Was sind eigentlich Cookies und wofür werden diese Dinger gebraucht?

Immer mehr Websites blenden beim Besuch einen Cookie-Hinweis ein. Gelegentlich müssen bestimmte Cookies auch als Voraussetzung für den Seitenbesuch „akzeptiert“ werden. Doch was hat es mit diesen Cookies eigentlich auf sich?

Beispiel für einen typischen Cookie-Hinweis
Beispiel für einen typischen Cookie-Hinweis

Wie ein Seitenaufruf funktioniert

Um den Nutzen von Cookies zu verstehen, schauen wir uns zuerst einmal an, was beim Ansteuern einer Website geschieht:

Sobald man im Browser eine Internetadresse aufruft, setzt man eine ganze Fülle von Aktionen in Gang. Als Beispiel dient uns die Adresse »https://www.dbjr.de/themen/digital/«. Zuerst einmal fragt der Browser bei einem Namensserver („DNS“) nach, unter welcher IP-Adresse www.dbjr.de zu erreichen ist. IP-Adressen sind so etwas wie Telefonnummern. Sowohl Besucher*in wie auch der betreffende Server benötigen jeweils eine IP-Adresse, um miteinander zu kommunizieren. Als Endanwender*in hat man diese IP-Adresse meist automatisch vom Provider zugewiesen bekommen, sobald man sich mit dem Internet verbindet. Daher kann sich die eigene IP-Adresse auch von einem zum anderen Tag ändern.

Sobald der Browser nun die IP-Adresse von www.dbjr.de kennt (konkret lautet diese 78.46.167.129), klopft der Browser dort an und bittet um Zusendung der Ressource /themen/digital/. Als Antwort bekommt er eine HTML-Seite. Diese bildet das Grundgerüst der angezeigten Seite. Bei einer reinen Textseite wäre damit die Kommunikation zu Ende und Nutzer*in und Server gehen wieder virtuell getrennte Wege.

Allerdings besteht fast keine Internetseite nur aus Text. Im HTML-Dokument können Bilder, Videos, Schriftarten und Vieles mehr eingebunden sein. Diese muss der Browser dann selbsttätig von den Quellen herunterladen, die im HTML-Dokument genannt sind. Oft finden sich diese Daten auf dem selben Server wie das HTML-Dokument, aber sie können genauso ganz woanders im Internet hinterlegt sein: Eingebundene Youtube-Videos oder OpenStreetMap-Karten sind so ein Beispiel.

Wiedererkennen der Nutzer*in: Cookies kommen ins Spiel

Häufig möchte man auf Websites jedoch auf Daten zugreifen, die nicht öffentlich sichtbar sind. Ein Login-System hilft: Nutzerkennung und Passwort eingegeben, schon stellt der Server die benötigten Informationen zur Verfügung. Mit der bis hier beschriebenen Funktionsweise würde man allerdings für jeden Klick erneut diese Zugangsdaten eingeben müssen – das wäre eine wirklich lästige und langwierige Angelegenheit.

Um den Ablauf komfortabler zu gestalten, kommen nun Cookies ins Spiel: Mit dem Einloggen bekommt man für die aktuelle Sitzung eine eindeutige Identifikationskennung (eine Kette von Zahlen und Buchstaben) zugewiesen. Diese schickt der Server bei der Seitenauslieferung als Cookie an den Browser. Der Browser schickt diese wiederum bei jedem neuen Klick im Hintergrund als Identifikation mit. Ein Cookie ist also nichts Anderes als ein kurzes Textdokument.

Cookies werden auch für ein Warenkorbsystem eingesetzt: Unter einem zufälligen Identifikator, der noch gar nicht mit einem echten Namen verbunden sein muss, speichert der Server für eine Weile (z.B. 15 Minuten) alle ausgewählten Produkte. Sobald der Browser den Warenkorb anzeigen möchte, schickt er die Identifikationskennung an den Server, der nun den richtigen Datensatz zurückgibt.

Um die Sicherheit dieser Buchstaben-Zeichenketten zu erhöhen, kann der Serverbetreiber zusätzliche Aspekte berücksichtigen, z.B. die IP-Adresse und das Cookie in einem Datensatz verknüpfen oder zufällig wirkende Abrufe einfach abblocken. Auf diese besonderen Sicherheitsmaßnahmen gehen wir hier im Artikel aber nicht weiter ein.

Weitere typische Cookie-Einsatzzwecke sind das Hinterlegen von bevorzugter Benutzersprache oder besonderen Einstellungen wie größerer Schriftart/kontrastreicherer Darstellung.

Nachteile des Wiedererkennens: Analyse des Surfverhaltens

Das Wiedererkennen der Besucher*in kann also viele Vorteile haben. Cookies können aber auch dazu genutzt werden, um die Aktivitäten von Nutzer*innen zu verfolgen: Die Häufigkeit der Klicks, die Verweildauer und andere Aspekte des Surfverhaltens können mittels Cookies getrackt werden.

Zusätzlich kommt ins Spiel, dass viele Websites Datenquellen von außerhalb des eigenen Servers einbinden, vor allem Werbenetzwerke, Social-Media-Buttons oder Multimedia-Inhalte. Jede dieser externen Quellen könnte also bei diesem Abruf von Inhalten selbst noch ein oder mehrere Cookies setzen. Das ist nicht immer schlecht: Der Landkartendienst könnte z.B. ermöglichen, dass man ein soeben recherchiertes Restaurant auf die ganz persönliche Favoriten-Liste setzt und später wieder findet.

Das Problem: Eine Besucher*in einer Seite weiß aber wahrscheinlich vorher gar nicht, dass beim nächsten Klick auch Youtube/Google, Facebook oder ein anderes Werbenetzwerk vom Aufruf der Seite erfahren – der Browser lädt die eingebetteten Quellen aus dem HTML-Dokument ja genauso nach wie alles Andere.

Für viele Nutzer*innen ist es überraschend: Die offensichtlichen Einbettungen von Videos oder Landkarten kommen in der Realität deutlich seltener vor als andere Querverbindungen. Viel relevanter ist, dass Internetsites häufig Schriftarten von einem Schriftarten-Archiv (z.B. Google Fonts) oder Funktionsbibliotheken wie jQuery einbinden. Auch winzige, 1×1-Punkte große Bilder werden häufig eingebunden, um Zählcookies zur Reichweitenmessung in der Medienbranche zu ermöglichen. Diese im Internet sehr häufig genutzten Dienste erfahren so sehr viel mehr über das Surfverhalten von Nutzer*innen, als es den Betroffenen bewusst ist.

Und so geschieht es z.B., dass man auf einer Seite nach einem Produkt recherchiert, auf einer ganz anderen Site dann plötzlich Werbung rund um dieses Produkt angezeigt bekommt.

Exkurs: Warum Cookies, wenn es doch auch IP-Adressen gibt?

Man könnte sich nun fragen, warum Cookies eigentlich notwendig sind, wo doch jeder Anschluss auch eine eindeutige IP-Adresse hat. Tatsächlich werden IP-Adressen von Konsument*innen meist mehrfach genutzt: Der heimische oder Büro-Router/Firewall vermittelt mit einer einzigen IP-Adresse allen Datenverkehr nach draußen und verwendet wiederum im internen Netzwerk nicht-öffentliche Adressen. So können schnell mal hundert Geräte hinter einer einzigen IP-Adresse „versteckt“ sein.

Wie weiter oben schon beschrieben, ändern sich IP-Adressen aber teilweise auch über Nacht. Zugangsprovider reorganisieren ihre Netze oder kappen aus anderen Gründen nachts kurz den Zugang. Die meisten Zugriffe auf Internetdienste erfolgen heutzutage von Mobilgeräten aus. Diese wandeln häufig zwischen mehreren Netzen: vom heimischen WLAN zu LTE unterwegs und wieder zum WLAN im Zug, Café oder Seminarraum. Jedes Mal ist das Gerät mit einer anderen IP-Adresse nach außen sichtbar. Ein auf dem Gerät gespeichertes Cookie aber bleibt eindeutig.

Was man gegen unerwünschte Cookies tun kann

Zuerst die schlechte Nachricht: Traditionelle Cookies sind leider nicht die einzigen Möglichkeiten, Nutzer*innen wieder zu erkennen bzw. ihre Aktivitäten nachzuzeichnen. Heutige Browser bieten zahlreiche Offline-Funktionen wie das Zwischenspeichern von lokalen Datenbanken (“Local Storage“), die wir im Folgenden aber mit berücksichtigen werden.

Einstellungsfenster „Chronik löschen“ bei Mozilla Firefox
Im Firefox lässt sich die Chronik komfortabel löschen – Cookies und Local Storage inklusive.

Wichtig zu wissen ist, dass ein Cookie im Browser nicht von jedem beliebigen Server ausgelesen werden kann. Ein Cookie ist immer nur für den Dienst (Domain) sichtbar, der es gesetzt hat. Darum kann man (theoretisch) gut zwischen erwünschten und unerwünschten Cookies unterscheiden. Im Alltag wäre dies allerdings ein großer Aufwand, die Cookies per Hand auszusortieren. Es gibt allerdings kleine Helferprogramme, die bestimmte Arten von Tracking selbst erkennen und abwehren können.

Als ersten Schritt sollte man im Browser überprüfen, ob sogenannte „Drittanbieter-Cookies“ akzeptiert werden sollen. Hier bietet sich an diese nicht generell abzulehnen, sondern sie auf „Nur besuchte Drittanbieter“ zu beschränken. Sonst könnte es sein, dass auch gewünschte Funktionalität oft auf der Strecke bleibt.

Bildschirmfoto der Datenschutzeinstellungen von Mozilla Firefox
Datenschutz-Einstellungen am Beispiel von Mozilla Firefox. Die ganz unten befindliche „Do Not Track“-Einstellung wird allerdings zunehmend unrelevanter, da Betreiber von Websites diese inzwischen sogar als Unterscheidungsindiz zwischen Besucher*innen ihrer Website verwenden – also als Tracking-Merkmal!

Das Surfen im „privaten Modus“ oder die Einstellung, dass aller Verlauf und Daten beim Schließen des Browsers automatisch gelöscht werden, stellen eine sehr grundsätzliche Methode dar, um Cookies immer wieder los zu werden. Damit gehen dann aber auch möglicherweise gewünschten Cookies verloren – Einstellungen für häufig genutzte Websites, Cloud-Dienste o.ä.. Für Mobilgeräte gibt es dafür den Firefox Klar/Firefox Focus, der automatisch alle Surfdaten löscht, sobald er geschlossen wird. Für andere Browser gibt es Erweiterungen, die Cookies beim Verlassen einer Seite automatisch entfernen (z.B. Standard-Firefox: Cookie Auto-Delete).

Um schon während einer Surf-Session geschützt zu sein, erschweren verschiedene Add-ons ein Tracking, indem bestimmte Objekte gar nicht erst geladen werden. Inhalteblocker wie uBlock Origin (für Firefox, Chrome/Chromium, Opera) verhindern mit ständig aktualisierten Blockinglisten das Nachladen von Werbebannern und damit auch das Recht für die Werbenetzwerke Cookies zu setzen. Im Bedarfsfall kann dieser AdBlocker für einzelne Websites dann aber auch temporär oder dauerhaft deaktiviert werden.

Eine weitere Möglichkeit bieten Add-ons an, die sich besonders auf die automatische Erkennung von Tracking-Mechanismen spezialisiert haben: Besonders zu erwähnen wäre hier z.B. der Privacy Badger der EFF (Electronic Fronier Foundation), den es für Firefox, Chrome und Android gibt (https://www.eff.org/privacybadger). Ein ähnliches Tool ist das ebenfalls von Mozilla empfohlene Privacy Possum (erhältlich für Mozilla Firefox und Google Chrome).

Einen anderen Ansatz verfolgt die Erweiterung „Facebook Container“ in Firefox. Mit dieser Erweiterung werden die zum Facebook-Konzern gehörenden Dienste Instagram, Facebook und Whatsapp vom Rest der aufgerufenen Internetseiten isoliert: Während die Nutzung von Facebook ohne Probleme möglich ist, sind die Facebook-Buttons auf externen Seiten erst einmal deaktiviert – Facebook erfährt also nicht, dass man auf diesen Seiten unterwegs war.

Die hier vorgeschlagenen Erweiterungen lassen sich ohne Probleme auch parallel betreiben. Möglicherweise verändern sich aber die Erkennungsraten von Privacy Possum und Privacy Badger, je nachdem in welcher Reihenfolge sie vom Browser eingebunden werden: Was schon erkannt oder geblockt wurde, kann logischerweise nicht noch einmal erkannt werden.

Und als Betreiber*in?

Ohne es zu wissen, befördern viele Betreiber von Internetseiten das Verfolgen von Nutzer*innen durch die großen „Datenkraken“: Als Betreiber kann man die Privatsphäre der Besucher*innen schützen, indem man nicht unüberlegt externe Inhalte ohne Vorwarnung einbettet. Ein Ansatz ist z.B. dass erst der Klick auf ein Vorschaubild die Verbindung zu Youtube oder Vimeo, Instagram oder Twitter öffnet. Schriftarten können auf dem eigenen Server hinterlegt werden und müssen nicht unbedingt von Google oder anderen Archiven geladen werden; Selbiges gilt für Programmbibliotheken.

TL;DR / Zusammenfassung

Cookies sind für Login-Systeme oder Warenkorb-Funktionen wichtige technische Hilfsmittel, andererseits können sie auch zur Nutzerverfolgung eingesetzt werden. Gegen ein solches Tracking kann man sich durch Browser-Erweiterungen schützen. Website-Betreiber*innen sollten nicht unüberlegt Fremdquellen einbinden.

Was ist eigentlich … ein »Cronjob«?

Wenn man neue Website-Anwendungen oder Online-Portale einrichtet, findet sich in der Installationsanleitung häufig auch der Hinweis, dass ein »Cronjob« einzurichten sei. Aber worum handelt es sich dabei eigentlich?

Cronjobs beinhalten Aufgaben, die regelmäßig oder zu bestimmten Zeitpunkten stattfinden sollen. Ein Beispiel wäre ein automatischer Versand von E-Mails zur Erinnerung an Fristen oder tägliche Zusammenfassungen eines Forums. Diese Mails werden in der Regel nicht jedes Mal von einem Menschen zusammengestellt, sondern von der Server-Software.

Gebraucht werden diese wiederkehrenden Aufgaben vor allem auf Systemen, die rund um die Uhr laufen: Backups werden automatisiert angelegt oder bestimmte Systembereinigungen können so regelmäßig zu weniger frequentierten Zeiten (meist nachts) ablaufen. Das Entkoppeln von Momenten hoher Systemlast und Hintergrundaufgaben, die auch zu anderen Zeitpunkten stattfinden können, stellt den neben termingebundenen Aufgaben einen weiteren großen Vorteil von Cronjobs dar – ein typisches Beispiel wäre die Aktualisierung eines Inhaltsindexes für die Suchfunktion: Diese muss nicht exakt in dem Moment geschehen, wenn ein neuer Artikel in die Datenbank eingetragen wird, sondern darf meist auch einige Minuten später erst erfolgen.

Auf Arbeitsplatzrechnern oder Notebooks hingegen sind Cronjobs seltener anzutreffen. Oft werden wiederkehrende Aufgaben wie die Suche nach neuen Antivirus-Signaturen einfach jedes Mal bei Systemstart durchgeführt.

Für einen Cronjob benötigt man die Aufgaben, die erledigt werden sollen, niedergeschrieben in einem Programmskript. Skripte in einer Programmiersprache wie PHP, die gerade bei Website-Anwendungen sehr beliebt ist, kann aber von einem Server nicht direkt verstanden werden, sondern muss von einem »Interpreter« übersetzt werden. Welcher das ist, muss beim Einrichten eines Cronjobs ebenfalls angegeben werden. Und schließlich sind die Zeitangaben für das Ausführen wichtig – hier gibt es eine Fülle von Möglichkeiten (siehe Grafik).

Dieser Cronjob läuft jeden Morgen um 7:00 Uhr.

Cronjobs werden tabellarisch in einer Crontab-Datei abgespeichert. Bei Webhosting-Providern ist häufig eine grafische Benutzeroberfläche vorhanden, um die Jobs einzutragen und zu verwalten. Leider sind dabei oft Begrenzungen vorgegeben, z.B. dass mindestens zwei Stunden zwischen der Ausführung eines Cronjobs liegen muss. Für Web-Anwendungen, die häufiger solche Hintergrundaufgaben benötigen, kann man den Cronjob dann ggf. mehrfach anlegen: Während der erste z.B. zu allen ungeraden Stunden ausgeführt würde, wäre Cronjob 2 für alle geraden Stunden zuständig.

Gelegentlich sind Cronjobs mit Zugriffstokens abgesichert, d.h. nur wenn man eine Art Passwort mit übermittelt, wird der Cronjob ausgeführt. Dieses Verfahren setzen wir u.a. im ePartool ein, um sicherzustellen, dass ein Cronjob nicht missbräuchlich zum Spam-Mail-Versenden fehlgeleitet werden kann.

Was ist eigentlich… eine „Lootbox“?

Eine „Lootbox“ ist ein virtuelles Objekt in Videospielen, das Spieler_innen für andere virtuelle Gegenstände einlösen können – eine Art Schatzkiste also. Der Inhalt ist in der Regel vorher nicht bekannt: Das können z.B. Werkzeuge oder Waffen zur weiteren Nutzung im Spiel sein oder eine Anpassung oder Kostümierung des Charakters, den man spielt. Eine Lootbox kann man sich mit realem Geld kaufen. Eine andere Möglichkeit ist, sich die Lootbox innerhalb des Spiels zu erspielen, indem man Kämpfe gewinnt oder Rätsel löst, sogenannte „Quests“. Manchmal erhält man Lootboxen auch als Teil einer Promotionsaktion außerhalb eines Spiels.

Lootbox Symbolbild

(Foto: Tim Evans | unsplash.com/photos/Uf-c4u1usFQ)

Welche Gegenstände ein Charakter aus einer Lootbox erhält, berücksichtigt normalerweise nicht, was er gerade brauchen kann. Allerdings lassen sich die über die Lootbox erhaltenen Gegenstände mit anderen Spielern handeln oder tauschen.
Lootboxen werden aufgrund ihres Glücksspielcharakters teils kritisch gesehen. Der Versuch, Lootboxen zu erringen oder sich durch den Erwerb vorher nicht bekannter Gegenstände einen Vorteil zu verschaffen, kann den Suchtfaktor eines Spiels erhöhen. Spieler_innen kritisieren die Entwickler von zum Teil hochpreisigen Spielen, wenn diese durch die Lootboxen weitere Investitionen nötig machen (sogenannte „Pay-to-win-Elemente“). Auch der Tausch oder Handel von durch Lootboxen gewonnenen Gegenstände in echtes Geld oder gegen andere, wertvolle Gegenstände ist mitunter problematisch.

Erstmalig in Erscheinung traten Lootboxen zirka im Jahr 2007, wie z.B. im chinesischen Computerspiel „ZT Online“. Oft werden für diese „Beuteboxen“ auch andere Ausdrücke verwendet, wie „booster pack“, „loot crate“ oder „prize crate“.

Beurteilung und Kritik der Lootboxen unterscheidet sich stark von Spiel zu Spiel, je nachdem, wie wichtig die erhaltenen Gegenstände für den weiteren Spielverlauf sind und wie die jeweiligen Inhalte errungen werden können. Die Unterhaltungssoftware Selbstkontrolle (USK) hat diesem Thema auf ihrer Website einen Abschnitt unter dem Aspekt „Jugendschutz“ gewidmet: www.usk.de/service/lootboxen-und-jugendschutz/.

In mehreren Staaten unterliegen Lootboxen den jeweiligen Glücksspielgesetzen (vgl. Übersicht in der englischen Wikipedia). Apple hat im Frühjahr für Anwendungen in seinem App Store mittlerweile vorgeschrieben (developer.apple.com/app-store/review/guidelines/, Abschnitt 3.1.1), dass eine Transparenz über die tatsächlichen Gewinnchancen hergestellt werden muss: Spieler_innen müssen darüber informiert werden, wie hoch die Wahrscheinlichkeit ist bestimmte Gegenstände in Lootboxen zu finden. Noch einen Schritt weiter geht der Jugendmedienschutz in Deutschland: Die WELT AM SONNTAG meldet, dass die Kommission für Jugendmedienschutz der Landesmedienanstalten aufgrund der Ergebnisse einer Untersuchung der Universität Hamburg derzeit ein gänzliches Verbot von Pay-to-win-Elementen und Lootboxen prüft.

Was ist eigentlich… das „Netzwerkdurchsetzungsgesetz“? [Update 20.03.2018]

Das „Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz – NetzDG)“ hat zum Ziel, dass Web-Plattformen strafbare Inhalte innerhalb von 24 Stunden (nachdem sie auf jene hingewiesen wurden) löschen. Weniger klare Fälle bekommen eine Frist von sieben Tagen.

Da sich das Gesetz an Anbieter mit mehr als zwei Millionen Nutzer_innen richtet, bekam es schnell den umgangssprachlichen Titel „Facebook-Gesetz“. Konkret sind aber zahlreiche Dienste mit Veröffentlichungs- und Kommentierungsfunktionen betroffen, insbesondere Twitter, YouTube, Instagram, Pinterest, Google+ oder eben auch Facebook. Dementsprechend wird es in den Medien auch gelegentlich als „Hate-Speech-Gesetz“ bezeichnet.

Das Gesetz wurde von Justizminister Heiko Maas vorangetrieben, nachdem Aufforderungen zur Selbstzensur der Betreiber nicht hinreichend durchschlagend waren. Anfang Oktober 2017 trat es in Kraft; zum 1. Januar 2018 müssen die betroffenen Unternehmen die Regelungen voll umsetzen. Twitter hatte als erster dieser Dienste in seinem Beschwerdesystem einen Button „Fällt unter das Netzwerkdurchsetzungsgesetz“ eingebaut.

Dadurch, dass die erste Prüfung auf Strafbarkeit der gemeldeten Inhalte nicht ausführlich von Jurist_innen vorgenommen werden kann und die Plattformbetreiber bei Nichteinhaltung der 24-Stunden-Frist Strafen fürchten müssen, werden künftig womöglich zu viele Inhalte gelöscht. [Update 20.03.: Der Bußgeldkatalog scheint immer noch nicht definiert zu sein.] Dies könnte schnell zur Einschränkung der Meinungsfreiheit führen. Betreiber wie Facebook befürworten das Gesetz nicht, da sie nun in der undankbaren Rolle sind, Zensur zu betreiben und Entscheidungen treffen zu müssen, die sie lieber bei einer unabhängigen Gerichtsbarkeit sähen. (Schwierig zu entscheidende Fälle sollen einem neuen unabhängigen Gremium vorgelegt werden, das dem Bundesamt der Justiz (BfJ) untersteht. Zu diesem Gremium konnten wir noch keine Details in Erfahrung bringen.)

Die Kritik am Gesetz kommt dementsprechend aus vielen Richtungen: von Bürgerrechtler_innen, Organisationen und Parteien unterschiedlichen Spektrums. Bereits im Dezember gab es drei Initiativen von kleinen Parteien im Bundestag, das Gesetz zurückzunehmen oder wenigstens nachzubessern.

Was ist eigentlich… „Krypto-Mining im Webbrowser“?

Bitcoins sind die bekannteste der rein digital „geschürften“ Währungen, aber bei Weitem nicht die Einzigen. (Bild: CC0)

Krypto-Mining ist eine Art modernen Goldschürfens. Es wird aber natürlich kein Gold gewonnen, sondern die sogenannten digitalen „Kryptowährungen“. Besser bekannt sind sie beispielsweise als Bitcoin oder Ethereum. Kryptowährungen sind auf ein dezentrales Netzwerk vieler Computer angewiesen. Durch ausreichende Rechenleistung können neue „Coins“ generiert werden.

Websiteanbieter liefern die Inhalte ihrer Seiten meist kostenlos für die Besucher_innen. In irgendeiner Weise möchten sie ihre Angebote jedoch finanzieren. Lange Zeit funktionierte das zumeist über Anzeigen, die auf den Seiten geschaltet wurden und die der User anklicken konnte. Dadurch, dass heute viele Nutzer_innen solche Anzeigen blockieren, ist es den Anbietern kaum mehr möglich auf diesem Wege ihre Angebote zu finanzieren.
Krypto-Mining ist eine Möglichkeit für die Anbieter, an Geld zu kommen. Die Idee hierbei ist, dass Nutzer, die auf die Seite kommen, ihre Rechenkapazität zur Verfügung stellen. Der Nutzer bekommt davon meist nichts mit, weil die Berechnungen im Hintergrund stattfinden. Jedoch geht der Stromverbrauch nach oben und die Akkulaufzeit mobiler Geräte verringert sich. Auch das spontane Anspringen des Lüfters kann stutzig machen.

Vor solchen Übergriffen kann man sich nur eingeschränkt schützen. Durch den öffentlichen Druck hat der bekannteste Entwickler solcher Krypo-Mining-Skripte, Coinhive, nun in einer Variante seines Programms eine Funktion eingebaut, die erst um Erlaubnis für das digitale Schürfen fragt. Selbst aktiv werden kann man, indem man über die bekannten Werbeblocker oder Virenscanner das entsprechende Skript blockiert. JavaScript im Browser jedoch komplett zu deaktivieren, ist leider nicht mehr praktikabel, da mittlerweile nahezu jede Website JavaScript verwendet.

Was ist eigentlich … »Virtual Reality« & »Augmented Reality«?

Headset zum Entdecken virtueller RealitätenVirtuelle Welten entdecken ist heutzutage bereits mit jedem Computer und auch mit jedem Smartphone bereits möglich. Wenn es um die Verbindung von Digitalem mit der bisherigen „Offline-Welt“ geht, spuken allerlei Ausdrücke herum, die die Beschäftigung mit dem Thema verwirrend machen kann. Im Folgenden wollen wir die Begriffe des „Realitäts-Virtualitäts-Kontinuums“ etwas übersichtlicher zu skizzieren:

Reine Realität: Mit der echten/reinen Realität ist das gemeint, was wir oft auch als „analoge Welt“ bezeichnen.
Mixed Reality (vermischte/gemischte Realität, manchmal auch hybrid reality): Realität, die mit einem digitalen Zusatz erweitert ist. Damit können sogar schon TV-Geräte gemeint sein, die jemanden an einem Event in der „großen weiten Welt“ teilhaben lassen, während man selbst im Wohnzimmer sitzt. Eine etwas weiter reichende Form von MR stellen digitale Einblendungen über Digitalbrillen o.ä. dar, die aber nicht direkt in die Umgebung „hineingehören” (z.B. Geschwindigkeitsanzeige, Temperatur). Die weiteste Stufe von MR wäre dann → Augmented Reality.
Augmented Reality (erweiterte Realität): Digitale Objekte, die in die echte Realität hinein projiziert und räumlich verankert sind (visuell/auditiv). Bekanntestes Beispiel ist das populäre Spiel Pokémon Go.
Virtual Reality: VR verzichtet auf die reine Realität und zeigt nur digital erstellte Objekte und eine digitale Umgebung an. Allerdings ist das dann, ähnlich wie in der „echten Realität”, auch dreidimensional erkundbar. Für VR kommen, genauso wie bei AR, häufig Digitalbrillen zum Einsatz, um durch getrennte Bilder fürs linke und rechte Auge einen 3D-Eindruck zu generieren. VR kann, muss aber nicht, die Körperhaltung und -form der Beteiligten aus der reinen Realität ins Virtuelle mit übernehmen.

Die folgenden beiden Begriffe passen nicht ganz ins obige Kontinuum. Sie sollen hier lediglich zur Abgrenzung mit aufgeführt werden:
Cyberspace: Dieser Ausdruck wird bisher meist mehr oder weniger synonym zu „Internet“ benutzt, wobei er theoretisch auch VR oder den digitalen „Raum” innerhalb eines Geräts bezeichnen könnte. Der Ausdruck „Cyberspace“ veraltet allmählich und es ist davon auszugehen, dass er ähnlich wie die „Datenautobahn“ in absehbarer Zeit nicht mehr verwendet werden wird.
Web/WWW: Teil des Internets/Cyberspace, der per Webbrowser erreichbar ist. Auch wenn mobile Apps häufig dieselben Techniken verwenden (Übertragung per http, Darstellung über HTML und Javascript), sind die Inhalte nicht 1:1 so über Webbrowser erreichbar und daher sind Apps eher nicht als „Web“ zu betrachten. Häufig wird dies im öffentlichen Diskurs nicht so trennscharf unterschieden.

Was ist eigentlich … eine »Störerhaftung«?

Freie WLANs in Deutschland sind nach wie vor Mangelware. Fast überall muss man sich zumindest mit einer E-Mail-Adresse registrieren, um danach kostenfrei surfen zu dürfen. Die Ursache dafür ist die sogenannte „Störerhaftung“, die in Deutschland (noch) gilt: Zugangsanbieter wie Hotspot-Betreiber_innen können dafür verantwortlich gemacht werden, wenn Nutzer_innen darüber rechtswidrige Dinge im Netz tun. Meistens bezieht es sich hier konkret um die Frage nicht lizenzierter Schwarzkopien von Filmen oder Musikstücken durch Filesharing. Die Zugangsanbieter gelten damit als „Störer“, auch wenn sie selbst nicht direkt an den Vorgängen beteiligt waren. Wenn die konkrete Täter_in unbekannt ist, werden eben die Hotspot-Betreiber in Verantwortung gezogen.

Diese Einschränkung führt dazu, dass gerade an Cafés und öffentlichen Orten frei WLANs rar gesät sind. Lieber verzichten die Betreiber_innen dann auf das Zurverfügungstellen öffentlicher Hotspots, anstatt nachher auf den Abmahnkosten sitzen zu bleiben. WLANs mit Registrierungsverfahren sind oft für kleinere Hotspots in Cafés einfach zu aufwändig zu unterhalten.

Das Thema Störerhaftung umfasst jenseits der WLANs auch andere Dienste: Social-Media-Plattformen und Hyperlinks sind davon generell auch betroffen. Die Gerichte entscheiden jedoch nicht immer einheitlich.

Gerade zu öffentlichen WLANs scheint sich die Rechtslage in Deutschland jedoch zu ändern. Im Rahmen einer Neufassung des Telemediengesetzes beschloss die Bundesregierung im April, dass die Störerhaftung eingeschränkt oder abgeschafft werden soll. Der Bundestag stimmte der Haftungsbeschränkung im Juni zu. Nach Zustimmung im Bundesrat am 22. September kann das Gesetz noch in diesem Jahr in Kraft treten.

Was ist eigentlich… „Vorratsdatenspeicherung”?

Die „Vorratsdatenspeicherung“ bezeichnet in der Regel eine anlassunabhängige Speicherung von personenbezogenen Daten, um sie später, im Fall eines Verbrechens, auswerten zu können. Im Augenblick der Speicherung gibt es also noch gar kein bekanntes Verbrechen.
Bei der Vorratsdatenspeicherung werden Daten zum Kommunikationsverhalten aller verfügbaren Nutzer_innen gespeichert. Dies kann z.B. Telefongespräche, Messenger-Nutzung, Standortdaten (GPS des Mobiltelefons), Fax, E-Mail oder Websiten-Abrufe bei den jeweiligen Providern umfassen. Es müssen jedoch nicht die Inhalte der Kontaktvorgänge selbst gespeichert werden. Gespeichert wird z.B., dass ein bestimmter Nutzer eine bestimmte Nummer gewählt hat, nicht aber, worüber er oder sie gesprochen hat. Mit den Daten lassen sich Persönlichkeitsprofile erstellen und das Nutzerverhalten analysieren. Es dient – so die Befürworter – der Aufklärung oder gar Verhinderung schwerer Straftaten.
Gegner der Vorratsdatenspeicherung befürchten ein Ausufern von Überwachung durch das Eindringen in die Privatsphäre oder die missbräuchliche Verwendung dieser Daten. Vereinbarte Anwendungsfälle der Vorratsdatenspeicherung könnten nachträglich erweitert werden – die Daten liegen ja schon bereit. Damit könnte die Gefahr von Selbstzensur oder die Beschneidung von eigentlich zulässigen Freiheiten bestehen, wenn die Bevölkerung jeden ihrer Schritte als beobachtet einschätzt.
In der Regel werden die Daten bei den Telefongesellschaften gespeichert und müssen dann je nach Rechtsprechung nach einem bestimmten Zeitraum wieder gelöscht werden. Die EU wollte eine solche VDS bereits 2006 verpflichtend einführen; Entscheidungen des deutschen Bundesverfassungsgerichts (2. März 2010) und des Europäischen Gerichtshof (8. April 2014) erklärten die Regelungen für ungültig. Seither gab es weitere Gesetzesinitiativen und Gerichtsurteile zu diesem Thema. Ob Telekommunikationsanbieter in Deutschland und Europa Daten nun auf Vorrat (und in welchem Umfang) speichern müssen, bleibt politisch weiter hart umstritten und wird zudem durch Gerichtsurteile immer wieder eingeschränkt.

Was ist eigentlich… ein »Staatstrojaner«?

Frage: In den Medien wird immer wieder von „Staatstrojanern“ und „Quellen-TKÜ“ berichtet. Worum geht’s da?

Antwort: Vom trojanischen Pferd, das einen Angriff auf die Stadt Troja von innen heraus ermöglichte, hat die Software-Gattung der »Trojaner« ihren Namen. Es handelt sich um vom Nutzer unerwünschte Anwendungen, die ihn ausspionieren, Daten manipulieren oder Geräte fernsteuern. Diese Trojaner existieren für Computer und Smartphones/Tablets gleichermaßen.
»Quellen-TKÜ« steht für Telekommunikationsüberwachung (TKÜ) an der „Quelle“, also dort wo die konkreten Vorgänge passieren. Es geht also darum die Trojaner direkt auf die Geräte der zu überwachenden Personen zu bekommen und dort die Daten live zu durchsuchen oder Eingaben oder Kommunikation mitzuprotokollieren. »Quellen-TKÜ« und »Online-Durchsuchung« sind daher auch die offiziellen Bezeichnungen für den Staatstrojaner. Unbemerkt vom Nutzer/von der Nutzerin soll das Mikrofon eingeschaltet werden, Bildschirmfotos gemacht und von der Ferne auf das Gerät zugegriffen werden.

Das Bundesverfassungsgericht beschloss 2008, den Einsatz von Staatstrojanern nur unter großen Auflagen für die Bekämpfung von Terrorismus zuzulassen. Der Bundestag möchte die Rahmenbedingungen und Einsatzmöglichkeiten allerdings derzeit deutlich erweitern.

Neben rechtsstaatlichen Fragen zieht Trojaner-Software aber auch konkrete Sicherheitsprobleme nach sich: Durch das Ausnutzen vorhandener oder neu geschaffener Einfallstore sind die Geräte auch noch anfälliger für Kriminelle. Man darf nicht vergessen: Die Überwachung soll der Aufklärung von Straftaten dienen und sollte daher nicht noch weitere Straftaten befördern.

Was ist eigentlich… »Gecko«?

Frage: In Artikeln liest man immer wieder, dass eine Software „Gecko-basiert“ sei. Was verbirgt sich dahinter?

Antwort: Gecko ist ein Programmmodul, das Internetseiten darstellt. Es ist sozusagen der Kern des bekannten Firefox-Browsers. Aber auch beim E-Mail-Programm Mozilla Thunderbird wird die Darstellung von Mails durch Gecko abgewickelt. Die Ursprungsversion von Gecko wurde noch von Netscape für den Netscape Navigator erdacht. Seit der Code-Freigabe wurde er als Open-Source-Software stetig weiter entwickelt.
Gecko ist freie Software und kann daher auch in anderen Anwendungen eingesetzt werden. So hat beispielsweise Google die Gecko-Engine auch in ihrem Bildverwaltungsprogramm Picasa eingesetzt.
Mittlerweile ist eine Nachfolge von Gecko in Vorbereitung: Mozilla möchte im Projekt »Quantum« Ende 2017 Gecko durch die von Grund auf neu programmierte »Servo«-Engine ersetzen.

Weitere Infos unter https://developer.mozilla.org/de/docs/Gecko