Tag: sicherheit

Informationsverknüpfung

Artikel vom 07.08.2010: Informationsverknüpfung bei Videotelefonie- und Telefoniediensten

Die Überlegungen des Artikels aus dem Jahr 2010 wurden in 2013 durch die Veröffentlichungen von Snowden und die Erkenntnisse über die Möglichkeiten von Big Data deutlich getoppt.


Schon einmal darüber nachgedacht, was durch eine Auswertung und Verknüpfung von Daten bei Videotelefonie- und Telefoniediensten, die über zentrale Server laufen, erreicht werden kann?

Die Nutzer sind namentlich bekannt und bei Verknüpfung mit Abrechnungsaccounts sind auch weitere Merkmale hinterlegt, wie Anschrift, e-Mail, Kreditkartendaten…

Wenn nun Gesprächspartner miteinander kommunizieren, ist davon auszugehen, dass die beiden in einer direkten Beziehung stehen und zwar nicht nur über eine lockere Verknüpfung, wie bei vielen Eintragungen der sozialen Netzwerke.

Da auch der Gesprächspartner in gleicherweise bekannt ist, stehen auch dessen Informationen zur Verfügung. Und bei Videotelefonie kommen noch Live-Bilder hinzu, also aktuelle Fotos des Nutzers und dessen Gesprächspartners.

Dann packen wir noch Ortsinformationen hinzu, die das Mobiltelefon ebenfalls abliefert und noch die Gesprächsinhalte, die mit einer Spracherkennung in Text umgewandelt und indiziert werden können – und schon stehen weit mehr und tiefergehende Profildaten und Beziehungsinformationen als in sozialen Netzen zur Verfügung:

Name, Anschrift, e-Mail, Bankverbindung, getätigte Einkäufe auf dem eigenen Portal (Interessen), aktuelles Nutzerfoto (nach dem auch dank Gesichtserkennung im Internet an anderer Stelle geforscht werden kann), mit wem und was spreche ich und wo halte ich mich auf und wann…

Telefon- und Videokonferenzen erweitern schließlich das Beziehungsgeflecht von 1:1 nach n:m. Die Teilnehmer zeigen gemeinsame Aktivitäten und stehen somit auch als Gruppe in einer Beziehung zueinander.

Alles nur Theorie ohne praktischen Hintergrund? Es gibt doch schließlich Datenschutzbestimmungen.

Wo haben die Anbieter Ihren Sitz? Wo stehen die Server? Welchen Richtlinien unterliegen diese und die gesammelten Daten? Was wird registriert? Wie sind die Verbindungen gesichert? Könnten nicht auch Dritte die Daten mitschneiden? Wirklich einmal intensiv die Bedingungen der Anbieter und die Systembeschreibungen (wenn überhaupt zugänglich) gelesen? Und Datenlecks sind ja auch noch nie aufgetreten ?

SSL mit Let´s Encrypt nutzen

Inzwischen sind über Let´s encrypt als Certificate Authority freie signierte Zertifikate für SSL Zugänge zu beziehen. Bei All-inkl können die Zertifikate für die dort gehosteten Domains direkt integriert werden (derzeit im Beta-Status). Kopieraktionen zur Verlängerung der Zertifikate entfallen, all-inkl hat den Vorgang bereits automatisiert.

Bei all-inkl wir im KAS-Bereich unter Domain/SSL-Schutz bearbeiten/Let´s Encrypt nach Bestätigung des Haftungsausschlusses und Klick auf den Button zur Erzeugung des Zertifikats der Vorgang gestartet. Nach kurzer Zeit ist die Site auf SSL umgestellt.

letsencrypt2

Bei mir wurde die umgestellte Site als WordPress Installation betrieben. Hier sind noch Anpassungen bei der WordPress-Konfiguration notwendig:

  • Unter Settings/General müssen die beiden Pfade WordPress-Address und Site-Address von http:// auf https:// in der URL umgestellt werden
  • Wird anschließend bei Aufruf der Site nicht das geschlossene Schloss-Symbol als Indikator für eine SSL-Verbindung angezeigt oder erscheinen Warnhinweise (z.B. bei Firefox), dann sind Elemente der Seite noch nicht auf eine verschlüsselte Verbindung umgestellt. Meist betrifft dies Medien (Videos, Fotos…) oder Links, die noch über http:// eingebunden sind. Dies betrifft z.B. statische Links, z.B. im Theme, die auf ein Logo, Karten, Favicons als unverschlüsselte Komponente verweisen.

Da es kaum Sinn macht, dass die Domain sowohl unverschlüsselt als auch verschlüsselt aufgerufen werden kann, ist ggf. noch ein permanenter Redirect in der .htaccess einzurichten, der dafür sorgt, dass automatisch auf https:// weitergeleitet wird und das Ranking bei den Suchmaschinen nicht beeinträchtigt wird:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]