zurück zum Artikel

Missing Link: Datenschutz, DAUs und Developer – wer darf Software kontrollieren?

Missing Link: Datenschutz, DAUs und Developer – Streit um zentrale DNS-Resolver

(Bild: pixabay.com)

Dem normalen Netzbürger muss man etwas Technik zumuten, aber nicht zu viel. Sollten Spezialisten manche Entscheidungen für ihn treffen – oder gar der Staat?

Sollte man Internetnutzern die Wahl lassen, wer für sie DNS-Anfragen beantwortet? Der Streit um eine Art "informed consent" für den Resolver kocht aktuell in der Auseinandersetzung über eine neue Art des DNS-Verkehrs hoch. Tatsächlich steckt dahinter eine Grundsatzfrage: Wie viel Technik darf und muss man dem normalen Netzbürger zumuten und wie viele Entscheidungen sollten die Techies oder gar der Staat für die Nutzer treffen?

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

mehr anzeigen

Das geht gar nicht, fanden große Netzbetreiber von ComCast bis Deutsche Telekom, dass DNS-Anfragen, die ihre Kunden via Browser absetzen, an einen zentralen DNS-Betreiber sonst wo in der Welt weitergereicht werden. Doch diese Idee hat die Internet Engineering Task Force (IETF) gerade standardisiert. Mozilla plant, das sogenannte DNS over HTTPS (DoH) in der Zukunft zur Voreinstellung des Firefox [2] zu machen, und auch Google kündigte just an, dass man DoH über Googles öffentlichen Resolver [3] 8.8.8.8. zur Verfügung stellt.

Bevor man die DNS [4]-Anfragen der Nutzer an einen globalen DNS-Dienstleister auslagert, müsse man die Nutzer mindestens aufklären, forderte daraufhin eine Reihe von großen Netzbetreibern angesichts der Entwicklung lautstark. Die Weitergabe "per Ordre Mozilla" – oder auch GAFFA – setze eine Einwilligung des Nutzers voraus. Immerhin würden diese Anfragen möglicherweise die eigene Jurisdiktion verlassen und für den Nutzer unerwartet, einen Dritten ins Spiel bringen.

Bei der Vorstellung, Endnutzer zu fragen, welchen DNS-Resolver sie gerne hätte, verdrehen viele Entwickler die Augen. Mozilla-CTO Erik Rescorla hält das für keine gute Idee und Dan York von der Internet Society fragte in Prag: "Interessiert das die Nutzer überhaupt?" Basierend auf den Erfahrungen aus dem Web, rechnen Entwickler damit, dass wie bei fehlerhaften Zertifikaten sich die Mehrzahl der Nutzer einfach genervt durchklickt. "Die große Mehrheit der Menschen auf dem Planeten ist nicht in der Lage, den Sicherheitskontext zu verstehen und wird nicht die Disziplin aufbringen, solches Wissen konsistent anzuwenden", meint ein IETF-Entwickler.

Mark Nottingham Vorsitzender der HTTPBIS und der QUIC [5]-Arbeitsgruppe bei der IETF erklärt, dass die Entwickler bei ihrer Arbeit davon ausgehen, dass Nutzer die Effekte und Folgen von Wahlmöglichkeiten, die ihnen in Bezug auf Sicherheitsfeatures angeboten werden, kaum abschätzen können und dies oft auch nicht unbedingt wollen.

So eine Feature-Matrix kann bei der Entscheidung helfen, welchen Provider man für sich für geeignet hält.

(Bild: dnsprivacy.org)

Die Gründe dafür sind nach Ansicht der Entwickler vielfältig. Einerseits sind Sicherheit und Privatheit komplexe Fragen. Um sie zu verstehen, muss man sich Zeit nehmen und die Technik zumindest im Ansatz verstehen. Die Effekte der für kurzfristige Vorteile aufgegebenen Sicherheit oder Vertraulichkeit werden außerdem in der Regel mit Verzögerung wirksam. Und schließlich arbeiten Nutzer meist zielorientiert an bestimmten Aufgaben. Daher neigen sie dazu, sich durch alles durchzuklicken, was sich zwischen sie und die Erledigung ihrer Aufgabe stellt.

Die Browser-Entwickler leiten daraus den Ansatz ab, ihre Plattformen kontinuierlich auf Sicherheit und Vertraulichkeit zu trimmen, ohne den Nutzer zu fragen – dabei aber, etwa bei Google, durchaus mit der Idee, das eigene Anzeigengeschäft zu perfektionieren. Die Klagen von Netzbetreibern darüber, dass Verkehr an ihnen vorbeigeleitet beziehungsweise verschlüsselt über ihre Kanäle geht, halten sie entgegen: Der lokale Netzwerkbetreiber, nicht zuletzt der Netzbetreiber "on the fly" unterwegs, ist nicht zwangsläufig vertrauenswürdig. Ist es ein zentraler DoH-Provider, von dem der Nutzer nichts weiß, lautet die Gegenfrage. Vielleicht würde ja mancher Nutzer, mindestens solange er im eigenen Heimnetz ist, doch seinem lokalen Provider den Vorzug geben. Hier liegt das Problem: soll man den Nutzer fragen, und wie? Den Nutzer vor die Wahl zu stellen, konterkariert – so warnen viele Entwickler bei der IETF – die Denke, dass ein sicherer Default ohne Ausnahmen die beste Lösung ist.

Es dem Nutzer einfach machen, so viel wie möglich zu verschlüsseln, ist das erklärte Konzept der Schweizer Stiftung pretty Easy privacy (pEp), die seit mehreren Jahren an "schlüsselfertigen" Lösungen für sichere Email [6] arbeitet. "Wir sind der Ansicht, dass es – ähnlich wie bei Messengern oder HTTPS – nicht zumutbar ist, dass User sie sich erstmal mit Schlüsseln oder Kryptografie näher beschäftigen müssen, um das Recht auf Privatsphäre zu haben", erklärt Stiftungsrat Hernâni Marques.

Man muss allerdings bereits einiges wissen, um die Features und deren Konsequenzen komplett zu verstehen.

(Bild: dnsprivacy.org)

Die pEp-Suite, die es bereits für mehrere Betriebssysteme und vor allem als integrales Tool in neuen Firefox-Versionen gibt, übernehmen Schlüsselerzeugung, Schlüsselaustausch mit Partnern, Synchronisierung mit anderen Geräten und signalisieren dem Nutzer jeweils, wie sicher die ausgetauschten Nachrichten sind.

Muss der Nutzer all diese Dinge selbst übernehmen, werde gerade beim Messaging wie auch bei der E-Mail Verschlüsselung nach wie vor kaum angenommen. Ein Beispiel dafür, wie zäh es vorangeht, wenn Nutzerinitiative gefragt ist, sind für Marques Angebote wie Telegram. Obwohl es nur eines einmaligen Opt-ins durch den Nutzer bedürfe, kommunizieren die meisten Telegram-Nutzer ungesichert. Auch pEp kann trotz vieler Mühe für Installations- und Bedienungsfreundlichkeit größere Nutzerzahlen vor allem seit der Einbindung in den Firefox-Browser vorweisen. Von rund 400.000 Firefox-pEp-Nutzern sprach man im vergangenen Jahr.

Ganz ohne einen informierten Nutzer geht es auch bei solchen Konzepten nicht. Trotz des eindeutigen Bekenntnisses zum "Privacy by Design and Default"-Konzepts, auch pEp-Nutzer müssen sich um die Aktualität der Software kümmern. Man rate zu Backups und Geräteverschlüsselung, sagt Marques außerdem. Denn für die Benutzerfreundlichkeit hat man sicherheitstechnische Kompromisse gemacht: Die bei OpenPGP übliche Passphrase braucht es nicht mehr. Das heißt andererseits: Wer sein Gerät verliert, liefert sich dem Finder aus. Der kann E-Mails oder Messages lesen und der pEp-Schlüssel ist futsch. Absolute Sicherheit bietet pEp auch insoweit nicht, als in der ohne weiteren Aufwand laufenden opportunistischen Variante der Schlüssel des Gegenübers nicht überprüft wird.

Die pEp-Suite versucht, dem DAU auch das Einfach nahe zu bringen: durch Ampelfarben, rot für "misstraut", gelb für "opportunistisch", grün für "abgesichert". "Es ist wichtig", sagt Marques, "dass sich der Nutzer nicht in totaler Sicherheit wähnt."

"Ein vollständiges Plug-and-Play ohne Wenn und Aber ist aus verschiedenen Gründen unrealistisch", anerkennt auch Marit Hansen, Datenschutzbeauftragte des Landes Schleswig-Holstein und eine starke Stimme für den technischen Datenschutz.

Natürlich sollten Entwickler und Provider sehr viel mehr für eine einfache Benutzbarkeit tun, damit Dienste und Produkte so ausgeliefert werden, dass ein Risiko möglichst gering ist und Datenschutz und Sicherheit von Anfang an eingebaut sind, unterstreicht sie. In Europa ist das sogar Pflicht. Dinge wie Klartext in der Cloud zu speichern, bei vernetzten Autos Signale ohne Beschränkung der Reichweite aussenden oder auch DNS-Daten ohne Not quer durch die Welt zu verteilen oder mitzuloggen, entspricht den Vorgaben der Datenschutzgrundverordnung [7] nicht.

Die Nutzer müssen zudem, unterstreicht Hansen, "auf Basis von verständlichen Informationen bewusst entscheiden können, ob und wann sie mehr Daten freigeben oder mehr Verarbeitung erlauben". Da ist er wieder, der "informed consent", über den die Techniker so die Nase rümpfen.

Mehr Infos

Missing Link: Datenschutz, DAUs und Developer – Streit um zentrale DNS-Resolver

(Bild: Fairsight Security)

DNS ist insbesondere in Firmenumgebungen eine wichtige Informationsquelle und kann dabei helfen, die Sicherheit zu verbessern. Allerdings bedeutet die bevorstehende Einführung sicherer DNS-Dienste, dass viele dieser Techniken absehbar Probleme bekommen werden.

mehr anzeigen

Übrigens sind sie laut Artikel 25 DSGVO auch gar nicht direkt angesprochen. Der Artikel richtet sich, konstatiert Hansen, "an diejenigen, die die personenbezogenen Daten verarbeiten und für die Verarbeitung verantwortlich sind, dazu gehören Entwickler und Hersteller erst einmal nicht." Aber: die Verantwortlichen müssen doch bei der Auswahl der Verarbeitungssysteme das Prinzip "Datenschutz by Design & by Default" sehr wohlberücksichtigen und dies bei den Herstellern einfordern. "Das passiert leider aktuell noch zu wenig", mahnt die Datenschützerin.

Was sie Entwicklern wie Providern zugesteht, ist zudem, dass es große Unterschiede gibt, was den Schutzbedarf anbelangt. Die Unterschiede könnten technisch begründet sein oder davon abhängen, "wo die am Dienst beteiligten Service Provider ihren Sitz oder ihre Server haben, welchem Recht sie unterliegen und welche unvorhergesehene Zugriffe auf Daten oder Rechner – durch Behörden oder andere – möglich sind. Einige User mögen daher Service Provider oder Komponenten in ihrer eigenen Jurisdiktion bevorzugen, andere eben gerade nicht", sagt sie.

Dieser Gedanke wurde auch von den Befürwortern von HTTPS als Transport für DNS ins Feld geführt. Wer DNS in einem Land (oder Netz) braucht, das auf staatlichen Druck hin stark gefiltert wird, könnte durch den zentralen, externen DoH-Server profitieren. Dass großen Netzbetreibern ausgerechnet jetzt, wo sie Verkehr zu verlieren drohen, einfällt, dass sie ihren Nutzern eigentlich die Wahl geben sollten, wo ihre DNS-Anfragen beantwortet werden sollten, ist nach Ansicht der DoH-Befürworter eher dem Kontrollverlust, als der Idee von der informierten Einwilligung in Verarbeitungsprozesse geschuldet.

Zu den staatlichen Aufgaben gehört es nach Hansens Ansicht einerseits, im Bereich der Standardisierung dafür Sorge zu tragen, dass dort Datenschutz und Sicherheit eingebaut werden. Andererseits ist der Staat auch aufgerufen, das Bewusstsein und Verständnis über die Risiken und Schutzkonzepte in der Bevölkerung zu verbessern, "ohne dass jede und jeder zum Informatik-Profi werden muss", sagt die Datenschützerin.

Ganz praktisch gesprochen rät sie in der Frage, wie viel Technik zumutbar ist, Nutzer bei der Installation und Konfiguration über die wichtigen sicherheits- und datenschutzrelevanten Entscheidungen aufzuklären und ihnen Empfehlungen durch ihre Provider oder auch durch Stellen ihres Vertrauens zu geben.

"Hier wären auch Konfigurationsfiles oder Wizards von Verbraucherschützern, Datenschützern, Sicherheitsexperten oder Vereinen denkbar," sagt sie. Der Auftrag an die Entwickler sei es, dies zu ermöglichen und zu unterstützen. In der Dokumentation sollten Beispiele für typische Konfigurationen gegeben werden. "Das würde auch den Verantwortlichen erleichtern, die für ihre Verarbeitung datenschutzfreundlichen Voreinstellungen zu wählen", erklärt sie.

Bei risikoreicher Verarbeitung sollten außerdem deutliche Warnungen gegeben werden, etwa wenn geheime Schlüssel weitergeben werden, eine Verschlüsselung deaktiviert oder Dritte Zugriff auf das eigene Gerät nehmen (als Fernwartung). Manchmal kann es notwendig sein, dass die entsprechenden Aktionen unterbunden werden, das hätten die Betreiber festzulegen und transparent zu machen. Darüber, wie diese Empfehlung der Datenschützerin auf die Nutzung von DoH-Servern anzuwenden ist, dürfte in den kommenden Monaten noch heftigst gestritten werden.

Bei aller Unzulänglichkeit der Nutzer, die Transparenz über mögliche Risiken oder an einem Dienst beteiligte Partner oder Dritte erlaubt zumindest eine erste Entscheidung darüber, wem – welchem Softwareentwickler, welchem Provider und welcher Jurisdiktion – sie trauen wollen.

Die Idee, dass es jedermann möglich sein sollte, seine Software zu kontrollieren, klingt gut und ist auch in Entwicklerkreisen noch nicht vollkommen aufgegeben. Vielleicht werden künftige Nutzergenerationen vertrauter mit der Technik sein oder besser ausgebildet, meint ein IETF-Entwickler. "Dann könnten wir vielleicht schlauere Modelle für die Interaktion zwischen Nutzer und Netz entwickeln und dem Nutzer die Wahl geben", sagt er. "Von allein passiert das aber sicher nicht. Wir sollten nicht davon ausgehen, dass das Aufwachsen mit dem Internet automatisch dazu führt, dass man versteht, wie es funktioniert."

(tiw [9])


URL dieses Artikels:
http://www.heise.de/-4403840

Links in diesem Artikel:
[1] https://www.heise.de/thema/Missing-Link
[2] https://mailarchive.ietf.org/arch/msg/doh/po6GCAJ52BAKuyL-dZiU91v6hLw
[3] https://mailarchive.ietf.org/arch/msg/dnsop/GE8v2Yz6zsl28clDvlshGh3rYlc
[4] https://www.heise.de/thema/DNS
[5] https://www.heise.de/meldung/IETF-103-Vom-guten-und-boesen-Verkehrsmanagement-4217118.html
[6] https://www.heise.de/select/ct/2018/09/1524865072257341
[7] https://www.heise.de/thema/DSGVO
[8] https://www.heise.de/security/artikel/Was-man-ueber-DNS-als-Sicherheits-Werkzeug-wissen-muss-4085947.html
[9] mailto:tiw@heise.de