Sonderedition-BW ¹
Auch berichtete ich am, das ich deswegen das Innenministerium, bzw. speziell dem Verantwortlich zeichnenden (lt. Impressum) des Innenministerium angeschrieben habe. Nun dieser Brief ist laut dem Rückschein (So Wichtiges geht bei mir immer per Einschreiben mit Rückschein raus) am 15.2.2012 beim Innenministerium B.-W. angekommen.
Das ist aber nicht alles. Ich habe meine Neugier auch weiter behalten und wollte herausfinden, wie nun die zusammenhänge zwischen dem Innenministerium B.-W., der Firma “WiredMinds AG” und vor allem der nirgendwo auftauchenden, aber offensichtlich darin verwobenen Firma “durato Ltd.”?
Wie ich bereits zusammensuchte, gab es wohl verschiedene Methoden, das die Bewegungen der Besucher analysiert werden. Welche Anwendungen finden und wie der sogenannte Widerruf gewährleistet wird, selbst wenn ein Besucher der Seite fremde Programme (in dem Fall als „Cookies“ bezeichnet) nicht auf seinem Rechner erlauben lassen will, was sein gutes Recht ist.
Weder findet man auf den entsprechenden Seiten des Landes dazu auch nur annähernde Infos, noch erfüllt man die angebliche Vorgabe, über die Analyse an „prominenter Stelle“ hinzuweisen, so jedenfalls mein Empfinden.
Besonders befremdlich mutet es einen an, das man bei näherem Hinsehen zwar eine Firma “WiredMinds AG” benannt bekommt, aber scheinbar alle Analyse-Vorgänge über die nicht benannte Firma “durato Ltd.” laufen.
Um an dem Ganzen noch etwas weiter heran zu kommen, habe ich mich mal weiter mit den einzelnen Seiten beschäftigt. Die Analyse soll angeblich durch die „baden-württembergische Firma WiredMinds“ erfolgen. So habe ich mir mal die Mühe gemacht, die Wege der einzelnen Seiten zu verfolgen.
Die Seite des „Landgerichts Heilbronn“, auf der ich ja über den Analyse-Dienst gestolpert bin liegt auf einem Server des Landes, ebenso wie das „Justizportal“ und das „Justizministerium“:
Wie man hier an Hand der IP-Adressen (80.149.91.233) erkennen kann, kommen die ganzen Seiten von dem selben Server. Ich schätze eben dem vom Justizministerium.
Richtiger weise hat das Innenministerium als eigenständiges Ministerium einen eigenen Server:
Dieser hat eine ganz eigene IP-Kennung (194.59.38.240). Trotzdem scheint das Innenministerium die Verantwortung der Besucheranalysen im Justizministerium zu haben. Ich frage mich da, ob das Justizministerium, bzw. z.B. das Landgericht Heilbronn (für den Webauftritt „landgericht-heilbronn.de) als Verantwortliche für Ihre Seiten eine Kontrolle darüber haben, was da mit Ihren Seiten geschieht?
Also, das Innenministerium zeichnet sich laut Impressum verantwortlich für den Webauftritt „webstatistik-bw.de“. Also müsste dieser ja, ebenso wie alle Seiten des Justizministerium diesem zuzuordnen sein. Also auch hier mal eben nachgeschaut, wie sich diese Seite Auflöst:
Hoppla, dieser Auftritt, der doch angeblich in der Verantwortung des Innenministeriums liegt, ist also weder diesem, noch dem Justizministerium zuzuordnen, wo ich ja auf diese Analyse aufmerksam geworden bin.
Da gibt es ja noch die Firma „WiredMinds“, die ja laut der Erklärung mit der Analyse beauftragt ist. Also mal da rein schauen:
Schon wieder eine weitere IP, die sich aber nicht der Analyse-Seite „webstatistik-bw.de“ zuordnen lässt.
Hinweis:
Ich nutze zur Seitenanalyse (wie sie oben als Screens zu sehen ist) einfach das „flagfox“ für den firefox-Browser. Dazu öffne ich die Webseite. Im Eingabefeld der URL zeigt mir eine Landesfahne die Landeszuordnung. Klickt man darauf, so wird eine neue Seite mit verschiedenen Informationen geöffnet. Dies zur Erklärung. Da ich auch das Beurteilungs-AdOnn „WOT“ für meinen Firefox instaliert habe, wurde mir beim öffnen der Seite von „WiredMinds“ folgende Warnmeldung angezeigt:
Wie es scheint, bin ich nicht der Einzige, dem dieses Angebot der Firma und vor allem auch die Analyse, die beim Besuch dieser Seite umgehend erfolgt (und im übrigen auch nicht an „prominenter Stelle“ mit einem Hinweis versehen ist) seltsam erscheint. Die Warnung basiert vor allem auf schlechte Bewertungen der „Vertrauenswürdigkeit“ der Seite durch die WOT-Bewerter.
Aber zurück zu der Analyseseite „webstatistik-bw.de“. Also weder das Justizministerium, noch das Innenministerium oder die angeblich beauftragte Firma „WiredMinds“ scheint die Kontrolle über die Analyseseite zu haben. In wie weit diese einen Zugriff haben, ist natürlich nicht bekannt.
Aber da gibt es ja noch die “durato Ltd.”. Eine Firma, die zwar mit den Ministerien etc. Werbung macht auf Ihrer Seite, aber bei diesen bezüglich der Seiten-Analyse nirgendwo auftaucht. Als auch mal da nachschauen:
Volltreffer!
Die Seite, dessen Verantwortung lt. Impressum beim Innenministerium liegt und dessen „Dienst“ von einer Firma in Baden-Württemberg durchgeführt wird liegt auf dem Server der Firma, dessen Domain diese ist und nirgendwo auftaucht.
Diese Firma hat also vermutlich den vollen Serverzugriff für die Domain „webstatistik-bw.de“.
Da diese ganz offensichtlich in den Seiten des Justizministeriums (so z.B. landgericht-heilbronn.de und justizportal-bw.de) eingebunden ist, muss man sich fragen, in wie weit alle Bewegungen der Besucher dieser Seiten des Landes auch automatisch „Besucher“ dieser Domain sind. Diese Frage ist besonders dadurch von Interesse, das somit eine Firma, die nirgendwo für den Besucher der Landesseiten erkennbar ist neben den Analyse-Daten auch eben die Lodfiles des Besuchers auf seiner Serverpartion der Domain gespeichert hat.
Wenn man sich meine Datenschutzerklärung anschaut, dann wird man feststellen, das ich die Registrierung der Logfiles der Besucher meines Blogs ausgeschaltet habe. Dies ist dank meines Providers Möglich. Ich kann zwischen der vollen Erfassung, der Erfassung mit gekürzter oder ohne IP wählen und eben, das keine Logfiles vom Server gespeichert werden. Dies ist aber nicht bei allen Anbietern so. So sind wir bei einem Forum, bei dem ich mitarbeite mit dem Provider im Gespräch, wie man dies für diese Domain auch erfüllen kann. Leider bietet dieser nur das automatische Speichern der Logfiles an.
Diese sind an sich nicht problematisch. Man kann hingehen und sie Manuell regelmäßig löschen, oder aber auch nicht. Sie beinhalten verschiedene Informationen, wie hier mal aufgelistet:
Bei den erfassten Logfiles handelt es sich im einzelnen um folgende Informationen, soweit im einzelnen zutreffend:
„255.255.255.255“ – IP-Adresse von der die Daten angefordert wurden
„- -“ – Platzhalter
„Gaston“ – (Beispiel) Benutzername bei Zugriff auf einen passwortgeschützten Bereich
„[11/Dez/2007:06:10:22 +0100]“ – Zeitstempel (Datum, Uhrzeit, Zeitzone) des Vorganges
„“GET /image/bg.gif HTTP/1.1″“ – angeforderte Datei und Protokollversion
„“POST /image/bg.gif HTTP/1.1″“ – gesendete Datei und Protokollversion
„200“ – HTTP-Statuscode (z.B. 200 = Übertragung erfolgreich, weitere Status-Codes: Erklärung der verschiedenen Statuscodes)
„58654“ – Übertragene Datenmenge in Bytes
„“[www.domain.abc];“ – Webseite von der auf die betreffende Datei verwiesen wurde
„“Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .)““ – (Beispiel) Name und Typ des Webbrowsers und des Betriebssytems des zugreifenden Rechners
„“www.hauptdomain.xyz““ – Ihr Domain- oder Subdomainname über den der Zugriff erfolgt ist
Im Ganzen dann in etwa so (mit Beispieldaten):
255.255.255.255 – – [19/Feb/2011:00:00:15 +0100] „GET /forum/css.php?1,css HTTP/1.1“ 304 – „http://www.gehirnsturm.info“ „Mozilla/5.0 (Windows; U; Windows NT 6.1; de) Gecko/20101203 Firefox/3.6.13“ www.justizportal-bw.de
Man erkennt also, es sind jede Menge Infos, die der Provider und Zugriffsberechtigte da einsehen können. Besonders in Verbindung mit der angeblichen „anonymen Erfassung“ kann so jeder Besucher auch wieder auf eine klare Zuordnung gebracht werden. Man braucht dazu nur die „anonymen“ und mit „Pseudonymen“ versehenen erfassten Daten, mit denen der Logfiles vergleichen. Schon hat man die Zuordnung auf die Person. Man kann sogar feststellen, ob dieser Anschluss (= IP-Adresse) nur von einem Rechner oder auch noch von anderen Rechnern benutzt wird, die die Seiten besuchen. Und wer die Analyse-Cookies nicht erkennt oder aus Unwissenheit auf seinem Rechner belässt, dessen Bewegungen kann man auch den verschiedenen „dynamischen IPs“ zuordnen, die man bei jedem neuen einloggen ins Internet zugeordnet bekommt. Bei Dauerverbindungen meist einmal in der Nacht, wenn man nicht aktiv die Verbindung kappt. Wie z.B. auch bei mir, mit meiner Fritz-Box.
Mir scheint es, als ob hier mit den Rechten der Bürger ganz arg Schindluder getrieben wird. Da lässt, allen vernehmen nach das Innenministerium des Landes Baden-Württemberg die Besuchergewohnheiten der Webseiten des Justizministeriums „analysieren“. Das durch eine externe Firma. Womit schon mal eine Kontrolle der Vorgänge erschwert wird. Diese Firma, die in der Datenschutzerklärung benannt wird, scheint aber nur eine Vermittlerrolle zu spielen, da alle Nachforschungen (Domaininhaber; Server-IP usw.) auf eine weitere Firma schließen lässt, die zum einen nirgendwo aufgeführt wird, obwohl von deren Domain auf die Rechner der Besucher versucht wird, kleine Programme (sogenannte Cookies) zu laden und deren Seite (webstatistik-bw.de) wiederum außerhalb der Kontrolle des Landes und der angeblich durchführenden Firma liegt.
Neben den beiden hier vorgestellten Domains, liegen laut meinen Recherchen noch 3 weitere Domains auf dem Serverzugang (IP ). Diese drei Domains gehören jeweils anderen Personen, aber als „Administrativer Ansprechpartner“ ist immer jener Detlef M., bzw. Detlef M.-S. für die Firma „durato Ltd.“ eingetragen. Man kann also durchaus davon ausgehen, das diese Firma diesen Server mit dieser IP für sich gemietet hat und für verschiedene Kunden bereit hält. Somit hat diese Firma als Administrativer Ansprechpartner den Zugriff auf die Serverinhalte, wie eben auch die Logfiles. Da ich z.B. meine Domain mit dem Serverplatz direkt von meinem Provider gemietet habe und somit derjenige bin, der den Zugriff auf meine Partion des Servers habe, stehe ich auch als „Administrativer Ansprechpartner“ in den Whois-Daten.
Wenn man sich diese ganzen Umstände meines ersten Artikels darüber und diesem zweiten Teil anschaut, kann man sich wahrlich Fragen, wie das Land Baden-Württemberg bei einer solchen Konstellation den unberechtigten Zugriff auf Benutzerdaten verhindern, bzw. schon den Datenfluss als solches kontrollieren kann?
Es wird mich schon interessieren, wie die Verantwortlichen der Seiten den Datenschutz bei solch undurchsichtigen Maßnahmen und Verflechtungen sicher stellen wollen oder bauen Sie etwa auf die Aussage Ihrer Analysepartner?
Da wir immer wieder erleben, wie schon innerhalb der politischen und verwaltenden Strukturen Gesetze missachtet werden (nehmen wir allein die Staatstrojaner, die in Ihrer Auslegung in keinster Weise der Entscheidung des BVGs entsprechen oder die ganzen Gesetze, die das BVG immer wieder als nicht Verfassungskonform erklären muss), wie soll da die Kontrolle über ein, bzw. zwei Firmen mit rein wirtschaftlichen Interessen kontrolliert werden?
HINWEIS:
Manch einer mag denken, das ich etwas Übertreibe.
Wer möchte kann mal überprüfen, welche Infos er über sich preis gibt, wenn er einfach nur, ohne besondere Vorkehrungen im Netz surft.
Wer will kann mal auf die gleich eingestellte Seite der „Electronic Frontier Foundation“ gehen und sich seinen „Fingerabdruck“, den er im Netz hinterlässt anzeigen.
Da ich aber nicht will, dass man einfach auf eine Seite geht, die so genau analysiert, welche Daten sie über einen Finden kann, will ich erst mal über den Anbieter des Dienstes informieren. Wer ist die „Electronic Frontier Foundation“ (über den Link werden Sie auf die deutschsprachige Seite von Wikipedia geleitet)
Der Dienst, der einem seinen elektronischen „Fingerabdruck“ anzeigt heißt „Panopticlick“. Es ist eine TLS/SSL-Seite, also mit einem Sicherheitszertifikat. Wer trotz meiner Hinweise nicht auf diese Seite will kann sich das Beispiel (Screenshots) von mir weiter unten anschauen.
Hier geht es zu der Seite: „Panopticlick“ (Durch drücken des „TEST ME“-Button kann man die Analyse aktivieren)
Wie gesagt, wer sich unsicher ist oder nicht auf diese Seite will, der kann sich hier die beiden Screenshots anschauen. Der links ist die Information, die das „Analyse“-Programm der „Electronic Frontier Foundation“ erstellen kann, wenn ich „Java“ nicht zulasse. Und rechts sieht man die Infos, die das „Analyse“-Programm auslesen kann, wenn ich (fast) alles frei gebe.
Analyse bei Blockierung von Java
Analyse mit Java-Zugriff
(Zum vergrößern auf die Bilder klicken)
Natürlich habe ich die Angaben, soweit sie persönlicher Natur sind entsprechend unlesbar gemacht.
Aber man kann hier deutlich sehen, was allein das Zulassen von „Java“ auf einer Seite für Auswirkungen hat.
Und vergessen wir nicht, das von Seiten der „webstatistik-bw.de“ ein Javaskript im Hintergrund läuft. Darüber habe ich im ersten Teil meiner Artikel geschrieben (Link zu dem Artikel unten).
Die Frage, was und wie von einem „Analysiert wird ist schon eine wichtige Frage. Ebenso wie die Frage, wie das Land, bzw. das Innenministerium (als lt. Impressum Verantwortlicher) einen Missbrauch bei dieser Firmenverstrickung und auslagerung der Daten verhindern kann, bzw. auch, wie eine sichere Kontrolle gewährleistet werden kann?
Was folgt jetzt noch?
Ich warte jetzt erst mal auf eine Antwort durch das Innenministerium. Weiter werde ich wohl an das Justizministerium schreiben, af deren Seite ja unter Anderem diese Analyse vorgenommen wird. Sie müssen meiner Meinung nach ebenfalls als Verantwortliche Ihrer Seite mir darlegen können, wie Sie einen Missbrauch und vor allem auch wie sie einen Widerspruch der Analyse auf Ihren Seiten gewährleisten wollen.
Ein weiterer Ansprechpartner wird natürlich auch der Landesdatenschutzbeauftragte sein.
Ein Punkt, der mich noch besonders interessiert ist eben die angebliche Möglichkeit des „Widerrufs“ der Analyse. Ich frage mich, wie diese wirklich gewährleistet werden kann, wenn zum einen dafür auf meinem Rechner Cookies gesetzt werden muss. Da es aber meine ganz persönliche Entscheidung ist, was ich auf meinem Rechner zulassen will, bzw. auch speichern lassen will, sehe ich hier einen ganz großen Mangel. Vor allem da man auch nicht darauf aufmerksam gemacht wird, das der Widerruf nur wirksam sein kann (so wie ich es bis jetzt sehe), wenn das Speichern von Cookies durch die Browsereinstellung zugelassen ist. Damit öffnet man aber wieder ein neues Tor. Ich bin deswegen ja auch gespannt, wie man mir das ganze erläutern wird.
Link:
– Gehirnsturm: * Internet * Bespitzelt das Land Baden-Württemberg seine Internetbesucher? („Teil 1“ der Recherche um die „Analysen“)
– Gehirnsturm: [Klappe 3] * Internet * Bespitzelt das Land Baden-Württemberg seine Internetbesucher?
Bildnachweis:
¹ Überarbeitung aus einem Bild bei „F!XMBR“ unter folgender Lizenz „CC_3.0-by-nc“
– Alle weiteren Bilder sind Screenshots, die ich selbst gemacht habe.
Pingback: * Internet * Bespitzelt das Land Baden-Württemberg seine Internetbesucher? |