Skip to content. Skip to navigation
Oscars for
data leeches

BigBrotherAwards

You are here: BigBrotherAwards Sonderpreis Szene: Apache Consortium
Document Actions

Preisträger der Kategorie "Szene"

2007-10-28 01:46

Apache Consortium

Der BigBrotherAward der Sonder-Kategorie "Szene" geht an das

Apache Consortium

für die mangelhafte Beachtung von Belangen der Privatsphäre in der Standardkonfigurationsdatei des Apache Webservers.

Gründe

Der Apache Webserver (http://www.apache.org/httpd.html) ist mit geschätzten 40-60 Prozent Marktanteil einer der meistverwandten Webserver im Internet. Er ist als Open Source Software kostenlos verfügbar und wird sowohl von kommerziellen als auch privaten Internet-Anbietern eingesetzt.

Die Konfiguration des Apache-Webservers erfolgt über eine Textdatei, in der alle Parameter einstellbar sind. Insbesondere wird hier auch festgelegt, welche Art von Protokollierung beim Betrieb des Webservers durchgeführt werden soll. Neben den unbedingt notwendigen Informationen wie dem Namen der abgerufenen Seite werden durch das im WWW verwendete http-Protokoll auch vielfältige weitere Informationen standardmässig übertragen, die die Privatspäre des Benutzers mittelbar oder unmittelbar betreffen und die von jedem Webserver protokolliert werden können.

In der Standard-Konfiguration protokolliert der Apache Webserver unter anderem die IP-Adresse des Abfragenden und die Namen der abgerufenen Webseiten mit. Diese Informationen stellen eine Verletzung der Privatsphäre des Benutzers dar, da mit Hilfe von verhältnismässig einfachen Analysewerkzeugen im Nachhinein ermittelbar ist, welcher Anwender welche Seiten in welcher Reihenfolge abgerufen und wie lange er sie sich angesehen hat.

Die Standardkonfigurationsdatei des Apache Webserver bietet über diese grundsätzlichen Protokollierungsfunktionen hinaus sehr einfach einzuschaltende zusätzliche Protokollierungsmöglichkeiten. So können Informationen wie der "Referer", also der Name der vom Benutzer vorher besuchten Seite oder die vom Benutzer verwandte Browsersoftwareversion mitprotokolliert werden.

Diese Protokollierungsfunktionen werden in der Standardkonfiguration ausschließlich technisch erklärt. Es gibt keinen Hinweis darauf, daß die Verwendung dieser Funktionen möglicherweise die Privatsphäre der Anwender verletzt.

Die Verwendung von umfangreichen Protokollierungen in einer Standardsoftware wie dem Apache Webserver muß grundsätzlich infrage gestellt werden. Aus Gründen der informationstechnischen Hygiene sollten Protokollinformationen nur dann erzeugt werden, wenn sie für den Betrieb der Einrichtung technisch unabdingbar sind. Über durchgeführte Protokollierungen muß der Anwender klar und eindeutig informiert werden, bevor er einen Dienst in Anspruch nimmt.

Der Apache Webserver verdient die Nominierung in besonderem Maße, denn die Standardkonfiguration fordert zur Erhebung vollständig unnötiger Daten im großen Umfang geradezu heraus. Resultat sind global verteilte Datenschleimspuren, über die die Anwender nicht informiert werden und die die Begehrlichkeit der Bedarfsträger geradezu herausfordern.