Ausgetrickster Cookie-Datenschutz: Microsoft schwärzt Google an (Spiegel Online, 21.2.2012)

Ausgetrickster Cookie-Datenschutz

Microsoft schwärzt Google an

Google trickst Datenschutzeinstellungen im Internet Explorer aus, wirft Microsoft dem Konkurrenten vor. Der Windows-Konzern verschweigt, dass die Probleme schon lange bekannt sind, ohne dass Microsoft aktiv wurde. Der Streit wirft ein schlechtes Licht auf die Selbstregulierung der IT-Giganten.

Spiegel Online, 21.2.2012

{jumi [*3]

Es klingt sehr einfach, wie Microsoft-Manager Dean Hachamovitch den Sachverhalt beschreibt: Google ist böse, denn Google trickst Datenschutzeinstellungen im Microsoft-Browser Internet Explorer aus. In einem langen Artikel erklärt Hachamovitch, wie Google auf Rechnern von Internet-Explorer-Nutzern bestimmte Cookies (kleine Textdateien zur Authentifizierung) ablegt, obgleich die Voreinstellung des Browsers ein solches Vorgehen eigentlich verbietet.

Diese Darstellung ist nicht ganz falsch, aber sehr grob vereinfacht. Es lohnt sich, die Hintergründe der Microsoft-Kritik an Google genauer zu betrachten. Denn dieser Fall zeigt, wie IT-Giganten das Thema Datenschutz instrumentalisieren, um Wettbewerbern zu schaden.

Datenschutzprotokoll von 2002

Ausgangspunkt des Streits ist ein wenig bekanntes Datenschutzprotokoll namens P3P (Platform for Privacy Preferences Project). Es war ein Versuch der Datenschutzselbstregulierung, das Standardisierungsgremium W3C (World Wide Web Consortium) hat P3P vor knapp zehn Jahren offiziell verabschiedet. Mit P3P können Betreiber von Websites ihre Datenschutzrichtlinien in eine maschinenlesbare Form bringen.

In standardisierten P3P-Kürzeln hält ein Betreiber fest, welche Informationen über Nutzer sein Angebot auswertet – so entsteht eine Kurzversion der Datenschutzrichtlinie. Die Kürzel CP=“CAO PSA OUR“ besagen zum Beispiel, dass die Website Kontaktinformationen (CAO) nutzt, um ein pseudonymes Nutzerprofil (PSA) zu erstellen, auf das nur die Seitenbetreiber Zugriff haben (OUR).

Diese P3P-Kürzel können entsprechend erweiterte Programme interpretieren, Microsoft Internet Explorer entscheidet zum Beispiel auf Basis der P3P-Kürzel, ob Websites bestimmte Cookies auf den Nutzerrechnern ablegen dürfen. Generell verfährt der Internet Explorer so: Wenn eine Website keine P3P-Klassifizierung enthält, lehnt der Microsoft-Browser dort Cookies von Drittanbietern ab.

Internet Explorer akzeptiert Pseudo-Klassifizierung

Dieses Verhalten ist für einige Web-Dienste problematisch – Google zum Beispiel setzt beim Aufruf der eigenen Seiten manchmal Cookies, die von anderen Domains stammen. Und Google verzichtet in diesen Fällen darauf, die Datenschutzbestimmungen in P3P-Kürzeln zu erklären. Damit der Internet Explorer die Cookies dennoch akzeptiert, nutzt Google einen weit verbreiteten Trick: Es wird einfach eine Pseudo-Klassifizierung ausgeliefert. In der steht lediglich: „CP=This is not a P3P policy!“ Außerdem enthält der Hinweis einen Link, der zu weiteren Informationen führen soll.

Der Internet Explorer akzeptiert diese Pseudo-Klassifizierung und speichert den Google-Cookie, obwohl keine Angaben zur Datenauswertung vorliegen.

Google nennt P3P-Standard „nicht praxistauglich“

Google rechtfertigt dieses Verhalten so: Das P3P-Protokoll sei nicht dafür konzipiert worden, Datenschutzmaßnahmen in Drittanbieter-Cookies anzugeben. Deshalb nutze man die Link-Lösung, um Nutzer zu informieren. Eine Google-Sprecherin kritisiert Microsoft: „Es ist allgemein bekannt, dass es nicht paxistauglich ist, Microsofts Forderungen zu entsprechen und zugleich moderne Web-Funktionalitäten anzubieten.“ Google habe das eigene Vorgehen öffentlich beschrieben, andere Firmen würden ähnlich handeln.

Facebook hat eine ähnliche Haltung zum P3P-Protokoll. Der Informatikerin Lorrie Cranor zufolge nutzt Facebook wie Google eine Pseudo-Klassifizierung, die auf eine Web-Seite verweist. Dort ist nachzulesen, dass Facebook über die Erfassung und Auswertung von Informationen in seinen Datenschutzrichtlinien informiert.

Microsoft ignoriert das P3P-Problem seit 2010

Es stimmt schon: Google und Facebook bringen mit ihren Pseudo-Klassifizierungen den Internet Explorer dazu, Cookies zu akzeptieren, die er eigentlich nicht akzeptieren sollte. Doch Microsoft unterschlägt bei der Darstellung der Angelegenheit einige Details.

Dass der Internet Explorer Pseudo-Klassifizierungen akzeptiert und viele Web-Dienste diesen Trick nutzen, ist spätestens seit 2010 bekannt. Damals veröffentlichten Informatiker von der Carnegie Mellon University eine umfassende Studie. Ein Ergebnis: Ein Drittel der 33.000 untersuchten Klassifizierungen war fehlerhaft. Die Autoren kritisieren, dass der Internet Explorer die P3P-Klassifizierungen nicht auf Fehler überprüft. Und sie stellen fest, dass Microsoft auf Supportseiten sogar dazu riet, ungültige Klassifizierungen einzusetzen, um Probleme mit dem Internet Explorer zu umgehen.

Der Informatiker Christopher Soghoian – ein früherer Mitarbeiter der US-Handelsaufsicht FTC kritisiert Microsoft heute: „Anstatt diese Lücke zu schließen, hat Microsoft nichts getan. Nun beschweren sie sich über Google.“

Warum wird Microsoft erst jetzt aktiv? Eine mögliche Erklärung: Wie schon Facebook bei seiner unrühmlichen Anti-Google-Kampagne instrumentalisiert Microsoft nun Datenschutz im Lobby-Krieg gegen Google, weil die Cookie-Problematik gerade wieder Thema war. Mitte Februar warf ein Informatiker Google vor, den Cookie-Schutz von Safari-Browsern ausgehebelt zu haben, um Nutzern bestimmte Werbeformate zu präsentieren. Auf diesen Vorfall bezieht sich Microsoft-Manager Hachamovitch ausdrücklich nach dem Motto: Google trickst Microsoft genauso aus wie Apple. Microsofts Beitrag zu diesem Problem verschweigt der Manager.

P3P ist ein Beispiel gescheiterter Selbstregulierung

Allerdings ändert dieses Verhalten Microsofts nichts an dieser Tatsache: P3P war ein Versuch der Internetbranche, Datenschutz selbst zu regulieren. Er ist gescheitert, inzwischen verstoßen Online-Konzerne gegen die vom WWW-Konsortium vor Jahren festgelegten Standards, weil die angeblich nicht mit heutigen Angeboten zu vereinbaren sind.

Die Informatikerin Lorrie Cranor stellt angesichts dieser Entwicklung die Fähigkeit der Branche zur Datenschutzselbstregulierung in Frage: „Sobald ein Standard aus dem öffentlichen Bewusstsein verschwindet und Firmen damit leben müssen, was sie vereinbart haben und merken, dass es sie behindert, erklären sie die Regelung für tot und fühlen sich im Recht, sie zu umgehen.“