CleanPress

Ubuntu und der Datenschutz

Verfasst von

sla

in

Ubuntu und der Datenschutz
Photo by Dayne Topkin on Unsplash

Windows 10 ist, was den Datenschutz und den Schutz der Privatsphäre im Allgemeinen angeht, eine Katastrophe. Microsoft sah sich Monate nach der Veröffentlichung gezwungen, zurückzurudern. Aber der Ruf in dieser Hinsicht ist ruiniert und nur, wer wirklich nichts zu verbergen hat, nutzt guten Gewissens diese Auskunftei.

Aber im Ernst: Auf der anderen Seite der Medaille stehen Linux-Distributionen wie Debian und viele andere, die in ihren Richtlinien die oben genannten Werte als unbedingt schützenswertes Gut ansehen. Irgendwo dazwischen steht Ubuntu, das ja formal auch eine Linux-Distribution ist.

Ubuntu ist fast wie Linux

Formal deshalb, weil es auf Debian aufbaut, sich aber ansonsten meist wenig um Gepflogenheiten der Linux-Community schert. Muss man ja auch nicht, muss aber dann mit der Reaktion der Anwender klarkommen. So erzürnt Mark Shuttleworth immer mal wieder die Gemüter der Gemeinde mit Entscheidungen, die so überhaupt nicht zu Linux und Open Source passen, sondern eher in die Windows-Welt.

Zu nennen sind hier beispielsweise das Amazon-Affiliate-Programm, die inzwischen wieder abgeschafften Smart Scopes, zu deutsch Shopping-Linsen und aktuell mit dem gerade veröffentlichten Ubuntu 18.04 LTS das Abgreifen von Telemetriedaten. Verwerflich daran ist nicht der Wunsch nach Daten über Soft- und Hardware der Anwender, sondern die Tatsache dass der Anwender mit der grassierenden Seuche des Opt-out widersprechen muss, um dem zu entgehen.

Datenschutz ade

Bereits von 2012 bis 2016 hat Canonical grob gegen den Schutz der Privatsphäre verstoßen und damit, trotzt späterer Nachbesserung, das Vertrauen vieler Anwender verspielt. Suchbegriffe, die ab Ubuntu 12.10 in die Suchmaske der Unity-Dash eingegeben wurden, weil Anwender Informationen auf ihrem lokalen Gerät finden wollten, wurden ins Internet ausgeweitet und gerieten zur Produktsuche. Neben Amazon hatte Canonical rund 50 Partner, an die Suchbegriffe weitergegeben wurden, um die Systeme der Anwender zuspammen zu können. Suchte ein Anwender beispielsweise einen bestimmten Song auf seiner Festplatte, so erhielt er zusätzlich Links zu Amazon, die den Song oder andere Werke des Künstlers zum Kauf anboten.

Zu Spyware verkommen

Das ist so weit von Linux entfernt, wie es eben geht. Richard Stallman bezeichnete Ubuntu daraufhin als Spyware. Auch die Electronic Frontier Foundation (EFF) äußerte starke Bedenken gegen die Verwendung der Scopes, wobei wiederum nur der Opt-out die Privatsphäre zurückbrachte. Technisch wurde bei jeder Suchanfrage eine HTTPS-Verbindung zu productsearch.ubuntu.com aufgebaut und die Suchanfrage samt der IP übertragen. Die Antwort von Amazon oder anderen Partnern kam  ungesichert über HTTP zurück. Der Aufschrei der Community war nicht zu überhören. Das focht Shuttleworth aber zunächst nicht an, im Gegenteil. Seine Rechtfertigung war mehr als fadenscheinig:

»…Du Vertraust du uns nicht? Ähm, wir haben Root. Du vertraust uns bereits Deine Daten an. Du vertraust darauf, dass wir Deine Maschine nicht bei jedem Update versauen. Du vertraust Debian und Du vertraust einem großen Teil der Open-Source-Community…«

Perfider Vergleich

Besonders der Vergleich mit Debian ist perfid. Debian hat einen Sozialvertrag und kümmert sich aktiv um den Schutz der Privatsphäre. Die einzigen Daten, die Debian gerne von den Anwendern hätte, finden sich in Debian Popularity Contest (Popcon). Damit will Debian feststellen, wie oft ein Paket bei den Anwendern instaliert ist. Debian fragt bei der Installation nach, ob das Paket aktiviert werden soll. Mit Ubuntu 18.04 wird neben dem Abgreifen der Telemetriedaten auch Popcon ungefragt installiert und liefert somit Daten an Canonical. Damit wird obige Einlassung von Shuttleworth aus dem Jahr 2013 endgültig zur Farce. Hier ergibt sich also klar eine Unterscheidung zwischen Ubuntu und Debian und den meisten anderen Distributionen, die nicht auf Ubuntu basieren.

Unity 8 anyone?

2014 wurde angekündigt, die Scopes würden als Opt-in gestaltet. Dazu hieß es, mit der kommenden Version 8 von Unity finde eine Desktop-Suche standardmäßig nur noch Daten auf dem heimischen PC. Erst nach der selektiv möglichen Aktivierung der Scopes könne auch bei diversen Anbietern gesucht werden.  Wie wir heute wissen, kam Unity 8 nie und die Umstellung auf Opt-in kam erst mit Ubuntu 16.04 LTS. Lediglich die Amazon-Linse wurde bereits mit 14.04 umgestellt. Wenn man also einrechnet, dass Ubuntu 14.04 LTS noch bis April 2019 unterstützt wird, so fungierte Ubuntu sieben Jahre lang als Spamschleuder für rund 50 Canonical-Partner, sofern sich der Anwender nicht aktiv dagegen entschied.

Richtlinien nur auf Englisch

Dieses Verhalten ist in den Richtlinien von Canonical festgelegt und somit rechtlich legitimiert. Die aktuell gültige Fassung dieser nur auf Englisch vorliegenden Privacy Policy stammt von 8. Februar 2016, also wenige Monate vor dem Erscheinen von Ubuntu 16.04. In der Einleitung heißt es:

Deine Privatsphäre ist uns wichtig. Diese Richtlinien beschreiben die Informationen, die wir von Dir sammeln – und was wir damit machen.

Für mich klingen die Richtlinen dann aber eher so, als seien unsere Daten wichtig für Canonical und nicht unsere Privatsphäre. Die Richtlinien, die ausdrücken sollen, wie ernst unsere Privatsphäre genommen wird, beginnen meist mit »Wir werden nicht…« und enden in »…außer es ist wirklich notwendig.« Da wissen wir doch gleich, woran wir sind.

Etwas weiter unten wirds dann deutlicher:

Canonical kann nicht personenbezogene Informationen sammeln, wie sie typischerweise von Webbrowsern und Servern zur Verfügung gestellt werden, wie z.B. Browsertyp, verweisende Seite, Datum und Uhrzeit der Anfrage eines jeden Besuchers. Unser Ziel bei der Erfassung nicht personenbezogener Daten ist es, besser zu verstehen, wie Besucher unsere Websites und Dienstleistungen nutzen.

Das nennt man heutzutage Tracking. Jeder tut es – keiner will es. Das Werbemodell des Internets basiert immer stärker darauf und es ist zum Scheitern verurteilt. Entweder es werden neue Modelle umgesetzt oder das Internet, wie wir es wollen, stirbt, Canonical hält es aber für angemessen, an diesen Praktiken mitzuwirken. Fehlerreports werden versendet und erlauben die Identifikation des sendenden Rechners. Je mehr Daten generell gesammelt werden, desto eher lasssen sich Profile zusammensetzen. Das Senden der Fehlerreports lässt sich einfach in /etc/default/apport abstellen.

Für die OnlineKonten innerhalb Ubuntus existiert eine eigene Richtlinie, die das Ablegen von authentifizierenden Cookies sanktioniert.

Der Abschnitt über die Suche in der Dash birgt auch brisante Festlegungen. Zu Beginn wird auf die ab 16.04 abgeschaltete Ausweitung der Suche über den lokalen Rechner hinaus eingegangen. Sollte der Anwender sich aber mit der ausgeweiteten Suche einverstanden erklären, gilt folgendes:

Mit der Suche in der Dash stimmst Du der Erfassung und Verwendung Deiner Suchbegriffe und Deiner IP-Adresse durch Canonical und ausgewählte Dritte zu.

In Bezug auf diese Dritten heißt es dann:

Informationen darüber, wie unsere ausgewählten Drittparteien Ihre Informationen verwenden können, finden Sie in deren Datenschutzrichtlinien.

Wie bei Facebook

Darauf folgt die Liste der über 50 Partner. Aha, ich soll also die Richtlinien von über 50 Unternehmen studieren. Danke, aber verdammt nochmal, nein danke. Das erinnert doch alles fatal an Facebook und Cambridge Analytics. Wir verkaufen mal eben eure Daten, was Dritte dann damit tun, interessiert uns doch nicht. Im Abschnitt »Access« geht es dann darum, wer Zugriff auf vom Anwender zur Verfügung gestellter Daten oder solcher, die Canonical über ihn gesammelt hat, erhält:

Die Informationen, die Du uns zur Verfügung stellst, werden auf Computern gespeichert und können von unseren Mitarbeitern innerhalb und außerhalb Großbritanniens und an Dritte, einschließlich Auftragnehmer und Unternehmen innerhalb der Canonical-Gruppe, für die in dieser Datenschutzrichtlinie dargelegten Zwecke, d.h. um Dir Produkte oder Dienstleistungen bereitzustellen, oder wie anderweitig mit Dir vereinbart, abgerufen oder weitergegeben werden. Du erkennst an, dass es notwendig sein kann, dass Deine Daten von diesen Parteien verarbeitet werden und dass sie an jemanden weitergegeben werden können, der uns in einem anderen Land, auch außerhalb des Europäischen Wirtschaftsraums, eine Dienstleistung erbringt, und Du stimmst einer solchen Verarbeitung und Übermittlung zu. Wenn es notwendig ist, Deine persönlichen Daten außerhalb des Europäischen Wirtschaftsraums zu übermitteln, werden wir alles daran setzen, dass die Person, an die wir die persönlichen Daten weitergeben, diese mit dem gleichen Schutzniveau behandelt wie wir.

Deine Daten werden übereignet

Zu guter Letzt dann noch das i-Tüpfelchen: Sollte Canonical verkauft werden oder mit einem anderen Unternehmen zusammengehen, so gehen die Daten an den neuen Besitzer oder Partner über. Erinnert sich noch jemand an das immer mal wieder geschürte Gerücht, Microsoft wolle Canonical übernehmen? Und bestimmt könnte es noch schlimmer kommen.

Gegen Telemetriedaten ist grundsätzlich nichts zu sagen, sie können Entwicklern helfen, Produkte im Sinne der Anwender zu verbessern. Aber es sollte -und das nicht nur unter Linux – klar sein, dass das immer per Opt-in zu geschehen hat und nicht umgekehrt. Klar erhält Canonical so weniger Daten. Aber der Schutz der Privatsphäre hat dabei immer das höchste Gut zu sein, nicht der Wunsch nach Daten.

Ubuntu Community-Edition?

Auch andere große Unternehmen, die mit Linux arbeiten haben ähnliche  Richtlinien, die sie gesetzlich absichern. Dazu gehören beispielsweise Red Hat und SUSE. Doch hier gibt es einen entscheidenden Unterschied: Besagte Unternehmen trennen ihre kommerziellen Angebote und die dem privaten User zugewandten kostenfreien Angebote wie etwa Fedora oder openSUSE ab und übergeben sie der Community zur Entwicklung. Dann kann man auf solch rigide Richtlinien verzichten. Vielleicht ist das auch der Weg, den Canonical gehen sollte, um aus der Schusslinie zu kommen. Realistisch betrachtet ist Ubuntu doch sowieso völlig aus dem Fokus geraten, seit Canonical nennenswerte Umsätze in den Bereichen Server und Cloud macht. Oder wie seht ihr das?

Kommentare

14 Antworten zu „Ubuntu und der Datenschutz“

  1. Avatar von Nick
    Nick

    Also bei allem was Recht ist, aber Canonical hat es sich schon vor langer Zeit verspielt, jemals wieder als vertrauenswürdig wahrgenommen zu werden. Nicht zu vergessen die ganzen Experimente mit Mir, Unity und Upstart, aber trotz halbgaren Entwicklungen, andere Projekte wie z.B. Wayland öffentlich ohne valide Argumente denunzieren. Und das nur um die eigenen Produkte besser dastehen zu lassen. Oder was ist mit den endlosen Versuchen, die eigenen Nutzer an kostenpflichtige Dienste von Canonical zu binden? Alles ein No-Go. Von konzeptionellem Unrat, wie dem schon zu Debian inkompatiblen Paketformat ganz abgesehen, oder der Seuche die sich PPAs schimpft. Letzteres erinnert nur zu stark an den unkontrollierten Wildwuchs unter Windows, und widerspricht dem Konzept eines zentralen Trusted-Repository. Was ist mit den unsäglichen Update-Problemen, die schon geradezu peinlich, und einem Debian als Ursprung unwürdig sind? Ebenso auch die Nutzung von Sudo, in einer besonders unsicher konfigurierten Form. Ist natürlich ideal für Anfänger, zumal Sudo explizit ein Werkzeug für Profis ist, die wirklich wissen was sie tun. Und was wird oftmals beobachtet? Das in völliger Unvernunft Befehle mit Sudo durchgereicht werden, die erstens keine Rootrechte benötigen, und dazu das ganze Rechtekonzept aufheben. Aber Hauptsache Komfort und bloß nicht zulassen, dass der Nutzer unter Ubuntu anfangen muss etwas zu lernen. Die unsäglichen Forks sind in dieser Hinsicht auch nicht besser.

    Antworten
  2. Avatar von Nick
    Nick

    Zusatz:
    Und was ich persönlich am schlimmsten finde ist, dass Ubuntu inkl. der Derivate, außerordentlich oft geradezu repräsentativ für GNU/Linux im allgemeinen hergenommen werden. Somit fällt der Unrat des Hauses Canonical, negativ auf GNU/Linux zurück, selbst wenn das Linux-Distributionen abseits von Ubuntu garnicht betrifft. Auf diese Art der Werbung kann man verzichten.

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      Aus dieser unzulässigen Repräsentanz resultiert im Endeffekt auch die Tatsache, dass nur zu oft neue Pakete nur für Ubuntu verfügbar sind oder mit dem Etikett für Ubuntu/Debian versehen sind. Diese Pakete sind dann oft unter Debian nicht installierbar, da die Abhängigkeiten nicht erfüllt werden können. Unerfahrene Debian-anwender hantieren oft auch bedenkenlos mit PPAs, in der Ansicht, Debian sei doch eh die Grundlage des Ganzen.

      Antworten
  3. Avatar von Ravenbird
    Ravenbird

    Ich persönlich bin der Meinung das die Entwicklung von Ubuntu und offiziellen Derivaten in die Hand der Community gegeben werden sollte. Und das bitte ohne weitere Einflussnahme durch Canonical. Welche Produkte Canonical dann auf Ubuntu aufsetzt ist ihre Sache. Auch könnte eine solche Auslagerung an die Community bei dem leidigen Thema ‚universe‘ was in Gang bringen.

    Antworten
  4. Avatar von tuxnix
    tuxnix

    Im Übrigen bin ich der Meinung Ubuntu sollte geschlossen werden.

    Antworten
  5. Avatar von Martin
    Martin

    Puh , die Komentare hören sich echt nicht gut an , somal ich Ubuntu seid 7.04 benutze und vertraue…..Jetzt scheint es wohl um zu denken und sich nach was anderem um zu schauen …..

    Antworten
  6. Avatar von Martin
    Martin

    Wie genau betrifft das Ubuntu derivate ? Z.B. KDE Neon ? Gehen die gesammelten Daten nach Neon und von da aus bebündelt nach canonical oder direkt dahin ??
    Ich bin echt schockiert …..

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      Die Derivate haben da nichts mit zu tun. KDE Neon ist ein reines Community-Projekt von KDE, das sich Ubuntu als Unterlage gewählt hat. Die im Artikel dargestellten Richtlinien gelten nur für Ubuntu und selbst. Wie weit Canonical diese Richtlinien anwendet, wissen wir nicht. Ich finde es bedenklich, dass die Möglichkeit besteht, dass Daten von Anwendern an Dritte ausgeliefert werden können und diese dann deren Richtlinien unterliegen.

      Das Ganze ist natürlich in Relation nur ein Tropfen auf den heißen Stein „Datensammlung“, der uns täglich an verschiedenen Stellen betrifft. Bei Linux wünscht man sich halt, davon weniger betroffen zu sein.

      Antworten
  7. Avatar von Stefan
    Stefan

    Das einzig Positive an dem Artikel: Er ist klar als Meinung klassifiziert. Ein klassischer Rant mit ein paar Fakten hinterlegt und ganz viel eigener Bewertung angereichert und mit Ungenauigkeiten vermischt. Du hast die Wahl, wenn Du Linux verwenden willst. Niemand zwingt Dir etwas auf. Der Vergleich mit Win10 hinkt im Besten Fall , denn unter Win10 kann ich mich selbst mit grosser Anstrengung nicht komplett „opt-outen“ – Zudem kommen die Sachen mit Updates teilweise (stillschweigend) wieder rein. Bei meiner frischen 16.04 Installation ist die Online-Suche standardmässig deaktiviert. Da stellt sich die Frage: Hat der Autor sich überhaupt die Mühe gemacht die zusammengeklaubten Informationen einer kritischen Prüfung zu unterziehen und anhand einer Installation zu überprüfen. Aber das ist halt mühsam ein Rant ist da deutlich einfacher und triggert mehr Leute. In dem Fall auch mich 🙂 – Normalerweise ignoriere ich so etwas. Denn meiner Meinung nach ist ein Rant einer sachlichen Diskussion nicht zuträglich und wirkt genau dem Community-Gedanken entgegen. Mit den zusammengetragenen Informationen wäre durchaus ein sachlicher Artikel möglich gewesen, der evtl. als Diskussionsgrundlage hätte dienen können. Aber so – who cares – another hater.

    Antworten
  8. Avatar von Max Mustermann
    Max Mustermann

    Stimme Stefan zu. Ein Artikel, wann man wo die die Datenschutzeinstellungen vornehmen kann, wäre sinnvoller gewesen.

    Antworten
  9. Avatar von Linuxkumpel
    Linuxkumpel

    Leider muss der im Deutschen irreführende Begriff Datenschutz immer für vieles herhalten. Datenschutz schützt keine Daten. Das ist ein verbreiterter Irrglaube. Bezüglich des künftigen europäischen Datenschutzes ist ein „Opt-out“ als kritisch anzusehen. In wie weit durch die gesammelten Daten eine Person identifizierbar wird, ist fraglich. Sofern Cannonical kein Umgang mit personenbezogenen Daten nachgewiesen kann, sind Sanktionen nicht möglich. Der Rest ist Aufregung und Empörung. Nichts desto Trotz darf, kann und muss jeder eine Meinung zum Umgang Cannonicals mit dem Nutzer haben. Allerdings hat eine starke Community den Ubuntu-Mäzen nicht immer umstimmen können.

    Antworten
  10. Avatar von dakira
    dakira

    Sorry, aber das ist doch FUD wie aus „besten“ Microsoft-Zeiten. Fangen wir oben an:

    1. Telemetrie-Daten
    Bei einer Neuinstallation ist es 1 (ein Wort EIN) Haken. Der Vergleich zu Windows 10, wo sich die Telemetrie gar nicht vollständig abschalten lässt hinkt meines Erachtens gewaltig. Zumal einem SEHR transparent angezeigt wird, was da für Daten übermittelt werden. Es wird einem sogar eine Beispiel-Übermittlung angezeigt.

    In der Vergangenheit (Dash, Lenses, Amazon, usw.) war das anders. Du suggerierst hier aber, dass es bei 18.04 quasi noch schlimmer ist.

    Anders als von dir behauptet ist popcorn NICHT per default aktiv, ich habe das gerade noch mal bei einer frischen Installation getestet. Es ist seit etlichen Jahren per default installiert, in der config steht allerdings „PARTICIPATE=no“. Was allerdings aktiv ist TROTZ abgewählter Telemetrie-Sendung ist apport, der Bugreport-Sender. Das ist aber seit etlichen Jahren unverändert und er fragt bevor er einen Report sendet.

    Es bleibt das Opt-Out. Das lässt sich auch ganz leicht beheben. Ich werde die Tage einen Patch mit Verweis auf DSGVO (bzw. GDPR) einreichen. Fertig.

    2. Ubuntu / Debian
    Dieser Konflikt der da immer zwischen Ubuntu und Debian beschworen wird existiert in der Realität einfach nicht. 100% der Ubuntu-Entwickler sind Debian-Entwickler. Ein kleiner Teil von ihnen wird für die Arbeit an Debian (und Ubuntu) bezahlt. Wer jemals einen Bug in Ubuntu behoben hat weiss, wie’s läuft. Man wird von Ubuntu(/Debian)-Entwicklern angeleitet den Bug doch bitte erst mal in Debian zu beheben, optimalerweise noch weiter Upstream. Dieses „bad citizen“-Gerede lässt sich nach einem beliebigen Blick in die Mailinglisten nicht aufrechterhalten.

    3. 50 Partner
    Dir ist klar, dass das die 3rd parties aus den alten Unity-Lenses sind, oder? Ebenso wie deine Einlassungen weiter oben, die sich ebenfalls auf Dash und die Lenses beziehen hat das alles recht wenig mit 18.04 zu tun.

    4. Community Edition
    Es gibt keine kommerzielle Edition. Ubuntu IST die Community Edition und wird von einem Community-Council gesteuert und nicht etwa von Canonical.

    Antworten
  11. Avatar von NonKon
    NonKon

    Das klingt vielleicht komisch, aber mir reicht ehrlich gesagt schon das lesbar ehrfürchtige zittern in den Beiträgen der Fanboys wenn sie von ihrem „Mark“ reden um das nicht zu benutzen.

    Was mich angeht ist Ubuntu nicht „Linux“, bzw, da geht man keinen „Linux Weg“, die diversen technischen und datenschutztechnischen Unzulänglichkeiten runden da mein Vorurteil lediglich ab.

    Antworten
  12. Avatar von Thorsten
    Thorsten

    „dakira“ – Respekt,
    besser hätte man es nicht beschreiben können.
    Alles richtig!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge