CARTA RSS FEEDNetzlese
Google: Wie man aus Versehen WLAN-Daten mitschneidet
Robin Meyer-Lucht | 11 Kommentar(e)
Kristian Köhntopp hat sich einmal das WLAN-Protokoll angeschaut – und erklärt so, wie es wohl zur Google-Panne kommen konnte. Ein wichtiger Diskussionsbeitrag.
16.05.2010 |
Die journalistische Hetzjagd auf Google am nachrichtenarmen Samstag war atemberaubend. Im Heute-Journal wurde genüsslich über die ”Sammelwut des Internetkonzerns Google” berichtet, dem “die Welt nicht genug” sei.
Geradezu aufgerufen zu derartigen journalistischen Reaktionen hatte der Sprecher von Ilse Aigner (CSU): Der Vorgang sei “alarmierend und ein weiterer Beleg dafür, dass Datenschutz für Google noch immer ein Fremdwort ist”.
Datenschutz sei für Google “noch immer ein Fremdwort”? Diese Aussage von Holger Eichele kann getrost als realitätsfremd und populistisch gelten. Die Bilanz der Bundesregierung in Sachen Datensicherheit dürfte schlechter ausfallen als jene von Google.
Die ganze Aufregung wegen 600 GB Daten, wie es im ZDF-Bericht heißt, die Google über vier Jahre gesammelt haben soll – also den Inhalt einer großen Laptop-Festplatte.
Immerhin auch der sonst so konziliante Konrad Lischka verlor bei SpOn langsam die Geduld.
Kristian Köhntopp hat nun einen bemerkenswerten Text über den angeblichen “data scandal (Datenschutzbeauftragter Johannes Caspar) geschrieben:
Demnach besteht ein WLAN-Signal aus sehr vielen “Frametypen, die, die mit der Netzwerk-Administration im weitesten Sinne zu tun haben”:
Frames, die mit der Netzwerkverwaltung zu tun haben – Anmelden, Abmelden, Bekanntmachen (Beacons) und Eigenschaften abfragen (Probes), Datenflußkontrolle (ganz klassisch: RTS, CTS und ACK) und die Payload selbst halt.
Wenn man eine Softwarekomponente schreiben will, die dem Erfassen und Decodieren von WLAN-Daten im Allgemeinen gelten soll, dann wird man also erst einmal alle Datenpakete von der Antenne ab mitschneiden und sie hinterher sortieren in die Pakete, die einen interessieren und die, die nicht weiter spannend sind. Das ist das, was diese Bibliothek macht, die oben in dem Google-Statement erwähnt wird: Sie schaltet eine Wifi-Antenne und -Karte in den Monitor-Modus und schreibt einfach alle Pakete mit, die sie zu sehen bekommt.
Sein Fazit (Hervorhebung Carta):
Die Erklärungen, die Google für das Entstehen des Fehlers gegeben hat, sind in im Kontext der Standards und im Vergleich mit anderer Software, die ähnliches leistet, konsistent und schlüssig, der Fehler, der zu dem Problem geführt hat, ist naheliegend.
Zudem hat Google das Problem umgehend zugegeben und öffentlich gemacht nachdem es entdeckt worden ist und geeignete Maßnahmen zur Eindämmung des Problems getroffen.
…
Alles in allem finde ich das recht gut nachvollziehbar und geradezu vorbildlich gehandhabt, und verstehe die Hysterie und das Fingerzeigen in der Berichterstattung nicht.
Der Artikel ist wohl nur verständlich, wenn man technische Vorkenntnisse mitbringt. Ich versuche ihn zu übersetzen:
Ein WLAN-Scanner muss, um ein WLAN zu erkennen, bestimmte Daten vom WLAN erfahren (zB die SSID). Um das tun zu können, muss er diese Daten zunächst “hören”, bevor er sie interpretiert. Dh ein WLAN-Scanner hört den gesamten Datenverkehr ab (genauer, die Key-Frames), um danach zu entscheiden, ob es sich um Nutzdaten handelt oder nicht. Er horcht also, nicht anders als Abhöranlagen für Telekommunikation, erstmal mit, um danach gesuchte Information zu erkennen.
Über die Google-Software ist bisher nichts zu erfahren, aber die meisten Softwarepakete wie Kermit müssen konfiguriert werden. Das ist ein bisschen kompliziert. Wenn man sie falsch konfiguriert, loggen sie nicht nur die gewünschten Daten, sondern alles, was sie “hören”. Das von mir genannte Kermit ist meines Wissens von Haus aus so konfiguriert, dass es alles loggt, wenn man dies nicht ausschaltet.
Es ist daher wohl nicht richtig, wie zB SpON von “Schnüffelcode” zu sprechen. Dieser Code wurde nicht extra entwickelt. Er ist zwingend Bestandteil eines WLAN-Scanners: Ein Modul horcht die Rohdaten ab, ein anderes loggt alle Daten.
Falls ich falsch liege, korrigiere das gern jemand.
Das soll keine Rechtfertigung sein, das darf natürlich nicht passieren. Aber es erklärt vielleicht, wie es zu einem solchen Fehler kommen kann.
Wieso muss Google beim Fotografieren von Straßen, Gebäuden und Menschen überhaupt irgendwelche WLAN-Daten erfassen?
Das ist mir ein Rätsel. Wenn man diese Daten nicht nutzen will, soll man sie gar nicht erst erfassen.
Der Deutsche als solcher fühlt sich recht unwohl in seiner Haut wenn nicht jedes zweite Wochenende die Welt untergeht.
@Hasso
Das ist relativ einfach: Eine Ortung bei Smartphones erfolgt nicht nur über GPS sondern auch über andere Daten. So können Zelleninformationen der jeweiligen Mobilfunkprovider verwenden werden, aber auch WLAN Informationen. Über diese kann man dann auch ohne GPS eine relativ gute Ortung erreichen.
Ein großer Provider für diese WLAN Informationen ist z.B. Skyhook.
Google benötigt diese Ortung auch für Android. Wenn sie also schon durch die Gegend fahren, um Fotos zu machen (und Straßendaten zu erfassen), warum dann nicht gleich diese Infos mit erfassen und von Skyhook unabhängig werden?
[...] Sie verzichtete jedoch auf einen Hinweis, wer genau die in vier langen Jahren gesammelten 600 Gigabit anschauen soll und wie sich eine Offenlegung mit dem Datenschutz [...]
[...] Google: Wie man aus Versehen WLAN-Daten mitschneidet “Datenschutz sei für Google “noch immer ein Fremdwort”? Diese Aussage von Holger Eichele kann getrost als realitätsfremd und populistisch gelten.. Die Bilanz der Bundesregierung in Sachen Datensicherheit dürfte schlechter ausfallen als jene von Google.” [...]
@hasso: http://blog.koehntopp.de/archives/2861-WLANs-mappen.html Deswegen
Beachtenswert-informativer Artikel, Anfangs gemeinsam mit #1, comment-13920 von Christoph Kappes, zu genießen. Anno Dazumal wurde die Telefonleitung einfach angezapft, heute soll jeder Nachbar sich ins WLAN leicht einbringen können… Sonstige ( ;-) ) Abhör-Technologie gibt es auch, wurde m.W. mit Google noch nicht in Verbindung gebracht.
Warum hat Google nicht auch so eine Spezialkamera zur Aufzeichnung von Wärmeverlust an den Gebäuden aufmontiert und eingesetzt?! Man hätte auch einen Zuschuß aus öffentlicher Förderung erhalten können, oder?
Mich interessiert überhaupt nicht, ob Google oder irgend ein anderer Konzern irgendwelche Daten von mir braucht, um einen Dienst anbieten zu können. Ich brauche diesen Dienst nicht und habe auch keine Absicht, meine WLAN-Daten dafür ungefragt herzugeben!
@Hasso:
Sie müssen keinen Dienst einsetzen, der die geographische Ortung Ihres Standortes nutzt. Das ist natürlich freiwillig und in den Browsern, Suchmaschinen, Kartendiensten uvam geschieht diese Ortung nur nach Freigabe durch Sie.
Die Erfassung Ihres WLANs können Sie aber nicht verhindern, da es bis zu einer gewissen Reichweite “durch die Gegend funkt”. Was Sie verhindern können ist, dass jemand mehr als eine handvoll technischer Daten bekommt, wenn Sie Ihr WLAN mit einem Sicherheitsprotokoll verschlüsseln und ihm einen Namen geben, der verwechselbar ist.
@all:
Das Problem ist mal wieder “grösser als Google”. WLANs sind für normale Menschen nicht mehr verständlich bzw auch nicht sicher konfiguierbar. Privacy by Default ist von den Herstellern zu fordern. Des weiteren gehören Kommunikationsdienste, die nicht SSL-verschlüsselt sind, an den Pranger – oder mit einem riesigen Warnschild versehen. Inklusive sozialer Netzwerke, die ebenfalls unverschlüsselt sind.
Das ist ja wohl eine abstruse Argumentation. Nur weil es TECHNISCH erklärbar ist, ist es doch noch lange nicht hinzunehmen. Das ärgerliche an der Geschichte ist, mit welcher Leichtfertigkeit Google eben auch das Scannen von Inhalten in Kauf nimmt, quasi als Kollateralschaden der WLAN-Datensammlung. Und bei einem Konzern, der gerade in Deutschland wegen des Umgangs mit Daten ohnehin extrem unter öffentlicher Beobachtung steht, ist ein simples: “Oops, sorry!” eben nicht vorbildlich.