Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Nach Hacker-Kritik: Telekom überarbeitet Kinderschutz-Software

Von

Kinderschutz-Software der Telekom: Die Übertragung der IP- und Mac-Adresse soll enden Zur Großansicht

Kinderschutz-Software der Telekom: Die Übertragung der IP- und Mac-Adresse soll enden

Beim Hackerkongress 32C3 wurde die Kinderschutz-Software der Telekom für ihren Datenhunger und mangelnde Transparenz kritisiert. Jetzt äußert sich das Unternehmen zu den Vorwürfen.

Rund eine Woche nach einem Vortrag beim Hackerkongress 32C3 will die Deutsche Telekom Änderungen an ihrer Kinderschutz-Software vornehmen. Der IT-Berater Alvar Freude hatte der Telekom vorgeworfen, ungefragt unter anderem IP-Adressen und Mac-Adressen von Computern zu übermitteln, auf denen das Telekom-Programm läuft.

Die IP-Adresse ist gewissermaßen die digitale Telefonnummer des Internetnutzers, die Mac-Adresse eine eindeutige Kennung für Netzwerkkarten: Es handelt sich also um Daten, mit denen man Nutzer der Software identifizieren könnte.

Wie die Telekom auf Anfrage von SPIEGEL ONLINE mitteilt, will das Unternehmen die Übermittlung der beiden Informationen nun "so schnell wie möglich abstellen". Hinweise darauf, dass die Daten übertragen werden, hatten Nutzer bislang keine bekommen.

Altersgerechtes Surfen als Ziel

Die Kinderschutz-Software der Telekom soll Eltern dabei helfen, ihren Kindern ein altersgerechtes Surfen im Internet zu ermöglichen. Das kostenlose Programm für Windows-Rechner wurde von der Kommission für Jugendmedienschutz (KJM) als Jugendschutzprogramm anerkannt. Mithilfe sogenannter Filtermodule soll es sicherstellen, dass Kinder nur für ihr Alter geeignete Websites besuchen können.

Daran, ob solche Filter-Programme sinnvoll sind und ob sie in Deutschland in nennenswerter Größenordnung genutzt werden, hatte der IT-Berater Alvar Freude beim 32C3 erhebliche Zweifel angemeldet:

Doch Freude ging noch weiter und warf der Telekom vor, mit ihrer Software mehr Daten zu sammeln als nötig. "Wir sehen hier, dass bei jedem Start vom System die Mac-Adresse übertragen wird", erklärte Freude eine seiner Vortragsfolien. "Die Mac-Adresse ist die weltweit eindeutige Hardware-Adresse der Netzwerkkarte." Zusätzlich werde ungefragt die private IP-Adresse an eine IBM-Tochterfirma weitergegeben. Das sei "ganz klar rechtswidrig".

Folie aus Freudes Vortrag (Screenshot): Warum werden diese Daten übermittelt? Zur Großansicht
YouTube

Folie aus Freudes Vortrag (Screenshot): Warum werden diese Daten übermittelt?

Auf Nachfrage von SPIEGEL ONLINE hat die Telekom am Dienstag bestätigt, dass "mit einem sogenannten Lizenzticket" beide Daten tatsächlich übertragen werden - mit dem Hinweis, dass diese Übertragung in Zukunft nicht mehr stattfinden soll.

URL-Übermittlung sei eine Grundvoraussetzung

Einem anderen Vorwurf Freudes versucht das Unternehmen, mit einer Erklärung entgegenzutreten: Der IT-Berater hatte in seinem Vortrag kritisiert, dass die Software auch die von den Kindern aufgerufenen URLs übermittelt, ohne vorherige Einwilligung. Dazu heißt es von der Telekom: "Es ist richtig, dass bei Nutzung der Kinderschutz-Software die URLs übermittelt werden, die die Kinder versuchen, anzusurfen." Das sei "eine Grundvoraussetzung, damit die Kinderschutz-Software auch richtig arbeiten kann".

Wenn ein Kind die Adresse einer Internetseite eintippt, fragt die Software der Telekom zufolge "zunächst nach, ob die Seite entsprechend der Altersklasseneinstufung freizugeben ist oder nicht". Je nach Ergebnis werde die Seite angezeigt oder blockiert. "Für diesen Überprüfungsprozess muss sich die Kinderschutz-Software mit den dafür notwendigen Servern verbinden, das heißt: Die URL wird übertragen". Die Kinderschutz-Software greife immer auf die aktuellste Fassung des Filtermoduls zu.

Wie Alvar Freude in seinem Vortrag nahelegte, wird Nutzern allerdings praktisch gar nicht klargemacht, dass das Programm auf diese Weise arbeitet. Die Telekom verweist in ihrer Stellungnahme auf einen Punkt der Lizenzvereinbarung, in der es im Vorfeld der Installation heißt: "Die Software erlaubt im Kindermodus nur den Zugriff auf für Kinder geeignete Webseiten. Diese Webseiten sind von der Deutschen Telekom oder beauftragten Dritten speziell ausgewählt worden. Es handelt sich dabei um eine kategorisierte URL-Datenbank, die auch einer redaktionellen Betreuung durch die Deutsche Telekom oder beauftragten Dritten unterliegt."

Eltern, ob nun technisch unbedarft oder nicht, dürften auf Grundlage dieser Passage allerdings kaum nachvollziehen können, welche Daten und Informationen das Programm überträgt. Auch auf der Telekom-Website finden sich bislang lediglich einige grundsätzliche Informationen zu den Funktionen der Software.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 7 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Ich will das T-Shirt
Alastor2718 05.01.2016
Cooles DOTT Shirt! Gleich mal bestellen :D
2. Datenschutz-gerechte Lösung
Bernd.Brincken 05.01.2016
Eine Übertragung der angesurften URL-Adresse zum Abgleich mit der Whitelist (erlaubter Seiten) ist unvermeidlich, wenn man nicht immer wieder die ganze Liste auf den eigenen Rechner laden will. Nur was natürlich unterbeiben muss, ist das _speichern_ dieser Adresse auf dem Telekom-Server. Dieser muss, und sollte, aufgrund einer Anfrage nur "Alterklasse 12" o.ä. zurückliefern; und nichts speichern. Die Telekom könnte sich zusätzlich beliebt machen, wenn sie diesen Altersklassen-Service Jedermann anbietet, nicht nur Nutzern ihrer eigenen App. Wenn schon quasi-Monopol, dann auch richtig ;)
3. Datenschutz-gerechte Lösung
thseeling 05.01.2016
@2: natürlich ist es technisch *nicht* nötig, die exakte vollständige URL zu übermitteln. Es reicht sowohl auf Sender- als auch Empfängerseite, einen Hash (eine Prüfsumme) der URL zu übermitteln bzw. zu speichern und dazu die jeweilige Kategorie (ab 0/6/12/16 J. oder so). Das Übermitteln ist schon schlecht, die Unterscheidung Übermitteln/Speichern ist unnötig und zu spät im Design. Die IP-Adresse aus dem Screenshot finde ich übrigens gar nicht weiter schlimm: man sieht ja deutlich, dass es eine IP aus einem der "privaten" Netzwerke 192.168 ist, die von jedem Router frei vergeben werden. Sofern der Router nicht intern Buch führt, könnte man daraus ein paar Tage später schon nicht mehr schlussfolgern, welches Endgerät diese IP hatte. Die MAC-Adresse hingegen ist eine Schweinerei, die ist wirklich sehr eindeutig und hat in so einer Autorisierungsanfrage aber auch gar nix zu suchen. Obwohl man natürlich die MAC-Adresse i.a. auch fälschen kann, aber das ist bei der Zielgruppe eher nicht bekannt.
4. Server-Wahn?
erwachsener 05.01.2016
Wie groß mag die Whitelist der Telekom wohl sein? Würde es im normalen Datenverkehr überhaupt auffallen, wenn man sich die entsprechende Datenbank ab und zu herunterladen müßte? Gerade wenn es um Kinderschutz geht sollte Datenvermeidung an oberster stelle stehen. Jedes und alles serverbasiert mit ständiger kontaktnotwendigkeit zu organisieren ist einfach quatsch,
5. Hash
Bernd.Brincken 05.01.2016
Zitat von thseeling@2: natürlich ist es technisch *nicht* nötig, die exakte vollständige URL zu übermitteln. Es reicht sowohl auf Sender- als auch Empfängerseite, einen Hash (eine Prüfsumme) der URL zu übermitteln bzw. zu speichern und dazu die jeweilige Kategorie (ab 0/6/12/16 J. oder so). Das Übermitteln ist schon schlecht, die Unterscheidung Übermitteln/Speichern ist unnötig und zu spät im Design. Die IP-Adresse aus dem Screenshot finde ich übrigens gar nicht weiter schlimm: man sieht ja deutlich, dass es eine IP aus einem der "privaten" Netzwerke 192.168 ist, die von jedem Router frei vergeben werden. Sofern der Router nicht intern Buch führt, könnte man daraus ein paar Tage später schon nicht mehr schlussfolgern, welches Endgerät diese IP hatte. Die MAC-Adresse hingegen ist eine Schweinerei, die ist wirklich sehr eindeutig und hat in so einer Autorisierungsanfrage aber auch gar nix zu suchen. Obwohl man natürlich die MAC-Adresse i.a. auch fälschen kann, aber das ist bei der Zielgruppe eher nicht bekannt.
Wenn der Code nachprüfbar (also auch veröffentlicht, oder zertifiziert) nichts speichert, spielt es keine Rolle, ob die URLs oder ihre Hashes dorthin gesendet werden. Die Verbindung zum Alterklassen-Server wird ohnehin per https erfolgen. Aber wieso "bzw. speichern"? Speichern oder nicht ist ja nun die Gretchenfrage.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: