Verbraucherschutz im Internet

Herbert Damker, Günter Müller

Universität Freiburg, Institut für Informatik und Gesellschaft

Inhalt

Neue Chancen und Risiken für den Verbraucher

Risiken im Internet

Ziele mehrseitiger Sicherheit

Technische Lösungsansätze

Vertrauensinstanzen

Was sollte die Verbraucherpolitik tun?

Literatur


Das Internet bietet den Verbrauchern neue Möglichkeiten, aber auch neue Risiken. Um den Einzelnen in virtuellen, globalen Märkten in der Wahrnehmung seiner Interessen zu stärken, muß sich die Gestaltung der Technik an den Zielen mehrseitiger Sicherheit orientieren. Dieser Beitrag (1) nennt Risiken, die dem Verbraucher im Internet aus technischer Sicht drohen und betrachtet existierende Lösungsansätze aus dem Blickwinkel mehrseitiger Sicherheit. Der Beitrag schließt mit einigen Antworten auf die Frage: Was kann die Verbraucherpolitik für den Schutz des Verbrauchers in globalen Kommunikationsnetzen tun?

1. Neue Chancen und Risiken für den Verbraucher

Das Internet und darauf aufbauende multimediale Informationsnetze bieten dem Verbraucher neben neuen Risiken, die vom klassischen Verbraucherschutz nicht erfaßt werden und zum Teil wohl auch nicht erfaßbar sind, eine Reihe neuer Chancen. Der einfache Zugriff auf Informationen von Anbietern und Herstellern kann die Markttransparenz ein zentrales Anliegen des Verbraucherschutzes erhöhen. Preisvergleiche werden einfacher, Gebrauchsanweisungen können ggf. vorab eingesehen werden, Informationen des Herstellers zu Produktionsverfahren etc. erlauben eine Einschätzung der ökologischen und sozialen Verträglichkeit eines Produktes. Auch die Nutzung von Simulationen vor einer Kaufentscheidung von der Berechnung der Rendite einer Geldanlage oder der langfristigen Kosten eines Automobils bis zur dreidimensionalen Darstellung einer Küchenplanung bieten dem Verbraucher neue Möglichkeiten. Nicht zuletzt können die in der Verbraucherpolitik tätigen Organisationen ihre Informations- und Beratungsangebote im Internet selbst präsentieren und zugänglich machen.

Das Agieren in virtuellen Märkten bringt dem Verbraucher aber auch neue Risiken und damit neue Herausforderungen für den Verbraucherschutz.

In realen Märkten stützt sich der Verbraucherschutz auf drei Säulen: Die Verbraucher sind zuerst einmal selbst kompetent und vorsichtig. Dies wird unter anderem durch die zweite Säule, die Verbraucherbildung und Information, erreicht. Wo dies nicht ausreicht und eine Übervorteilung des Verbrauchers durch eine ungleiche Macht oder Informationsverteilung zu befürchten ist, wird er drittens durch eine. ganze Reihe von Rechtsvorschriften geschützt, wie z.B. Kennzeichnungsvorschriften, Preisauszeichnungsgesetz, AGB-Gesetz, Rückgaberecht usw. Auch die Vorschriften zum Datenschutz gehören hierzu.

In den neuen virtuellen Märkten, die u.a. durch das Internet entstehen, sind eine ganze Reihe der Voraussetzungen des klassischen Verbraucherschutzes nicht mehr erfüllt:

1. Die Markthandlungen finden nicht mehr in einem realen Umfeld statt, sondern mit Hilfe technischer Systeme, deren Risiken aufgrund der hohen Komplexität und fehlender Erfahrungen noch nicht vollständig bekannt sind. Notwendige oder wünschenswerte Sicherheitsmechanismen fehlen oder werden nicht eingesetzt. Der Verbraucher bewegt sich also quasi auf einer Baustelle und muß entsprechend sensibel für Gefahren sein.

2. Das Agieren in Kommunikationsnetzen erfordert zusätzliche Qualifikationen (etwa im Umgang mit persönlichen elektronischen Sicherheitsschlüsseln), die Verbraucher aus ihrer bisherigen Erfahrung auf realen Märkten nicht mitbringen. Hier ist die Weiterbildung der Verbraucher eine dringende Aufgabe.

3. Die bestehenden Rechtsvorschriften müssen an die neuen Verhältnisse angepaßt werden. Hier liegt das Problem weniger in den Inhalten, als in der Gültigkeit und Durchsetzbarkeit innerhalb eines globalen, Staats und kontinentübergreifenden Marktes. Möglicherweise werden globale Regelungen Fr den Verbraucher aber auch gar nicht so wichtig, weil er wegen der Unsicherheiten vorsichtig und vorwiegend lokal handelt. Dann muß für ihn aber eindeutig erkenn und nachprüfbar sein, für welche Angebote welche nationalen oder europäischen Regelungen gelten.

Dieser Beitrag beschäftigt sich hauptsächlich mit dem ersten Punkt. Es wird ein Perspektivenwechsel beim Blick auf die Technik motiviert: Weg von einer geschlossenen Sichtweise, bei der der Nutzer der Technik hilflos ausgeliefert ist und in der ein einseitiges Sicherheitsverständnis vorherrscht:

der Betreiber der Technik beispielsweise eines Kommunikationsnetzes schützt sich vor Mißbrauch, während die Interessen der Nutzer erst in zweiter Linie beachtet werden. Hin zu einer offenen Perspektive, bei der die Technik auch dem Nutzer zur Seite steht und ihm hilft, seine Interessen und Sicherheitsbedürtnisse in einem offenen und damit per se unsicheren Kommunikationsnetz durchzusetzen.

Nach einem kurzen Überblick über die heutigen Schwächen der beiden wichtigsten Dienste im Internet Email und World Wide Web (WWW) wird dann mehrseitige Sicherheit als ein Gestaltungsziel von Kommunikationsnetzen vorgestellt. Mehrseitige Sicherheit ist notwendige Voraussetzung für den Ausgleich der sich teilweise widersprechenden Interessen der Akteure in virtuellen Märkten. Anschließend werden einige der heutigen technischen Ansätze im Internet im Lichte dieser Ziele betrachtet.

Nach einer kurzen Betrachtung zum Thema "Vertrauensinstanzen" schließt der Beitrag mit einigen Antworten auf die Frage: Was kann die Verbraucherpolitik für den Schutz des Verbrauchers in globalen Kommunikationsnetzen leisten?

2. Risiken im Internet

Im folgenden wird an den beiden am häufigsten genutzten Diensten des Internets, elektronische Post und World Wide Web (WWW), gezeigt, welche Risiken aus technischer Sicht für den Verbraucher bestehen. Der dritte Abschnitt beschreibt ausführlicher ein einzelnes Risiko, die Bildung von Persönlichkeitsprofilen im WWW.

2.1. Beispiel Email

Das Verschicken von elektronischen Nachrichten über das Internet ist heute so sicher wie eine "mit Bleistift in Druckbuchstaben beschriftete Postkarte", so in einem Bulletin zur Computersicherheit des amerikanischen Wirtschaftsministeriums (CSL Bulletin, 1996). Damit sind fast alle wichtigen Risiken der Nutzung von Email im Internet angesprochen:

1. Die Vertraulichkeit der ausgetauschten Nachrichten ist nicht gewährleistet.

2. Logdateien der beteiligten Nachrichtensysteme ermöglichen die Überwachung von Kommunikationsbeziehungen.

3. Der Inhalt einer Nachricht kann während der Übertragung unbemerkt verändert werden.

4. Es ist sehr leicht, einen beliebigen Absender einer Nachricht vorzutäuschen (vgl. Damker, Federrath, Schneider, 1996)

5. Es gibt keinen Nachweis dafür, daß eine Nachricht tatsächlich zugestellt wurde.

Diese Schwächen nutzen inzwischen auch Kriminelle im Internet aus. Beispielsweise gab sich im September ein Betrüger, der von Australien aus agierte, gegenüber deutschen Kunden des Online-Dienstes Compuserve als Betreiber aus und forderte sie mit der Begründung, daß die zentrale Datenbank verloren gegangen sei, zur Neueingabe ihrer Stammdaten und Kreditkartennummern auf.

2.2 Beispiel WWW

Wie der Versand elektronischer Nachrichten ist auch die normale Nutzung der Angebote des World Wide Web im Internet ungeschützt:

1. Die Vertraulichkeit der übertragenen Daten ist nicht gewährleistet. Dies gilt z.B. auch dann, wenn der Verbraucher über ein nicht gesichertes Formular Bestelldaten eingibt und an einen Händler überträgt.

2. Die Authentizität der Angebote im World Wide Web und die Integrität der übermittelten Daten sind nicht gewährleistet. So haben es Hacker in diesem Jahr geschafft, die Inhalte der WWW-Server des amerikanischen Justizministeriums und später auch des CIA (in satirischer Weise) zu verändern.

3. Ohne größeren Aufwand wäre es möglich, einen kompletten Versandhandel im WWW vorzutäuschen und dabei um das Vertrauen der Verbraucher zu erreichen einen bekannten Namen zu verwenden. Mehr als ein PC und ein Anschluß ans Internet irgendwo in der Welt sind datür nicht notwendig.

4. Die in den WWW-Angeboten enthaltenen ausführbaren Komponenten (z.B. JAVA-Applets, dies sind kleine Programme, die vom Browser des Abrufers ausgeführt werden), können trojanische Pferde sein, die neben der offensichtlichen Funktion noch weitere Funktionen auf dem Rechner des Verbrauchers ausführen.

5. WWW-Server zeichnen bei jedem Zugriff auf eine Seite u.a. die aufgerufene Seite, die Internet-Adresse des Abrufers, den verwendeten Browser und die Seite, von der der Abrufer kam, auf. Während diese Daten bereits die Analyse des Verhaltens und der Interessen des Abrufers ermöglichen, erlauben es sogenannte "Cookies", auch die Nutzung vieler Angebote durch einen Abrufer miteinander zu verketten und damit Profile anzulegen. Dies wird im nächsten Abschnitt näher erläutert.

2.3 Persönlichkeitsprofile und Manipulation durch gezielte Werbung im WWW

"Cookies" sind Informations "Kekse" (oder besser ''Krümel''), die ein WWW-Server beim Browser eines WWW-Nutzers hinterlegen und später wieder abfragen kann. Die wichtigste Funktion dieser Cookies ist die Verkettung der ansonsten einzelnen Zugriffe auf ein und denselben WWW-Server. Eingeführt wurde diese Ergänzung des HTTP-Protokolls von der Firma Netscape, um den WWW-Anbietern benutzerfreundliche Funktionen zu ermöglichen, wie z.B. Warenkörbe, die Verbraucher beim Rundgang durch ein virtuelles Kaufhaus füllen und deren Inhalt sie dann in einem Vorgang bestellen bzw. bezahlen können. Auch persönliche Einstiegsseiten in Nachrichtenangebote oder ähnliches werden so möglich.

Die Hauptanwendung die eher ein Mißbrauch der Funktion ist besteht heutzutage darin, mit Hilfe von Cookies die Zugriffe von WWW-Nutzern auf verschiedenste Angebote miteinander zu verketten, um so Profile über die Nutzer zu erlangen und dann gezielt Werbung präsentieren zu können.

Dies wird dadurch möglich, daß die meisten Werbeflächen, die sogenannten Werbebanner am Anfang oder Ende einer WWW-Seite, heute nur noch von wenigen großen Firmen verwaltet werden (Beispiel: www.doubleclick.com). Die Werbeeinblendungen kommen nicht von dem Server, dessen Angebot der Nutzer gerade betrachtet, sondern von einem Server der Werbefirma. Da dieser einerseits das Datum erhält, auf welcher Seite der Nutzer sich gerade befindet und andererseits über ein Cookie ermitteln kann, auf welchen Seiten der Nutzer sich in der Vergangenheit aufgehalten hat, bekommt der Nutzer eine genau auf seine scheinbaren Interessen gezielte Werbeeinblendung gezeigt. "DoubleClick.Com" bietet ihren Kunden neben dieser gezielten Einblendung nach Interessen auch andere Selektionen, z.B. abhängig vom Umsatz der Firma, von deren Netz aus ein WWW-Nutzer surft. Auch die Häufigkeit oder die Zeitpunkte, zu der eine Werbung präsentiert wird, lassen sich steuern. Verbraucher, denen diese Zusammenhänge nicht klar sind, können dadurch gezielt beeinflußt werden.

Da es offensichtlich ist, daß diese Nutzung nicht nur im Interesse der WWW-Nutzer liegt, bietet die neueste Generation der Browser (z.B. Netscape 3.0) die Funktion an, vor dem Setzen eines Cookies den Benutzer zu fragen. Da aber viele WWW-Server standardmäßig bei jedem Zugriff einen Cookie setzen meist ohne den Wert zu nutzen werden diese Abfragen sehr schnell lästig und vom Nutzer wieder deaktiviert.

Als Fazit dieses Exkurses in die Werbewelt des WWW läßt sich festhalten: Der Spruch "On the Internet nobody knows you're a dog", der 1993 durch einen Cartoon im "New Yorker" weite Verbreitung fand und die Anonymität des Internets beschreiben soll, ist nur ein Mythos. Im Gegenteil: Die heutigen Protokolle geben Werbetreibenden und anderen hervorragende Möglichkeiten an die Hand, alles über die Vorlieben und Interessen der Internetnutzer zu erfahren. Auch Funktionen, die ursprünglich zur Steigerung der Benutzbarkeit des Internets eingeführt wurden, können so zum Nachteil des Verbrauchers werden. Bei der Gestaltung solcher Funktionen muß darauf geachtet werden, daß der Internetnutzer die Kontrolle über die Preisgabe seiner Daten behält bzw. künftig bekommt. Die Stärkung des Einzelnen sollte vorrangiges Ziel der weiteren Entwicklung des Internets und seiner Nachfolger sein.

3. Ziele mehrseitiger Sicherheit

Mehrseitige Sicherheit bedeutet, nicht nur die Sicherheitsanforderungen einer der beteiligten Parteien (meist des Betreibers einer Technik) zu berücksichtigen, sondern die Interessen aller Parteien in die Gestaltung der Technik einzubeziehen. Generelle Schutzziele von IT-Sicherheit sind Vertraulichkeit, Integrität, Verfügbarkeit und Zurechenbarkeit (vgl. Rannenberg, Pfitzmann, Müller, 1996). In den folgenden Punkten sind in Bezug auf mehrseitige Sicherheit und Verbraucherschutz noch besondere Anstrengungen nötig (nach Rannenberg, Damker, Langenheder, Müller, 1995):

Vertraulichkeit (Zugriffskontrolle): Nicht alle Informationen, etwa die Daten, die ein Verbraucher in ein Formular zur Kreditberatung eingibt, sollten beliebigen Personen zugänglich sein. Der Zugriff auf diese Informationen muß in enger Abstimmung mit denen, über die die Informationen etwas aussagen, idealerweise durch diese selbst kontrolliert werden können.

Anonymität: Benutzer müssen die Möglichkeiten haben, auch ohne Preisgabe ihrer Identität Informationen und Beratung zu erhalten, analog zum anonymen Kauf einer Zeitung am Kiosk oder dem anonymen Anruf bei einem "Sorgentelefon".

Pseudonymität: Wenn anonymen Benutzern kostenpflichtige (Informations) Dienste angeboten werden, soll der Anbieter trotzdem imstande sein, auf sichere Weise zu seinen Einnahmen zu kommen, gegebenenfalls durch elektronische Substitute von Bargeld.

Unbeobachtbarkeit: Eine "kommunikative" Handlung, etwa der Abruf einer Information von einem WWW-Server, muß durchgeführt werden können, ohne daß Außenstehende die Möglichkeit haben, davon zu erfahren. Da im Internet bei einem solchen Kommunikationsvorgang eine Vielzahl verschiedener Netzbetreiber (Provider) beteiligt sind, hat diese Forderung hier besondere Bedeutung.

Unverkettbarkeit: Mehrere "kommunikative" Handlungen, etwa aufeinanderfolgende Abrufe von Informationen auf verschiedenen WWW-Servern, dürfen nicht miteinander in Verbindung gebracht werden können, da auf diese Weise erstellte Informationssammlungen die Anonymität und Unbeobachtbarkeit gefährden.

Unabstreitbarkeit: Auch in virtuellen Märkten sind unabstreitbare Nachweise wichtig, z.B. dafür, daß jemand eine bestimmte Nachricht, etwa Bestellungen oder Stornierungen, tatsächlich selbst verfaßt bzw. tatsächlich und fristgerecht erhalten hat. Entsprechend müssen Unterschriften von Personen oder Einschreibebriefe digital bzw. elektronisch nachgebildet werden.

Übertragungsintegrität: Übertragene Daten müssen unmanipuliert bei ihren Empfängern ankommen. Besonders wichtig sind dabei der Schutz vor teilweisen Manipulationen, etwa der Mengenangaben in einer Bestellung, und der Schutz vor der Aufzeichnung und erneuten Versendung einer Nachricht, etwa einer Bestellung, durch Dritte.

4. Technische Lösungsansätze

Für die im Kapitel "Ziele mehrseitiger Sicherheit" aufgehührten Punkte gibt es bereits eine Reihe von technischen Lösungsansätzen, die mehr oder weniger ausgereift sind. Exemplarisch wird dies am Beispiel der Vertraulichkeit und Integrität von Email, dem aktuellen Stand und den Problemen derselben Punkte beim WWW und schließlich dem noch wesentlich weniger erschlossenen Bereich der Anonymität und Unbeobachtbarkeit im Internet gezeigt.

4.1. Vertraulichkeit und Integrität von Email

Pretty Good Privacy (PGP) und Privacy Enhanced Mail (PEM) sind zwei der bekannteren Ansätze zur Sicherung der Vertraulichkeit und Integrität von Emails im Internet. Ihnen gemeinsam ist, daß der Absender eine Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Empfänger seinen privaten Schlüssel benutzt, um die Nachricht wieder zu entschlüsseln. Dabei muß sichergestellt werden, daß der benutzte öffentliche Schlüssel tatsächlich dem Empfänger gehört, weil sonst wiederum ein unbefugtes Mithören möglich wäre. PGP und PEM unterscheiden sich im wesentlichen in diesem Punkt, der Zertifizierung öffentlicher Schlüssel.

PGP ist im Internet Für alle gängigen Betriebssysteme frei erhältlich und entsprechend weit verbreitet (Zimmermann 1995). Ein großer Vorteil von PGP ist die Existenz von zwei unabhängigen Versionen innerhalb und außerhalb der USA, die miteinander interoperabel sind. Dadurch ist es trotz der Exportbeschränkungen der USA möglich, weltweit eine starke Verschlüsselung einzusetzen. Durch den "Graswurzelansatz" des "Web of Trust", bei dem Nutzer sich gegenseitig ihre öffentlichen Schlüssel unterschreiben, ist PGP auch ohne Infrastruktur zur Zertifizierung der öffentlichen Schlüssel für eine Reihe von Anwendungen sofort einsetzbar. Für die typischen Kommunikationsbeziehungen eines virtuellen Marktes bei dem Verbraucher regelmäßig mit ihnen bisher unbekannten Organisationen Kontakt aufnehmen ist dieser Ansatz weniger geeignet. Außerdem erfordert die sichere Benutzung eine Reihe von Kenntnissen, die nicht bei jedem Internetnutzer vorausgesetzt werden können.

PEM ist eine Menge von vier Internet "Standards" (RFCs), die Formate von verschlüsselten Nachrichten und die Infrastruktur zur Zertifizierung von öffentlichen Schlüsseln beschreiben (Kent 1993; Horster, Portz 1994). Von PEM existieren zwar erste Implementierungen, die aber noch auf wenige Plattformen beschränkt und wenig verbreitet sind. Das Problem liegt darin, daß PEM außerhalb geschlossener Benutzergruppen (z.B. einer Organisation) von der Existenz einer flächendeckenden, hierarchischen Infrastruktur zur Zertifizierung von öffentlichen Schlüsseln abhängig ist. Diese aufzubauen lohnt sich jedoch erst, wenn PEM ausreichend verbreitet ist. Dieses Henne-Ei-Problem zu durchbrechen haben sich mehrere Pilotprojekte, eines davon im Deutschen Forschungsnetz (DFNPCA), zum Ziel gesetzt.

PGP und PEM lassen sich jeweils auch zum Signieren von Nachrichten einsetzen und können so die Nichtabstreitbarkeit sichern. Dies stellt allerdings noch höhere Anforderungen an die jeweiligen Infrastrukturen zur Sicherung der öffentlichen Schlüssel, die hier nicht diskutiert werden (zu den Normungsaktivitäten der ISO zur Unabstreitbarkeit siehe Herda 1995; zu den Anforderungen an eine Infrastruktur für digitale Signaturen den Referentenentwurf zum Signaturgesetz in diesem Heft).

4.2 Vertraulichkeit und Integrität im WWW

Etwas besser sieht die Situation bereits beim WWW aus: Alle neueren Browser unterstützen das Secure Sockets Layer (SSL)Protokoll, daß eine vertrauliche und integritätssichernde Datenübertragung zwischen einem WWW-Server und den Browsern der Verbraucher erlaubt. Außerdem wird die Authentizität des WWW-Servers gesichert. Da hierfür nur eine vergleichsweise geringe Anzahl von öffentlichen Schlüsseln zertifiziert werden muß, ist die Infrastruktur weniger aufwendig und bereits etabliert. Aber auch hier bleiben noch eine Reihe von Problemen:

1. Die Länge der verwendeten symmetrischen Schlüssel zur Verschlüsselung der übertragenen Daten ist bei der Anwendung außerhalb der USA aufgrund der immer noch bestehenden Exportbeschränkungen auf 40 Bit (von 128) beschränkt. Diese Schlüssellänge gilt beim heutigen Stand der Technik als unsicher und ist absichtlich so gewählt, damit die Kommunikation durch Regierungsbehörden abhörbar bleibt.

2. Die öffentlichen Schlüssel der Zertifizierungsinstanzen, mit denen die öffentlichen Schlüssel der WWW-Server überprüft werden, erhält der Benutzer zusammen mit dem Programm seines Browsers und damit meist nicht auf einem sicheren Weg.

3. Voraussetzung für die Sicherheit ist die Integrität des Rechners des Nutzers und der darauf befindlichen Software. Ein manipulierter Browser oder "trojanische Pferde" können die Daten noch vor der Verschlüsselung abhören oder verfälschen. Dieses Risiko kann nur durch die Verwendung spezieller, vertrauenswürdiger Hardware ausgeschlossen werden.

Diese Punkte sind auch den Anbietern von Homebanking über das Internet bewußt, die hierfür reine Softwarelösungen unter Nutzung von SSL einsetzen. Die Schwäche der kurzen Exportschlüssel wird umgangen, indem die Sicherung durch SSL nur für die Übertragung einer speziellen Software zum Kunden genutzt wird, und die übrige Kommunikation dann mit vollen 128 Bit verschlüsselt wird. Für die Integrität des eigenen Browsers und die Abwesenheit von trojanischen Pferden zu sorgen, wird jedoch dem Verbraucher auferlegt. Die Banken lehnen in ihren Geschäftsbedingungen zur Zeit jede Haftung für Schäden ab, die durch solche Angriffe entstehen.

4.3 Anonymität und Unbeobachtbarkeit im Internet

Beim normalen Transport von Daten im Internet werden bereits so viele Daten mitgereicht, daß echte Anonymität für den Verbraucher z.B. Für eine erste Anfrage bei einem Händler oder bei der Kommunikation mit einer Beratungsstelle, nur schwer zu erreichen ist. Speziell die Anwendungsprotokolle lassen häufig das aus Sicht der mehrseitigen Sicherheit zu fordernde Prinzip der Datensparsamkeit außer acht. Als anschauliches Beispiel dafür können die oben beschriebenen "Cookies" gelten. Anonymität, Unbeobachtbarkeit und Unverkettbarkeit lassen sich deshalb nur durch zusätzliche technische Maßnahmen erreichen.

Für elektronische Post haben sich sogenannte "Remailer” etabliert. In der einfachsten Variante nehmen sie eine Nachricht entgegen, entfernen alle Angaben, die auf den Absender hindeuten und schicken diese Nachricht an den beabsichtigten Empfänger weiter. Teilweise wird noch ein Pseudonym erzeugt, das es dem Empfänger erlaubt, eine Antwort an den Absender zu schicken. Wenn ein solcher Remailer von einer vertrauenswürdigen Person oder Organisation betrieben wird, kann dies für viele Anwendungsgebiete ausreichend sein. Allerdings kann sein Schutz durch einfaches Beobachten der ein und ausgehenden Nachrichten angegriffen werden. Auch die bei der Vergabe von Pseudonymen entstehende Datenbank ist gefährdet.

Weitergehende Konzepte zur anonymen Zustellung von elektronischen Nachrichten beruhen auf dem Konzept der "umkodierenden Mixe" (Chaum, 1981). Dabei durchläuft eine Nachricht eine Kette voneinander unabhängiger Remailer. Der Absender packt hierzu seine Nachricht in eine Reihe von (kryptographischen) Umschlägen und adressiert den äußeren an den ersten Remailer. Dieser besitzt den Schlüssel zur Entfernung des ersten Umschlags und sendet die Nachricht weiter an den auf dem zweiten Umschlag angegebenen Remailer. Auf dem innersten Umschlag steht schließlich die Adresse des Empfängers. Ein Remailer in der Mitte dieser Kette kennt weder den Absender noch den Empfänger der Nachricht. Wenn die Remailer bestimmte Konstruktionsprinzipien erfnllen, sind die Anonymität des Absenders gegenüber dem Empfänger und die Unbeobachtbarkeit der Kommunikationsbeziehung gewährleistet, solange nicht alle Remailer zusammen an der Aufdeckung arbeiten. Beobachtbar bleibt aber beispielsweise die Tatsache, daß der Absender eine anonymisierte Nachricht gesendet hat. Es gibt Realisierungen dieses Konzeptes, die auf PGP basieren (2). Da deren Nutzung aber von einer stabilen Infrastruktur von zumindest zum Teil vertrauenswürdigen Remailern abhängt und die Bedienung teilweise schwierig ist, kann von einer praktischen Einsetzbarkeit nicht gesprochen werden.

Ein Äquivalent zu den einfachen Remailem stellen beim Zugriff auf WWW-Server die Proxy-Server dar, die von vielen Organisationen betrieben werden allerdings weniger zur Anonymisierung als zur Einsparung von Übertragungen auf den Leitungen zum Internet. Proxy-Server nehmen Anfragen der WWW-Nutzer entgegen und fordern die angefragte Information dann anstelle der Nutzer beim entsprechenden Server an, falls diese nicht bereits aufgrund einer vorherigen Anfrage geholt und gespeichert wurde. Aus Sicht der Anonymisierung hat dies für den Nutzer eines Proxies den Vorteil, daß alle Nutzer in der Organisation scheinbar vom gleichen Rechner kommen, der Einzelne also in einer größeren Menge untergeht. Allerdings haben normale Proxy-Server den Nachteil, daß sie eine Reihe von Angaben in der Anfrage zwischen Nutzer und Server durchreichen, so auch die beschriebenen "Cookies". Außerdem gewinnt der Nutzer zwar Anonymität gegenüber dem Informationsanbieter, verliert aber an Unbeobachtbarkeit, weil auf dem Proxy-Server alle seine Aktivitäten im WWW aufgezeichnet werden können.

Wird ein Proxy-Server so modifiziert, daß er alle Angaben, die den Absender kenntlich oder verkettbar machen, vor der Weitergabe der Anfrage entfernt und wird er zusätzlich von einer unabhängigen Organisation betrieben, so erhält man einen Dienst zur Anonymisierung von WWW-Zugriffen. Ein reales Beispiel dafür ist der kommerziell betriebene Server "www.anonymizer.com". Dieses Angebot wird über Werbung finanziert und hinterlegt selbst ein Cookie beim Nutzer (3). Es könnte also sein, daß ein Verbraucher, der gerade die Bildung eines Profils seiner WWW-Nutzung vermeiden will, diesem speziellen Angebot mißtrauen sollte.

Um nicht nur die Anonymität gegenüber einem WWW-Server zu erreichen, sondern auch Unbeobachtbarkeit, könnte das Konzept der umkodierenden Mixe auf das WWW übertragen werden. (3)

5. Vertrauensinstanzen

Sicherheit im Internet kann nicht allein durch technische Maßnahmen erreicht werden. Neben rechtlichen Regelungen, die wegen der Globalität des Internets vorerst nicht zu erwarten sind, und einer Verbesserung des Wissensstandes über die neuen

Techniken in der Gesellschaft können institutionalisierte Vertrauensinstanzen und Einrichtungen zur Konfliktregulierung wichtige Voraussetzungen für die Sicherheit des Einzelnen im Internet und damit für das Vertrauen, das der Verbraucher in die im Internet angebotenen Dienste setzt, schaffen.

Zuerst wäre hier die techniknahe Selbstregulierung zu nennen, die nicht zuletzt für den Erfolg des Internets verantwortlich ist. Dazu gehört z.B. die Setzung von Standards über einen Konsensprozeß in den Gremien des Internets, die Selbsthilfe der Teilnehmer über Newsgroups und Mailinglisten und die Einrichtung von Computer-Notfall-Teams (CERT), die den Betreibern und Nutzern des Internets zur Seite stehen. Der Druck, der durch diese Mechanismen aus dem Internet von "unten" entsteht, hat schon häufig Firmen dazu gezwungen, Sicherheitslücken ihrer Produkte schneller zu beheben als geplant.

Eine Fülle von internationalen und nationalen Einrichtungen und Ansätzen, die sich mit der Sicherheit von Kommunikationstechnik beschäftigen, wird in Langenheder, Pordesch, 1996 aufgezählt. Ihr Spektrum reicht von Zweckgemeinschaften der betroffenen Branchen über wissenschaftliche Arbeitsgruppen, Vereine "kritischer" Informatiker, internationale Normungsgremien, Evaluierungs- und Zertifizierungsstellen bis hin zu den Datenschutzbeauftragten der Länder und größerer Organisationen.

Ein neueres Beispiel für einen Zusammenschluß von Anbietern im Internet, die sich die Sicherung der Rechte des Verbrauchers zum Ziel gesetzt haben, ist die von führenden Pionieren elektronischer Märkte gegründete Organisation "eTrust" (www.etrust.org). Sie sieht ihre Aufgabe darin, "to cut through the technical doublespeak with ratings people can understand". Sie entwirft dafür mehrere Richtlinien für den Umgang mit persönlichen Daten von Verbrauchern, zu deren Einhaltung sich Anbieter im WWW freiwillig verpflichten können. Dies wird von eTrust dann zertifiziert und überwacht, die Anbieter sind im Gegenzug berechtigt, ein entsprechendes Logo zu führen. Mitbegründerin von eTrust ist die "Electronic Frontier Foundation" (EFF). Aber auch hier handelt es sich nicht um eine Organisation, die völlig unabhängig von wirtschaftlichen Interessen ist.

Ähnliche Initiativen, getragen von Organisationen des Verbraucherschutzes wie z.B. der Stiftung Warentest, könnten die Bildung von Vertrauen in die Funktionen der Technik bei den Verbrauchern fordern und sie damit in der Wahrnehmung ihrer Interessen stärken.

6. Was sollte die Verbraucherpolitik tun?

Für die Institutionen und Akteure der Verbraucherpolitik lassen sich aus den Ausführungen dieses Beitrags folgende Empfehlungen folgern:

1. Verbraucherschützer sollten eine Entwicklung der Technik fordern, die den. Einzelnen stärkt und ihm ermöglicht, seine Interessen in heutigen und zukünftigen Kommunikationsnetzen zu wahren.

2. Dazu gehört auch die Forderung nach starken kryptographischen Mechanismen für alle Akteure. Ohne diese ist mehrseitige Sicherheit im Internet nicht möglich. Jedem Versuch, hier restriktiv einzugreifen, sollte nachdrücklich widersprochen werden. Dies gilt selbst dann, wenn solche Versuche im Gewand der Verbrechensbekämpfung daherkommen (vgl. Huhn, Pfitzmann, 1996).

3. Die Weiterbildung und Beratung der Verbraucher wird auch in den virtuellen Märkten eine der wichtigsten Aufgaben der Verbraucherpolitik bleiben.

4. Bestehende gesetzliche Regelungen zum Schutz des Verbrauchers müssen angepaßt und ihre internationale Gültigkeit und Durchsetzbarkeit angestrebt werden. Es ist zu erwarten, daß die Verbraucher vorwiegend dort in virtuellen Märkten agieren werden, wo sie auf gesicherte rechtliche Grundlagen vertrauen können. Die Stärkung und Unterstützung des einzelnen Verbrauchers durch Technik und Verbraucherpolitik ist eine notwendige Voraussetzung für den Erfolg virtueller Märkte!

Literatur

Chaum, D.L. (1981): Untraceable Electronic Mail, Return Adresses, and Digital Pseudonyms;

CACM Vol. 24, No. 2, February 1981, pp. 84 88.

CSL Bulletin (1996): The World Wide Web: Managing Security Risks; CSL Bulletin,U.S. Department of Commerce,

Technology Administration, National Institute of Standards and Technoloy, May 1996.

Die Autoren:

Dipl. Informatiker Herbert Damker

wissenschaftlicher Mitarbeiter am Institut für Informatik und Gesellschaft der Uni Freiburg Software-Ergonomie, verteilte Informationssysteme, Sicherheit in der Kommunikationstechnik

Prof. Dr. Günter Müller

Ordinarius für Telematik, Grundungsdirektor des Instituts für Informatik und Geselischaft der Uni Freiburg, 1978-1990 IBM, zuletzt Direktor des Europäischen Zentrums für Netzwerktorschung der IBM

Fußnoten:

(1) Beim vorliegenden Text handelt es sich um die schriftliche Ausarbeitung eines Vortrages anläßlich der Sommerakademie 1996 der Landesauftragten für den Datenschutz. Kiel, 28.August 1996.

(2) Die z.zt weitgehenste Umsetzung des Prinzips der umcodierenden Mixe stellen die sogenannten MixmasterRemailer da. Siehe hierzu z.B. Arnoud Engelfriet: "Anonymity and privacy on the Internet", <http://www.stack.nl/~galactus/ remailers/index.html>.

(3)Der hinterlegt keine Cookies. (ULf Möller)

(4)Wenn es auf Unbeobachtbarkeit wirklich ankommt, sollte man das tun. Derzeit ergibt das allerdings Turnaround-Zeiten zwischen 1/2 und 3 Stunde. (ULf Möller)

Literaturhinweise:

Damker, H.; Federrath H.; Schneider M.J. (1996): MaskeradeAngriffe im Internet; DuD 5/1996, S. 286294.

Herda, S. (1995): Nichtabstreitbarkeit (Nonrepudiation) Stand der Standardisierung; In: P. Horster (Hrsg.): Trust Center Grundlagen, Rechtliche Aspekte, Standardisierung, Realisierung; S. 271 282, Vieweg, Braunschweig/Wiesbaden, 1995

Horster, R; Portz, M. (1994): Privacy Enhanced Mail Ein Standard des elektronischen Nachrichtenverkehrs im Internet; DuD, 8/1994, S. 434442

Huhn, H.; Pfitzmann, A. (1996): Technische Randbedingungen jeder Kryptoregulierung; DuD, 1/1996, S. 2326.

Kent, S. T. (1993): Internet Privacy Enhanced Mail; Communications of the ACM, Vol. 36/ No. 8, August 1993, p. 4860

Langenheder W.; Pordesch, U. (1996): Sicherheit und Vertrauen in der Kommunikationstechnik; it+ti Informationstechnik und Technische Informatik, 4/1996, S. 4246.

Rannenberg, K.; Pfitzmann, A.; Müller G. (1996): Sicherheit, insbesondere mehrseitige IT-Sicherheit; it+ti Informationstechnik und Technische Informatik, 4/1996, S. 710.

Rannenberg, K.; Pfitzmann, A.; Müller G. (1996): Sicherheit, insbesondere mehrseitige IT-Sicherheit; it+ti Informationstechnik und Technische Informatik, 4/1996, S. 710.

Rannenberg, K.; Damker, H.; Langenheder, W., Müller, G. (1995): Mehrseitige Sicherheit als integrale Eigenschaft von Kommunikationstechnik Kolleg "Sicherheit in der Kommunikationstechnik" eingerichtet; In: Kubicek, H. et al: Jahrbuch Telekommunikation und Gesellschafl 1995, Heidelberg, v. Decker, 1995, S. 254260.

Zimmermann, P R. (1995): The Official PGP User's Guide; MIT Press, 1995

Stichwörter

Verbraucherschutz, Internet, Persönlichkeitsprofile, mehrseitige Sicherheit, Verschlüsselung, Homebanking, Anonymität, Unbeobachtbarkeit.

Quelle: Datenschutz und Datensicherheit (DuD), 1/97
Mit freundlicher Genehmigung der Autoren.

Das Original als Postscript-Datei

Verbraucherschutzseiten

Förderverein Informationstechnik und Gesellschaft
webmaster@www.fitug.de