Big Brother Award: Apache und der Telepolis-Artikel

[Alvar Freude <alvar.freude@merz-akademie.de>]

Hallo,

auf Anregung von Patrick Goltsch hier nochmal mein Kommentar zum Big
Brother-Award in Telepolis; zuerst der neuere, unten nochmal ein etwas
älterer; Kommentare selbstverständlich erwünscht!


Vielleicht noch eine kleine Ergänzung: meine Server produzieren hier
tagtäglich rund 20 MB Logfiles, und da weiß ich schon, was man damit
machen kann und was nicht. :-)


 === SCHNIPP ===

> Das Unverständnis, auf das der Preis für den Apache Web-Server 
> getroffen ist, kann als Rückseite derselben Medaille gelten. [...]
> Doch die Sorglosigkeit im Umgang mit den 
> persönlichen Daten anderer demonstriert das bemerkenswerte 
> Verständnis, mit dem der Datenschutz zu kämpfen hat. 

Logfiles von Webservern sind KEINE persönlichen Daten!

Siehe auch
http://www.heise.de/bin/tp/forum/get/telepolis/5770/7.html?outline=-1

(die dort von mir aufgeführten Beispiele sind übrigens ECHT, ich wundere
mich, daß sich keiner wegen Verletzung der Privatsphäre beschwert hat
...)

Wer behauptet, ein Webserver würde persönliche Daten in die normalen
Logfiles schreiben, spielt auf der einen Seite die Überwachungs- und
Datensammel-Aktivitäten von z.B. Payback herunter (in dem er sie auf die
gleiche Ebene wie die des Logfile-Schreibens stellt) und bereitet
andererseits den Boden für genau die falschen Mythen. Wie zum Beispiel
diesen hier:


    "Und wie ergeht es andererseits dem Netzbürger, wenn 
     er im Web aktiv als Surfer auftritt? Mit jedem Klick 
     auf einer Seite gibt er jede Menge Informationen 
     über sich und seinen Computer preis. Diese werden 
     von speziellen Suchmaschinen 'eingefangen', in Servern 
     protokolliert und mit speziellen Auswertungsprogrammen 
     geordnet. Aus dieser Verknüpfung unterschiedlicher 
     Informationen - Name, Alter, Wohnort, Schulbildung, 
     Zeugnisnoten, Kontostand, Krankengeschichte, Vorstrafen,
     Vorlieben und Konsumpräferenzen - wird die heiß 
     begehrte Ware detaillierter Nutzer- und 
     Verhaltensprofile."


(Otto Ulrich(*): "Abschied vom privaten Leben"; in: Die Zeit, Nr.
38/2000, Seite 15)


1. Scheint er hier "Netzbürger" mit Surfen gleichzusetzen, naja, nach
dem modernen Verständnis vom Internet kann man da ja nur Surfen.

2. Kann ich auf einer Website herumklicken wie ich will, an einen Server
wird erstmal nichts übertragen. Außer ich treffe zufälligerweise einen
Link.

3. Fachlich und technisch vollkommen falsch. Keine speziellen
"Suchmaschinen" fangen irgendwelche Daten ein usw. ... Brauche ich wohl
nicht zu erläutern? ;) Wer nur den ungefähren Zusammenhang beschrieben
will, soll keine falschen konkreten Angaben machen.

4. Inhaltlich vollkommen falsch. Weder Zeugnisnoten noch KontoSTAND(!),
Krankengeschichte oder Vorstrafen werden erfasst. Auch das brauche ich
hoffentlich nicht näher erläutern, oder?


(Warum ich auf Punkt 1. und 2. herumhacke? Weil es zeigt, daß Ulrich
scheinbar nicht verstanden hat wovon er redet. In der ZEIT mit Tomorrow-
und GIGA-TV-Sprachverwirrung herumzukaspern muss ja nun wirklich nicht
sein ;-) )


Das erschreckende an diesem Artikel ist, daß Otto Ulrich hier die
richtigen Schlüsse (Schutz der Privatsphäre wichtig, Datenschutz und
Datensammler im Netz, ...) zieht, aber von vollkommen falschen
Vorraussetzungen ausgeht. Jeder Techniker kann den Artikel in der Luft
zerreißen und dann kommt genau die Gegenteilige Aussage heraus: Der
Datenschutz im Internet sei nicht gefährdet, da die Datenschutz-Lobby
vollkommen übertreibe und haltlose Behauptungen aufstelle. Und daß die
Behauptung, die Krankengeschichte oder die Schulnoten würden
aufgezeichnet werden falsch ist läßt sich nunmal problemlos beweisen ...

Und damit geht der Schlag nach hinten los, die berechtigte Kritik an
diversen Praktiken (siehe die entsprechenden Telepolis-Artikel zu
Web-Bugs, Cookie, Doubleclick und so weiter) verpufft, da ja scheinbar
alle Kritiker übertreiben.


Und ähnlich ist es auch beim Apache (zumal es vollkommener Quatsch ist,
ausgerechnet dem Apache den Preis zu geben, wenn schon hätten alle
Webserver kollektiv die "Auszeichnung" verdient): z.B. Payback wird
damit auf die Apache-Ebene gestellt und das Fazit ist schnell bei einem
unerwünschten Ergebnis angelangt: Da sei jemand etwas paranoid, alles
sei nicht so schlimm, und außerdem falsch.


Von daher war die Entscheidung, das Apache-Consortium auszuzeichnen --
auch unabhängig davon, daß die Daten aus den Logfiles keine Rückschlüsse
auf persönliche Daten erlauben -- äußerst ungeschickt; eventuell wollte
die Jury ja auch nur die Geste setzen: nicht nur die Unternehmen sind
schlimm. Nunja ... 


Ciao
  Alvar


(*) Otto Ulrich (promovierter Politologe) ist Kuratoriumsmitglied der
Europäischen Akademie zur Erforschung der technisch-wissenschaftlichen
Entwicklungen in Bad Neuenahr-Ahrweiler und leitet dort die
Projektgruppe "Kulturelle Beherrschbarkeit digitaler Signaturen". Er
sollte es besser wissen ...

 ...


 === TEIL 2 ===

Wie mein Vorschreiber schon schrieb: Payback, Werthebach, Mehdorn und
das Ausländerzentralregister sind nachvollziebar und schlüssig. 
Apache den Preis zu verleihen ist aber ein schlechter Scherz, man könnte
meinen jemand möchte den Big-Brother-Award ins lächerliche ziehen. 

1.: Jeder moderne Webserver schreibt Logfiles mit der IP. Und meines
Wissens auch jeder nicht-moderne. Dies ist für vielerlei Sachen sinnvoll
(z.B. um Statistiken zu erstellen, wieviel % von welchem
Provider/Land/... kommen) und manchmal auch wirklich NÖTIG, z.B. u.U.
für Session-Handling (da zumindest internes IP-(Bereich)-Speichern), bei
Community-Systemen, zum Feststellen von Attacken und so weiter. 

Zudem wäre es für den interessierten Webmaster ein leichtes, IP-Adressen
zu loggen selbst wenn der Browser das nicht von alleine macht. 

2.: Den Apache als Proxy zum Loggen der IP einzusetzen ist mehr als
Blödsinn. Dafür hätte wennschon denn schon der Squid (wohl der
weitverbreitetste Proxy) den Preis kriegen müssen, der logged auch IPs
und ist als reiner Proxy weitaus besser dafür geeignet: schneller, ist
ein echter Proxy usw. Die Proxy-Fähigkeit des Apache (mittels mod_proxy)
wird dafür genutzt, eine Art Load-Balancing auf einem oder mehreren
Servern zu machen, also die normalen Zugriffe von Außen auf den
Webserver nach innen zu verteilen (z.B. Zugriffe auf dynamische und
statische Seiten auf einen anderen httpd); das ist aber ein anderes
Thema. 

Selbstverständlich kann man mit dem Apache theoretisch auch ganz andere
"nette" Sachen machen wenn man Programmieren kann, dazu aber mal
wananders mehr ;-) (man sollte dann aber lieber gleich TCP/IP den Preis
geben). 

3.: Anhand der IPs läßt sich von einem Server-Betreiber noch fast gar
nichts rauskriegen, da gibt es viel bessere Methoden wie Cookies oder im
fortgeschrittenen Zustand die Web-Bugs (siehe die entsprechenden
Telepolis-Artikel). 

Was erfährt man durch die IP 62.226.215.194? Selbst wenn ich dazu sage,
daß der User eben bei Infoseek nach "Illuminaten" gesucht hat bringt das
einen im Überwachungsstaat nicht weiter. Auch nicht wenn man weiß, daß
am 25.10. um 14:05 jemand von 195.143.192.163 bei Yahoo/Google nach
"Kinderficken" oder von 205.188.209.12 am gleichen Tag um 16:46 nach
"geile kinder" suchte. 

Das ist zwar u.U. interessant, beeinträchtigt die Privatsphäre aber
keineswegs, da man nicht den Menschen dahinter selbst rauskriegt
(zumindest nicht ohne richterliche Anordnung und mit viel Aufwand). 


Ciao
  Alvar


 === SCHNAPP ===


-- 
Alvar C.H. Freude  |  alvar.freude@merz-akademie.de

    Demo: http://www.online-demonstration.org/  |  Mach mit!
Blast-DE: http://www.assoziations-blaster.de/   |  Blast-Dich-Fit
Blast-EN: http://www.a-blast.org/               |  Blast/english