“Überwacht die Überwacher” ist ein beliebtes Motto dieser Tage, in denen problembewusste Bürger nach Wegen suchen, dem allgegenwärtigen Überwachungswahn zu begegnen. Eine dieser Überwacher-Überwachungsaktionen ist die “Aktion Überwach!“, die Zugriffe von Dienststellen der Landes- und Bundesbehörden auf deutsche Webserver protokolliert und auswertet.

Das ist an sich eine gut gemeinte Aktion, an der ich auch durchaus teilnehmen würde. Nur leider ist sie technisch schlecht umgesetzt: Zur Protokollierung der Zugriffe auf externen Websites will die Aktion Überwach Zählpixel und JavaScript-Schnipsel eingebunden wissen — und diese sind als clientseitige Methoden für eine halbwegs ernsthafte “Überwachung” kaum zu gebrauchen.

Denn was macht der sicherheitsbewusste Administrator? Richtig: Keine Bilder von Drittservern laden lassen und JavaScript deaktivieren. Man kann also davon ausgehen, dass außer ein paar mittagspausesurfenden Kleinstadtbeamten kaum jemand von dieser Aktion behelligt wird (ok, die Statistiken sagen anderes; das spricht nicht gerade für die Administratoren der jeweiligen Behörde). Abgesehen davon versagen die o.g. Methoden völlig, wenn ein Crawler (von, sagen wir: dem BND) vollautomatisch, systematisch und im großen Stil Websites analysiert, denn diese Programme laden keine Bilder und führen auch kein JavaScript aus.

Auch in einem weiteren Punkt ist die Technologie der Aktion Überwach nicht durchdacht: Es werden die IP-Adressen und -Adressbereiche in einer JavaScript-Datei abgelegt. Das ist für die “Opfer” der Überwachungsmaßnahme doppelt schön. Zum einen können sie selbst sehen, welche Bereiche überwacht werden, und ggf. auf andere Bereiche ausweichen (falls sie, siehe oben, überhaupt das JavaScript ausführen). Zum anderen ändert es mit jeder Aktualisierung dieser IP-Listen die Ausgangsbedingungen für die Datenerhebung; und nach einem halben Jahr bzw. 10 Aktualisierungen des Code-Schnipsels sind die damit erhobenen Daten kaum noch zu gebrauchen. Im Klartext: Wenn auf verschiedenen Servern unterschiedliche IP-Listen verwendet werden, kann man später nicht sagen, ob Nullergebnisse daraus resultieren, dass die Software die IP-Adresse nicht kannte oder ob es keinen Zugriff mit dieser Adresse gegeben hat.

Fazit: Gut erdacht, schlecht gemacht — vor der Aktion Überwach brauchen Schlapphüte derzeit kaum Angst zu haben.

Effektivere Überwachung der Überwacher

Was also tun, damit die Aktion nicht ins Leere läuft? Die Lösung ist an sich einfach: Es muss eine serverseitige Protokollierung stattfinden. Das heißt, es muss nicht der Rechner des “Opfers” den Protokollvorgang anstoßen, sondern der Server des Aktion-Überwach-Partners. Dieser muss bei jedem Seitenaufruf die Daten an den Aktion-Überwach-Server übermitteln. Technisch ist das kaum schwieriger, in PHP kann das (vereinfacht) bspw. so aussehen:

$url = "http://www.uberwach.de/log.php?myurl=".
urlencode('http://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']).
"remoteip=".$_SERVER['REMOTE_IP'];
file_get_contents($url);

Natürlich hat eine serverseitige Implementierung ganz andere Probleme als die clientseitige: Schon im obigen Beispiel ist die Funktion file_get_contents() problematisch, denn es kann sein, dass der Server-Administrator oder -Hoster diese Funktion oder gleich den gesamten Zugriff auf externe Ressourcen gesperrt hat. Wenn das der Fall ist, dann wird der Webmaster die Lösung nicht einsetzen können. Zum Glück ist aber meines Wissens nur bei einem geringen Teil der Webserver bei deutschen Hostern der Zugriff nach außen komplett gesperrt; mit fsockopen() und ähnlichen Funktionen in anderen Programmiersprachen kann man eine serverseitige Lösung normalerweise realisieren.

Weiterhin ist diese Lösung aus datenschutzrechtlicher Sicht problematisch: Es werden Daten erhoben und an Dritte weitergegeben, was bedeutet, dass (a) geprüft werden muss, ob und inwieweit diese Datenweitergabe rechtmäßig ist und welche Datenschutzmaßnahmen zu treffen sind, und dass (b) der Besucher deutlich darauf hingewiesen werden muss. Andererseits benutzt die Aktion Überwach ein Zählpixel, falls der betroffene Rechner kein JavaScript ausführt, was bedeutet, das ohnehin bereits Daten wahllos auf einen Drittserver übermittelt werden. Insofern darf davon ausgegangen werden, dass auf dem Aktion-Überwach-Server bereits entsprechende Datenschutztechniken implementiert sind.

Um das Problem mit den sich ändernden IP-Adressen zu umgehen, müssen die IP-Adressen langfristig aufbewahrt werden und erst am Ende eines bestimmten Intervalls mit einer Liste abgeglichen werden. Das verschärft natürlich wiederum das Datenschutzproblem: Man müsste die IP-Adressen zumindest anonymisieren, beispielsweise indem sie nur als Hashwerte gespeichert werden (wobei allerdings eine Regenbogentabelle für IP-Adressen nicht besonders schwierig zu erstellen ist, d.h. es müssten weitere Datenschutzmaßnahmen getroffen werden).

Zusammenfassend lässt sich sagen, dass eine serverseitige Verarbeitung zwar leichte technische und schwerwiegende Datenschutzprobleme aufwirft, letztendlich aber die deutlich geeignetere Methode zu einer systematischen Überwachung von Behördenzugriffen ist. Denn üblicherweise sind Behördenrechner sicher konfiguriert, und insbesonderere sensible Behördenaktivitäten lassen sich mit den derzeitigen Methoden der Aktion Überwach ganz und gar nicht nachvollziehen. Abgesehen davon, es werden sich wirklich sensible Aktivitäten mit keiner quantitativen Methode erkennen bzw. nachvollziehen lassen.

Bleibt am Ende die Frage: Quo vadis, Aktion Überwach? Schäublische Schaumschlägerei und Pseudoüberwachung — oder eine anspruchsvollere Herangehensweise mit womöglich brauchbaren Ergebnissen?