragen, ob ich dass
vorinstallierte Ubuntu nutze. Aber sie dürfen sich diese Information
nicht automatisch und ohne meine ausdrückliche Zustimmung beschaffen!

Ich kann schließlich auch verstehen, dass es den Hersteller meines
DSL-Routers interessiert, wie lange seine Router normalerweise
eingeschaltet sind, welche Datenmengen durchschnittlich transportiert
werden, auf welchen TCP-/UDP-Ports der meiste Traffic empfangen bzw.
gesendet wird usw. - Trotzdem wäre ich empört, wenn ich herausfände,
dass mein DSL-Router solche Daten ungefragt an den Hersteller
schickt!

Natürlich sind die persönlichen Daten, die das "send-census"-Skript
im "canonical-census_0.1"-Paket verschickt, sehr begrenzt. Aber auch
"Spyware light" ist Spyware.

.
Soweit zu meiner persönlichen Meinung. Jetzt zum Juristischen:

Die deutschen Datenschutzgesetze sehen meines Wissens nicht vor, dass
die Anbieter von Produkten ohne ausdrückliche Zustimmung automatisch
überprüfen dürfen, ob (und ggf. wie oft) ihr Produkt tatsächlich
benutzt wird. Eine solche Überprüfung ist spätestens dann illegal,
wenn dabei personenbezogene Daten übermittelt werden. Und das ist
hier der Fall.

Der "wget"-Befehl im "send-census"-Skript aus dem
"canonical-census-0.1"-Paket übermittelt die IP-Adresse der
AnwenderIn an census.canonical.com.

Die IP-Adresse ist ein personenbezogenes Datum: "Personenbezogene
Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse
einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)."
(§ 3 Abs. 1 BDSG, http://bundesrecht.juris.de/bdsg_1990/__3.html) -
Bei statischen IP-Adressen ist eine zur Adresse gehörende Person
regelmäßig auf lange Zeit bestimmbar, bei dynamischen IP-Adressen ist
die zur Adresse gehörende Person üblicherweise für mehrere Tage
bestimmbar. Dass Canonical selbst normalerweise (zumindest bei
dynamischen IPs) nicht herausfinden kann, welche Person zu einer
IP-Adresse gehört, ändert daran nichts; schließlich sind auch
Personalausweis-Nummern oder KFZ-Kennzeichen personenbezogene Daten,
obwohl nicht "jedermann" ohne weiteres herausfinden kann, welche
Nummer zu welcher Person gehört.

Und es ist nicht nur verboten, personenbezogene Daten unnötig zu
nutzen, sondern es ist bereits verboten, personenbezogene Daten
unnötig zu erheben: "Die Erhebung, Verarbeitung und Nutzung
personenbezogener Daten und die Auswahl und Gestaltung von
Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig
personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu
nutzen." (aus § 3a BDSG) - Die absichtliche Herstellung einer
IP-Verbindung zur Kontrolle, ob ein Produkt tatsächlich genutzt wird,
verstößt ganz offensichtlich gegen diese Gesetzesvorschrift.

.
Was kann man dagegen tun?

So lange niemand das Softwarepaket "canonical-census" ungefragt an
irgendwen ausliefert, muss man nicht viel tun. Aber wenn irgendwann
Computer gehandelt werden, bei denen dieses Paket automatisch
installiert ist bzw. installiert wird, dann muss man m. E. etwas
dagegen tun.

Zum einen kann der juristische Weg erfolgreich sein. Entweder geht
man selbst den Klageweg, oder man wendet sich an die zuständige
Datenschutzbeauftragte des Landes oder des Bundes.

Außerdem kann man sehr leicht mit gefaketen Datenpaketen an
census.canonical.com die Daten, die dort (soweit zur Zeit
ersichtlich: illegal) erhoben werden sollen, unbrauchbar machen.

Im Moment bin ich aber noch optimistisch, dass Canonical auch so
einsieht, dass der mit "canonical-census" beschrittene Weg falsch
ist.

Schönen Gruß

Holger
Bewerten
- +
Anzeige