Hadmut Danisch

Ansichten eines Informatikers

Europäische Cookie-Gesetzgebung

Hadmut
19.5.2011 11:14

Was treiben die denn da jetzt?

Ein Leser weist mich gerade auf diese Meldung der ZDF heute-Nachrichten hin. Zoff um Datenkekse.

Anscheinend (ich muß mir das erst mal alles im Detail durchlesen) gab es da eine EU-Richtlinie 2009/136/EG, die die Länder verpflichtet, irgendwelche Anforderungen bezüglich Datenschutz und HTTP-Cookies in nationales Recht umzuwandeln. Bevor ein Webserver ein Cookie setzt, soll der Benutzer gefragt werden, ob er damit einverstanden ist.

Da kommen mir beim ersten Lesen Zweifel:

  • Schon die Umsetzung ist schwierig und wenig sinnvoll. In vielen Fällen sind Cookies so implementiert, daß bei jedem Zugriff auf einen Webserver ein Session-Cookie gesetzt wird, falls es noch keines gibt. Das heißt aber, daß schon beim Zugriff auf die Abfrageseite und ggf. einen Redirect ein Cookie gesetzt werden würde. Man müßte also größere Änderungen vornehmen, das ist nicht so einfach mal abzuschalten.

    Nicht der Server, sondern der Browser muß den Benutzer fragen, ob er will.

  • In der Sache liegt ein fundamentaler Denkfehler. Nehmen wir mal an, der Benutzer entscheidet sich, daß er kein Cookie haben möchte. Gut.

    Wie aber soll sich der Webserver merken, daß dieser Benutzer nun kein Cookie haben wollte, um ihn nicht jedesmal von neuem zu fragen? Ein naheliegender Ausweg wäre, daß man einfach ein Cookie setzt in dem drinsteht, daß dieser Benutzer keine Cookies haben will – äh, Moment mal. Cookies sind dazu da, um bei mehreren Webseitenzugriffen, zwischen denen prinzipiell kein Zusammenhang besteht, einen Zusammenhang herzustellen. Ohne diesen Zusammenhang weiß der Webserver aber nicht, ob der Benutzer derselbe ist, der eben Cookies abgelehnt hat.

  • Deutsches Recht gilt nur in Deutschland, EU-Recht nur in der EU. Die meisten der Server, die Benutzer tracken, stehen außerhalb, und denen ist das schnurzpiepegal, was die hier gesetzlich festlegen.
  • Außerdem stimmt das Angreifermodell nicht. Denn das Tracking über Cookies ist bei Licht betrachtet eine Verwundbarkeit des Browsers. Und für den ist der Benutzer und nicht der Webseitenanbieter zuständig. Das Problem an Cookies ist ja nicht, daß sie gesetzt werden, sondern daß der Browser sie dann bei jedem Zugriff wieder rausgibt.

    Die Vorgehensweise ist ungefähr die, als wollte man Banküberfälle verhindern, indem man an jeder Bank ein Schild anbringt, worauf steht, daß Banküberfälle wirklich verboten sind. Die Bank muß aber selbst drauf achten, daß ihr Geld weggeschlossen ist. Da hat jemand die Bedrohungslage überhaupt nicht verstanden.

Das riecht (wie gesagt, ich muß mir das nochmal sorgfältig durchlesen, aber der wesentliche Teil scheint auf Seite 20 in Randnummer 66 der EU-Richtlinie zu stehen) danach, daß da mal wieder jemand Gesetze macht ohne verstanden zu haben, was er da tut. Typisch juristisch, lieber destruktiv verbieten als konstruktiv aufbauen.

Das ist etwas seltsam formuliert, aber ich verstehe den Absatz so, daß der Benutzer an seinem Browser einstellen kann, ob er Cookies zustimmt, der Browser das dem Server mitteilt, der Server sich danach richtet und Cookies setzt oder nicht. Das ist eine Indirektionsstufe zuviel. Obwohl der Ansatz im Prinzip ja gar nicht mal so schlecht ist. Aber es hört sich schon so an als würde ich mir ein Schild um den Hals hängen „ich möchte nicht bestohlen werden”.

Der Ansatzpunkt muß der Browser sein, denn da muß der Benutzer Cookies technisch blocken können – und nicht durch Willenserklärung gegenüber dem Server. (Mal wieder so der typische juristische Irrtum über verhindern und verbieten.) Natürlich wäre es durchaus sinnvoll, daß der Browser dem Server im Request mitteilen könnte, He, von Dir will ich keine Cookies haben. Nur kann man sowas nicht auf gesetzlicher Ebene bestimmen, dazu muß man einen technischen Standard bauen.

Das heißt, es über ein Gesetz zu machen ist hier der völlig falsche Ansatz. Man muß sich auf technischer Ebene überlegen, wie das mit Cookies und Session Management so laufen könnte, daß man damit zufrieden ist. Dann muß man sich überlegen, was man an den Protokollen und den Browsern ändern muß, und dafür Standards vorschlagen und das implementieren. Denn böse Cookies verhindert man nicht, indem man dem Server das Setzen verbietet, sondern indem der Browser sie nicht speichert und wieder herausgibt. Es ist in erster Linie ein technisches, kein rechtliches Problem. Dazu würden mir eine ganze Menge von Sicherheitsanforderungen an Cookies (und noch andere Dinge) einfallen.

Hat man dann solche Browser, die sich so verhalten, wie man will, dann ist es Sache des Benutzers, sich einen entsprechenden Browser zu nehmen und so einzustellen, wie er es braucht. Und damit ist das Thema dann auch erledigt, denn wenn der Browser die Cookies nicht mehr an den Server schickt, gibt’s da auch nichts mehr zu verbieten und es ist wurscht, in welchem Land der Server steht.

Es ist wieder mal ein ganz typisches Beispiel dafür, zu welchen schlechten Ergebnissen es führt, daß in der Politik hauptsächlich Juristen sitzen. Die wollen einfach drauflosverbieten, und erkennen nicht, was das eigentliche Problem ist, und daß das Problem technisch und nicht juristisch ist. Da kommen die gleich wieder mit Willens- und Einverständniserklärungen daher, weil für jemanden, der nur den Hammer kennt, eben alles wie ein Nagel aussieht.

Aber auf den Denkfehler, daß man hier jemand anderem (dem Server-Betreiber) eine Handlung verbieten will, die man eigentlich selbst begeht (indem nämlich der eigene Browser das Cookie herausgibt), kommen die nicht.

Wieder mein altes Thema, das (IT-)Sicherheit die Komplementär-Disziplin zu Recht ist, und daß es ein Riesen-Unterschied ist, ob ich etwas auf gesetzlicher Ebene verlange oder durch technische Gewalt durchsetze. Und mal wieder ein Beispiel dafür, daß unsere Politik auch deshalb so schlecht ist, weil sie von Juristen dominiert wird.

(Wie soll man allerdings von Juristen und Politikern erwarten, daß sie Cookies verstanden haben, wenn nicht mal so manche als IT-Security-Kapazitäten hingestellte deutsche Informatik-Professoren Cookies verstanden haben? Wer meine Webseiten kennt, weiß wovon ich rede.

Bisher waren wir doch als angebliches Technologie-Land insgesamt – also nicht nur Politik und Gesetzgebung, sondern auch Industrie und Wissenschaft, nicht in der Lage, da mal was aufzubauen, sondern konsumieren kritiklos alles, was da an technischem Wohl und Wehe über den Teich geschwappt kommt, und versuchen dann, das mit dem hinzubiegen, was wir am besten können, nämlich Berge von Gesetzen zu produzieren. Auf die Idee, mal konstruktiv eigene Standards im Internet zu entwickeln, kommen wir nicht, dazu sind wir als Nation oder auch als Kontinent einfach zu blöd. Daß die USA die technische und tatsächliche Vormachtstellung im Internet haben, liegt nicht an deren Fähigkeiten, sondern an unseren Unfähigkeiten.)

9 Kommentare (RSS-Feed)

Lukas
19.5.2011 11:41
Kommentarlink

Quasi ein nicht vorhandenes Problem. Bei den aktuellen Browsern kann man das Cookiehandling einstellen. Einziger Knackpunkt: Otto Normalbürger kennt sich damit nicht aus und will sich damit auch nicht beschäftigen. Hat da jemand Internetführerschein gerufen?


Hadmut
19.5.2011 11:52
Kommentarlink

Nee, so einfach ist es auch wieder nicht. Da gibt es schon einige erhebliche (technische!) Probleme, die man dringend ausräumen müßte, Cookies sind schon erheblich verbesserungsbedürftig.

Auch sonst gibt es einen Haufen Sicherheitsprobleme mit Webseiten.

Nur: Gesetze helfen da gar nichts. Man müßte mal Anforderungen definieren, wie eine Webseite auzusehen und gebaut zu sein hat, und welche Sicherheitsanforderungen sie erfüllen muß. Dann baut man Browser so, daß sie den Benutzer warnen, wenn die Seite nicht konform ist, bzw. die Herausgabe von Daten blockieren.

Und wenn der Server-Betreiber sich nicht daran hält, hat er nicht gegen ein irrelevantes Papiergesetz verstoßen, sondern Pech gehabt, weil es nicht mehr funktioniert.

So muß man das angehen.


| Hat da jemand Internetführerschein gerufen?

Einen Führer haben wir schon lange nicht mehr.

Der Browser soll den Keks nicht wieder rausrücken? Auch lustich, “wenn Du mir keine Kennung gibst, dann geb ich Die keine Webseite”. Schalt mal JavaScript aus und geh surfen. Wir brauchen also neben den Keksgesetzen noch PHP-, Java-, JavaScript- und htmlgesetze. Dann noch https, ftp, …

Carsten

http://www.sackstark.info/wp-content/uploads/2010/10/Wahlen_Gregor_Gysi.png


Hadmut
19.5.2011 13:53
Kommentarlink

@Carsten: Du kannst niemanden zwingen, ordentliche Webseiten anzubieten. Aber Du kannst den Benutzern ordentliche Browser geben, die vor sowas warnen. Und dann machen die eben kein Geschäft mehr.


K. Letus
19.5.2011 14:10
Kommentarlink

Nicht, wo der Server steht, sondern wo der Betreiber seinen Hauptwohnsitz (Privatpersonen) bzw. wo der Firmensitz ist, entscheidet, welches Recht gegenüber Dritten anwendbar ist. Wenn ich (Hauptwohnsitz in Deutschland) eine Webseite in Turkmenistan hoste und diese einen deutlichen inhaltlichen Bezug zu Deutschland hat, wird mit an Sicherheit grenzender Wahrscheinlichkeit bei Streitigkeiten mit einem Webseitenbenutzer deutsches Recht angewendet werden. Lediglich vertragliche Angelegenheiten zwischen mir und dem Hoster unterlägen turkmenischem Recht.

Näheres übrigens auch unter Aktenzeichen VI ZR 111/10 (Urteil des BGH vom 29. März 2011), oder http://www.praxis-it-recht.de/zustandigkeit-bei-veroffentlichung-im-internet


@Hadmut
Ja, klar! Nur, wer hat denn die Macht? Wer setzt denn Bildschirme mit Fernsehformat durch? Wer zwingt die Leute, Sicherheitsmechanismen abzuschalten? Hat der aktuelle Flashplayer(10.3) keinen Chache mehr auf der Platte, so daß man das Video kopieren kann, oder habe ich was vergurkt? Was legt der jetzt an globalen Einstellungen ab? Das “wenn alle” funktioniert nicht. Es hat nie funktioniert.
Früher wohnten die Menschen in Dörfern, in denen jedes Haus für alle offen war. Heute ist alles verriegelt und verrammelt. Diese Entwicklung wird das Internet auch machen. Öffentlich ist Klamauk und Werbung, hinter verschlossenen Türen gibt es ernstere Angebote. Ehe unsere Koniferen das begreifen ist die Entwicklung unumkehrbar.

Carsten

“Für den Widerstand gegen den Terrorismus hat Pakistan einen riesigen Preis gezahlt”, so Zardari. “Wir haben mehr Soldaten verloren als alle Nato-Länder insgesamt. Getötet wurden 2000 Polizisten sowie mindestens 30 000 unschuldige zivile Bürger.”


euchrid eucrow
19.5.2011 23:27
Kommentarlink

ich empfehle hierzu iron:
http://www.srware.net/software_srware_iron.php
der browser ist sehr komfortabel. und mit adblock, ghostery und evtl. tor ziemlich sicher und laufstabiel.
in der 7er-version ist ab und zu das flashplugin abgeschmiert. seit diesem monat ist aber ne neue version verfügbar.
einfach mal ausprobieren… =)


euchrid eucrow
19.5.2011 23:43
Kommentarlink

hier ist im übrigen noch ein progrämmchen, mit dem sich der effektive user beschäftigen sollte:
http://retroshare.sourceforge.net/index_de.html

@carsten
ein besucher bzw. eindringling im dörflichen haus klingelt, ruft oder macht verdächtige geräusche. im inet ist das nicht so.


Im Internet bin ich kein Eindringling sondern ein Teilnehmer. Noch ist ein großer Teil offen. Die zunehmende Verrechtung, Verfolgung von Anbietern und Verunsicherung der Teilnehmer wird dazu führen, daß sich immer mehr Teilnehmer, Gruppen und Angebote abschotten. So war das gemeint.

Carsten

Haben unaufschiebbare Probleme erst einmal bewirkt, dass die hypothetische Nachvollziehbarkeit isomoph rational ist, darf angemerkt werden, dass die nutzungsintensiv endokrine Change-Management-Aktion divergierend effektiv schon lange zum Allgemeinwissen gehört, obwohl der charakteristisch bilinguale Gültigkeitsbereich dipolar konzentriert in der Bedeutungslosigkeit versinkt.
http://homepageberatung.at/cont/junk/bullshit_generator/index.php