Gefährlicher Softwaretipp

Auf handelsblatt.com gibt es die Kolumne Schiebs Softwaretipp. Der jüngste der derzeit fünf Beiträge behandelt das Vermeiden Spuren beim Surfen, also die Anonymsierung: Im Netz surfen – und anonym bleiben heißt der Text vom 08.01.2009. Diesen Text halte ich für unverantwortlich, weil grob irreführend.

Vorweg: Was Jörg Schieb schreibt, ist nicht falsch. Es ist aber so verkürzt, dass meines Erachtens beim Leser ein falscher Eindruck von Sicherheit entsteht. Das ist gefährlich, weil trügerisch.

Der Text beginnt mit dem Vorspann
Wer bei seinen Onlinetouren keine Spuren hinterlassen möchte, dem bieten die neuesten Browser eine virtuelle Tarnkappe. Gerüstet mit entsprechenden Pugins, kann niemand mehr nachvollziehen, welche Seiten der User besucht hat.

Danach werden die Browser Chrome, Internet Explorer und Firefox vorgestellt, außerdem für letzteren das Addon Stealther.

Tatsächlich behandelt der Text nur die so genannte „Anfangs-Anonymisierung“, d.h. das Vermeiden von Spuren auf dem Rechner, von dem aus gesurft wird - was ja nicht unbedingt der eigene Rechner sein muss. Andere Nutzer sollen nicht mitkriegen, wohin man gesurft hat. Bezeichnenderweise heisst diese Form der Anonymisierung im Szenejargon auch Pornomodus. Schieb umschreibt das etwas dezenter: Dieser Privatmodus war zum Beispiel ideal für die Vor-Weihnachtszeit, denn so konnte niemand herausfinden, auf welchen Webseiten ich möglicherweise etwas eingekauft hatte.

Falsch an diesem Satz ist bereits, dass der Administrator eines Rechners (etwa in einem Firmennetz) durchaus noch nachvollziehen kann, wohin gesurft wurde - dazu reicht ein voreingestellter Proxy. Auch die Gefahren von Malware, z.B. eines Keystroke-Loggers, bleiben unerwähnt. Stillschweigend geht Schieb davon aus, dass seine Leser ihre Computer selbst administrieren und dabei auf maximale Sicherheit achten. Oder aber, dass seine Leser und diejenigen, die ihnen vielleicht über die Schulter gucken wollen, auf ähnlich geringem Kenntnisstand sind.

Umfassend abgehandelt wird die Anfangs-Anonymisierung nicht: So lange man sich in Internet-Cafes nicht registrieren muss, kann man dort gut unbeobachtet surfen. Eben, so lange entstehende Spuren nicht personalisiert werden können.

Und auch das Privacy-Dongle des FoeBuD kann man dafür empfehlen. Dieser USB-Stick bietet zudem die Möglichkeit, heruntergeladene Dateien gar nicht erst auf der Festplatte des genutzten lokalen Rechners zu speichern, sondern gleich auf dem Stick.

Merkwürdig auch, dass ausgerechnet die Firefox-Erweiterung Stealther empfohlen wird. Die ersten drei der derzeit 102 Reviews beginnen eindeutig: Doesn’t work at all. ; Well the idea is perfect, but the solution is not … ; Very disappointed about this release of Stealther because

Gefährlich verkürzend ist ebenfalls, dass das Problem der End-Anonymisierung unerwähnt bleibt. Die Spuren also, die beim Betreiber angesurfter Seiten (und bei Servern eingeblendeter Werbung) oder gar beim Hersteller des Browsers gesammelt werden. Wie viele Daten das sind, kann man sich etwa bei leader.ru anschauen (die Seite taugt auch, um Anonymisierungen zu testen).

Datenspuren vermeiden ist nicht trivial. Für eine Kolumne von weniger als 3.000 Zeichen ist das Thema schlicht ungeeignet.

Tags: ,

7 Responses to “Gefährlicher Softwaretipp”

  1. Malte Nieding Says:

    Naja, hört sich nach einem typischen Schieb an. Vor ein paar Jahren hatte er mal darüber berichtet, dass in einem Wikipedia-Beitrag über den Journalisten John Seigenthaler einige Faktenfehler standen. In diesem Bericht war der Name von Seigenthaler allerdings durchgängig falsch geschrieben. Trotz mehrerer Hinweise wurde der Fehler bis heute nicht korrigiert (also der Fehler in Schiebs Beitrag - der Fehler in der Wikipedia natürlich sofort). Siehe auch http://www.basicthinking.de/blog/2008/01/18/joerg-der-faktenschieber/

  2. Jörg Schieb Says:

    @aude: Danke für die kritische Analyse. Ich denke, der entscheidende Punkt in Deinem Posting ist der letzte Satz: „Datenspuren vermeiden ist nicht trivial“. In der Tat hat die Kolumne nunmal nur beschränkten Platz, und es sollte definitiv ausschließlich EIN Aspekt abgehandelt werden: Wie vermeide ich, dass Spuren auf MEINER Festplatte zurückbleiben. Darum ging’s, um nichts anderes.

    Der Anspruch, jeden Artikel, der sich mit einem Teilgebiet auseinander setzt (hier: Vermeiden von Datenspuren auf der Festplatte), gleich zu einem Grundlagenstück zu machen (also ein Rundumschlag), ist in der Praxis nicht einlösbar - das weiß auch jeder, der schreibt/veröffentlicht. Und anders als im Web, wo man praktischerweise an geeignete Stellen zum Vertiefen verlinken kann, ist das in Print nunmal NICHT möglich. Da ist man auf den vorhandenen Platz beschränkt.

    Zudem ist es so, dass die Kolumne mal mehr, mal weniger Platz bietet. Der ursprüngliche Text war länger und hat auch für mehr Klarheit gesorgt, da ist aber so manches dem Rotstift zum Opfer gefallen - eben aus Platzgründen. Auch das kennt jeder, der schreibt/publiziert (auch wieder: außer im Netz, da gibt es das Problem kaum).

    Das ist ein Blog über Journalismus und Recherche. Wäre es da nicht vorbidlich gewesen, mal (bei mir) nachzufragen? Die Möglichkeit besteht schließlich. Anderen mangelnde Recherche vorzuwerfen, selbst aber nicht zu recherchieren (was extrem häufig vorkommt), finde ich immer ein bisschen problematisch, um ehrlich zu sein.

    @malte: Das gilt auch hier: Ich betreibe nicht die Webseite des Deutschlandradios. Das DLR habe ich seinerzeit informiert. Außerdem halte ich derartige polemische Verallgemeinerung für unangemessen, und wenn man es schon macht (also zuspitzt), wäre es doch schön, wenn es wenigstens witzig getextet wäre - und Spaß macht beim Lesen. So wirkt es nur rechthaberisch. Aber das muss natürlich jeder Schreiber selbst wissen.

    Was ich damit sagen will? a) Erst urteilen, wenn man die Fakten kennt. b) Auch selbst mal recherchieren (und Betroffene befragen). c) Es gibt journalistische Formate, die einen zwingen, verkürzt zu berichten (sektorale Berichterstattung). d) Niemand arbeitet fehlerfrei, es hilft, das auch für die eigene Arbeit zu akzeptieren, egal ob als Journalist, Bloger oder was auch immer ;-) - denn dann (ab)urteilt man womöglich weniger persönlich, was wieder der Sache dient.

    Bitte nicht falsch verstehen: Kritik, konstruktive zumal, ist sehr willkommen. Ich setze mich gerne damit auseinander - wer offen ist, lernt immer dazu. Ein Leben lang.

  3. aude Says:

    Moin, verehrter Jörg Schieb,

    Sie behandeln in Ihrem Text nur einen Aspekt, wie Sie selbst schreiben - es wäre viel gewonnen, wenn Sie den Text um genau diesen Hinweis ergänzen würden. Meine Kritik ist im Kern, dass der Leser dies nicht erfährt und sich dann in trügerischer Sicherheit wiegt.

    Dass Sie die anderen Formen der Anonymisierung nicht behandeln, halte ich Ihnen nicht vor. Wohl aber, dass Sie nicht erwähnt haben, dass es die überhaupt gibt. Was Sie schreiben, gilt nur mit den Einschränkungen, die ich in meinem Posting gebloggt habe, z.B. dass in Firmennetzen ein Admin trotz des Privatmodus noch ermitteln kann, wofür der Browser genutzt wurde. Über diese Einschränkungen hätten Sie die Leser informieren sollen.

    Den Rekurs auf die Kürze des Textes und redaktionelle Bearbeitungen (beides kenne ich aus eigener Erfahrung) lasse ich da auch nicht gelten. Sie schreiben „Zudem ist es so, dass die Kolumne mal mehr, mal weniger Platz bietet. Der ursprüngliche Text war länger und hat auch für mehr Klarheit gesorgt, da ist aber so manches dem Rotstift zum Opfer gefallen - eben aus Platzgründen“. Ich kenne die Gepflogenheiten beim Handelsblatt nicht - hatten Sie nicht den letzten Blick auf Ihr Stück, bevor es veröffentlicht wurde? Zum Beispiel von der c’t weiß ich, dass das dort selbstverständlich ist. Und gerade bei sicherheitsrelevanten Themen sollte das immer so sein - schliesslich stehen Sie als Verfasser für Ihren Text.

    Solange ich einen publizierten Text kritisiere, muss ich vorher nicht den Verfasser kontaktieren. Nachzumal: Keine der beiden Webseiten erlaubt das Kommentieren, Ihre Mailadresse wird dort nicht genannt (auch nicht im Impressum). Ihre Website hatte ich besucht - auch dort keine Mailadresse. Sie bieten lediglich ein Kontaktformular an - dazu hatte ich offen gesagt keine Lust.

    Wie gesagt: Wenn Sie den Text beim Handelsblatt um einen Hinweis ergänzen könnten, wäre für dessen Leser viel gewonnen.

    Ist das drin?

  4. Jörg Schieb Says:

    @aude: Ich persönlich veröffentiche meine E-Mail-Adresse nicht, dafür gibt es bekanntlich auch mehr als genug gute Gründe. Ich bekomme auch so schon genug Spam und Mails, die ich nicht will. ;-) Ein Kontaktformular ist daher doch wohl nicht nur eine probate, sondern auch eine übliche und bewährte Methode, eine Möglichkeit zum Kontakt anzubieten. Das Argument verstehe ich jetzt wieder nicht. Ist aber nebensächlich…

    Nichtsdestorotz: Das Handelsblatt setzt meine E-Mail-Adresse nahezu immer unter die Artikel; unter diesem Artikel nun aber ausgerechnet nicht, zumindest nicht online, in der Print-Ausgabe ist die E-Mail-Adresse abgedruckt. :)

    Ich spreche nicht für die Redaktion des Handelsblatts, weder für Print, noch für online, da ich nur Autor bin. Ich arbeite für die Print-Ausgabe, mit der Onlineredaktion habe ich keinen regelmäßigen Kontakt. Sie ist auch nicht Auftraggeber.

    Um aber die konkrete Frage zu beantworten: Nein, ich bekomme die Artikel gewöhnlich nicht noch mal vorgelegt. Nur, wenn es dafür wirklich dringende Gründe gibt (etwa wenn der Redakteur meint, es könnte durch die Redaktion etwas verändert worden sein). Nahezu keine Redaktion, die ich kenne, legt grundsätzlich redigierte Artikel den Autoren noch mal vor. Das ist unstrittig ein Ideal, aber in der Praxis - nach meiner Erfahrung - nicht unbedingt üblich. Im Gegenteil. (Selbst bei den ganz, ganz Großen nicht.) Angesichts immer ausgedünnterer Redaktionen sicher auch keine Überraschung.

    Ich will mal sehen, ob eine Anpassung des Artikels in der Onlineausgabe möglich ist, denn dort steht der Beitrag ja noch länger. :) (Und natürlich wurmt es micht, wenn Kritik auch noch auf den Punkt trifft.)

    Bei näherer Betrachtung kann ich einige der kritischen Anmerkungen definitiv nachvollziehen. Es mag wirklich sein, dass falsche Erwartungen geschürt werden, schon durch die Headline, von daher ist diese Diskussion hier sehr wertvoll.

    Gleichwohl sind einige Vorwürfe oder Unterstellungen nicht korrekt: Es liegt nicht an mangelnder Recherche, wie immer wieder gerne als Generalverdacht und -vorwurft losgepoltert wird (ich bin mit der Thematik nun wirklich vertraut), sondern bestenfalls an Formulierungen. Auf dieser Ebene können wir gerne diskutieren: Wie populär dürfen Formulierungen sein? Eine ständige Gratwanderungen zwischen Akuratesse (schreibt man das so?) und Bildern für die Verständlichkeit.

  5. Jörg Schieb Says:

    Übrigens: Torpark habe ich seinerzeit auch schon mal ausführlich vorgestellt, (unter anderem auch im Handelsblatt).

    http://www.schieb.de/606107/mit-tarnkappe-ins-web

  6. aude Says:

    Moin, verehrter Herr Schieb,

    wenn Ihr Text über Torpark auch im Handelsblatt lief, wäre es sehr gut, ihn unter dem Suftwaretipp zu verlinken - er gehört zweifelsohne zur Sache. BTW: Der Springhin-Link auf Torpark funktioniert nicht mehr (wohl, weil es eine neue Version der Software gibt).

  7. Jörg Schieb Says:

    @aude: Der Handelsblatt-Artikel hat eine passende Ergänzung am Ende erfahren, das tut der Sache zweifellos gut. Außerdem sind nun alle in der Produktionskette, einschließlich mir selbst ;-), stärker sensibilisiert, was Formulierungen angeht. Der Torpark-Artikel findet sich hier im HB:

    http://www.handelsblatt.com/technologie/anwender-tipps/mit-tarnkappe-ins-web;1349036

    Die Springhin.de-Adresse habe ich korrigiert, danke für den Hinweis.