Forschung

PRIVIDOR – PRIvacy VIolation DetectOR

Das Forschungsvorhaben PRIVIDOR (PRIvacy VIolation DetectOR) erstellte eine Lösung um automatisch datenschutz-bedenkliche Vorgänge auf einer Webseite zu erkennen. Dazu hat Fraunhofer AISEC im Auftrag des Bundesdatenschutzbeauftragten ein Werkzeug zur Webseitenanalyse entwickelt, das auf Internetseiten nach Anzeichen für Datenschutzverstöße sucht.

Das Tool prüft URLs auf folgende datenschutz-rechtliche Problembereiche und erstellt entsprechende Berichte über die Prüfergebnisse:

  • Web Analytics/Tracking protokolliert das Surfverhalten von Benutzern einer Seite und erlaubt unter Umständen eine website-übergreifende Korrelation dieser Daten.
  • JavaScript erlaubt das Auslesen privater Informationen, wie beispielsweise der Browser History, um damit Informationen über besuchte Websites in Erfahrung zu bringen (z.B. welche sozialen Netzwerke oder Onlinebanking-Dienste von einem Benutzer in Anspruch genommen werden).
  • CSS History Hacks ermöglichen das Auslesen der Browser History auch bei deaktiviertem JavaScript.
  • Cookies und Flash-Cookies/Local Shared Objects (LSO) sind die wohl bekanntesten Varianten zur Identifizierung von Nutzern oder Systemen und der (langfristigen) Speicherung nutzerbezogener Daten.
  • DOM Storage erlaubt die Speicherung von nutzerbezogenen Daten über erweiterte Funktionen des Document Object Models. Über DOM Storage können Daten in wesentlich größerem Umfang gespeichert werden als mit herkömmlichen Cookies. Auch kann die Zugriffsbeschränkung auf Domänen umgangen werden.
  • Formulare sammeln in vielen Fällen nutzerbezogene Daten. Diese werden oft unverschlüsselt übertragen und sind somit von Dritten leicht auswertbar.

Um die Analysen durchzuführen, wird das Verhalten eines normalen Nutzers der Seiten simuliert, indem ein automatisiert gesteuerter Firefox-Browser die zu prüfenden Seiten aufruft, darstellt und dynamische Inhalte ausführt. Mit Firefox-Addons wird das erzeugte Laufzeitverhalten und JavaScript-Aufrufe auf DOM-Objekte festgehalten. Die gesammelten Daten werden in Berichten zusammengefasst und Veränderungen fortgeschrieben. Die in PRIVIDOR erstellte Umgebung wird server-seitig ausgeführt und ist mittels eines Web-Interfaces steuerbar.