Die Kleinweich-Story

Aus dem wahren Leben eines ganz normalen Bürgers

Es war einmal ein Bürger, der hat "Ja" gesagt. "Ja" zum Leben, "Ja" zum Farbfernseher, "Ja" zum PC und "Ja" zu Windows XP. Jedenfalls hat er sich beides gekauft. Zusammen. Man nennt das "bundle". Ist Marketing- "deutsch". Das war der Anfang der Geschichte.

Nun, der Mann, ich nenne ihn im folgenden Willi Kleinweich, hat zu Hause brav seinen PC aufgebaut und gestartet. Alles ging prima! Sogar die Installation des Modems klappte vorzüglich, obwohl er ja diesem USB- Modem nicht traute. Treuglaubend hat er sein WindowsXP telefonisch bei Microsoft registriert, aber trotz Fragen danach keine persönlichen Daten angegeben. Denn das wollte er nicht. Und er hatte gehört, dass muss er nicht!

Was später geschah...

Willi Kleinweich klickte auf den "Assistent für den Internetzugang". Der erkannte ganz schnell sein Modem und verband Ihn mit einem Server, wo Willi sich ganz einfach einen Internetzugang bei "MSN" einrichtete. Sogar eine e-Mailadresse hat er bekommen: willi_kleinweich@hotmail.com. Dort hat man Ihn gefragt, wie er heisst, wann er geboren wurde, nach der Postleitzahl seines Wohnortes, dem Geschlecht, dem Geburtstag, dem Beruf. Da waren dann noch zwei kleine Häkchen: Hotmail-Mitgliederverzeichnis und Onlinetelefonbuch. Die hat er so gelassen. Damit ist er auch gleich gleich Mitglied bei Net.Passport geworden. Sogar eine lange "Datenschutzgarantie" gab es dort. Willi hat sie lieber gar nicht erst gelesen... Aber, nachdem er sich bei der ersten Anmeldung bei Hotmail dann durch einen zwei Seiten langen Katalog mit kostenlosen(!) Newsletterangeboten durchgeklickt hat, da hatte er schon ein e-Mail. Vom freundlichen Hotmailteam. Und er konnte alle seine Freunde, Bekannten, Verwandten, Kollegen im Adressbuch anlegen. Praktisch sowas! Selbst seinen Kalender kann er jetzt im Web ablegen! Er schickte sich selbst ein Probemail und konnte sogar bunt schreiben und tolle Smilies einfügen! Und er hat sich mal eben ein klein wenig durch die Ihn interessierenden Themen bei MSN geklickt.

Am nächsten Tag

Willi legt eine nagelneue DVD mit einem Film in den DVD- Player. Er wundert sich nur kurz, warum der Rechner ins Internet will, aber das macht er sowieso andauerend. Und immer hat Microsoft dann tolle Tips für Ihn. Was solls? Er nutzt die Gelegenheit und schaut nach Mails. Ausserdem hat er entdeckt, dass auf seinem Computer ein toller Messenger und Netmeeting installiert sind. Klasse! Nach einer kurzen Anmeldung, bei der er seinen Name, seine eMailadresse und seinen Standort eingetragen hat, klickte er sich munter durch die Einrichtung durch. Leider bekam er keinen Kontakt und konnte die tollen Funktionen gar nicht alle nutzen. Niemand da. Dafür hat er sich kostenlose Nachrichten vom Volkswagenkonzern bestellt. Wer wichtig ist bekommt viele e-Mails!

Was Microsoft jetzt alles von Willi Kleinweich erfährt:

Bei jedem Start des Internet Explorer wird Willi Kleinweich statt direkt zu MSN zunächst einer anderen Webseite umgeleitet. Und das geht so:

HTTP/1.1 302 Object Moved
Location: http://home.microsoft.com/
Server: Microsoft-IIS/5.0
Content-Type: text/html
Content-Length: 149
<head><title>Document Moved</title></head>
<body>
<h1>Object Moved</h1>
This document may be found
<a HREF="http://home.microsoft.com/">here</a>
</body>

Zum Glück braucht er sich keine Sorgen machen. Alles geht automatisch. Auch die folgende Seite zu www.msn.com. Nur: Warum nicht gleich so? Ach ja: es müssen Cookies gesetzt und gelesen werden. Das kann der Server nur, wenn er aufgerufen wird. Willi merkt auch gar nichts davon. Ebenso ist es bei der Anmeldung an Hotmail. Auch gibts erstmal ein paar Umleitungen. Schließlich müssen ja alle Bescheid wissen, das Willi wieder da ist! Und jetzt klickt Willi auf www.bcentral.com - ebenso ein Microsoft- Dienst:

HTTP/1.1 302 Object moved
Server: Microsoft-IIS/5.0
Date: Mon, 04 Mar 2002 22:53:36 GMT
P3P: CP="BUS CUR CONo FIN IVAo IVDo ONL OUR OTRi PHY TELo"
Location:
http://msid.msn.com/mps_id_sharing/redirect.asp?
207.46.234.199/Default.asp
Connection: Keep-Alive
Content-Length: 195
Content-Type: text/html
Expires: Tue, 26 Feb 2002 00:13:36 GMT
Set-Cookie: MC1=V=2&ID=F3499D3C08C042158E75013FB94C9C66;
expires=Sat, 04-Oct-2003 19:00:00 GMT; path=/
Set-Cookie: ASPSESSIONIDQQGGQVEQ=FJCJHJLCMADLKLBGANKLPOOG;
path=/
Cache-control: private

Also ein cookie und eine Weiterleitung zu: msid.msn.com Ordner: mps_id_sharing (sic!). Ok. Gehen wir mal dorthin:

HTTP/1.1 302 Object moved
Server: Microsoft-IIS/5.0
Date: Mon, 04 Mar 2002 22:56:09 GMT
P3P:CP="BUS CUR CONo FIN IVDo ONL OUR PHY SAMo TELo"
Location: http://207.46.234.199/Default.asp?
newguid=D7AB42D26E16421686724D2771DF9AF2
Connection: Keep-Alive
Content-Length: 195
Content-Type: text/html
Cache-control: private

Der nächste Missbrauch der Umleitung durch die Fehlermeldung 302... Auf zu 207.46.234.199/Default.asp?newguid=D7AB42D26E16421686724D2771DF9AF2:

HTTP/1.1 302 Object moved
Server: Microsoft-IIS/5.0
Date: Mon, 04 Mar 2002 22:58:56 GMT
P3P: CP="BUS CUR CONo FIN IVAo IVDo ONL OUR OTRi PHY TELo"
Location: http://207.46.234.199/Default.asp?MSID=d7ab42d26e16421686724d2771df9af2
Connection: Keep-Alive
Content-Length: 192
Content-Type: text/html
Expires: Tue, 26 Feb 2002 00:18:57 GMT
Set-Cookie: MC1=V=2; expires=Sat, 04-Oct-2003 19:00:00 GMT; path=/
Set-Cookie: ASPSESSIONIDQQGGQVEQ=KHDJHJLCHJAPIIIMAMCGEFAF; path=/
Cache-control: private

Ein weiteres cookie und munter weiter...

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Mon, 04 Mar 2002 23:00:18 GMT
P3P: CP="BUS CUR CONo FIN IVAo IVDo ONL OUR OTRi PHY TELo"
Connection: Keep-Alive
Content-Length: 38584
Content-Type: text/html
Expires: Tue, 26 Feb 2002 00:20:19 GMT
Set-Cookie: MC1=V=2; expires=Sat, 04-Oct-2003 19:00:00 GMT; path=/
Set-Cookie: ASPSESSIONIDGGQGQLCG=PDJJCFLCLFINCNHEIEDKBJAP; path=/
Cache-control: private

Geschafft! Willi Kleinweich ist auf bcentral! Ging doch fix oder? Nur drei Umleitungen und 2 cookies. Sicher wird Microsoft wissen warum...

Was sind Cookies?

Cookies sind Dateien, die vom Webserver auf Ihren Rechner abgelegt und gelesen werden können. Die Inhalte sind durch den Betreiber des Webservers frei konfigurierbar. Meist werden Sie benutzt, um Besucher wiederzuerkennen, da diese bei der nächsten Einwahl vom Provider jedesmal eine neue IP- (Internet-) adresse zugewiesen bekommen. Manchmal aber auch, damit persönliche Präferenzen des Benutzers gespeichert werden können. Das ist weitgehend legal. Aber leicht zu missbrauchen.

Was das ganze Theater bedeutet:

Es ist ganz einfach so, dass Microsoft hier eindeutig die Funktionalität der Webbrowser missbraucht, um den Besucher mehrfach zwischen den Seiten hin- und herzuschicken, seine Besuche dabei zu registrieren und um Cookies lesen und schreiben zu können.

Interessant wird das, wenn man das Spektrum bedenkt:

• Die Verweise auf ein ganze Anzahl von Microsoft- Servern sind direkt in das Betriebssystem eingebaut und den Internet Explorer eingebaut, so zum Beispiel auch eine Suchmaschine.
• Microsoft bietet den Nutzern eine große Auswahl von verschiedenen Webdiensten an, die recht nützlich erscheinen. Das reicht über e-Mail, mit Kalender, Adressbuch und dem ganzen drumherum (Hotmail) über Updates und Downloads bis hin zu solchen Dingen wie einer eigenen Mediendatenbank oder Hilfsseiten zum Betriebssystem und den Programmen (knowledgebase). Auf Grund der vielen verschiedenartigen Dienstleistungen ist es so, dass Microsoft nur noch einen netten Datenabgleich durchführen muss um zu einem sehr tiefgehenden Profil des Users zu kommen.
• eines darf man nicht vergessen: Das Betriebssystem ist von Mircrosoft, die Software oft auch. Durch undurchsichtige Programme und sehr seltsame Inhalte der Office- Dateien geriet Microsoft immer wieder in den Ruf Datenklau zu betreiben. Ich denke da nur an die netten Extras in den Quelltexten von Word97 und Co. Da standen so nützliche Dinge wie die Prozessornummer, wenn ich mich recht erinnere. Wozu wohl?
• Wenn ein Kunde alle diese Möglichkeiten nutzt, so steht er vor Microsoft praktisch nackt da. Microsoft weiss alles über ihn!

Ein denkbares(?) Szenario:

Willi legt eine DVD ein. Der Player schaut mal kurz bei MS auf die Datenbank. Folge: Microsoft weiss, das der Benutzer mit der ID-Nummer Die Vögel angeschaut hat. Die ID wird in ein cookie geschrieben und auf Willi´s Rechner geparkt. Später holt Willi seine Mails ab. Microsoft liest die ID aus dem cookie und weiss nun, welchen Film Willi Kleinweich wann angesehen hat. Nur: was zum Teufel geht das Microsoft an?

Das vorletzte Wort:

Ich davon überzeugt, andere machen das auch. Aber so einfach wie Microsoft hat es keiner!

Das letzte Wort:

Zitat Microsoft (Datenschutzerklärung):
Auf einigen Sites sammelt MSN persönlich identifizierbare Daten, wie z.B. Ihre E-Mail-Adresse, Namen, Ihre private und geschäftliche Adresse oder Telefonnummer.
Auf anderen Sites sammelt MSN anonyme demografische Daten, die nicht eindeutig Ihnen zuzuordnen sind, wie Ihre Postleitzahl, Alter, Geschlecht, Vorlieben, Interessen und Favoriten. Einige Sites sammeln eine Kombination dieser 2 Datenarten.

Wie war das gleich mit den "besuchten Webseiten" (Verlauf)?

It´s not a bug! It´s a feature!