Das Research-Projekt Panoptclick der Electronic Frontier Foundation (EFF), eine Cyberspace-Bürgerrechtsorganisation aus den USA, brachte zu Tage, dass 8 von 10 Browsern eindeutig identifiziert werden können (84 %). Bei Browsern mit Flash und JavaScript waren es gar deren 94 %. Im angelegten Research-Projekt standen 470.000 Datensätze zur Auswertung zur Verfügung.
Das bedeutet, dass fast jeder Browser wiedererkannt werden kann. Dadurch lassen sich gesammelte Daten einem Browser-Profil zuordnen. Mit aktivem JavaScript ist es nach wie vor möglich in Erfahrung zu bringen, ob jemand schon einmal auf einer bestimmten Seite war oder nicht. Um eine Zuordnung zu einer bestimmten Firma machen zu können, reicht es demnach aus, beispielsweise die Adresse der Intranetseite dieser Firma zu kennen. Insbesondere Suchanfragen wie bei Google sind gefährlich, da Google die Suchparameter an die Seiten weitergibt, welche der Benutzer in der Resultatenliste anklickt. So kann festgestellt werden, dass eine Firma A, die Firma oder Person B gesucht hat.
Es ist in der heutigen Zeit praktisch unumgänglich, dass sich Firmen über bestehende oder potentielle Kunden Informationen im Internet beschaffen. Wie war die Telefonnummer? Was haben sie für Produkte? Dann braucht es noch den Handelsregisterauszug etc.
Insbesondere für Personen und Unternehmen, welche einem spezielles Berufsgeheimnis unterliegen (Banken, Rechtsanwälte u.a.), stellt sich die Frage, ob es aus der Sicht von Compliance erforderlich ist, dass solche Firmen im Internet anonym Informationen beschaffen können.
Technisch ist dies ein gar nicht so leichtes Unterfangen. Die wahre Herkunft auf der IP-Ebene zu verstecken ist das eine. Ein ganz anderes Problem ist die Gesprächsbereitschaft der meisten Browser und die Risiken, welche von Browser-PlugIns und JavaScript ausgehen. Dazu kommen Fragen wie Performance-Einbussen, Netzlast und vor allem die Kosten für ein solches Projekt und den späteren Betrieb. Bei den technischen Möglichkeiten gibt es verschiedene Stufen der Anonymität – mit unterschiedlichen Kosten und Auswirkungen auf den Betrieb.
Grundsätzlich dürfen Angaben über Personen nicht an Dritte weitergegeben werden, wenn die Person dies nicht erlaubt hat und es sich nicht explizit aus einem Auftrag ergibt, dass diese Informationen Zwecks ordentlicher Ausführung an diesen Dritten weitergegeben werden müssen. Gewisse Berufsgruppen wie die die Banker, haben noch viel strengere Auflagen – dürfen diese nicht einmal preisgeben, dass jemand Kunde ist.
Fazit:
Damit dem gesetzlichen Schutz der Kunden durch die Nutzung von Internet in Firmen genügend Rechnung getragen wird, braucht es im Umgang mit dem Internet interne Richtlinien. Diese sollen festlegen, welche Informationen über Kunden wie und wo im Internet preisgegeben werden dürfen und welche nicht. Für Unternehmen mit Berufsgeheimnis und hohem Informationsbedarf wie Banken, stellt sich aber die Frage, ob dies organisatorisch überhaupt sinnvoll und sicher umgesetzt werden kann. Hier habe ich ein wenig meine Zweifel und vertrete die Meinung, dass solche Berufsgruppen aus Sicht Compliance technisch mehr für den Kundenschutz im Internet durch eigene Recherchen tun müssten.
Keine Kommentare:
Kommentar veröffentlichen