Artikelserie zur Datenschutzgrundverordnung (DSGVO)

Symbolfoto(Foto Evan Kirby | Unsplash)

Ab dem 25. Mai greift die neue Datenschutzgrundverordnung (DSGVO). Damit gelten europaweit erstmals einheitlich dieselben Regeln zum Datenschutz. Das ist zuerst einmal eine gute Sache: Firmen und andere Anbieter können sich nicht mehr einseitig auf die ihnen genehmste Regelung zurückziehen.
Zugleich stellt die Umsetzung der DSGVO alle Betroffenen, darunter auch Verbände und die Jugendarbeit, vor große Herausforderungen. In einer dreiteiligen Artikelserie wollen wir einen Überblick über die Datenschutzsituation durch die DSGVO und damit verbundener Regelungen geben, Tipps zur Umsetzung in der Jugendarbeit zusammentragen und die Auskunfts-, Berichtigungs- und Löschrechte für alle Betroffenen vorstellen.

1) Die Datenschutzgrundverordnung – worum geht’s?
2) Die Datenschutzgrundverordnung – was muss ich machen?
3) Die Datenschutzgrundverordnung – welche Rechte habe ich dadurch?
4) »Keine Angst vorm Datenschutz« (Workshop-Präsentation)

Vorab: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Wir möchten euch einladen die Kommentarfunktion aktiv zu nutzen, eure Erfahrungen, Erkenntnisse, Fragen und Probleme mit uns und allen Leser_innen zu teilen.

Datenschutzfreundliche Alternativen zu Facebook & Co

[Update 18.07.2018: Abschnitt zu Humhub sowie Details zu anderen Plattformen ergänzt.]

Nicht erst seit den beiden jüngsten Datenskandalen rund um Facebook (Stichwort „Cambridge Analytica“, sowie Sammlung von SMS- und Anrufdaten) überlegen sich Viele, was eigentlich mit den eigenen Fotos, Nachrichten und „Gefällt mir“-Bewertungen passiert, nachdem sie einmal ins Netz gelangt sind. Eine Kontrolle darüber, wer auf Seiten der Dienstebetreiber private Nachrichten mitliest, ist aus Nutzersicht nicht möglich (s. z.B. „Microsoft liest heimlich Skype-Chats mit”). Ob Daten je wieder gelöscht werden können, scheint unsicher („Dropbox gesteht jahrelange Speicherung gelöschter Dateien“, „Facebook does not erase user-deleted content“).

Oft ist auch die Abgrenzung zwischen Komfortfunktionen und Datenausspähung nicht so einfach vorzunehmen. Wer will schon alle Freunde einzeln mit Telefonnummer, Profilbild, E-Mail-Adresse und Messenger-ID ins Smartphone eintippen, wenn die Übertragung auch automatisiert vonstatten gehen kann?

Eine Sache ist also klar: Ganz ohne Datenweitergabe sind öffentlicher Austausch und private Kommunikation nicht machbar. Aber es gibt Möglichkeiten, zumindest die Datenpreisgabe ein wenig einzudämmen.

Symbolbild zum Artikel (Foto: Marvin Meyer | Unsplash.com)

Die dezentrale Gemeinschaft: Eine „Föderation“ im sozialen Netzwerk

Seit mehreren Jahren versuchen verschiedene Entwickler_innen, eine solide Basis für soziale Netzwerke zu erfinden, die Werkzeuge zum Teilen von Inhalten mit dem Bedürfnis für Privatheit in Einklang bringen. Das soll vor allem dadurch gelingen, dass man die Hoheit über die eigenen Daten am besten gar nicht hergibt. Stattdessen könnte ein eigener Server aufgesetzt werden, der wiederum das eigene soziale Netzwerk beherbergt. Dabei gibt es natürlich die Auswahl zwischen „selbst hosten oder mitbenutzen“.

Dieser Lösungsansatz alleine würde natürlich zu kurz greifen: Wenn jede_r nur den eigenen Server bedient, wie wäre dann ein Austausch von Bildern und Nachrichten möglich? Die Antwort ist, dass sich Server verbinden lassen, über eine sogenannte „Föderation“. Als Nutzer_in muss ich mich dabei nur insoweit umgewöhnen, dass ich die Freunde nicht nur über den Namen, sondern mit einer Kennung ähnlich einer E-Mail-Adresse finde. Das Format wirkt vertraut und ist auch für Neulinge eingängig: name@server – und schon ist man in Kontakt (vorausgesetzt man wurde nicht geblockt 😉).

Dieser dezentrale Ansatz findet immer mehr Eingang in die verschiedensten Open-Source-Plattformen und löst zugleich ein weiteres Problem: Bei Diensten wie Facebook, Google+, Whatsapp und Anderen ist man mehr oder weniger an die spezifische Herstellersoftware gebunden. Als Nutzer_in gibt es kaum Möglichkeiten sich die Funktionen und das Aussehen selbst zusammenzustellen oder gar auf alternative Produkte auszuweichen. Nach einem Wechsel der Plattform sind bei den marktbeherrschenden Diensten auch alle dortigen Kontakte verloren.

Bereits in den Anfangstagen des Internets wurden die Grundlagen für eine dezentrale Vernetzung und Freiheit bezüglich der konkret eingesetzten Software gelegt: Jede_r kann für sich selbst entscheiden, welches E-Mail-Programm man nutzen möchte, mit welchem Webbrowser man sich auf Websites bewegt oder über welche Anwendung man an den Chats im IRC teilnimmt. Abgeschlossene Plattformen mit festem „App-Ökosystem“ sind daher eher eine Entwicklung aus kommerziellen Interessen heraus.

 

Open Source to the rescue! Friendica, Diaspora, Hubzilla und andere

Mittlerweile gibt es mehrere freie Entwicklungen, die die Nachfolge von Facebook & Co. antreten wollen. Seit 2010 wird das Projekt »Diaspora*« vorangetrieben, für das sich aktuell ungefähr 650.000 Nutzer_innen eingeschrieben haben. Die verteilten Server, „Pods“, laufen auf der Computersprache Ruby. Da dies auf günstigen Webhostings eher nicht verfügbar ist, kann man sich alternativ »Friendi.ca« und »Hubzilla« ansehen. Diaspora verfügt derzeit als einziges der genannten Projekte auch über eine deutschsprachige (Erklär-)Website.

Die Vorteile der freien Wahl der Plattform, die aufgrund der Föderation auch mit den anderen Plattformen in Austausch treten kann, sind zugleich gelegentlich auch deren Nachteil: Jedes Softwareprojekt hat seine Stärken und Schwächen. Während möglicherweise bei einem der Projekte die Erweiterbarkeit durch jederzeit neue Plugins im Vordergrund steht, verlegt sich das andere vielleicht auf besondere Freiheiten für nomadische Profile.

Diaspora* ist zwar durch seine Crowdfunding-Kampagne vor wenigen Jahren stark in den Medien sichtbar gewesen; das bedeutet aber nicht, dass die „stilleren“ Projekte weniger leisten. Friendi.ca ist beispielsweise auch mit dem Hintergedanken ins Leben gerufen worden, dass Neuigkeiten und Informationen aus anderen Social Networks dort mit abgeholt werden können: Der eigene Umstieg auf Friendi.ca sollte also die bestehenden Kontakte in anderen Netzwerken weiter sichtbar und verfügbar halten. Dass Facebook & Co diese Öffnungsbestreben kritisch beäugen und teilweise aktiv bekämpfen, ist dabei leider auch nicht überraschend. »Hubzilla« wird des Öfteren als „eierlegende Wollmilchsau“ beschrieben, da auch Cloud-Funktionen wie Dateiablagen oder Netzwerkordner hier funktionieren. Allerdings fühlt man sich anfangs auf der Plattform ziemlich allein, da eine Pinnwand wie in anderen Netzwerken zuerst einmal fehlt. Insgesamt sind alle Aussagen über die eine oder andere Plattform auch relativ: Die Software-Projekte entwickeln sich aktiv weiter und lernen voneinander. Fehlende Funktionen werden nachgereicht, bestehende bekommen zusätzliche Verbesserungen.

Ebenfalls nicht ganz einheitlich ist die Benennung von eigentlich den selben Dingen: Während die verteilten Server bei Diaspora* als „Pods“ bezeichnet werden, nennt sie die freie Twitter-Alternative aus Jena, »Mastodon«, ganz technisch einfach „Instanzen“. (Eine Einführung zu Mastodon findet sich bei bento.)

Recht schnell zu verstehen ist das ebenfalls frei verfügbare »Humhub«. Es verfolgt zwar keinen föderierten Ansatz, sondern ist eher als „Social Intranet“ zu verstehen. Die Serveranforderungen sind ebenfalls nicht allzu hoch: Humhub kann ebenso wie Hubzilla oder Friendi.ca schon auf einem einfachen Webhosting installiert und durch Erweiterungen im Funktionsumfang aufgepimpt werden. Allerdings stößt man dabei derzeit noch schnell an funktionale Grenzen, wenn man von weiteren Anwendungen auf Kalender oder Kontakte zugreifen wollte. Erst eine kostenpflichtige „Enterprise Edition“ ergänzt fehlende Möglichkeiten.

Wem der konkrete Einstieg in eigene Server und föderierte Plattformen noch etwas zu kompliziert erscheint, kann sich auch bei nicht-gewinnorientierten, genossenschaftlich organisierten Social-Media-Plattformen registrieren. Eine davon ist die in Berlin angesiedelte Community von »Wechange.de«. Hier liegt der Fokus aber deutlich auf Vernetzung von thematisch aufgestellten Gruppen. Immerhin über 17.000 engagierte Personen tummeln sich mittlerweile auf dieser Plattform.

 

Dateien austauschen, Projekte managen: Nextcloud / Owncloud

Auf ein föderiertes Konzept setzen auch die populären „Clouds zum Eigenbau“, Nextcloud und sein Ahn Owncloud. Beide stellen in der fast überall zu betreibendenen Grundausstattung einen praktischen Ersatz für Dateiaustausch-Dienste wie Dropbox oder Google Drive dar und sind mit allen Arten von Betriebssystemen nutzbar. Sie können durch eigene oder zentrale Plugins erweitert werden, so dass auch ein selbst verwalteter Terminfinder (wie Doodle), Videotelefonate (Skype, Hangouts, Facetime) oder Projektmanagement-Werkzeuge zur Verfügung stehen.

 

Der Einstieg in diese neue Welt der eigenen Social-Media-Föderation ist nicht ganz leicht. Eine gewisse Lernkurve muss man in Kauf nehmen. Aber es lohnt sich!

Heute ist „Safer Internet Day“

Am zweiten Tag der zweiten Woche des zweiten Monats findet jährlich der „Safer Internet Day“ statt. Die Zielsetzung an diesem „Tag für mehr Internetsicherheit“ ist über Aktionen und Informationen eine langfristige Sensibilisierung und Stärkung der Medienkompetenz für die Gefahren im Internet zu fördern. Mit jährlich wechselnden Schwerpunkten wird eine Bandbreite von Themen abgedeckt: „Safer“ kann das Internet ja in vielerlei Hinsicht sein.

Im Jahr 2018 steht der Aktionstag in Deutschland unter dem Motto »Alles Unter Kontrolle?!«. Es soll darum gehen, wie souverän und selbstbestimmt wir alle eigentlich online unterwegs sind.

Logo des Safer Internet Day 2018 [Quelle: saferinterneday.org]

Logo des Safer Internet Day 2018 [Quelle: saferinterneday.org]

Damit der Safer Internet Day nicht nur ein Tag von Pressemitteilungen bleibt, fördern die Europäische Union und verschiedene Ministerien eine Vielzahl von Online-Angeboten, die von Telefonberatung und Jugendschutzmaßnahmen über eine Internet-Beschwerdestelle bis hin zu Fortbildungsangeboten für Kinder, Jugendliche und Erwachsene reichen. Einen guten Einstieg bzw. Übersicht über die verschiedenen Angebote gibt es unter der Adresse www.saferinternet.de. Einen großen Pool an Angeboten, sortierbar nach Sprachen und Altersspanne der jeweiligen Zielgruppe, gibt es unter www.saferinternetday.org/web/sid/resources/gallery.

Keine Chance für Hetze dank der »Internet-Beschwerdestelle«

Als Lesezeichen setzen kann man sich dabei auch die „Internet-Beschwerdestelle“, die sich um Inhalte in Deutschland und weltweit kümmert. Dabei klärt die Website auch über die Art der Inhalte und über die Verfahrenswege auf, die nach eine Beschwerde getätigt werden. Los geht’s auf: internet-beschwerdestelle.de

Vielsprachige Beteiligung mit digitalen Tools

Schon gewusst? Unsere Beteiligungswerkzeuge stehen nicht nur in deutscher Sprache zur Verfügung, sondern können auch in einem internationalen Kontext hinaus verwendet werden.

Unser Server zum Organisieren und Durchführen von Barcamps und ähnlichen Seminaren, www.barcamptools.eu, steht für die Nutzer*innen auf Deutsch und Englisch zur Verfügung. Die bereits angelegte russische Übersetzung wird derzeit überarbeitet und geht im Frühjahr wieder online.

Das ePartool kann während der Installation und später über die Administrationsoberfläche in andere Sprachen umgeschaltet werden: Neben Deutsch sind Lokalisierungen in mehrere Sprachen vorbereitet, nämlich Englisch, Französisch, Polnisch, Tschechisch, Russisch und eine arabische Vorabversion. Die Übersetzungen sind noch nicht alle vollständig, aber wir arbeiten kontinuierlich daran. Es ändern sich dabei natürlich nicht die (selbst eingestellten) Inhalte der Beteiligungsrunden, aber alle Buttons, Labels und Systemnachrichten.

Antragsgrün wiederum steht auf Deutsch, Englisch und Französisch zur Verfügung. Unter motion.tools (Englisch) und sandbox.motion.tools/createsite?language=fr (Französisch) kann man sich davon einen ersten Eindruck machen.

Antragsgrün wird im Zusammenspiel mit Übersetzungsdiensten wie Google Translate richtig stark: Auf der DBJR-Vollversammlung konnten die internationalen Gäste stärker als bisher an der Versammlung partizipieren – dank einer automatisierten, stets aktuellen englischen und französischen Übersetzung aller Diskussionspapiere und -stände. Wie das funktionierte, kann man sich nachträglich noch ansehen: www.dbjr.de/antrag/web/vv2017.

Mit den meisten Übersetzungen kann unser Etherpad-Server yourpart.eu aufwarten, allerdings braucht man die übersetzten Labels eigentlich nur, um Spezialeinstellungen und Exportfunktionen zu verstehen.

Das Übersetzen unserer Tools ist eine laufende Aufgabe. Hier sind wir auch auf eure Unterstützung angewiesen! Wer Interesse hat, die Tools in weitere Sprachen zu übertragen oder uns dabei unterstützen möchte, bestehende Lokalisierungen für alle Nutzer*innen zu verbessern, nimmt gerne jederzeit Kontakt mit uns auf: digital@dbjr.de.

Tool-Tipp: Emojis auch auf dem Desktop-PC benutzen 👍

Aus der digitalen Kommunikation sind sie heutzutage kaum mehr wegzudenken: Die »Emojis«. Was vor einigen Jahren noch recht rudimentär mit dem Smiley-Emoticon 🙂 begann, hat sich, beflügelt durch mobile Messenger-Dienste, beinahe explosionsartig weiter entwickelt. Und der aus dem Japanisch stammende Ausdruck »Emoji« für „Bildschriftzeichen“ ist mittlerweile schon fast Allgemeingut.

Um so ärgerlicher ist die Kommunikationsbarriere zwischen Smartphones und Desktop-PC oder Notebooks: Die Eingabe von Emojis ist bei Letzteren sehr viel komplizierter als auf dem Smartphone. Gegen eine reine Eingabe über die Tastatur spricht, dass mittlerweile viel zu viele Emojis existieren und dass das System seit der Einführung von geschlechterspezifischen und hautfarbe-wiederspiegelnden Zeichen noch deutlich komplexer wurde. In manchen Programmen oder Onlinediensten können Emojis eingefügt werden durch führende und schließende Doppelpunkte und dem entsprechenden Titel dazwischen. Aber auch das ist zu kompliziert, wenn sich man Beispiele wie :heart_eyes: für 😍 oder :stuck_out_tongue_winking_eye: für 😜 merken soll.

Zum Glück ist Hilfe nah: Kleine Programme, die das Auffinden und Verwenden der richtigen Emojis deutlich erleichtern. Eines dieser Helferlein wollen wir heute vorstellen: Der frei verfügbare Emoji-Helper »Emoji Cheatsheet«. Als kleines Add-on kann es in den verschiedenen Browsern (Mozilla Firefox, Google Chrome, Opera und Apple Safari) installiert werden oder ganz neutral als sogenanntes „Bookmarklet“ genutzt werden. Künftig findet man die gesuchten Zeichen ganz bequem dank der Übersicht, die man aus Messenger-Diensten kennt. Per Copy & Paste kann das gewünschte Emoji dann herauskopiert und an beliebiger Stelle im Browser oder auch in anderen Programmen eingefügt werden.

Der Emoji-Helper »Emoji Cheatsheet« wird offen auf Github entwickelt und kann frei heruntergeladen und verwendet werden. Weitere Infos unter http://johannh.me/emoji-helper/

Tool-Tipp: Mit »DeepL Translator« gut verständlich übersetzen

Zwar ist es schon eine Weile her, als automatische Übersetzungsdienste „Bill Clinton“ noch falsch als „Rechnung Clinton“ ins Deutsche übertrugen, von Perfektion sind die bekannten Übersetzer von Google und Microsoft Bing trotzdem noch weit entfernt.

Das neue Angebot des in Deutschland beheimateten Unternehmens DeepL, das auch das bekannte Onlinewörterbuch Linguee betreibt, setzt nun auf neuronale Netzwerke und bietet einen komfortablen und sehr hochwertigen, automatischen Übersetzungsdienst an: Der kostenlose »DeepL Translator« ist erreichbar unter https://www.deepl.com/translator.

Unsere stichprobenartigen Tests ergaben, dass auch Texte mit Jugendarbeitsbezug gut lesbar in verschiedene Sprachen übertragen wurden. Sicherlich ist die automatische Übersetzung noch deutlich von einer muttersprachlichen Übersetzung zu unterscheiden, allerdings blieben die geprüften Textbeispiele im Gegensatz zu anderen Diensten gut verständlich. Falsch übersetzte Begriffe stellen bei DeepL ebenfalls kein Problem dar: Einfach auf ein falsch übersetztes Wort klicken und schon erhält man vom System mehrere Alternativvorschläge zur Auswahl.

Datenschutz: Wie bei allen kostenlos zur Verfügung stehenden Diensten im Netz muss man sich bewusst sein, dass die übertragenen Daten (also eure Texte) auf einem euch nicht bekannten Server verarbeitet und dort gespeichert werden können.

Bisher sind die Sprachen Deutsch, Englisch, Französisch, Italienisch, Niederländisch, Polnisch und Spanisch verfügbar. Im Zweifelsfall muss die Ausgangssprache nicht ausgewählt werden, sondern wird automatisch erkannt. Als weitere Sprachen angekündigt sind bereits Portugiesisch, Russisch, Japanisch und Mandarin.

Lesetipp: Gebärdensprache – Lautlos in der IT-Welt

Im IT-Bereich werden mit neuen Entwicklungen auch ständig neue Wörter eingeführt. Manche finden schnell ihren Weg in den allgemeinen Wortschatz – aber wie werden eigentlich diese Begriffe in Gebärdensprache ausgedrückt? Das Nachrichtenportal Golem.de hat einen sehr interessanten Artikel darüber veröffentlicht, wie Gehörlose mit den zahlreichen Abkürzungen und Anglizismen der IT-Welt in Gebärdensprache umgehen, auf welche Probleme sie stoßen und welche Lösungen es gibt.

https://www.golem.de/news/gebaerdensprache-lautlos-in-der-it-welt-1708-129151.html

Tool-Tipp: Große Dateien versenden mit send.firefox.com

Kurz mal einen Videoclip vom letzten Projektwochenende verschicken oder Druckvorlagen an eine Agentur schicken? E-Mail eignet sich leider für große Dateien nicht, so dass oft der Weg über Clouddienste wie Dropbox oder Google Drive gewählt wird. Diese Dienste sind allerdings nicht nur datenschutztechnisch umstritten (siehe z.B. hier und hier), auch setzen sie stets auch einen festen Nutzeraccount voraus.
Die gemeinnützige Mozilla-Stiftung, die allgemein vor allem durch Entwicklung des Firefox-Browsers und Thunderbird-Mailprogramms bekannt ist, bietet im Rahmen ihrer „Experiments“ einen neuen Dienst im Testbetrieb an: Dateien bis 1 GB Größe können ohne vorherige Anmeldung direkt übers Netz verschickt werden.

Dazu begibt man sich auf send.firefox.com, schiebt per Drag & Drop die zu versendende Datei in den Browser und und erhält einen bis zu 24 Stunden lang gültigen Link, der nur noch an den/die Empfänger_in weitergeleitet werden muss. Danach werden die Dateien wieder automatisch gelöscht.

Screenshot send.firefox.com

Die übersichtliche Seite send.firefox.com ist auch auf Deutsch verfügbar

Datenschutz: Die Dateien werden auf Servern der Mozilla-Stiftung bis zum Abruf durch den/die Empfänger_in zwischengespeichert. Theoretisch könnte die Stiftung oder Andere, die euren Link unbefugt erhalten, auf die Dateien zugreifen. Um die zu versendende Datei zusätzlich abzusichern, kann man sie vor dem Upload z.B. über ein populäres, sicheres Packprogramm wie 7zip in ein passwortgeschütztes ZIP oder 7z-Archiv packen. Das Vorgehen über ein ZIP-Paket bietet sich auch an, wenn ihr auf einen Schwung viele Dateien (z.B. Fotos) versenden wollt.

Keine Datenschutzbedenken mehr: Selbst einen Send-Server betreiben

Die zugrundeliegende Software entwickelt Mozilla als Open-Source-Tool. Die Entwicklung erfolgt offen zugänglich über Github (https://github.com/mozilla/send). Dort findet sich auch eine Erklärung, wie man selbst einen Send-Server aufbauen und für eigene Bedarfe in einem Projekt oder der eigenen Organisation betreiben kann.

In eigener Sache: Tooldoku übersichtlicher

Regelmäßige Besucher_innen werden es schon bemerkt haben: Wir haben in den letzten Tagen an einigen Stellen der Tooldoku-Website geschraubt.

Screenshot neuer Tooldoku-KopfbereichDer Tooldoku-Blog war vor einigen Jahren gestartet worden, um die Entwicklung des ePartool zu begleiten und zu dokumentieren. Mittlerweile sind weitere Tools hinzu gekommen und die Entwicklung selbst findet nun dank des Gemeinschaftsprojekts jugend.beteiligen.jetzt in einem stabileren Rahmen statt.

Um dieser Entwicklung Rechnung zu tragen, haben wir sowohl den Blog wie auch die weiteren Seiten etwas umstrukturiert und das Hauptmenü entschlackt. Damit die neuesten Blogbeiträge zu genau dem Tool, für das man sich gerade interessiert, schneller findet, gibt es nun für den Blog rechts eine Auswahlmöglichkeit »THEMEN & KATEGORIEN«.

Und nicht zuletzt haben wir auch den technischen Stand aktualisiert: Die Tooldoku-Website läuft nun auf PHP 7.

Fremde Inhalte einbinden und trotzdem „sicher“ bleiben?

Das Besondere am World Wide Web ist, dass alle Inhalte miteinander vernetzt sein können. Mit nur einem Klick gelangt man zu weiterführenden Informationen oder neuen Inhalten. Zugleich wurde auch das traditionelle Konzept von „Seiten“ durch das WWW dank seiner Vernetzungs- und Interaktionsmöglichkeiten deutlich erweitert. Neben Fließtext und Bildern kann eine Seite aus weiteren Elementen bestehen, die aus ganz unterschiedlichen Quellen interaktiv eingebunden sind: Youtube-Videos, aktuelle Podcasts, Instagram-Fotos, Tweets (Twitter) oder Präsentationen mit Prezi sind nur ein paar der bekannteren Beispiele.

Diese Einbinde-Möglichkeit hat aber auch ihre Kehrseite, da man selbst als Seitenbetreiber_in kaum mehr überblicken kann, was am Ende auf einer Seite zu sehen sein wird. Thematisch unpassende, aufdringliche Werbeanzeigen nerven; Tracking-Cookies von Werbetreibenden oder von Social Media Funktionen durchleuchten die Besucher_innen meist ohne Vorwarnung und ohne Opt-out-Möglichkeit.

Über solche unerwünschte Aspekte hinaus bedeutet die vernetzte Herangehensweise des World Wide Web auch, dass sogar gefährliche Inhalte in eigentlich harmlose Seiten hineingeraten können.

Typische Einfallstore

Die Einfallstore sind zum Einen die eigentlich willentlich eingebundenen externen Quellen und zum Anderen (unbewusst) bestehende Sicherheitslücken: Wenn die eigene Website durch ein Content Management System befüllt wird, finden sich trotz aller Sorgfalt immer wieder Schwachstellen in der Programmierung dieses Redaktionssystems. Gerade interaktive Funktionalitäten sind besonders gefährdet. Typische Beispiele sind hierfür

  • Formulare (Anmeldemasken, Registrierungsformulare, Fragebögen, Suchfelder), die die eingegebenen Daten nicht auf den eigentlich beabsichtigten Inhalt prüfen oder beschränken, sondern z.B. statt der Eingabe einer eMail-Adresse dann möglicherweise die Übertragung von Programmiercode erlauben;
  • Funktionen zum Hochladen von Dateien (im Kern ebenfalls Formulare), die es versäumen zu überprüfen, ob z.B. wirklich nur eine Grafik oder doch stattdessen Programmcode übertragen wurde;
  • Suchfilter oder andere Parameter, die von einer Seite an die nächste übergeben wurden und bei denen aufgrund mangelnder Überprüfung Code-Einschleusung nicht verhindert wurde.

Eine so präparierte Website kann dadurch ganz andere Inhalte anzeigen als ursprünglich beabsichtigt. Wenn Nutzer_innen dann per eMail oder über Social-Media eine Einladung erhalten die Seiten zu besuchen, können sie nur sehr schwer erkennen, dass die Inhalte manipuliert wurden. Die Web-Adresse sieht ja weiterhin vertrauenswürdig aus und selbst die möglicherweise vorhandene https-Verschlüsselung funktioniert wie eh und je.

Die Lösung naht: Fremde Quellen explizit durch CSP freigeben

Um diesem Dilemma etwas entgegenzusetzen, wurde das Konzept der »Content Security Policy« (CSP) ersonnen. Im Kern funktioniert es so, dass die Betreiber einer Website im Rahmen einer Liste (Whitelist) einzeln aufführt, von welchen fremden Quellen Inhalte überhaupt auf der Website erscheinen dürfen. Die Liste ist dabei in einzelne Sektionen unterteilt. So kann beispielsweise festgelegt werden, dass für Audio und Video bestimmte Quellen zugelassen sind, Schriftarten oder eingebundene Fragebogen aber wiederum nur von anderen Quellen. Dadurch soll verhindert werden, dass eingebunde Quellen Inhalte mit ausliefern, die man als Betreiber_in einer Website nicht vorher eingeplant hat.
Dieses „Whitelisting“ hat allerdings eine Kehrseite: Nicht explizit freigegebene Quellen werden auch ohne weitere Erklärung unterdrückt. Wenn man beim Befüllen der Inhalte die Liste der Freigaben nicht im Kopf hat, wird man bei nicht-angezeigten Inhalten kaum die Ursache des Problems erkennen. Eine Einführung von CSP-Mechanismen sollte daher immer in enger Abstimmung zwischen den technisch und den redaktionell verantwortlichen Teams erfolgen.

Umsetzung von Content Security Policy im ePartool

Das ePartool unterstützt seit dem Frühjahr 2017, ab den Versionen 4.3.x, das Konzept der Content-Security-Policy.

Seither haben wir die Konfiguration noch etwas vereinheitlicht und verbessert. Die Quellen können in der Datei config.ini des ePartool eingetragen werden. Aus Sicherheitserwägungen heraus kann die Liste leider nicht bequem über die Redaktionsoberfläche verändert werden (da sie sonst angreifbar wäre und der Sicherheitsaspekt konterkariert würde). Wir liefern das ePartool bereits mit häufig benutzen Quellen aus, allerdings lohnt es sich auf jeden Fall, die Liste selbst noch zu überprüfen.

Der Aufbau und eine Übersicht der vorhandenen Einstellungsmöglichkeiten finden sich in der config.ini-Beispieldatei, die im selben Ordner zu finden ist wie die config.ini selbst: tool/application/configs/config.local-example.ini

; CORS settings - contains list of allowed addresses from where can be loaded external resources
; allow address for specific type of resource
; for details see https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

; Serves as a fallback for the other fetch directives
; cors.default-src[] = "*.example.com"

; Specifies valid sources of application manifest files - <link rel=manifest>
; cors.manifest-src[] = "*.example.com"

; Specifies valid sources for loading media using the <audio> and <video> elements - <video> <audio> <source> <track>
; cors.media-src[] = "*.example.com"

; Specifies valid sources for the <object>, <embed>, and <applet> elements
; cors.object-src[] = "*.example.com"

; Restricts the URLs which can be used as the target of a form submissions from a given context
; cors.form-action[] = "*.example.com"

; Specifies valid sources of images and favicons
; cors.img-src[] = "data: *.example.com"

; Specifies valid sources for fonts loaded using @font-face
; cors.font-src[] = "*.example.com"

; Specifies valid sources for JavaScript
; cors.script-src[] = "*.example.com"

; Specifies valid sources for stylesheets - <link rel=stylesheet>
; cors.style-src[] = "*.example.com"

; Restricts the URLs which can be loaded using script interfaces - XmlHttpRequest() WebSocket() EventSource() sendBeacon() fetch()
; cors.connect-src[] = "example.com"

; Defines the valid sources for web workers and nested browsing contexts loaded using elements such as <frame> and <iframe>
; cors.child-src[] = "*.example.com"

 

Browserunterstützung: Fast alle sind dabei

CSP wurde bereits weiter entwickelt und ist derzeit in der zweiten Ausbaustufe technisch definiert. Während die Grundfunktionen mittlerweile in den meisten Browsern Einzug gefunden haben, wird der aktuelle Level 2 des Content Security Policy Konzepts vom Opera Mini und dem Internet Explorer 11 nicht unterstützt (aber vom Microsoft-Edge-Browser). Detaillierte Informationen hierzu finden sich bei »Can I Use …« unter https://caniuse.com/#search=csp