Thema der Woche

26. November 2001

Schwarze Liste gegen aktive Inhalte

Die externer Link Deutsche Vereinigung für Datenschutz e. V. (DVD) führt ab sofort eine schwarze Liste mit Web-Sites, die ihren Besuchern aktive Inhalte (JavaScript, ActiveX usw.) oder Cookies abnötigen. DVD-Vorstandsmitglied Karin Schuler geht dabei mit Betreibern hart ins Gericht, deren Seiten mit restriktiven Sicherheitseinstellungen nicht navigierbar sind oder nur eine weiße Fläche zeigen: "Wir empfinden es als Zumutung, wenn Anbieter von Webseiten den Nutzern wegen eines angeblichen Komfortgewinns Sicherheitsrisiken aufzwingen. Wer als Anbieter nicht ertragen kann, dass Nutzer eigenständig über die Sicherheitseinstellungen auf ihrem Rechner entscheiden möchten, sollte sich fragen, ob er für die Zukunft im Internet überhaupt gerüstet ist. Wer meint, die Nutzer für ihr Sicherheitsbewusstsein 'bestrafen' zu müssen, indem er ihnen seine Seiten vorenthält, hat nicht verstanden, worum es bei E-Commerce und Online-Dienstleistungen eigentlich geht."

Das externer Link Bundesamt für Sicherheit in der Informationstechnik und die KES empfehlen seit langem, nicht jeder Web-Site aktive Inhalte zu gestatten, sondern höchstens fallweise besonders vertrauenswürdigen Anbietern die Ausführung der Mikro-Software zu erlauben. Aufgrund von Implementierungsfehlern kommt es regelmäßig zu Sicherheitslücken in den Browsern, die sich ohne aktive Inhalte meist nicht ausnutzen lassen.

Da die meisten Anwender keine verschiedenen Vertrauensstufen pflegen, provoziert das – häufig unreflektierte – Einfordern von JavaScript auch auf vertrauenswürdigen Web-Sites die stetige Aktivierung riskanter Browsereinstellungen. Web-Anbieter sollten daher prinzipiell auf JavaScript verzichten oder zumindest eine alternative Nutzung ohne aktive Inhalte ermöglichen. Dass dies geht, zeigen viele verantwortungsbewusste Anbieter – und zwar durchaus mit komplexen Anwendungen, die Datenbankabfragen und Formularverarbeitung einschließen.

Die schwarze Liste des DVD führt externer Link Web-Seiten auf, die ausschließlich mit unsicheren Einstellungen nutzbar sind und deren Betreiber auch auf schriftliche Aufforderung entweder ablehnend oder gar nicht geantwortet haben. Die DVD zeigt sich hierbei erstaunt, dass auch große Firmen wie die Telekom, BMW oder der TÜV Rheinland binnen drei Monaten überhaupt nicht auf entsprechende Schreiben reagiert haben: "Wir sind der Überzeugung, dass sich ein höheres Bewusstsein für Datenschutz- und IT-Sicherheitsbelange der Nutzer bei den Anbietern nur über Marktmechanismen durchsetzen wird. Daher unterstützen wir mit unserer Seite die Verbraucherinnen und Verbraucher, die sich einen Überblick über aus Datenschutz-Sicht nicht empfehlenswerte Anbieter verschaffen möchten", begründet Schuler den WWW-Pranger.

Die KES hatte bereits zum Jahresbeginn angeregt, "mehr zu meckern": Denn solange Website-Betreiber kein hinreichend starkes negatives Feedback erhalten, wenn sie unnötigerweise auf aktive Inhalte bauen, wird sich vermutlich nichts ändern. Wenn Sie also nächstes Mal auf eine solche Site stoßen, ignorieren Sie diese nicht einfach nur, sondern klären Sie die Leute in einer freundlichen E-Mail auf, warum Sie sie künftig ignorieren werden. Wer "schwarze Schafe" stärker unter Druck setzen möchte, kann nun zudem unter der E-Mail-Adresse schwarze-liste-dvd@aktiv.org der DVD Anbieter nennen, die den Gebrauch aktiver Inhalte oder eine Datenspeicherung per Cookies erzwingen wollen.