Ich muss zugeben: Ganz überrascht war ich ja nicht, als ich eher zufällig heute bemerkte, dass einige Homepagebetreiber es mit dem Datenschutz auf ihrer Seite nicht so genau nehmen. Heutzutage kann man ja auch als Laie relativ einfach eine Homepage mit ansehnlichem (optisch!) Ergebnis zusammenklicken. Dass ein Großteil der Anwender dabei auch nicht mal die rudimentärsten Webgestaltungsgrundlagen (wie Basiswissen in HTML, CSS oder PHP etc.) hat, ist natürlich auch klar. Aber was mich doch etwas geschockt hat war die Masse an „unbedarften“ Homepage-Betreibern.
Aber eines nach dem anderen ;)
Ich nutze selbst die von meinem Betreiber angebotenen Möglichkeiten, die Benutzerzahlen auf meinen Blog zu erfassen – so wie es wohl viele Homepage-Besitzer machen. Dabei ist mir heute aufgefallen, dass eine Homepage über Nacht der Top-Referrer geworden ist. Daher habe ich natürlich mal die URL gegoogelt. Ich konnte zwar keine genaueren Grund oder Betreiber des besagten Referrers erkennen, allerdings machte ich dabei eine erstaunliche Entdeckung: dieser Referrer hat nicht nur auf meine Seite, sondern auch auf zahlreiche weitere Seite gelinkt. Wie ich das herausgefunden habe? Zahlreiche Webseiten-Betreiber nutzen ebenfalls Analysesysteme für ihre Webseiten, um festzustellen, wie viele Besucher ihre Seite aufgerufen haben etc.. Das ist ja grundsätzlich erst einmal nicht schlimm und gängige Praxis. Meist werten solche Systeme eh nur aus, was der Standard-Apache-Serverlog ihres Hosters hergibt. Problematisch wird es erst, wenn diese Systeme nicht abgesichert sind und dann auch noch von Suchmaschinen wie Google gecrawlt werden. Dann kann nämlich jeder sehen, wie viele Besucher auf der Seite waren. Aber nicht nur das – auch IP-Adressen, Standorte, Referrer, Besuchszeiten, Aufenthaltsdauer und vieles mehr können durch solche Systeme ausgewertet und bequem dargestellt werden.
Solche Statistik-Seiten können von jedem Laien ganz einfach ergoogelt werden, wenn er die entsprechende Suchphrase richtig wählt. So gibt ein einfaches Googlen nach „Generated by Webalizer Version“ ganze 12.800.000 Ergebnisse – also fast 13 Mio (!) Seiten, die ihre Besucherzahlen mit Webalizer auswerten lassen und diese Seiten auch noch von Google indizieren lassen.
Google-Suche nach „Generated by Webalizer Version“
Startseite der Fachklinik Friedrichshof
Piwik-Seite der Fachklinik Friedrichshof
Caritas-Stuttgart auf der Seite Fachklinik Friedrichshof
Gerade bei solchen Seiten sollte der Datenschutz an erster Stelle stehen. Leider kann man als Besucher nicht erkennen, in welche Hände man seine (oft vertraulichen) Daten legt. Besonders interessant ist hier das Impressum dieser Einrichtung:
Impressum der Fachklinik Friedrichshof
Dieses Angebot beinhaltet Möglichkeiten der Kommunikation und Datenübermittlung. Alle uns übermittelten Daten (insbesondere personenbezogene), werden absolut vertraulich behandelt und nur mit der ausdrücklichen Zustimmung der Betroffenen an Dritte weitergeleitet.
Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
Das das ganz klar nicht der Wahrheit entspricht, habe ich denke ich verständlich belegt.
Wie ihr sehen könnt, besteht das Problem mit dem unzureichenden Datenschutz auf Webseiten nicht nur bei privaten Seiten, die oft von Laien erstellt werden, sondern auch bei gewerblichen Seiten und öffentlichen Einrichtungen.
Das gezeigte Beispiel war nur eines von vielen – wer sich einen Spaß daraus machen will, derartige Seite selbst zu finden, kann das durch gängige Suchphrasen ganz einfach tun. Der Grund dafür, dass ich diesen Artikel veröffentlicht habe, ist allerdings nicht die eigene Bespaßung, sondern ein Hinweis auf den schlechten Umgang mit Nutzerdaten bezüglich des Datenschutzes. Was man dagegen machen kann? Als Besucher der Seiten kaum etwas – außer sich selbst zu schützen und fortan nur noch möglichst anonym durch die Weiten des Netzes zu surfen – z.B. über Tor oder ähnliche Dienste. Da man als unbedarfter Internetnutzer das allerdings normal nicht macht sind hier eigentlich die Betreiber von Webseiten in der Pflicht – diese haben ihre Statistiktools (wenn sie sie schon einsetzen müssen) gefälligst vernünftig abzusichern. Leider scheinen selbst gewerbliche Webseitengestalter nicht in der Lage zu sein, das auf die Reihe zu bekommen.
Was also tun? Ein erster Schritt wäre es die entsprechenden Homepage-Anbieter auf die Schwächen beim Datenschutz hinzuweisen. Da dies aber viele Millionen sind, wird das schwer werden. In dringenden Fällen sollte man sich evtl auch rechtlichen Rat einholen – als Patient einer Drogenklinik möchte ich nicht, dass deren Besucherdaten der Homepage öffentlich ins Netz gestellt werden. Bei einem „normalen“ Inernetzugang mit dynamischer IP mag eine gewisse Anonymität gegenüber anderen Inernetnutzern gegeben sein – was aber wenn man am Arbeitsplatz einer Firma solche Seiten ansurft? Firmen haben oft statische IPs und so kann eine Nachverfolgung sehr einfach erfolgen – gerade bei kleineren Firmen. Man mag sich nur vorstellen, was Kollegen von einem denken, wenn sie sehen, dass einer von ihnen die Seiten einer Drogenklinik am Arbeitsplatz angesurft hat.
Das ist aber nur ein Beispiel von vielen. Man könnte ja auch alle Seiten nach gemeinsamen IP-Adressen durchscannen und so den Nutzerkreis weiter einschränken. Auch Geolocation über die IPs ist möglich.
Ich kann also an dieser Stelle nur an die Homepage-Betreiber appellieren: Sichert eure Statistik-Tools wenigstens vernünftig ab! So schadet ihr nicht nur euren Besuchern, sondern letztendlich auch euch selbst.
Krass…
Naja, viele der Statistik-Seiten enthalten keine IP-Adressen. Trotzdem sind ein paar darunter, die wirklich alles was sie zu ihren Besuchern finden darüber auswerten und (ungewollt?) veröffentlichen. Das ist wirklich ne Sache, die mal gar nicht geht!
Klasse Artikel!
Ich beschäftige mich schon seit einigen Jahren mit dem Thema Datenschutz und dies ist mal wieder ein weiterer Beweis dafür wie egal vielen Leuten der Umgang mit persönlichen Daten (egal ob eigene oder fremde) ist.
Ich finde die Tatsache erschreckend wie einfach man an personenbezogene Daten kommt.
Danke für den Artikel!
Erschreckend! Ebenfalls erschreckend ist auch, dass in deinem Beispiel die Piwik-Version 1.12 im Einsatz ist. Mittlerweile wird Piwik in der Version 2.4.1 angeboten und in der Zwischenzeit gab es bei Piwik durchaus sicherheitsrelevante Updates.
Hast du die Klinik deswegen mal kontaktiert?
LG
Olli
Hi Olli,
ich habe zahlreiche Seitenbetreiber kontaktiert, die ihre Analysetools ungeschützt hatten (darunter auch diese Seite). Feedback habe ich kaum bekommen, manche haben wenigstens die Seiten über .htaccess daraufhin geschützt. Aber alles in allem wohl eher ein Tropfen auf den heißen Stein bei der Menge.
VG
Dein Einsatz ist löblich und die (ausbleibenden) Reaktionen mehr als beschämend.
Hallo,
ich finde es ziemlich krass, wie fahrlässig manche Betreiber mit ihren Statsistik-Tools umgehen. Und dass sie darauf nicht mal reagieren ist wirklich das Letzte!
Piwik ist standardmäßig nur über nen Login zu erreichen. Wenn die Statistiken öffentlich sind, wurde das manuell freigeschaltet. So wenig Hirn tut schon weh.
Interessante Info! War mir bisher so nicht bekannt. Dann ist es noch fahrlässiger von den Homepagebetreibern, die Statistiktools ungesichert zu betreiben. Sehr fragliche Praxis, vermutlich wird die Funktion dann aus Faulheit freigeschaltet, dass man sich nicht immer extra einloggen muss… ;)
Könnte auch ne ältere Version sein, in der es vllt noch kein Login gab. aber bereits vor 2 – 3 Jahren gab es standardmäßig nen Login.
Schau mal was ich gerade gefunden habe: http://heise.de/newsticker/meldung/Piwik-Unberechtigte-koennen-Webseiten-Statistiken-abrufen-2678572.html
bzw.
http://networktoolbox.de/scary-piwik-findings/
;)
Moin Rainer,
interessant ;) Scheint also noch ein paar anderen aufgefallen zu sein, hoffentlich werden Homepage-Betreiber dadurch sensibilisiert und sichern ihre Tools in Zukunft ab.