Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Bild von geralt via pixabay / Lizenz: CC0 Public Domain

Kommentar: Datenerhebung durch Linux-Distributionen

Die leicht erregbare Internetöffentlichkeit hat mal wieder ihr nächstes Thema gefunden: Auch Linux ist böse! Konkret geht es um die Erhebung von Telemetriedaten durch Ubuntu seit Version 18.04 und - wie nun bekannt wurde - auch openSUSE. Bei genauerer Betrachtung sieht man, dass das gar kein Problem ist. Aber was nützen schon Fakten und Recherche, wenn paranoide Wutkommentatoren in die Tasten hauen.

Zu den Fakten: Ubuntu hat im Verlauf der Entwicklung von 18.04 beschlossen, dass man ein System einführen möchte, über das einige Telemetriedaten gesammelt werden können. Bei Installation und Upgrade wird der Anwender gefragt, ob er dieser Datensammlung zustimmt. Sofern der Anwender zustimmt, erhebt Ubuntu folgende Daten:

  • Ubuntu-Version
  • OEM/Manufacturer
  • Device model number
  • BIOS Info
  • CPU Details
  • GPU Details
  • Arbeitsspeicher
  • Partitionierungsinformationen
  • Displaydetails
  • Auto-login
  • Live Patching Status
  • Desktopumgebung
  • Displayserver
  • Zeitzone

Siehe dazu auch entsprechenden Bericht auf OMG!Ubuntu.

Passend zur Veröffentlichung von openSUSE Leap 15 kam nun heraus: Auch openSUSE sammelt Daten. Das kommt jetzt nicht sonderlich überraschend, da bekannte Vorträge zu openSUSE in Zahlen (Beispiel 2016) logischerweise eine Grundlage haben mussten. Dazu vergibt openSUSE eine eindeutige System-ID (UUID), die im Verzeichnis /var/lib/zypp gespeichert ist. Hinzu kommen Informationen über die bei der Basisinstallation gewählten Pakete, die Installationsmethode (z. B. FTP) und die gewählte Locale (z. B. de-DE).

Die openSUSE Entwickler können dadurch nachvollziehen, wie viele Benutzer Systemaktualisierungen von einer Version auf die nächste machen und wie viele aktive Installationen es gibt, auch getrennt nach Leap und Tumbleweed.

Eine ausgewogene Analyse kann man beispielsweise in diesem Youtube-Video anhören. Relevant ist der Teil bis Minute 8.57.

Der dortigen Bewertung ist wenig hinzuzufügen. Beide Beispiele, openSUSE und Ubuntu, zeigen einfach, dass hier Linux-Distributionen versuchen zu ermitteln, wie relevant sie in welchen Märkten sind. Hinzu kommen einige Hardwaredaten, die durchaus nachvollziehbar wichtig sind. Da geht es immerhin um Fragen, welche Treiber für die Anwender wichtig sind, wie viel Leistung ihre Systeme haben etc. pp.

In beiden Fällen täten die üblichen gleichermaßen ahnungslosen, wie lautstarken Wutkommentatoren gut daran ein bisschen vom Gaspedal zu gehen. Beide Distributionen erheben erst einmal keine personenbezogenen Daten (die IP-Erhebung bei openSUSE ist dafür zu unklar). Grundsätzlich ist es eine Binsenweisheit, dass auch Linux-Systeme Verbindungen nach außen aufnehmen und dabei zwangsläufig Informationen wie die IP-Adresse teilen. Aufnahme zu Updateserver, NTP etc. sind gar nicht anders möglich.

Bei Ubuntu wäre natürlich eine Opt-in Vorauswahl wünschenswert, bei openSUSE überhaupt eine grafische Wahlmöglichkeit für den Anwender. Das sind aber Feinheiten, die schon alleine deshalb irrelevant sind, weil die grafische Wahlmöglichkeit bei Ubuntu die üblichen Wutbürger nicht besänftigt hat.

Außerdem ist nicht jede Datenerhebung von vornherein bösartig. Entwickler brauchen Feedback um sinnvolle, datengestützte Entscheidungen treffen zu können. Problematisch wird es erst, wenn diese Daten zu großen Datenpools verbunden werden (Stichwort Weitergabe an Dritte), die dann umfassende Aussagen über ihre Verursacher zulassen. Beides ist bei den kleinen Linux-Distributoren weder aktuell der Fall, noch unmittelbar zu befürchten.

Mit solchen emotionsgeleiteten Debatten leitet man nur Wasser auf die Mühlen der großen IT-Giganten, die immer behaupten, was sie machen wäre nicht schlimm bzw. würden alle anderen sowieso auch tun. Wenn Microsoft mit Windows 10 viel umfassendere Telemetriedaten erhebt (Stichwort Suchbegriff, Browserverlauf etc. pp.), kann es diese Daten mit vielen anderen Datenquellen (z. B. Skype, Bing) zusammenführen und dies ist daher wesentlich problematischer. Der einordnende Vergleich ist somit notwendig und nicht relativierend.

Ganz im Gegenteil, es wäre wünschenswert, wenn viel mehr Linux-Distributionen das machen. Eventuell würde so manchem Entwickler dann mal klar werden, dass er sein einziger Anwender ist. Aber das nur am Rande.


Bilder: 

Einleitungsbild und Beitragsbild von von geralt via pixabay / Lizenz: CC0 Public Domain

"

Tags: Linux, Ubuntu, Datenschutz, openSUSE, Telemetrie, Datenerhebung, Auswertung

Die Kommentarfunktion auf [Mer]Curius soll allen interessierten Leserinnen und Lesern einen Austausch ermöglichen. Kritische Meinungen zum Artikel selbst oder anderen Kommentaren sind ausdrücklich erwünscht. Gleichwohl werden Kommentare vor ihrer Veröffentlichung geprüft. Sie erscheinen daher nicht im unmittelbaren Anschluss nach dem Verfassen.


Die Angabe einer E-Mail Adresse ist optional und lediglich notwendig, wenn ein Abonnement zukünftiger Kommentare gewünscht ist.


Informationen zu verarbeiteten personenbezogenen Daten entnehmen Sie bitte der Datenschutzerklärung. Mit dem Verfassen eines Kommentars akzeptieren Sie diese Datenschutzbedingungen.

Lade Kommentar... Das Kommentar wird neu geladen in 00:00.
  • Dieses Kommentar ist noch nicht freigegeben.
    Linuxkumpel · Vor 5 Monaten
    Mein reden, kann dem Kommentator nur zustimmen.
  • Dieses Kommentar ist noch nicht freigegeben.
    chris1284 · Vor 5 Monaten
    Es sollten viel mehr Daten gesammelt werden (immer mit User Zustimmung). Je besser die Entwickler wissen worauf die Dirsti läuft um so besser kann man die Plattform supporten und je besser sich Linux auf den Geräten der Anwender einfügt um so greifbarer wird ein Anteil am Mark der nennenswert ist (und daraus resultiert Aufmerksamkeit bei anderen Firmen auch mal Linux zu supporten). Ich würde gerne 100% produktiv auf Mint gehen aber es fehlt noch an so vielen was das Linuxerlebnis nicht rund erschienen lässt (fehlender Treiber TV stick, Drukertreiber fehlt,Anwendungen fehlen, alles läuft etwas ruppiger)
  • Dieses Kommentar ist noch nicht freigegeben.
    Wilma456 · Vor 5 Monaten
    Solange nur technische Daten übertragen werden und nichts irgendwie zu Werbezwecken oder sonst eine Bullshit ausgewertet wird, habe ich persönlich kein Problem damit. Ich habe bei mir auch die Telemetrie im Firefox aktiviert.
  • Dieses Kommentar ist noch nicht freigegeben.
    postlet · Vor 5 Monaten
    Einzigartige System-ID in Kombination mit IP-Adresse sind keine personenbezogenen Daten? Meine Fantasie reicht aus für ein realistisches Szenario mit Missbrauchspotential. Wenn die einfach mal wirklich nur die anonymen, technischen Daten über eine verschlüsselte Verbindung sammeln würden, dann kriegt man Anwendern Sinn und Zweck dieser Datenerhebung auch früher oder später vermittelt. Aber so? Da bleiben immer erstmal Fragezeichen im Raum. Dass die großen Unternehmen mit Nutzerdaten so fein rumgehurt haben, macht die Vertrauensbildung auch sicherlich nicht einfacher. Das Grundvertrauen in solche Verfahren ist einfach völlig zerstört.

    Ist aber trotzdem gut und richtig, darüber zu bloggen. In diesem Beitrag geht es meinem Verständnis nach nicht um die Datenerhebung ansich, sondern darum dass so viele Leute keine sachliche Diskussion führen können. Datenschutz ist inzwischen einfach zu emotional besetzt.
    • Dieses Kommentar ist noch nicht freigegeben.
      Cruiz
      • Administrator
      · Vor 5 Monaten
      Die Erhebung der IP Adresse konnte ich nicht schlüssig nachvollziehen, sie findet sich lediglich in dem einen Vortrag. Grundsätzlich ließe sich aber quasi bei jedem System, das eine Verbindung nach außen aufbaut, die IP-Adresse erfassen und speichern. Updateserver, NTP usw. usf.

      Die o.g. System-ID selbst ist nicht personenbezogen. Die Liste der installierten Pakete ebenfalls nicht.
      • Dieses Kommentar ist noch nicht freigegeben.
        postlet · Vor 5 Monaten
        Für sich genommen ist die Erfassung einer IP-Adresse ODER einer einzigartigen, festen System-ID (in welcher Form auch immer) nicht das Problem. Aber beides zusammen referenziert in einer Datenbank ist eher unglücklich. Direkt personenbezogen ist es nicht, aber man kann anhand der Daten ermitteln wann dieses System auf welcher Hardware mit welcher IP-Adresse online war und prinzipiell zumindest für einen begrenzten Zeitraum auch welchem Anschluss diese IP-Adresse zugewiesen war. Wie gesagt, für sich allein genommen kein Problem, aber alles zusammen ergibt ein nachvollziehbares Profil. Sobald eine IP-Adresse ins Spiel kommt, ist eine solche Datenerhebung einfach nicht mehr anonym.

        Soweit die Theorie. Ich kann nämlich gerade auch keine Quelle finden, in der irgendwie etwas von der Erfassung der IP-Adresse erwähnt wird. Aus gutem Grund will ich meinen, weil man die für die Telemetrie ganz bestimmt nicht braucht.
Schreibe etwas...
Sie sind Gast
oder als Gast schreiben
  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1