I don’t care about cookies: Auf Wiedersehen Cookie-Banner – Firefox Add-Ons Teil4

Mini-Serie

Im Rahmen dieser Mini-Serie analysiere ich das Datensendeverhalten von Firefox Add-Ons. Mittels eines Intercepting-Proxys wird das Verhalten der Add-Ons beim Start und auch während der Nutzung geprüft. Anders als bei der Serie App-Check ist die Analyse eher stichprobenartig und nicht so detailliert/umfangreich. Ich werde nicht den kompletten Datenverkehr dokumentieren, sondern mich auf die kritischen Teile konzentrieren – falls vorhanden. Als Ausgangslage verwende ich stets die Standardkonfiguration der Add-Ons.

• Avira Browser Safety: Übermittlung der besuchten Websites – Firefox Add-Ons Teil1
• AVG Online Security: Übermittlung des gesamten Surfverhaltens – Firefox Add-Ons Teil2
• Dark Reader: Dunkles Design für Websites – Firefox Add-Ons Teil3
• I don’t care about cookies: Auf Wiedersehen Cookie-Banner – Firefox Add-Ons Teil4

I don’t care about cookies

[1] Nach dem Download und der Installation von I don’t care about cookies passiert: Nichts. Also jedenfalls netzwerkseitig. Das Add-On öffnet keine Verbindung nach außen bzw. ins Internet.

Fazit

Das Add-On tut genau, wofür es konzipiert wurde:

Get rid of cookie warnings from almost all websites!

Aber Vorsicht bei der Nutzung: Je nach Seite bzw. Consent-Banner kann es ganz unterschiedlich sein, ob und welche Cookies das Add-On akzeptiert. Manchmal werden nur »notwendige Cookies« gesetzt, ein anderes Mal auch alle (Drittanbieter-)Cookies – je nachdem, was für das Add-On (technisch) einfacher umsetzbar ist. Das Add-On ist also nicht darauf ausgelegt, die möglichst beste Entscheidung für den Nutzer zu treffen (keine Einwilligung), sondern den Banner verschwinden zu lassen. Das müsst ihr unbedingt im Hinterkopf behalten. Denn je nachdem, wie der Consent-Banner auf einer Website implementiert ist, kann es auch vorkommen, dass das I don’t care about cookies haufenweise Cookies akzeptiert und diese im Browser ablegt.

Telekom CloudPBX 2.0: Fragwürdige Auftragsverarbeiter und Datenschutzhinweise

Die Deutsche Telekom bietet für Geschäftskunden seit einigen Jahren eine »Telefonanlage in der Cloud« an. Kurz: CloudPBX. Unter anderem bietet der Dienst Komfortfunktionen, wie Makeln, Anrufbeantworter und Gruppen können via Webinterface und App angepasst werden – Videokonferenzen sind darüber ebenfalls möglich. Nun möchte die Deutsche Telekom auf die Version 2.0 der CloudPBX umstellen und (Bestands-)Kunden sollen ergänzende Bedingungen zur Auftragsverarbeitung zustimmen bzw. neue Datenschutzhinweise abnicken/»zur Kenntnis nehmen«:

Die ErgB-AV stehen erstmal in einer »gekürzten« Version zur Verfügung. Erst nach einer Anfrage an GDPR@telekom.de bekommt man das vollständige ErgB-AV-Dokument zugesendet, in dem dann auch alle (Sub-)Unterauftragnehmer (ab Seite 9) genannt werden. Schnell wird klar, dass die Daten aus der CloudPBX 2.0 vom Unterauftragsverarbeiter Broadsoft Inc. (Cisco Systems) theoretisch weltweit verarbeitet werden können:

• Vereinigte Staaten von Amerika
• Kanada
• Nordirland
• Niederlande
• Großbritannien
• Brasilien
• Singapur
• Japan
• Australien
• Hongkong
• China
• Jordanien
• Bulgarien
• Cosa Rica
• Indien

Wenn ich das richtig einschätze, betrifft das die Kerndienstleistung: Bereitstellung des Webex-Service bzw. der Anwendungen für die Telekom-eigene Cloud PBX 2.0 Plattform, Betrieb (Webex) und Support. (WebEx-Videokonferenz sind ebenfalls in CloudPBX 2.0 integriert).

Wenn man als Kunde zunächst explizit ein ErgB-AV-Dokument anfragen muss, um zu erfahren, welche (Sub-)Unterauftragnehmer die Daten verarbeiten, dann kann von Transparenz eigentlich keine Rede sein. Als Kunde würde ich in die ergänzenden Bedingungen zur Auftragsverarbeitung jedenfalls nicht einwilligen bzw. dem Vertrag zustimmen. Und selbst die »ausführliche Version« ist nicht vollständig, denn man muss konkret über GDPR@telekom.de anfragen, wo die Daten in der Amazon Cloud (AWS) verarbeitet werden:

Verarbeitungsort: AWS (Global) – Welche dies konkret sind, ist abrufbar bzw. über GDPR@telekom.de zu erfragen.

Nein Danke, so nicht liebe Deutsche Telekom.

E-Rezept: Website trackt mit Google Analytics – Widerspruch wirkungslos

Wegen Datenschutzproblemen steigt die Kassenärztliche Vereinigung in der Testregion Schleswig-Holstein aus der geplanten Einführung des E-Rezepts aus.

Das ist der Untertitel eines Beitrags zu eHealth bzw. dem E-Rezept von heise – 22.08.2022. Da dachte ich mir: Schaue ich mir doch mal die offizielle Website an, nachdem ich im Oktober 2021 bereits die E-Rezept-App der Gematik analysiert habe (inklusive Reaktion).

Technischer Murks beim Consent-Banner

Nach dem Aufruf der Website erscheint ein Cookie-Consent-Banner:

Noch während der Cookie-Banner geladen bzw. dargestellt wird, baut der Browser im Hintergrund Verbindungen zu Google auf:

• Google Tag Manager (www.googletagmanager.com)
• Google Analytics (www.google-analytics.com)

Es bleibt aber nicht nur beim Verbindungsaufbau, sondern es wird auch gleich fleißig via Google Analytics getrackt:

https://www.google-analytics.com/collect?v=1&_v=j96&aip=1&a=850862286&t=pageview&_s=1&dl=https://www.das-e-rezept-fuer-deutschland.de/&ul=en-us&de=UTF-8&dt=Home | E-Rezept&sd=24-bit&sr=1600x600&vp=1588x600&je=0&_u=YAgAAAAB~&cid=344874098.1661335498&tid=UA-198571413-1&_gid=1766725805.1661335499&gtm=2wg8m0P7FT669&gcs=G100&z=1808828481

Die notwendigen Cookies lassen sich beim Consent-Banner nicht abwählen. Also tippe ich anschließend auf den Button Auswahl erlauben (die Minimalauswahl) und klicke danach auf den Menüpunkt APP in der Navigation der Seite.

Was danach passiert, ist überraschend. Das Tracking via Google Analytics geht weiter:

https://www.google-analytics.com/collect?v=1&_v=j96&aip=1&a=86293072&t=pageview&_s=1&dl=https%3A%2F%2Fwww.das-e-rezept-fuer-deutschland.de%2Fapp&ul=en-us&de=UTF-8&dt=App%20%7C%20E-Rezept&sd=24-bit&sr=1600x600&vp=1588x600&je=0&_u=YAgAAAAB~&cid=1651295648.1661336150&tid=UA-198571413-1&_gid=2103201833.1661336150&gtm=2wg8m0P7FT669&gcs=G100&z=1294161777

Da muss man sich (erneut) die Frage stellen, wer sich da eigentlich im Datenschutz-Tiefschlaf befindet. Wir erinnern uns: Diverse Datenschutzaufsichtsbehörden hegen erhebliche Zweifel, ob sich Google Analytics rechtskonform einsetzen lässt. Die Datenschutzbehörden der Länder Frankreich und Österreich (weitere werden vermutlich folgen) bewerten den Einsatz von Google Analytics in der EU sogar als nicht vereinbar mit der DSGVO – der Einsatz ist demnach rechtswidrig. Allein schon vor diesem Hintergrund in der Einsatz von Google Analytics höchst fragwürdig. Auf einer Website, zu dessen Gesellschaftern unter anderem das Bundesministerium für Gesundheit (BMG) zählt und die im Kern die Aufgabe hat, für Vertrauen und Sicherheit zu sorgen, ist dies schlichtweg indiskutabel.

Datenschutzerklärung

Werfen wir nun mal einen Blick in die Datenschutzerklärung. In der Cookie-Erklär-Tabelle werden bei notwendigen Cookies insgesamt 17 Angaben gemacht. Google Analytics gehört nicht dazu. Google Analytics taucht erst weiter unten bei Statistiken (12) auf. Demnach liegt offenbar ein technischer Fehler vor, der das Tracken via Google Analytics trotz Auswahl Notwendig nicht unterbindet.

Auf einer solchen Website hat Google Analytics allerdings überhaupt nichts verloren – auch dann nicht, wenn die Einwilligung technisch korrekt umgesetzt wird. Wenn wir dann noch etwas weiter runterscrollen, findet man sogar Marketing-Cookies von Meta (Facebook). Der Zweck:

Wird von Facebook genutzt, um eine Reihe von Werbeprodukten anzuzeigen, zum Beispiel Echtzeitgebote dritter Werbetreibender.

Ja, da fällt man doch komplett vom Glauben ab. Man sollte sich vor Augen führen: Wir befinden uns auf einer Website, die Informationen zum E-Rezept bereithält, das am 1. September 2022 offiziell starten soll. Und dort liest man gleich zu Beginn der Datenschutzerklärung:

Der Schutz Ihrer personenbezogenen Daten genießt bei der gematik hohe Priorität. Personenbezogene Daten werden auf dieser Webseite nur im technisch notwendigen Umfang erhoben und verarbeitet. Selbstverständlich werden dabei die Vorschriften der Datenschutzgesetze eingehalten. Mit diesen Datenschutzbestimmungen werden Sie über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung dieser Webseite informiert.

Vollkommener Quatsch, wie die kurze Analyse zeigt.

Fazit

Fehler können passieren, keine Frage. Aber solche Fehler sind wirklich einfach vermeidbar und zeigen exemplarisch, wie dilettantisch das Vorgehen bei der Umsetzung solcher Projekte offenbar ist. Ich hätte die gematik GmbH bzw. die Verantwortlichen der Website im Vorfeld auch direkt kontaktieren können – aber ganz ehrlich: Dazu habe ich überhaupt keine Lust mehr. Für so einen offensichtlichen Murks und Verantwortungslosigkeit fehlt mir jegliches Verständnis, weshalb ich auch direkt den Weg über die Öffentlichkeit wähle.

Ich frage mich, wann der Tag kommt, an dem Verantwortliche begreifen, wie wichtig es gerade bei solchen Projekten ist, Vertrauen zu schaffen. Mit der Einbindung von Google (Analytics), Facebook und Co. wird genau das Gegenteil bewirkt.

Dark Reader: Dunkles Design für Websites – Firefox Add-Ons Teil3

Mini-Serie

Im Rahmen dieser Mini-Serie analysiere ich das Datensendeverhalten von Firefox Add-Ons. Mittels eines Intercepting-Proxys wird das Verhalten der Add-Ons beim Start und auch während der Nutzung geprüft. Anders als bei der Serie App-Check ist die Analyse eher stichprobenartig und nicht so detailliert/umfangreich. Ich werde nicht den kompletten Datenverkehr dokumentieren, sondern mich auf die kritischen Teile konzentrieren – falls vorhanden. Als Ausgangslage verwende ich stets die Standardkonfiguration der Add-Ons.

• Avira Browser Safety: Übermittlung der besuchten Websites – Firefox Add-Ons Teil1
• AVG Online Security: Übermittlung des gesamten Surfverhaltens – Firefox Add-Ons Teil2
• Dark Reader: Dunkles Design für Websites – Firefox Add-Ons Teil3
• I don’t care about cookies: Auf Wiedersehen Cookie-Banner – Firefox Add-Ons Teil4

Dark Reader

[1] Nach dem Download und der Installation von Dark Reader wird ein neues Tab geöffnet, in dem die Website bzw. URL https://darkreader.org/help/en/ geladen wird. Dabei werden Web-Ressourcen wie Bilder, JavaScript, CSS etc. geladen. Anschließend wird noch eine Verbindung zu einer Statistik-Seite initiiert [stats.darkreader.app]:

GET /view/v1/--help--en--/en-US/Europe--Berlin HTTP/1.1
Host: stats.darkreader.app
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: https://darkreader.org/
Origin: https://darkreader.org
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Te: trailers
Connection: close

Fazit

Das Add-On tut genau, wofür es konzipiert wurde:

Dunkles Design für jede Website. Schonen Sie Ihre Augen und verwenden Sie Dark Reader für die Nacht und das tägliche Surfen.

AVG Online Security: Übermittlung des gesamten Surfverhaltens – Firefox Add-Ons Teil2

Mini-Serie

Im Rahmen dieser Mini-Serie analysiere ich das Datensendeverhalten von Firefox Add-Ons. Mittels eines Intercepting-Proxys wird das Verhalten der Add-Ons beim Start und auch während der Nutzung geprüft. Anders als bei der Serie App-Check ist die Analyse eher stichprobenartig und nicht so detailliert/umfangreich. Ich werde nicht den kompletten Datenverkehr dokumentieren, sondern mich auf die kritischen Teile konzentrieren – falls vorhanden. Als Ausgangslage verwende ich stets die Standardkonfiguration der Add-Ons.

• Avira Browser Safety: Übermittlung der besuchten Websites – Firefox Add-Ons Teil1
• AVG Online Security: Übermittlung des gesamten Surfverhaltens – Firefox Add-Ons Teil2
• Dark Reader: Dunkles Design für Websites – Firefox Add-Ons Teil3
• I don’t care about cookies: Auf Wiedersehen Cookie-Banner – Firefox Add-Ons Teil4

AVG Online Security

[1] Nach dem Download und der Installation von AVG Online Security erscheint in einem Browser-Tab zunächst die Meldung:

Allow us to protect you by scanning web addresses?

If you agree, we’ll look at the addresses of the websites you visit so we can tell you if those sites are safe. (See our Privacy Policy)

Man hat dann die Auswahl zwischen YES, SCAN WEB ADDRESSES und NO THANKS. Da ich nicht möchte, dass mein Surfverhalten an AVG übermittelt wird, wähle ich NO THANKS. Daraufhin erscheint die Meldung:

No hard feelings

If you don’t want us to scan your web addresses, just uninstall AVG Online Security – and be safe out there!

Darunter die Auswahl Close und Back. Ich klicke mal auf Close. Anschließend wird das Icon des Add-Ons als rotes Schild mit Ausrufezeichen angezeigt. Man bekommt den Eindruck: Da stimmt was nicht bzw. der Schutz ist deaktiviert. Ich deinstalliere das Add-On und wähle anschließend: YES, SCAN WEB ADDRESSES. Was danach geschieht, kann sich vermutlich jeder denken.

[2] Beim Aufruf einer Website wird die Domain inklusive Pfad (also vollständige URL) an AVG übermittelt [uib.ff.avast.com]:

POST /v5/urlinfo HTTP/1.1
Host: uib.ff.avast.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/octet-stream
Content-Length: 44
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers
Connection: close

https://www.kuketz-blog.de/[binary code]

Bewegt man sich auf der Website werden auch jegliche weiteren Aufrufe von Unterseiten etc. vollständig an AVG übermittelt. Das komplette Surfverhalten wird also an AVG übertragen – da muss man schon sehr viel vertrauen haben.

Fazit

Das Versprechen von AVG:

Schutz von AVG für Ihren Firefox-Browser Seien Sie sorgenfrei und verbessern Sie Ihre Browsing-Erfahrung insgesamt mit der neuesten Version des AVG-Plugins für Browser-Sicherheit und Web-Reputation.

Deinstalliert dieses Add-On sofort bzw. ersetzt es am besten durch uBlock Origin. Die Übermittlung von kompletten URLs bzw. des gesamten Surfverhalten ist nicht nur datenschutzunfreundlich, sondern auch eine veraltete Methode.