Videotex-Filetransfer und Datenschutz

Videotex-Vorschläge1

Der Vorschlag für die Standardisierung des schweizerischen Videotex2-Filetransfer-Protokolls ist in der "Vernehmlassung3". Mir liegt die Ausgabe 0.2 des Arbeitsteams vor, das mir zur Begutachtung von einem der Mitglieder des Teams überlassen wurde. Obwohl ich als Mathematiker und Programmierer vor allem die technische Brauchbarkeit des vorgeschlagenen Standards beurteilen sollte, stellten sich bei der Lektüre des Vorschlags vor allem Datenschutzfragen. Der vorgeschlagene Standard ist problematisch, da er den externen Datenanbietern sehr weitgehende Eingriffsmöglichkeiten in die Daten der Videotex-Benützer einräumt. Meine diesbezüglichen Vorschläge stelle ich im Folgenden als Nicht-Jurist zur Diskussion, weil dieser Aspekt des Filetransfer-Problems offensichtlich anderweitig kaum zur Sprache gekommen ist.

Da sich in den letzten Jahren die PCs mit Software-Dekoder (Programme zur Benützung von Videotex auf PC) neben den spezialisierten Videotex-Terminals der PTT4 stark verbreitet haben, entstand das Bedürfnis, die Möglichkeiten der Videotex-Kommunikation um den Filetransfer zu erweitern. Die PTT haben einen Standardisierungsvorschlag für den Videotex-Datentransfer ausarbeiten lassen. Damit ist Videotex als PC-Medium ins Zentrum gerückt, da man ja auf dem "stand-alone" Videotex-Gerät keine "Files" hat. Die Einführung des Filetransfer bringt grundlegende Datenschutzfragen mit sich, da der Datenaustausch mit diesem Schritt weit über dümmliche Reklame und Sex-Briefkästen hinaus an Bedeutung gewinnt. Auch wenn Videotex nicht zum zentralen europäischen Datenkommunikationsmedium wird, werden doch die Standardisierungsanstrengungen für dieses Medium richtungsweisend sein auch für alternative Systeme. Die recht weit fortgeschrittenen europäischen Integration der Standards dürfte ein wichtiger Grund für den grossen Erfolg von Videotex in den letzten paar Jahren sein.

Die vorliegende Spezifikation "Videotex File-Transfer Protocol5" soll diese Form des Datenaustauschs in der Schweiz standardisieren. Da noch keine ausländischen Standards für einen Filetransfer vorliegen, hat die schweizerischen Lösung Pioniercharakter. Es steht zu vermuten, dass solche Standards in nächster Zeit auch in anderen europäischen Ländern eingeführt werden. Die Diskussion der Datenschutzimplikationen solcher Standards heute ist also auch ausserhalb der Schweiz von Interesse.

Asymmetrie

[Für den folgenden Abschnitt würde eine graphische Skizze Klarheit schaffen:

Endbenützer (PC+Telefon), Videotex-Zentrale (PTT), externe Datenbank (Grosscomputer angedeutet mit Bändern) H.T.]

An einem Filetransfer nehmen drei Parteien teil: Benützer an ihrem PC als "Endgerät", die Videotex-Zentrale als Schaltstelle der Kommunikation (PTT), der "externe" Videotex-Datenanbieter (verschiedene privatwirtschaftliche und öffentlich-rechtliche Institutionen). Videotex-Benützer melden sich bei der Zentrale an und wählen die gewünschten Anwendungen, und somit auch den externen Datenanbieter aus. Dort fordern sie die Übertragung spezieller oft aktueller Daten an, wie etwa die täglichen Börsenkurse, die nach der Übertragung auf dem PC weiterverwendet werden. Auch der umgekehrte Fall der Übermittlung von Dateien vom Endgerät zum Datenanbieter ist denkbar.

Damit überhaupt ein allgemeiner Datenaustausch möglich ist, muss die Videotex-Zentrale für die Daten vom Endgerät zum Anbieter und umgekehrt "transparent" sein. Das heisst, dass alle möglichen Bytes übertragen werden können und nicht einige als "Steuerzeichen" von der Zentrale verschluckt werden. Das vorgeschlagene Filetransfer-Protokoll basiert auf diesem schon früher für Chipkarten-Anwendungen definierten Transparenten Modus6 der Videotex-Kommunikation. Für die weitere Ausgestaltung des Standards hat sich das Arbeitsteam an die Spezifikation eines chipkartenfähigen BTX-Endgeräts der Deutschen Bundespost angelehnt.

Bei der Lektüre des Standards fällt die Asymmetrie zwischen Endgerät und Datenanbieter auf. Nur der Datenanbieter kann den Filetransfer initiieren. Obwohl das auch technische Gründe hat, scheint die weitere Ausgestaltung des Standards weitgehend auf der Perspektive des Anbieters zu basieren7. Man kann zwar argumentieren, dass von den institutionellen Anbietern weniger Missbrauch zu erwarten ist, als von den fast anonymen Datenbezügern. Es sind aber genügend Fälle bekannt, wo auch grosse Firmen und Banken "Cracks" als "Sysops" angestellt haben, die unbesonnenerweise oder vorsätzlich ihre Macht missbrauchten, um Unfug zu treiben, oder um weit über ihre Kompetenzen gehende Überwachungen einzuführen.

Meine Kritik am Filetransfer-Protokoll ist nicht technischer Natur, sondern sie bezieht sich auf Datenschutzfragen. Diese lassen sich entsprechend grossenteils nicht technisch lösen, sondern mit Hilfe von Vereinbarungen, juristischen Regeln und viel Öffentlichkeit der Datenschutzdiskussion.

Normalverlauf des Filetransfers

Unter dem Titel "Genereller Ablauf" ist im Protokollvorschlag der Normalverlauf des Filetransfer beschrieben. Bei der Übertragung von Dateien vom Datenanbieter an das Endgerät sieht das vereinfacht so aus:

  1. Die "externe Datenbank" übermittelt im normalen Videotex-Dialog eine auszufüllende Seite ans Endgerät, wo der der Dateinamen eingegeben werden kann, den die übermittelte Datei auf seinem PC haben soll.
  2. Der Datenanbieter versetzt die Videotex-Zentrale in den Transparenten Modus und fordert das Endgerät auf, eine neue Datei anzulegen, mit dem vom Datenanbieter übermittelten Namen.
  3. Der Software-Dekoder des Endgeräts tut dies und überprüft alle eintreffenden Datenblöcke mit einem Fehlerdetektionsverfahren. Die korrekt empfangenen Blöcke werden quittiert. Am Ende des Transfers kann etwa der normale Videotex-Dialog wieder aufgenommen werden.

In der umgekehrten Richtung:

  1. Die "externe Datenbank" übermittelt im normalen Videotex-Dialog eine auszufüllende Seite ans Endgerät, wo der Name der Datei eingegeben werden kann, die an den Datenanbieter gesendet werden soll.
  2. Der Datenanbieter versetzt die Videotex-Zentrale in den Transparenten Modus und fordert das Endgerät auf, die Datei mit dem vom Datenanbieter übermittelten Namen abzuschicken.
  3. Der Datentransfer findet fehlergeschützt statt, wie oben.

In beiden Fällen, ist das Protokoll so angelegt, dass der Anbieter den Dateinamen auf dem PC bestimmt. Diesen hat er zwar anständigerweise vorher mit einer vom Datenbezüger auszufüllenden Formular-Seite abgefragt, grundsätzlich ist er aber frei, die Übertragung beliebiger Dateien anzufordern. Auch besteht keine Garantie, dass er den eingegebenen Namen verwendet. Im vorgestellten Szenario würde der lokale Videotex-Dekoder oder die Videotex-Anwendung (etwa ein Anlageberatungsprogramm, das täglich den Dow-Jones-Index anfordert) den Filetransfer automatisch durchführen, ohne den Benützer noch einmal zu fragen oder diesen auch nur zu informieren.

Datenschutzbedenken anhand imaginärer Missbrauchsfälle

Die PC-seitige Software, welche den Filetransfer im Endgerät abwickelt, erhält bei diesem Ablauf die zentrale Verantwortung. Zwar läuft sie auf dem PC des Benützers, ist also hypothetisch unter seiner Kontrolle und müsste seine Interessen vertreten. Allzuoft wird aber die Videotex-Anwendung, welche den Filetransfer erledigt, vom Datenanbieter stammen, da ja nur dieser die Struktur seiner übermittelten Dateien optimal ausnützen kann.

Der Videotex-Dekoder könnte natürlich die ganzen PC-Innereien vom Anbieter fernhalten, fiktive Dateinamen übermitteln und mit einer internen Übersetzungstabelle den Benützer selber entscheiden lassen, was er senden oder empfangen will und wieviel Zeit und Platz er dafür zur Verfügung stellt. Ein den Empfehlungen gemäss programmierter Dekoder wird aber im allgemeinen alle Dateien empfangen und senden gemäss den Anweisungen des Anbieters.

Schon bei einfachen Systemproblemen wird der Dekoder aber zu weitergehenden Entscheiden herausgefordert: Was passiert, wenn die Festplatte voll ist? Was passiert, wenn es eine Datei desselben Namens schon gibt? Wird die alte Datei gelöscht? Wird der Benützer gefragt? Wie kann man so etwas mit der nächtlichen automatischen Übermittlung verbinden, die die günstigen Telefontarife ausnützt?

Mit der Einführung des Filetransfers erhält die Datenschutzfrage für das Medium Videotex eine neue Qualität. Die Daten, die hin und hergeschickt werden, sind nicht mehr einzelne Bildschirmseiten und einige wenige Tastenanschläge pro Minute, sondern ganze PC-Dateien. Dateien auf dem PC können nicht nur Information in Form von Text, Ton und Bild enthalten, sondern auch Programme in Maschinenkode sein, die "etwas tun". Computerdaten können wesentlich virulenter sein, als Telefonate und Briefe. Schon diese "alten" Kommunikationsmedien sind ja nicht unproblematisch.

Ein erster möglicher Missbrauch ergibt sich daraus, dass die Datenübertragung möglich ist, ohne dass die Benützerin oder der Benützer etwas davon merken, was und wieviel übertragen wird. Gemäss dem Protokollvorschlag kann man durch den Datenanbieter auf zwei Arten zum unwissenden und unwillentlichen Gesetzesbrecher gemacht werden. Einerseits können einem Daten geschickt werden, auf die man kein Anrecht hat (etwa Fremdsoftware, auf die weder Datenanbieter noch Datenbezüger Anrechte besitzen, wie dies heute bei den "Mailboxes" weitverbreitet ist), zum andern können einem Daten von der Festplatte abgesaugt werden, zu deren Weiterverbreitung man nicht berechtigt ist (etwa politische Unterlagen von Parlamentariern mit Schweigepflicht etc.).

Ein zweiter möglicher Missbrauch besteht in der Belästigung mit ungewollten Daten. Diese können nur durch ihre Menge, durch ihren Inhalt oder durch ihre Aktion wirken. Da im Gegensatz zu den gedruckten Medien für elektronische Medien noch keine klare Regelung zum Impressum, zur expliziten Deklaration der Verantwortung für den Inhalt von Dateien existieren, ist ein beträchtliches anonymes Belästigungspotential via Filetransfer nicht auszuschliessen.

Ein weiterer Missbrauch betrifft die Datenprivatsphäre auf dem Privatcomputer: Wenn man einen naiven Videotex-Dekoder voraussetzt, ist es mit der neuen Norm ein leichtes, Dateien mit kompletten oder partiellen Inhaltsverzeichnissen abzurufen (TREEINFO.NCD, MIRROR.*, SD.INI, WIN.INI, ...) und diese zu einer systematischen Erforschung des Festplatteninhalts des Endbenützers einzusetzen.

Der wohl alles umfassende Missbrauch schliesslich besteht in der Einschleusung eines "trojanischen Pferdes". Zum Beispiel kann man dem Benützer neue Dateien mit Namen AUTOEXEC.BAT oder CONFIG.SYS unterschieben oder sogar den momentan verwendeten Software-Dekoder durch einen neuen, "kooperativeren" ersetzen. Sobald man einmal auf dem Endgerät die vom Datenanbieter eingeschleuste Software laufen hat, sind den Möglichkeiten der Spionage und der Zerstörung keine Grenzen mehr gesetzt.

Mit diesen paar Szenarien möchte ich keineswegs behauptet haben, das Hauptinteresse der Datenanbieter sei die totale Überwachung der Datenbezüger. Reale Fälle exzessiven Datensammelns von sehr seriöser und respektierter Seite haben aber gezeigt, dass es nützlicher ist, von vornherein ein paar Schutzmassnahmen einzubauen als im nachhinein über regellosen Wildwuchs zu klagen.

Welche Güter sind schutzwürdig?

Bei der Suche nach vernünftigen Massnahmen gegen den Missbrauch von Videotex stellt sich zuerst die Frage nach den Gütern, die geschützt werden sollen. Hier führe ich eine pragmatische Liste aus der Sicht des Programmierers auf. Diese ist nach meiner Meinung brauchbar, wenn sie auch nicht die abgefeimtesten Spezialfälle mit einbezieht. Jede Diskussion von Datenschutzvorschlägen sollte bei der Frage nach den schützenswerten Gütern beginnen.

Grossenteils sind diese Güter rechtlich schon heute geschützt. Datenschutz auf dem Computer ist nicht in erster Linie eine Frage der Gesetzgebung sondern eine Frage der Transparenz und der Information der Computerbenützer.

Die angeführten schutzwürdigen Güter betreffen natürlich Datenanbieter und Datenbezüger symmetrisch, da man diese beiden Seiten immer weniger voneinander unterscheiden kann.

Vorschläge und Diskussion

Statt der asymmetrischen Steuerung der Dateinamenselektion via Formular-Seite durch den Datenanbieter, sollte die Diskussion über die Wahl des PC-Dateinamens privat zwischen dem Software-Dekoder und der Anwenderin oder dem Anwender geführt werden. Der Datenanbieter hat im allgemeinen keine Verwendung für den Dateinamen. Man kann sich immer noch auf eine ID-Tabelle einigen, mit deren Hilfe man sich über die übermittelten Dateien unterhält. Diese Entkoppelung des Dateinamens vom Datenanbieter hat den weiteren Vorteil, dass sich keine betriebssystem-abhängigen Standards in das Kommunikationsprotokoll einschleichen. Der freie Zugang zur Information muss auch für Amiga-Besitzer sichergestellt sein.

Statt dem Austausch des Headers mit dem Dateinamen wäre eine Verständigung über Absender und Empfänger-Identifikation vorzusehen. Hierbei ist die Identifikation des Datenanbieters genauso wichtig, wie diejenige des Datenbezügers. Bei der transparenten Direktverbindung reicht es nicht mehr aus, dass beide der Videotex-Zentrale (über Kennung und Passwort) "bekannt" sind.

Dem Protokoll-Vorschlag wäre ein Anhang anzufügen, wo "Anstands-Regeln" für Videotex-Dekoder und Videotex-Anwendungen vorgeschlagen werden. Programme, die auf den Markt kommen, könnten dann auf ihre Datenschutz-Konformität hin überprüft werden. Bei der Anschaffung von Videotex-Software wird diese Konformität ein wichtiges Argument sein, bei der Wahl zwischen verschiedenen Dekodern.

Zu diesen Anstandsregeln gehört:

Schliesslich ist zu wünschen, dass die öffentliche Diskussion über diese konkreten Datenschutzfragen zum Kommunikationsbewusstsein der Benützerinnen und Benützer beiträgt, damit diese auf informierte Art von ihrer Wahlfreiheit Gebrauch machen können. Mit der hier vorliegenden Kritik ist die Frage bei weitem nicht erledigt, sondern erst in den Raum gestellt.

Oft werden Diskussionen über mögliche Missbräuche der Computerkommunikation in den Medien unterdrückt, mit dem Argument, man wolle den Normalverbraucher nicht in Panik versetzen oder man wolle keine Anleitungen zur Kriminalität publizieren. Die Geheimhaltung der Funktionsprinzipien von Revolvern vor "Laien" würde wohl die Anzahl der Gewaltverbrechen durch "Profis" kaum reduzieren, während ausführliche Information die Opfer zum Kauf kugelsicherer Westen veranlassen könnte.

April 1991 Hartwig Thomas

Fussnoten

1 Beim Zusammenstellen älterer Texte für die Publikation auf dem Internet bin ich auf folgenden Text gestossen. Obwohl das Medium Videotex inzwischen bedeutungslos ist, sind die Überlegungen grossenteils genügend allgemein gehalten, dass sie auch auf dem World Wide Web ihre Gültigkeit behalten.

Der Text wurde zwar der ct angeboten, wurde aber nie publiziert.

Meine Einwände wurden damals bei der Ausführung des Standards nicht berücksichtigt, führten aber dazu, dass verschiedene Anbieter von Dekodern (entspricht den Browsern heute) zusätzlichen Schutz anboten.

Eine seriöse öffentliche Diskussion der angesprochenen Fragen hat noch nicht wirklich eingesetzt.

August 2002, HT

2 Was in der Schweiz unter dem Namen "Videotex" (bzw. VTX) läuft, heisst in Deutschland "Bildschirmtext" (bzw. BTX). Es handelt sich dabei um ein Angebot verschiedenster Datendienste, die über die Post vermittelt und über die Telefonleitung angeboten werden. Neben dedizierten Videotex-Endgeräten haben sich sogenannte "Software-Dekoder" für die Videotex-Benützung durchgesetzt. Diese empfangen die Videotex-Information über Modem und emulieren den Videotex-Display auf dem PC-Bildschirm. Oft wird das schweizerische "Videotex" mit dem deutschen "Videotext" verwechselt. Dieses System bringt Textzeilen auf den Fernsehbildschirm und heisst in der Schweiz "Teletext".

3 Neue Gesetze und Verordnungen werden in der Schweiz in einem Vernehmlassungsverfahren den interessierten Kreisen und Verbänden vorgelegt, die so schon vor der endgültigen Beratung im Parlament auf die endgültige Formulierung Einfluss nehmen können.

4 Die PTT (= Post, Telefon, Telegraf), die Schweizer Post, ist die Betreiberin von Videotex.

5 Unter "Protokoll" versteht man eine technische Vereinbarung über Kommunikationsgrundlagen, an die sich alle halten müssen und die so die Kommunikation erst ermöglicht.

6 Der Transparente Modus wird in Deutschland von einer Reihe von Datenanbietern heute schon für den Filetransfer verwendet. Mangels eines einheitlichen Standards muss der Datenbezüger in diesen Fällen die Spezialsoftware des Datenanbieters für den Filetransfer verwenden.

7 Dies äussert sich etwa darin, dass beim Filetransfer vom Datenanbieter zum Endgerät von "Transmit" gesprochen wird, während die umgekehrte Richtung "Receive" heisst.