Aus Winfwiki

Wechseln zu: Navigation, Suche

Name des Autors:	Deffge
Titel der Arbeit:	Datenschutz bei internetbasierter Kommunikation und Kollaboration - Risikoanalyse am Beispiel von Google Wave
Hochschule und Studienort:	Fachhochschule für Oekonomie & Management, Duisburg
Studiengang:	Bachelor of Science / Wirtschaftsinformatik, 3. Fachsemester
Name des Betreuers:	Dipl-Inf. (FH) Christian Schäfer
Erstellungszeitraum:	WS2009
Abgabedatum:	14.01.2010

Inhaltsverzeichnis

1 Einleitung
- 1.1 Ausblick
2 Begriffsbestimmungen
- 2.1 Personenbezogene Daten und ihr Schutz – Der Datenschutz
- 2.2 Internetbasierte Kommunikation und Kollaboration
3 Google
- 3.1 Das Produkt Wave
  - 3.1.1 Potentielle Anwender und Zielgruppen
  - 3.1.2 Technische Grundlagen
    - 3.1.2.1 Client-Server-Protokoll: Operational Transformation
    - 3.1.2.2 Serverstruktur und mobiler Code
4 Risiken für den Datenschutz
5 Fazit
6 Fußnoten
7 Abkürzungsverzeichnis
8 Abbildungsverzeichnis
9 Literatur- und Quellenverzeichnis

1 Einleitung

Abbildung 1: Google Wave Logo

Diese Arbeit untersucht Datenschutzrisiken für Anwender internetbasierter Kommunikation und Kollaboration. Dabei wird der Schwerpunkt auf das Produkt Wave der US-amerikanischen Firma Google gelegt. Während des Verfassungszeitraumes dieser Arbeit (September 2009 bis Januar 2010) befindet sich das Produkt noch in einer limitiert veröffentlichten Testausgabe. Dem Autor ist es trotz mehrerer Versuche nicht gelungen, einen Zugang von Google zu erhalten. Die Arbeit kann aufgrund des fehlenden Zugangs und der Neuheit des Systems nicht alle Datenschutzrisiken berücksichtigen. Sie konzentriert sich daher auf eine Einschätzung der Risiken, die im Rahmen des bisher bekannten Wave-Konzeptes zu erwarten sind. Für Google Wave werden nahezu täglich neue Informationen veröffentlicht. Für die Analysen werden Informationen genutzt, die bis zum 29.11.2009 veröffentlicht wurden. Später veröffentlichte Informationen können aufgrund des Zeitrahmens nicht berücksichtigt werden.

1.1 Ausblick

Ziel der Arbeit ist, durch eine Schwachstellenanalyse des Wave-Konzeptes die Datenschutzrisiken für Nutzer und Zielgruppen von Google Wave einzuschätzen. Da mögliche Schäden aus Verletzungen des Datenschutzes nur vage bestimmt werden können, kann sich die Arbeit den formalen Ergebnissen einer Risikoanalyse nur annähern.

Zunächst werden grundlegende Begrifflichkeiten definiert und Google mit seinem Produkt Wave kurz vorgestellt. Nach Identifizierung potenzieller Nutzergruppen gibt die Arbeit einen Einblick in technischen Grundlagen, wie Protokolle und Serverstrukturen von Wave. Darauf aufbauend werden die Gefahrenpotenziale und damit einhergehende Datenschutzrisiken abgeleitet. Aspekte der Datensicherheit sind nicht Thema dieser Arbeit und werden daher nicht näher betrachtet. Nach Analyse und kritischer Bewertung der Datenschutzerklärung, wird beispielhaft ein mögliches technisches Angriffszenario skizziert, dass die Vertraulichkeit von Daten gefährden kann. Schließlich versucht die Arbeit durch Sicherheitsberichte anerkannter Institutionen Eintrittswahrscheinlichkeiten für die identifizierten Risiken zu bestimmen, eine mögliche Meßgröße für die Schadenshöhe abzuleiten und erlaubt sich im Fazit Empfehlungen für potentielle Nutzergruppen auszusprechen.

2 Begriffsbestimmungen

Zunächst sollen einige grundlegende Begrifflichkeiten erläutert werden. Es wird festgelegt was in dieser Arbeit unter Datenschutz, internetbasierter und kollaborativer Kommunikation verstanden wird. Um Google, Wave und deren Bestandteile besser auseinander zu halten, wendet die Arbeit die Kursivformatierung an. Eigennamen, wie die Firma Google werden stets kursiv geschrieben. Wave bedeutet das Produkt "Wave". Wenn von einer Wave, bzw. den Waves geschrieben wird, sind Bestandteile des Produktes gemeint. Als Wave-Konzept werden sämtliche Dienste, Prozesse und Organe verstanden, die an der Bereitstellung von Wave mitwirken.

2.1 Personenbezogene Daten und ihr Schutz – Der Datenschutz

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person^[1]. Datenschutz wird definiert als die Fähigkeit einer Person, die Weitergabe von Informationen, welche sie persönlich betreffen, zu kontrollieren^[2].

Die Einhaltung des Datenschutzes wird durch unterschiedliche Gesetze der einzelnen Nationen und Staatenbünde geregelt. In Deutschland regelt dies zunächst die EU-Richtlinie^[3] und im Weiteren das Bundesdatenschutzgesetz sowie einzelne Landesdatenschutzgesetze. Basis für das Bundesdatenschutzgesetz bilden Elemente des Grundsatzurteils des Bundesverfassungsgerichts zur Volkszählung vom Dezember 1983. In diesem heißt es u.a. „Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus^[4].“

Der Datenschutz gilt also als gefährdet oder angegriffen, wenn personenbezogene Daten ohne Wissen und Einverständnis derselben Person gespeichert, genutzt, weitergegeben oder manipuliert werden. In Einzelfällen ist auch das Löschen von personenbezogenen Daten ein Angriff, z.B. das unbefugte Löschen eines E-Mail-Postfaches.

Datenverarbeitende Institutionen haben alle notwendigen organisatorischen und technischen Voraussetzungen zu schaffen und anzuwenden, um bei ihren Geschäftsprozessen die unberechtigte Speicherung, Nutzung, Weitergabe oder Manipulation von personenbezogenen Daten abzuwehren.

2.2 Internetbasierte Kommunikation und Kollaboration

Unter internetbasierter Kommunikation versteht diese Arbeit alle Formen der Datenübertragung durch das Medium Internet. Die informationstechnologische Revolution^[5] hat zahlreiche Kommunikationsformen über das Internet mit sich gebracht. Darunter fallen Dienste wie E-Mail, Messenger, Blogs und weitere. Entwickelten sich diese Dienste zunächst relativ unabhängig voneinander und gab es für jeden eigene Anbieter und Serverstrukturen, so ist aktuell der Trend zu beobachten, die einzelnen Dienste über einen Anbieter zusammenzufassen. Damit ergeben sich Vorteile für den Anwender, der sich nun z.B. zentral über einen Login an alle Dienste anmelden kann ohne sich viele unterschiedliche Anmeldedaten merken zu müssen. Hier kann der Anwender passend auf diverse Dienste zugreifen und diese verwalten.

Auch ist die Kompatibilität zwischen den Diensten besser, da interne Schnittstellen verwendet werden. So ist es dem Anwender möglich, bequem und schnell mit den unterschiedlichen Diensten zu agieren und Synergien zu nutzen. Neben der Verbindung unterschiedlicher Dienste wie z.B. E-Mail mit Messengerfunktion ist das gemeinschaftliche, zeitgleiche Arbeiten an jeglicher Form von Dokumenten wie Textdokumenten, Bildern, Videos und Karten ein Novum. Mehrere Clients können in einem einzigen, virtuellen Dokument in Echtzeit arbeiten. Kollaboration wird als die Zusammenarbeit von Personen oder Gruppen zur Erbringung einer gemeinsam abgestimmten Leistung durch Nutzung von IT-Systemen definiert^[6].

3 Google

Abbildung 2: Google Logo

Die US-amerikanische Firma Google Inc. mit Sitz in Mountain View, Kalifornien bietet aktuell mehrere kostenlose, weltweit verfügbare Internet-Dienste an. Darunter fallen u. a. die gleichnamige, prominente Suchmaschine Google und das Produkt Google Earth mit dem man z.B. Satellitenbilder der Erde betrachten kann. Wichtige Merkmale dieser Angebote sind oft eine hohe Zweckdienlichkeit für den Anwender und die Kostenfreiheit. Google generiert seinen Umsatz nicht durch eine zahlende Konsumentenschaft, sondern z.B. durch das Platzieren von Werbung. Kommerzielle Onlineportale zahlen unterschiedliche Summen an Google um möglichst weit oben auf den Ergebnissen der Suchmaschine zu erscheinen.

Mit der Übernahme des Online-Werberiesen Double-Click im Jahr 2007 baute Google nicht nur seine Marktstellung im Bereich Onlinewerbung stark aus, sondern erhielt überdies hinaus im Rahmen der Fusion erheblich mehr Datenmacht^[7]. Denn die sogenannte Adserving-Technologie, welche anhand umfangreicher Datenauswertungen von Website-Nutzern passgenaue Werbeanzeigen schalten kann^[8] ist nun ebenfalls Eigentum von Google und kann jederzeit, nahezu kostenneutral eingesetzt werden. Google ist seit der Fusion nicht mehr nur Datensammler und –anbieter, sondern auch Nutzer personenbezogener Daten zu Werbezwecken. Die Verbraucher bezahlen die Dienste also mit Preisgabe ihrer persönlichen Daten^[9], z.B. durch Analyse, Verarbeitung und Nutzung der eingegebenen Suchbegriffe zur Schaltung von passgenauen Werbeanzeigen.

Eines der derzeit intensiv diskutierten Produkte von Google ist Wave, eine Software die auch kollaboratives Arbeiten unterstützt. Da dieses noch unveröffentlichte Produkt teilweise umfangreiche, personenbezogene und andere schützenswerte Daten verarbeiten wird, ist die Datenschutzsituation vor oben genanntem Hintergrund als kritisch einzustufen.

3.1 Das Produkt Wave

Abbildung 3: Beispiel einer Google Wave: Abstimmung von Benutzern

Abbildung 4: Beispiel einer Google Wave: Kollaborative Textbearbeitung

Google Wave ist eine Plattform, die unterschiedliche internetbasierte Kommunikationsdienste anbietet und miteinander verknüpft. Eine sogenannte Wave kann dabei verschiedenste Formen der Verständigung oder des Dokumentenaustauschs annehmen, wie z.B. Instant-Messaging, kollaboratives Arbeiten an Textdokumenten, Fotos, Videos und Kartenmaterial^[10]. Waves können von teilnehmenden bzw. eingeladenen Benutzern gemeinsam genutzt werden, indem sie die Inhalte editieren oder neue Benutzer in die Wave einladen. Eine Aufzeichnungs-/Abspiel-Funktion von fortgeschrittenen Waves erleichtert Einsteigern das Nachvollziehen der bisher geschehenen Vorgänge. Die Vorgänge in Waves werden nahezu umgehend abgebildet und an die einzelnen Teilnehmer verteilt, sodass Interaktionen in Echtzeit nachvollziehbar sind. Abbildungen 3 und 4 zeigen zwei Beispiele von Waves: Eine Abstimmung und eine zur gemeinsamen Bearbeitung eines Textdokumentes (Quelle: Google Wave). Nach Plänen von Google soll die Standardfunktionalität von Wave durch Drittanbieter massiv ausgeweitet werden.

3.1.1 Potentielle Anwender und Zielgruppen

Neben einer privaten Nutzung zur Kontaktpflege und Interaktion z.B. mit Freunden und Verwandten könnten die Werkzeuge von Wave auch für teamorientiert arbeitende Zielgruppen aus Wirtschaft und Wissenschaft interessant sein, denn Wave ist eine Software welche die Teamarbeit z.B. in Projekten stark vereinfachen kann. Vor allem Gruppen deren Mitglieder geographisch relativ weit voneinander entfernt sind finden hier eine Möglichkeit effektiv, zentralisiert und nachvollziehbar miteinander zu arbeiten. Dies betrifft beispielsweise Firmen mit unterschiedlichen Standorten, oder studentische Arbeitsgruppen einer oder mehrerer Universitäten. Zu prüfen bleibt, inwieweit die verschidenen Datenschutzansprüche der einzelnen Nutzergruppen durch Wave tangiert werden.

3.1.2 Technische Grundlagen

Der folgende Abschnitt erläutert grob einige technische Zusammenhänge von Google Wave zur Umsetzung der internetbasierten, kollaborativen Dienste in Echtzeit. Er bildet eine Verständnisgrundlage um später vorsätzlich ausnutzbare, technische Schwachstellen nachvollziehen zu können.

3.1.2.1 Client-Server-Protokoll: Operational Transformation

Google Wave verwendet das Operational Transformation Protocol (OTP) zur Realisierung der kollaborativen Dienste^[11]. Operationen sind alle Vorgänge in einer Wave, z.B. Editierungsanweisungen in einem Textdokument. Das Protokoll hat das Ziel, unabhängig von mehreren, gleichzeitig durchgeführten Operationen, die Konsistenz innerhalb des Dokumentes zu wahren. Dies geschieht durch Transformation der unterschiedlichen Operationen, bevor diese an alle Clients weitergegeben werden. In Abbildung 5 sind zwei Clients zu sehen, die das Wort „Test“ gleichzeitig bearbeiten. Operation I wird zeitlich knapp vor Operation II angewiesen. Durch Inkrementierung des Positionsparameters beim Einfügen von „A“ an die Position 0, wird der Positionsparameter von Operation II von 3 auf 4 transformiert. Am Ende haben alle Clients das konsistente Ergebnis „ATes“.

Abbildung 5: Modell des Operational Transformation Protocol

Abbildung 6: Sequenznummern zur Reihenfolgenordnung von Operationen

Um die zeitliche Reihenfolgenordnung der Operationen zu gewährleisten, arbeitet das OTP mit Sequenznummern. Sequenznummern bilden die Reihenfolge von Operationen ab und werden in diesem Zusammenhang auch als „Delta“ bezeichnet. Bei Google Wave beginnt der Server mit der Sequenzierung, sobald er einem Client die Bestätigung einer übermittelten und ausgeführten Operation gesendet hat^[12]. Danach folgt für weitere Operationen zwischen Server und Client ein ständiger Austausch aktualisierter Sequenznummern. Abbildung 6 zeigt die Schritte zur Erzeugung von Sequenznummern. An dieser Stelle sind Sequenznummernangriffe durch Hacker möglich, die sich unbemerkt einschleusen und so die Identität und Rechte eines Clients annehmen können. Auf diesen Sachverhalt geht Abschnitt 4.4.1.2 näher ein.

3.1.2.2 Serverstruktur und mobiler Code

Abbildung 7: Geplante Serverstruktur von Google Wave

Google will das Wave-Konzept nicht nur mit eigenen Servern realisieren, sondern sogenannte Federation Server von Drittanbietern und Nutzern mit einbinden. Diese sollen die Funktionalität von Wave durch Nutzung verschiedener Programmierschnittstellen (API) mit selbst erstellten Anwendungen erweitern. Abbildung 7 zeigt ein Modell der geplanten Serverstruktur. Die Open Source Codes für Wave Federation Server sind in Java programmiert und sollen in der Endversion auf Datenbestände der Google-Server zugreifen können und umgekehrt^[13].

4 Risiken für den Datenschutz

Ein Datenschutzrisiko besteht, wenn die entsprechenden organisatorischen und technischen Voraussetzungen zur Umsetzung des Datenschutzes aus 4.1 ungenügend vorliegen^[14], oder vorsätzlich mit geringem Aufwand umgangen werden können.

Risiko wird nach DIN, VDE Norm 31000 als Produkt aus Schadenshöhe (S) und Eintrittwahrscheinlichkeit pro Zeiteinheit (W) definiert^[15]. Daraus ergibt sich die Formel R = S x W. Da die Schadenshöhe bei der Verletzung von Datenschutzregelungen nicht eindeutig bestimmbar ist, kann sich die Arbeit den Ergebnissen einer formalen Risikoanalyse nur in Ansätzen nähern.

Die Verfügbarkeit, Vertraulichkeit und Integrität personenbezogener Daten ist zu gewährleisten. Dies bedeutet, dass ohne Wissen und Einverständnis derselben Person personenbezogene Daten nicht gespeichert, genutzt, weitergegeben, gelöscht oder manipuliert werden dürfen. Im Folgenden werden Faktoren aufgezeigt, welche vor allem diese Schutzziele gefährden können.

4.1 Gefährdungsfaktoren und Risikenfelder

Risiken für den Datenschutz resultieren aus unterschiedlichen Gefährdungsfaktoren. Hierzu zählen im Wesentlichen mangelhaft organisierte Geschäftsprozesse, produktbezogene, strukturelle Risiken und technische Schwachstellen die vorsätzlich ausgenutzt werden können. Faktoren wie technisches Versagen oder höhere Gewalt gefährden in erster Linie die Datensicherheit^[16] und werden daher nicht näher aufgeführt.

4.2 Organisatorische Risiken

Abbildung 8: Datenschutz-Risikofelder von Google Wave

Zu den organisatorischen Datenschutzrisiken zählt diese Arbeit Gefahren, die vor allem aus einer mangelhaften Organisation der Geschäftsprozesse der Anbieter resultieren (siehe Abbildung 8). Dazu gehören Punkte wie:

ungenügende Datenbankzugriffskonzepte
mangelhafte Zutrittskontrollen
schlecht qualifiziertes/ungeschultes Personal
vertragliche Mängel zwischen Anbietern
(...)

Die Presse berichtet immer wieder davon, dass Datenbestände irrtümlich für nicht Zugriffsberechtigte zugänglich waren^[17], da Datenbank- und Webserver von ungenügend qualifiziertem Personal konfiguriert wurden.

Jeder Prozess birgt Risiken, folglich wachsen die Risiken mit der Zahl der Stellen und Prozesse, die an der Bereitstellung und Administration eines Dienstes beteiligt sind. In Abschnitt 3.1.2.2 wurde erläutert, dass die Zahl der Beteiligten aufgrund der Serverstruktur schnell wachsen kann. Damit ist zu erwarten, dass auch die organisatorischen Risiken für die personenbezogenen Datenbestände des Wave-Konzeptes steigen.

Eine detailierter Einschätzung über die organisatorischen Risiken von Wave gestaltet sich schwierig, da die internen Prozesse von Google und Drittanbietern nicht bekannt sind, bzw. Drittanbieter und das Produkt selbst noch nicht in Gänze aufgetreten sind.

4.2.1 Interner Diebstahl und Sabotage

Die hier erläuterten Risiken basieren teilweise auf technischen und organisatorischen Schwachstellen. Mitarbeiter von Google und Drittanbietern stellen ein eigenes Sicherheitsrisiko für den Datenschutz dar, da sie in ihrer Funktion als Angestellte einfacher Zugriff auf Daten realisieren können, als z.B. ein externer Hacker. So kann nicht ausgeschlossen werden, dass unzufriedene Mitarbeiter beginnen, personenbezogene Daten für den eigenen Vorteil zu nutzen. Dabei können sie selbst den Diebstahl durchführen, oder die IT-Systeme so sabotieren, dass ein externer Angreifer leichtes Spiel hat. Doch auch ein loyaler Mitarbeiter, mit entsprechendem Datenzugriff, kann ein Risiko darstellen. Durch zwischenmenschliche Beeinflussungen werden Personen für fremde Ziele manipuliert^[18]. Über indirekte Kommunikation mit einem Angestellten, z.B. über Chat E-Mail oder Telefon wird diesem eine Ausnahmesituation vorgetäuscht um ihn zur schnellen Preisgabe bestimmter Informationen zu bringen. Beispielsweise wird der Anruf eines Serveradministrators fingiert, der von einem Anwender Logindaten zur Behebung eines dringenden Problems einfordert. Man spricht dann von Social Engineering.

4.3 Strukturelle Risiken

Zu den strukturellen Datenschutzrisiken zählt diese Arbeit Gefahren, die aus den direkten Produkteigenschaften und der Datenschutzerklärung resultieren (siehe Abbildung 8). Dazu zählen nach bisher möglichen Untersuchungen:

Serverstruktur und mobiler Code:

Die geplante Serverstruktur des Wave-Konzeptes und der Einsatz von JAVA bedeutet für Anwender, dass potentiell nicht vertrauenswürdiger Code auf ihren Clients ausgeführt werden kann und Daten von Drittanbietern an Google weiter übermittelt werden können. Dass Server von Fremdhostern nicht dem Server-Sicherheitsverbund von Google selbst angehören und die Möglichkeit unsauberer Programmierungen und unsicher konfigurierten Servern durch andere Anbieter besteht, stellen technische Sicherheitsrisiken dar, die jedoch aus strukturellen Ursprüngen hervorgehen.

Die Berechtigungskonzepte innerhalb Wave:

Alle Teilnehmer einer Wave sind berechtigt, weitere Benutzer in eine Wave aufzunehmen und ihnen somit den Inhalt bekannt zu machen. Davon ausgeschlossen sind explizit als "privat" gekennzeichnete Inhalte. Durch Fahrlässigkeit ist es aber möglich, dass ein Wave-Teilnehmer eine möglicherweise unerwünschte Person zu einer Wave einläd und ihr so Zugriff auf Informationen gibt, die andere Wave-Teilnehmer nicht hätten teilen wollen.

Der Umgang mit gelöschten Wave-Teilnehmern:

Entfernt sich ein Teilnehmer aus einer Wave, so bleiben seine Beiträge für alle anderen Benutzer weiterhin sichtbar. Er selber hat aber keinen Zugriff mehr auf die Inhalte. Damit verliert der Benutzer die Kontrolle über Teile von personenbezogenen Daten.

Die Datenschutzerklärung:

Sie wird im folgenden Kapitel näher analysiert.

4.3.1 Datenschutzerklärung

Die Datenschutzerklärung wird unter den strukturellen Risiken eingeordnet, da sie bezweckt bzw. strukturiert erstellt wurde, und aufgrund von fehlenden, unscharfen oder anderen Formulierungen Datenschutzrisiken für den Anwender aufweisen kann.

Internationalität gehört zu den essentiellen Merkmalen des Internets und elektronischer Datenübermittlung^[19]. Wegen dieser dezentralen Struktur gestaltet sich die Anwendung nationaler oder kontinentaler Gesetze häufig schwierig, wenn Daten international verarbeitet werden. In der Europäischen Union werden die Richtlinien und die nationalen Datenschutzgesetze auf alle Formen der Datenverarbeitung angewendet. In den USA dagegen gibt es für unterschiedliche Geschäftsfelder eigene Datenschutzgesetze. Dort, wo noch keine gesetzlichen Rahmenbedingungen geschaffen wurden, sind Verbraucher auf freiwillige Selbstverpflichtungen und die Datenschutzerklärungen der einzelnen Anbieter angewiesen^[20]. Diese Binding Corporate Rules (BCR) haben jedoch keine rechtliche Verbindlichkeit^[21]. In diese Kategorie ist auch die Firma Google mit ihrem neuen Produkt Wave einzuordnen, da die Daten größtenteils auf US-Servern verarbeitet werden, und es für Wave noch keine gesetzlichen Bestimmungen gibt.

Google arbeitet mit unterschiedlichen Datenschutzerklärungen. Zum einen mit einer allgemeingültigen, sowie mit speziellen Erklärungen zu den einzelnen Produkten. Es gilt zudem zu beachten, dass Drittanbieter von Wave-Erweiterungen und Federation Servern mit eigenen Datenschutzerklärungen arbeiten können, die der Anwender vor dem Einsatz dieser Erweiterungen selber auf Konformität mit seinen Datenschutzvorstellungen prüfen muss. Drittanbieter sind nicht auf die Datenschutzerklärung von Google Wave verpflichtet^[22].

Die Datenschutzerklärung gibt Auskunft darüber, welche Daten gesammelt, gespeichert, wie sie genutzt und ggf. an Dritte weitergegeben werden. Im Folgenden werden die kritischen Punkte der Datenschutzerklärung für Anwender von Google und Wave aufgeführt.

4.3.1.1 Datensammlung und Speicherung

Bei der Nutzung von Wave speichert Google alle Daten, die für die Bereitstellung des Dienstes notwendig sind. Das heißt, es werden alle Formen der Kommunikation und des Datenaustausches gespeichert. Dies ist notwendig um den beschriebenen Dienst überhaupt anbieten zu können. Unter anderem werden folgende Daten gespeichert^[22]:

Accountaktivitäten (An-/Abmeldungen, Uhrzeiten etc.)
Interaktionen mit der Benutzeroberfläche, Verwendung von Links
IP-Adresse
Eingegebene Texte, Messages, Anhänge usw.

Wave fordert bei der Registrierung keine wahrheitsgetreuen Angaben zur eigenen Identität, Pseudonyme sind also erlaubt.

Im weiteren Verlauf und unter Berücksichtigung der allgemeinen Datenschutzerklärung von Google, werden weitere Datensammelverfahren offensichtlich, die jedoch nicht dem Zweck der Dienstverfügbarkeit dienen. So können sämtliche Google-Services mit Cookies arbeiten, die eindeutige User-IDs enthalten, welche einem speziellen Computer, auch nach Löschung der Cookies, immer wieder eindeutig zugeordnet werden können^[23]. Ist dies bei Wave der Fall, wäre über technische Umwege eine eindeutige Zuweisung von Inhalten dem jeweiligen Nutzer zu jeder Zeit möglich. Somit würden aus allen Informationen personenbezogene Daten. Nutzt der Anwender weitere Services von Google, die ebenfalls mit eindeutigen Cookie-Technologien arbeiten und noch mehr Informationen sammeln, ließe sich technisch ein immer umfangreicheres Persönlichkeitsprofil erstellen.

Die Datenschutzerklärung ist an dieser Stelle unscharf formuliert und erlaubt Google damit viel Freiraum^[23].

Google behält sich vor, die Daten unbegrenzt lange zu speichern. In der Erklärung heißt es, dass Löschungen durch Anwender zwar nach etwa 60 Tagen auf den Live-Servern effektiv werden, die Daten aber auf Backups unbestimmte Zeit weitergespeichert werden können. Dies stellt bereits eine wesentliche Verletzung des deutschen Datenschutzes in Bezug auf die Selbstbestimmung der Speicherdauer von personenbezogenen Daten dar (Vgl. 2.1).

4.3.1.2 Datennutzung

Google nutzt die gesammelten Daten laut Erklärung ausschließlich zur Bereitstellung und Verbesserung von Wave^[22]. Gleichzeitig behält sich das Unternehmen jedoch vor, die Datenschutzerklärungen zu verändern, sofern aus subjektiver Sicht Notwendigkeit dafür besteht. Es besteht somit kein Anspruch auf die konsequente Anwendung bislang verfasster Erklärungen. Derzeit ist z.B. eine Werbeanzeigenschaltung für Wave nicht vorgesehen, Google schreibt aber, dass sich dies später ändern könne. Fraglich bleibt, ob die Anzeigenschaltung dann unter Nutzung von personenbezogenen Daten mit Adserving-Technologie erfolgt. Aufgrund der vielfältigen Nutzungsmöglichkeiten des Wave-Konzeptes, können dann auch mitunter sehr private und vertrauliche Daten zu Werbezwecken genutzt werden.

4.3.1.3 Datenweitergabe

Unter folgenden Bedingungen kann Google personenbezogene Daten auch an Dritte weitergeben:

zur Verbesserung des Services an Tochterfirmen oder andere vertrauensvolle Unternehmen
zur Wahrung gesetzlicher Pflichten oder Forderungen an staatliche Organisationen
um vertraglichen Pflichten mit anderen Unternehmen nachzukommen, Schaden von Google abzuwenden oder sicherheitskritische oder technische Probleme lösen zu können.

Die Erklärung ist an dieser Stelle ebenfalls sehr unscharf formuliert und erlaubt Google einen großen Freiraum beim Umgang mit der Weitergabe von Daten^[23].

4.4 Technische Risiken durch Vorsatz

Aufgrund seines hohen Bekanntheitsgrades, der Benutzerzahl und der damit einhergehenden großen Datenmenge ist Google ein potentiell besonders interessanter Informationslieferant für Institutionen oder Einzelpersonen mit auskundschaftenden Absichten. Dabei unterscheidet diese Arbeit zwischen der allgemeinen Wirtschaftsspionage und dem legalisierten Zugriff durch staatliche Behörden. Wirtschaftsspionage hat häufig das Ausspähen von wissenschaftlichen Erkenntnissen zur Erschleichung von Wettbewerbsvorteilen zum Ziel. Bei staatlichen Zugriffen geht es meist um die Kontrolle der Einhaltung von Gesetzen aber auch um die Aufdeckung oder Verhinderung von Straftaten. Doch auch ein Staat kann sich an Prozessen der Wirtschaftsspionage beteiligen, z.B. durch Geheimdienste. Staatliche Institutionen wie Polizei und Ministerien, werden den Zugriff anordnen können, wenn sie bspw. der Aufklärung von Straftaten dienen sollen. Nichtstaatliche Organisationen und Geheimdienste werden sich vor allem durch vorsätzliches Ausnutzen technischer Schwachstellen unautorisierten Zugriff auf Datenbestände verschaffen. Das folgende Kapitel befasst sich mit technischen Schwachstellen, die vorsätzlich ausgenutzt werden können, um z.B. die Vertraulichkeit von Daten zu verletzen.

4.4.1 Hacking

„Keinerlei Firewalls und Chiffriersysteme können eine geschickte und zielbewusste Person daran hindern, die Datenbanken großer Unternehmen zu knacken, oder einen rachsüchtigen ehemaligen Mitarbeiter davon abhalten, ein Computersystem zum Absturz zu bringen^[24].“ Kevin Mitnick, Szene-prominenter, US-amerikanischer, ehemaliger Hacker.

Google und seine Services sind aufgrund seiner Prominenz und der enormen Nutzerzahl ein besonders anziehendes Ziel für Hacker. Dabei kann die Absicht sehr unterschiedlich sein. Hacker können z.B. an Informationen oder an Aufsehen interessiert sein. Die vielen unterschiedlichen Sicherheitsprobleme des Internets können an dieser Stelle nicht alle aufgezeigt werden, stattdessen konzentriert sich die Arbeit auf ein beispielhaftes, kombiniertes Angriffsszenario, welches vor allem auf die von Wave genutzten Technologien angewendet werden kann. Ausführliche Erläuterungen zu Sicherheitsrisiken rund um das Internet und seine Protokolle sind ausführlich in der Fachliteratur beschrieben. Siehe Literaturverzeichnis Eckert (2008), S. 83ff. Das folgende Angriffsszenario zeigt auf, wie Wave-Server und ihre Daten durch Hacker angegriffen werden könnten. Dabei werden durch Web-Spoofing und Password-Phishing Zugangsdaten erschlichen, bevor durch einen Sequenznummernangriff eine falsche Identität etabliert wird. Unter dieser der Angreifer anschließend mittels eines Buffer-Overflows ausführbaren Code auf den Wave-Server lädt und so Zugriff auf erweiterte Datenbestände erhält.

4.4.1.1 Web-Server-Spoofing und Password-Phishing

Aufgrund fehlender Authentifikationsmaßnahmen ist das Imitieren fremder Webseiten relativ einfach. Beim Web-Server-Spoofing präsentiert der Angreifer seinem Opfer eine präparierte Webseite, mit welcher er die Originalseite überblendet^[25] . Ahnungslose Benutzer geben ihre Logindaten ein, die dem Angreifer dann ebenfalls zur Verfügung stehen. Damit hat der Angreifer durch das sog. Passwort-Phishing bereits Zugriff auf personenbezogene Daten erlangt. Ein Hacker muss zunächst die Login-Seite von Google Wave überblenden um dann eingegebene Zugangsdaten von Benutzern abzufangen. Um die Login-Daten unerkannt zu nutzen und zusätzlichen Datenzugriff zu realisieren, kann der Hacker nun einen Sequenznummernanriff beginnen.

4.4.1.2 Sequenznummernangriff

Abbildung 9: Prozess des Sequenznummernangriffs

Der Sequenznummernangriff ist ein Maskierungsangriff, der als Vorbereitung auf weitere Attacken erfolgt. Ziel ist, sich unter Vortäuschung einer falschen Identität z.B. an einen Server anzumelden um dort mit den Rechten dieser Identität zu arbeiten, oder die gefälschte Identität zur Verschleierung weiterer Aktionen auszunutzen. Da das OTP ebenfalls mit Sequenznummern arbeitet ist dies, bei entsprechend unsicherer Serverkonfiguration, ein möglicher Angriffspunkt für Hacker. Abbildung 9 stellt den Sequenznummernangriff in sieben Schritten dar. Zunächst analysiert der Hacker die Erhöhung der Sequenznummern Z ausgehend vom Server Z, daraus leitet er dann die Antwortsequenzen Z’ ab, die der Server vom Client erwartet. Mit diesem Wissen kann er unter einer gefälschten Identität eine korrekte Clientsequenz Z’’’ an den Wave-Server senden, sodass der Server davon ausgeht mit der neuen Identität verbunden zu sein^[26]. Diesem Angriff ist auch das sogenannte session hijacking (dt. Sitzungsentführung) ähnlich, bei dem ein Angreifer darauf abzielt eine bestehende Client-Server-Verbindung über die Sequenznummern zu desynchronisieren und sich selbst als Client einzuschleusen^[27]. Mit den erschlichenen Login-Daten aus dem vorigen Abschnitt, kann er sich nun maskiert an den Server anmelden und auf mehr Eingabefelder zugreifen. Mit der neuen Identität hat der Angreifer nun z.B. die Möglichkeit unerkannt einen Buffer-Overflow-Angriff über potentiell unsichere Eingabefelder zu starten.

4.4.1.3 Buffer-Overflow

Buffer-Overflow-Angriffe nutzen Hacker oft zur Platzierung von ausführbarem Code auf Serverseite. Sie werden auf unsauber programmierte Software angewendet, die Variablen mit einer festen Länge einlesen, ohne beim Lesevorgang zu prüfen, ob die eingegebene Länge überschritten wurde. Die vorgegebene Variablenlänge kann als Puffer bezeichnet werden, der zum Überlaufen gebracht wird, wenn die eingegebene Länge entsprechend überschritten wird^[28]. An dieser Stelle kann der Angreifer dann ausführbaren Code einschleusen um sich z.B. auf einem Server mehr Rechte anzueignen und einen benutzerübergreifenden Datenzugriff zu realisieren^[29].

Die Realisierbarkeit dieses Angriffszenarios ist von unsicher konfigurierten Servern und unsauber programmierter Software abhängig. Durch das Wave-Konzept, welches auf zahlreiche Server- und Programmstrukturen von Drittanbietern setzt, ist vermehrt mit Schwachstellen zu rechnen.

4.5 Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe

Abbildung 10: Risikomatrix für den Datenschutz

Auf Grundlage von Beobachtungen und Fachberichten durch Behörden und Institutionen kann davon ausgegangen werden, dass die Datenschutzrisiken zunehmen. Die Polizeiliche Kriminalstatistik (PKS) hat auch im Jahr 2008 einen weiterhin steigenden Trend von Computer- und Internetstraftaten verzeichnet^[30]. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt in seinem Lagebericht zum 2. Quartal 2009, die Themenbereiche „Angriffe & Ereignisse“ mit erhöhtem, den Bereich „Bedrohungen & Gefahren“ mit hohem Risiko ein^[31]. Die Globalisierung trägt zum steigenden Risiko für das vorsätzliche Ausnutzen technischer Schwachstellen bei. Die Begrenztheit natürlicher Rohstoffe im Gegensatz zum angenommenen, unbegrenzten Wissen fördert den Wert von Informationen und damit die Motivation, diese ggf. zu "erbeuten".

Eine Bewertung der Eintrittswahrscheinlichkeiten für Schäden, die aus organisatorischen Risiken entstehen gestaltet sich schwierig, da noch keine Erfahrungswerte mit Wave vorliegen. Aufgrund der dezentralen, durch Drittanbieter geprägten Serverstruktur ist jedoch mit einer gesteigerten Eintrittswahrscheinlichkeit zu rechnen.

Die strukturellen Risiken hingegen sind aus dem Konzept und der Datenschutzerklärung relativ gut ableitbar und markieren durch diese Tatsache eine Art berechenbare Risikokonstante. Diese werden ebenfalls im o.g. Quartalsbericht des BSI kritisiert. So stellt u.a. auch die aktuelle weltpolitische Lage eine Gefahr dar. US Behörden könnten Google dazu verpflichten, alle verfügbaren Daten zu bestimmten Personen herauszugeben, um etwa Einreisende auf Terrorrisiken zu prüfen.

Die Schadenshöhe für die Verletzung des Datenschutzes ist schwierig zu bestimmen, da sie je nach Individuum und Fall erheblich variieren kann. Ein anderes Verfahren zur Bezifferung dieser Schadenshöhe wäre die Zahl der Betroffenen als Maß anzuwenden. Ein niedriger Schaden wäre so bspw. die Verletzung des Datenschutzes einer oder weniger Personen, ein hoher Schaden dagegen vieler oder aller Nutzer.

Abbildung 10 nähert sich durch eine Risikomatrix dem Beispiel-Ergebnis einer Risikoanalyse. Auf der X-Achse wird die Schadenshöhe (Zahl der Betroffenen Anwender) dargestellt. Die Y-Achse zeigt die Eintrittswahrscheinlichkeit. Die Grafik wurde in Anlehnung an Königs (2006), S. 17 (Vgl. Literatur- und Quellenverzeichnis) erstellt. Um komplexere Risikoprozesse darzustellen, können Ereignisse eingezeichnet werden. Ereignis „a“ könnte bspw. das Ausspähen von Login-Daten eines Benutzers symbolisieren. Es ist ein relativ wahrscheinlich eintretendes Risiko mit zunächst geringem Schaden. Fährt der Angreifer aber wie im Angriffsszenario beschriebenen Weg fort und erhält über weniger wahrscheinliche Zwischenschritte Zugriff auf Datensätze vieler anderer Nutzer, so steigt auch die Schadenshöhe. Dann wird Ereignis „b“ erreicht.

5 Fazit

Google Wave eignet sich aufgrund der zahlreichen Datenschutzrisiken nicht zur Unterstützung teamorientiert arbeitender Gruppen, die besonders vertrauliche Informationen miteinander austauschen. Als besonders vertraulich versteht diese Arbeit beispielsweise neue Forschungsergebnisse oder Strategiekonzepte von Firmen. Die Möglichkeiten des Informationsabflusses sind zu zahlreich.

Arbeitet man in einer Gruppe an weniger sensiblen Informationen, wie z.B. ein Studententeam, das eine Semester-/ oder Seminararbeit zu einem bestehenden Themenfeld erarbeitet, so bietet Wave sicherlich mehr Vorteile als Risiken für das Gelingen.

Die private Nutzung des Dienstes muss jeder Anwender für sich selber entscheiden. Es ist festzuhalten, dass Google die privaten Daten irgendwann zur individuellen Anzeigenschaltung nutzen könnte, oder an Dritte weitergibt. Durch die Verwendung der speziellen Cookies ist es jederzeit möglich, Daten einem Nutzer zuordnen zu können. Wenn weitere Google-Services genutzt werden, die zusätzliche Informationen über den Anwender sammeln, ist zu bedenken, dass man sich der amerikanischen Firma immer mehr offenbart. Sollten die amerikanischen Behörden eines Tages Zugriff auf diese Daten bekommen, um z.B. Einreisende zu überprüfen, könnte dies – je nach Ergebnis – zu ungeahnten Schwierigkeiten für den Anwender führen.

6 Fußnoten

↑ S §3 Abs. (1) BDSG
↑ Vgl. Eckert (2008), S. 5
↑ Vgl. EU-Richtlinie 95/46/EG
↑ Bundesverfassungsgericht 65, 1
↑ Vgl. Castells (2001), S.31ff.
↑ Vgl. Reichmayr (2003), S. 232
↑ Vgl. Buchner (2008), S. 724
↑ Vgl. Buchner (2008), S. 725
↑ Vgl. Buchner (2008), S. 727
↑ Vgl. Google Wave (2009)
↑ Vgl. Google Wave OTP (2009)
↑ Vgl. Google Wave Client-Server-Protocol (2009)
↑ Vgl. Heise.de (2009)
↑ Vgl. Königs (2006), S. 9f.
↑ Vgl. Collenberg (2007), S. 70
↑ Vgl. Eckert (2008), S. 14
↑ Vgl. Ström (2005), S. 288
↑ Vgl. Meissinger (2005), S. 90
↑ Vgl. Hobert (1998), S. 83
↑ Vgl. Annonym-Surfen (2005)
↑ Vgl. Heil (2009), S. 229
↑ ^22,0 ^22,1 ^22,2 Vgl. Google Wave Privacy Policy (2009)
↑ ^23,0 ^23,1 ^23,2 Vgl. Google Privacy Policy (2009)
↑ Mitnick (2003), S. 10
↑ Vgl. Eckert (2008), S. 143f.
↑ Vgl. Eckert (2008), S. 114f.
↑ Vgl. Eckert (2008), S. 116
↑ Vgl. Eckert (2008), S. 43
↑ Vgl. Eckert (2008), S. 47f.
↑ Vgl. Köppen (2009), S. 409f.
↑ Vgl. BSI (2009)

7 Abkürzungsverzeichnis

Abkürzung	Bedeutung
API	Application Programming Interface
BCR	Binding Corporate Rules
BDSG	Bundesdatenschutzgesetz
BSI	Bundesamt für Sicherheit in der Informationstechnik
DIN	Deutsches Institut für Normung
DuD	Datenschutz und Datensicherheit
OT / OTP	Operational Transformation (Protocol)
PKS	Polizeiliche Kriminalstatistik
VDE	Verband der Elektrotechnik

8 Abbildungsverzeichnis

Abbildung Nr.	Abbildung
1	Google Wave Logo
2	Google Logo
3	Beispiel einer Google Wave: Abstimmung von Benutzern
4	Beispiel einer Google Wave: Kollaborative Textbearbeitung
5	Modell des Operational Transformation Protocol
6	Sequenznummern zur Reihenfolgenordnung von Operationen
7	Geplante Serverstruktur von Google Wave
8	Datenschutz-Risikofelder von Google Wave
9	Prozess des Sequenznummernangriffs
10	Risikomatrix für den Datenschutz

9 Literatur- und Quellenverzeichnis


Annonym Surfen (2005)	http://www.anonym-surfen.com/definition-datenschutz/, Abruf am 29.11.2009
BDSG	Bundesdatenschutzgesetz, http://www.bfdi.bund.de/cae/servlet/contentblob/409518/publicationFile/25234/BDSG.pdf, Abruf am 29.11.2009
BSI	Quartalsbericht des BSI: https://www.bsi.bund.de/cae/servlet/contentblob/621516/publicationFile/38045/Quartalslagebericht_2_2009_pdf.pdf, Abruf am 29.11.2009
Buchner (2008)	Buchner, B. (2008): Wissen ist Macht? Zum Verhältnis zwischen Datenschutz und Wettbewerb in DuD 2008, Nr. 11
Bundesverfassungsgericht 65, 1	Volkszählungsurteil vom 27.04.1983, http://www.servat.unibe.ch/law/dfr/bv065001.html, Abruf am 29.11.2009
Castells (2001)	Castells, M. (2001): Der Aufstieg der Netzwerkgesellschaft – Teil 1 der Trilogie, Das Informationszeitalter, Opladen 2001
Collenberg (2007)	Collenberg, T. (2007): Risiko-orientierte Analyse, Bewertung und Ausgestaltung der Sicherheit von Informationssystemen - Revision und Controlling der IT-Security, Dissertation, Duisburg/Essen 2007
Eckert (2008)	Eckert, C. (2008): IT-Sicherheit – Konzepte, Verfahren, Protokolle, 5. Aufl., München 2008
EU-Richtlinie 95/46/EG	EU-Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:de:html, Abruf am 29.11.2009
Google Privacy Policy	http://www.google.com/privacy.html, Abruf am 29.11.2009
Google Wave	http://wave.google.com/help/wave/about.html, Abruf am 29.11.2009
Google Wave Client-Server-Protocol	http://www.waveprotocol.org/whitepapers/internal-client-server-protocol, Abruf am 29.11.2009
Google Wave OTP	http://www.waveprotocol.org/whitepapers/operational-transform, Abruf am 29.11.2009
Google Wave Privacy Policy	http://wave.google.com/help/wave/privacy.html, Abruf am 29.11.2009
Heil (2009)	Heil, H. (2009): Privacy Policies, Binding Corporate Rules (BCR) und verbindliche Unternehmensregelungen in DuD 2009, Nr. 4
Heise.de (2009)	http://www.heise.de/newsticker/meldung/Google-Wave-auf-dem-eigenen-Server-Korrektur-848655.html, Abruf am 29.11.2009
Hobert (1998)	Hobert, G., (1998): Datenschutz und Datensicherheit im Internet, 2. Aufl., Frankfurt a. M. 1998
Königs (2006)	Königs, H.-P., (2006): IT-Risikomanagement mit System - Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden, 2. Aufl., Wiesbaden 2006
Köppen (2009)	Köppen, H. (2009): Computerkriminalität im Jahr 2008 in DuD 2009, Nr. 7
Meissinger (2005)	Meissinger, J. (2005): Gefahren und Bedrohungen durch Wirtschafts- und Industriespionage in Deutschland, Hamburg 2005
Mitnick (2003)	Mitnick, K. (2003): Die Kunst der Täuschung: Risikofaktor Mensch, Heidelberg 2003
Reichmayr (2003)	Reichmayr, C. (2003): Collaboration und Webservices - Architekturen, Portale, Techniken und Beispiele, Berlin/Heidelberg 2003
Ström (2005)	Ström, P. (2005): Die Überwachungsmafia, München/Wien 2005

[0] S §3 Abs. (1) BDSG

[1] Vgl. Eckert (2008), S. 5

[2] Vgl. EU-Richtlinie 95/46/EG

[3] Bundesverfassungsgericht 65, 1

[4] Vgl. Castells (2001), S.31ff.

[5] Vgl. Reichmayr (2003), S. 232

[6] Vgl. Buchner (2008), S. 724

[7] Vgl. Buchner (2008), S. 725

[8] Vgl. Buchner (2008), S. 727

[9] Vgl. Google Wave (2009)

[10] Vgl. Google Wave OTP (2009)

[11] Vgl. Google Wave Client-Server-Protocol (2009)

[12] Vgl. Heise.de (2009)

[13] Vgl. Königs (2006), S. 9f.

[14] Vgl. Collenberg (2007), S. 70

[15] Vgl. Eckert (2008), S. 14

[16] Vgl. Ström (2005), S. 288

[17] Vgl. Meissinger (2005), S. 90

[18] Vgl. Hobert (1998), S. 83

[19] Vgl. Annonym-Surfen (2005)

[20] Vgl. Heil (2009), S. 229

[GWPP-21] 22,0 ^22,1 ^22,2 Vgl. Google Wave Privacy Policy (2009)

[GPP-22] 23,0 ^23,1 ^23,2 Vgl. Google Privacy Policy (2009)

[23] Mitnick (2003), S. 10

[24] Vgl. Eckert (2008), S. 143f.

[25] Vgl. Eckert (2008), S. 114f.

[26] Vgl. Eckert (2008), S. 116

[27] Vgl. Eckert (2008), S. 43

[28] Vgl. Eckert (2008), S. 47f.

[29] Vgl. Köppen (2009), S. 409f.

[30] Vgl. BSI (2009)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

Datenschutz bei internetbasierter Kommunikation und Kollaboration - Risikoanalyse am Beispiel von Google Wave