Wirksame Sicherheitsbenachrichtigungen für Webseitenbetreibende:
Eine interdisziplinäre Studie von Forschenden der Technischen Universität Darmstadt, Otto-Friedrich-Universität Bamberg und Goethe-Universität Frankfurt zeigt, wie Webseitenbetreibende am wirkungsvollsten über mangelhafte Datenschutz-Konfigurationen informiert werden können. So können Behörden und Sicherheitsforschende zukünftig möglichst effektiv Anbietende von Webseiten dazu bewegen, Mängel zu erkennen und zu beheben. Das Forschungsteam stellt dazu das Werkzeug „Check Google Analytics“ zur Verfügung, mit dem die korrekte Aktivierung der IP-Anonymisierung bei der Einbindung von Google Analytics überprüft werden kann.

Fast alle Webseiten und Onlineshops verwenden Analysewerkzeuge wie Google Analytics, um mehr über die Seitenbesucherinnen und -besucher und deren Nutzungsverhalten zu erfahren. Doch nicht alle dieser Tools sind datenschutzkonform nach der Datenschutzgrundverordnung (DSGVO) eingerichtet. Durch falsche Einstellungen können Webseitenverantwortliche Gegenstand von Abmahnungen, Schadensersatz oder Bußgeldern werden. Forschende aus den Fachbereichen Informatik (Professor Matthias Hollick und Max Maaß, TU Darmstadt; Professor Dominik Herrmann und Henning Pridöhl, Universität Bamberg), Psychologie (Alina Stöver, TU Darmstadt) und Rechtswissenschaften (Dr. Sebastian Bretthauer und Professorin Indra Spiecker genannt Döhmann, Goethe-Universität Frankfurt) gingen in einer Studie der Frage nach, wie Webseitenbetreibende über fehlerhafte Datenschutzeinstellungen dieser Analysedienste so informiert werden können, dass sie ihre Internet-Angebote möglichst effektiv zur rechtmäßigen Einstellung hin ändern.

Innerhalb der interdisziplinären Studie wurden 3954 Betreiberinnen und -betreiber von insgesamt 4096 deutschen Webseiten über eine fehlende oder fehlerhafte Konfiguration der IP-Anonymisierung beim populären Analysedienst Google Analytics informiert. Dies bedeutete einen Verstoß gegen Datenschutzanforderungen. Für das Benachrichtigungsexperiment wurden erstens die Formulierung der Nachricht (Hinweis/Hinweis mit Information über Folgen für Nutzerschutz/Hinweis mit Information über mögliche Rechtsfolgen), zweitens das Kontaktmedium (E-Mail oder Brief) und drittens der Absender (Informatikstudierende als Privatperson; Informatiklehrstuhl; datenschutzrechtlicher Lehrstuhl und Forschungsinstitut) variiert. Die Ergebnisse zeigen, dass die Mängel am ehesten behoben werden, wenn die Benachrichtigung einen Hinweis auf rechtliche Folgen enthält. Außerdem wurden die Einstellungen bei Information per Brief häufiger korrigiert als bei Hinweisen per E-Mail. Die Identität des Absenders beeinflusst die Bereitschaft, Änderungen vorzunehmen, ebenfalls: So führten Schreiben des datenschutzrechtlichen Lehrstuhls und Forschungsinstituts häufiger zum Erfolg als Informationen von Forschenden aus der Informatik. Überraschend effektiv zeigte sich die Information durch Privatpersonen mit fachlichem Hintergrund (Informatikstudierende). Insgesamt wurde das Problem von mehr als der Hälfte (56,6 Prozent) der Informierten als Reaktion auf das Benachrichtigungsexperiment behoben, während in der uninformierten Kontrollgruppe nur 9,2 Prozent von sich aus, z.B. auf der Basis von Medienberichten, agierte.

Die Ergebnisse einer anschließenden Umfrage, die im Rahmen der Studie mit den Webseitenbetreibenden durchgeführt wurde, zeigte weiterführende Erkenntnisse zum Wissen der Webseitenverantwortlichen im Hinblick auf die von ihnen benutzten Analysetools. Fast 20 Prozent der Teilnehmenden waren sich nicht bewusst, das Analysewerkzeug Google Analytics auf ihrer Webseite zu verwenden. Zudem gaben 12,7 Prozent an, von der widerrechtlichen Einstellung gewusst und sie dennoch nicht behoben zu haben. Zusammen mit der Reaktionsrate sind somit Rückschlüsse auf datenschutzkonformes Verhalten und die Effektivität von Hinweisen auf datenschutzwidriges Verhalten möglich.

Basis der Analyse war das von den Autorinnen und Autoren entwickelte Werkzeug „Check Google Analytics“. Damit können die Einstellungen der eigenen Webseite im Hinblick auf den datenschutzkonformen Einsatz der Anonymisierungsfunktion von Google Analytics schnell und kostenlos geprüft werden. Im Rahmen der Untersuchungen wurden mit Hilfe des Tools fast 40.000 Scans von über 14.000 Webseiten durchgeführt. Nach Auffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12.05.2020 reicht die IP-Anonymisierung inzwischen nicht mehr aus, um Google Analytics rechtskonform zu betreiben; inzwischen wird unter anderem eine vorherige Einwilligung der Seitenbesucher gefordert. Ob Google Analytics in Europa nach dem „Schrems II“-Urteil überhaupt noch betrieben werden darf, wird derzeit in mehreren Beschwerdeverfahren von den Datenschutzaufsichtsbehörden untersucht.

Die Forschungsarbeit wurde von der Deutschen Forschungsgemeinschaft (DFG) im Rahmen des Graduiertenkollegs 2050 „Privacy and Trust for Mobile Users“ sowie vom Bundesministerium für Bildung und Forschung (BMBF) und dem Hessischen Ministerium für Wissenschaft und Kunst (HMWK) im Rahmen der gemeinsamen Förderung des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE unterstützt.

Über die TU Darmstadt
Die TU Darmstadt zählt zu den führenden Technischen Universitäten in Deutschland und steht für exzellente und relevante Wissenschaft. Globale Transformationen – von der Energiewende über Industrie 4.0 bis zur Künstlichen Intelligenz – gestaltet die TU Darmstadt durch herausragende Erkenntnisse und zukunftsweisende Studienangebote entscheidend mit.
Ihre Spitzenforschung bündelt die TU Darmstadt in drei Feldern: Energy and Environment, Information and Intelligence, Matter and Materials. Ihre problemzentrierte Interdisziplinarität und der produktive Austausch mit Gesellschaft, Wirtschaft und Politik erzeugen Fortschritte für eine weltweit nachhaltige Entwicklung.
Seit ihrer Gründung 1877 zählt die TU Darmstadt zu den am stärksten international geprägten Universitäten in Deutschland; als Europäische Technische Universität baut sie in der Allianz Unite! einen transeuropäischen Campus auf. Mit ihren Partnern der Rhein-Main-Universitäten – der Goethe-Universität Frankfurt und der Johannes Gutenberg-Universität Mainz – entwickelt sie die Metropolregion Frankfurt-Rhein-Main als global attraktiven Wissenschaftsraum weiter.

Originalpublikation: https://www.usenix.org/conference/usenixsecurity21/presentation/maass

Vorheriger ArtikelIllegale Müllentsorgung auf Blieskasteler Friedhofsanlagen
Nächster ArtikelAus Eigeninteresse zum Sozialunternehmen: Studie zeigt Motive von Gründerinnen und Gründern

HINTERLASSEN SIE EINE ANTWORT

Bitte kommentieren sie.
Bitte geben sie ihren Namen ein.