Microsofts Beitrag zur Vorratsdatenspeicherung

Über einen Umweg gerät derzeit ein möglicher Beitrag Microsofts zur Vorratsdatenspeicherung ins Blickfeld: Google beklagt, Microsoft würde das Google-Suchverhalten von Internet-Usern erfassen. Auch der Spiegel greift das Thema auf („Wie Microsoft Internet-Surfer beobachtet„), in den USA diskutieren die Fachmedien (u.a. „Bing: Why Google’s Wrong In Its Accusations„).

Bekannt ist, dass Microsoft das Surfverhalten dann erfasst, wenn User im Internet Explorer Version 8 entweder die Bing-Toolbar installieren oder aber die Funktion „Vorgeschlagene Sites“ nutzen. Dabei muss jedoch in beiden Fällen der User diese Funktionen erst einmal aktivieren, bevor die Erfassung des Surfverhaltens beginnt.

Nicht erwähnt wurde dagegen bislang, dass der Internet Explorer ohnehin per Voreinstellung immer Surfverhalten erfasst, also auch ohne aktives Zutun der User. Dies geschieht in Verbindung mit der Funktion InPrivate-Filterung. Zwar ist die eigentliche Filter-Funktion per Voreinstellung ausgeschaltet – das vorgelagerte Aufzeichnen von Surfverhalten ist aber per Voreinstellung eingeschaltet:

Jeder User kann also mit einem simplen Klick die Option „Keine Daten zur Verwendung durch die InPrivate-Filterung sammeln“ aktivieren, also das Sammeln deaktivieren. Unklar ist, wie viele User von dieser Option Gebrauch machen. Ebenfalls unklar ist, wie viele User die eigentliche InPrivate-Filterung aktivieren (die wiederum per Voreinstellung deaktiviert ist). Man darf aber vermuten, dass die meisten User die Voreinstellungen unverändert belassen – also Sammeln ohne Filtern. Sowohl das Sammeln als auch das Filtern werden explizit und transparent in der Microsoft-Hilfe genannt:

„Standardmäßig werden von der InPrivate-Filterung die von Ihnen besuchten Websites und die verwendeten Inhaltsanbieter analysiert, wobei diese aber nicht automatisch blockiert werden.“

Das Sammeln dieser Surf-Daten ist dabei unabhängig vom Browserverlauf und auch unabhängig von Cookies. Microsoft verwendet wohl einen browser-eigenen Identifkator. Man kann dies leicht nachvollziehen, indem man den Browserverlauf und die Cookies löscht – und dann sieht, dass die gesammelten Daten für die InPrivate-Filterung davon unberührt bleiben (dazu im IE8: Sicherheit>Einstellungen der InPrivate-Filterung). Dies erschließt sich auch bereits aus der Tatsache, dass im Menüpunkt „Sicherheit>Browserverlauf löschen“ die „InPrivate-Filterungsdaten“ separat, also zusätzlich zu „Cookies“ und „Browserverlauf“ aufgeführt werden:

Diese InPrivate-Filterungsdaten werden nicht lokal im Rechner des Users abgespeichert, sondern anscheinend bzw. vermutlich serverseitig bei Microsoft. Darauf machte schon vor einem Jahr ein anderer Blogbeitrag aufmerksam:

„Diese IE8-Funktion sammelt per Default, welche Drittanbieter auf wie vielen der besuchten Websites ein Cookie gesetzt haben. Dieses Sammeln erfolgt nicht lokal im Rechner des Users, sondern die Daten werden an Microsoft übertragen. Die Übertragung ist per Default aktiviert und kann in den Datenschutz-Einstellungen abgeschaltet werden. Interessanterweise erfolgt das Feedback der Datensammlung durch Microsoft an den User nicht in Echtzeit, sondern mit einer Zeitverzögerung von ca. einer Stunde.“

Auch dies lässt sich leicht nachvollziehen, indem man die InPrivate-Filterungs-Liste unmittelbar nach dem Surfen mit derselben nach ca. einer Stunde vergleicht. Unklar bleibt dabei, wie Microsoft die Surf-Daten in der Zwischenzeit verarbeitet.

Allerdings werden tatsächlich nur die Domains solcher Dritt-Anbieter gelistet, die auf mindestens drei unterschiedlichen Websites i.w.S. Inhalt anliefern. Klar ist damit umgekehrt aber auch:

  1. Es werden nicht nur die aufgerufenen URLs analysiert, sondern viel tiefergehend auch alle damit zugleich aufgerufenen Links zu Drittanbietern (v.a. Adserver, Web Analytics u.ä.).
  2. Die Daten werden müssen derart gespeichert werden, dass es möglich wird, fortlaufend hochzuzählen, welche Domain von wievielen Sites aufgerufen wurde.

Ob Microsoft dabei tatsächlich nur diese Domains abspeichert, oder aber alle angesurften URLs – das weiß wohl nur allein Microsoft. Deren Statement ist jedoch eigentlich recht klar (s.o.):

„Standardmäßig werden von der InPrivate-Filterung die von Ihnen besuchten Websites und die verwendeten Inhaltsanbieter analysiert“

Im Zuge der Google-Bing-Diskussion lässt sich vermuten, dass tasächlich alle URLs analysiert und (zwischen)gespeichert werden.

Für die Verbrechensbekämpfung eröffnet dies in jedem Fall interessante Möglichkeiten: Bislang wird ja bzgl. der Internetnutzung nur gefordert, dass die Internet-Zugangsanbieter die Information vorrätig halten, wem wann welche (ggf. dynamische) IP-Adresse zugeordnet war. Wobei diese Information an sich allerdings fast völlig wertlos ist, wenn nicht auch zusätzlich die Webseiten-Betreiber ihrerseits speichern, wann ihre Inhalte von welcher IP-Adresse aufgerufen wurden.

Deutlich vereinfacht würde die Verbrechensbekämpfung nun, wenn man sich nicht darauf verlassen müsste, dass abertausende Webseiten-Betreiber die IP-Adressen ihrer Besucher protokollieren, sondern wenn man stattdessen (und/oder zusätzlich) bei dem halben Dutzend Browserbetreiber ansetzt:

Welcher Browser hat wann welche URLs mit welcher IP-Adresse aufgerufen?

Bei Microsofts Internet Explorer  – immer noch mit Abstand der Marktführer unter den Browsern – sind diese Daten ohnehin vorhanden. Die wenigen übrigen relevanten Browser wären dann per Gesetz (oder ggf. sonstiger Absprache) zur Vorratsdatenspeicherung des Surfverhaltens zu verpflichten.

Wie Microsoft Internet-Surfer beobachtet

Advertisements
Dieser Beitrag wurde unter VDS abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s