PYNGU MAGAZIN

Est. 11111100101

PYNGU MAGAZIN

Est. 11111100101

Sind Content Delivery Networks Trojanische Pferde für den Datenschutz?

26. Oktober 2021 | Privacy

Ein Content Delivery Network (CDN) ist ein geografisch verteiltes Netz von Proxy-Servern und deren Datenzentren. Ziel ist es, eine hohe Verfügbarkeit und Leistung von Webseiten zu bieten. Dies wird dadurch erreicht, dass der Dienst räumlich relativ zu den Endnutzern verteilt wird.

Die ersten CDN’s wurden in den späten 1990er Jahren als Mittel zur Behebung von Leistungsengpässen im Internet eingesetzt. Als das Internet sich nach und nach zu einem geschäftskritischen Medium für Menschen und Unternehmen entwickelte, wurde nach Wegen gesucht, die Stabilität, Geschwindigkeit und Sicherheit von Webseiten zu erhöhen.

Content Delivery Network ist letztlich ein Oberbegriff, der verschiedene Arten von Diensten zur Bereitstellung von Inhalten umfassen kann: Videostreaming, Software-Downloads, Beschleunigung von Web- und Mobilinhalten, CDN als Dienstleistung, Lastausgleiche u.v.m.. CDN-Anbieter können mit den erweiterten Dienstleistungen DDoS-Schutz und Web Application Firewalls (WAF) auch zu anderen Branchen gezählt werden (z.B. Data-Security etc.).

Privacy & Security

CDN-Anbieter finanzieren sich zumeist aus Abo-Modellen, die von den Webseitenbetreibern gezahlt werden. Bei den kostenlosen Angeboten, die von einigen Anbietern angeboten werden, sollte davon ausgegangen werden, dass sie vermutlich die Nutzeranalyse- und Verfolgungsdaten der Webseitenbesucher zu monetarisieren versuchen. Dies sollte generell bei allen Verbindungen, die eine Webseite zu Dritten aufnimmt, niemals ausgeschlossen und auf eine datenschutzrechtliche Vereinbarkeit überprüft werden. Aus diesem Grund könnten diese Dienste auch als potenzieller Eingriff in die Privatsphäre zum Zwecke von Behavioral-Targeting gesehen werden.

CDN’s können neben einer schnelleren weltweiten Erreichbarkeit der Webseite außerdem weitere Security-Features bieten. Zu denen zählt insbesondere ein erweiterter Distributed-Denial-of-Service (DDoS)-Schutz. Hier können die Kunden von großen, spezialisierten Infrastrukturen profitieren.

Warum können CDNs ein unterschwelliges, datenschutzrechtliches Problem darstellen?

Ein CDN ist im Grunde genommen ein verteiltes Netzwerk von Servern. Das bedeutet, dass eine Kopie einer Webseite auf mehreren Servern auf der ganzen Welt gehostet werden kann. Die Nutzeranfragen werden, im Idealfall, an den Server weitergeleitet, der dem Nutzer am nächsten ist. Auf diese Weise verbessert ein CDN global gesehen, die Leistung sowie die Geschwindigkeit der Webseite.

Server Farm

Wie wir aus anderen Bereichen wie zum Beispiel beim Cloud Computing bereits wissen,
muss ein dem US-Recht unterfallendes Unternehmen, einem Herausgabeverlangen bezüglich elektronischer Beweismittel in Strafverfahren nachkommen, gleich wo sich die Daten befinden. Dies führt bei der Wahl eines US-amerikanischen CDN-Anbieters letztlich, wie auch bei der Nutzung von US-Cloud-Lösungen, zu einem faktischen Kontrollverlust der eigenen Daten und der aufgezeichneten Daten der Webseitenbesucher.

Inwierfern ist dies für den Datenschutz und Gesetze wie die DSGVO relevant?

Wenn ein CDN genutzt wird, so wird gleichzeitig eine dritte Partei hinzugefügt, die die IP-Adresse und andere Metadaten der Besucher erfasst. Die Zustimmung der Nutzer kann in diesem Fall nicht vorher eingeholt werden, denn wenn die Besucher-IP’s beim Laden der Webseite auf den Server des CDN-Anbieters kommen, ist es ja bereits zu spät.

Normalerweise sollten die Nutzer an einen Server in ihrer Nähe weitergeleitet werden, aber auch dies kann nicht garantiert werden. Es könnte beispielsweise theoretisch sein, dass ein deutscher Nutzer seine IP, seinen Browser-Fingerprint und andere Metadaten, an einen Server in den USA, Russland oder Großbritannien sendet. Da man das nicht weiß, kann man die Besucher der Webseite auch nicht verbindlich darüber informieren, wo ihre Daten beim Aufruf der Webseite verarbeitet werden.

Wie muss man sich also verhalten, wenn man einen CDN für seine Webseite nutzen möchte?

Nun, zuallererst muss dieser in der Datenschutzerklärung aufgeführt sein! In der Realität wird dies jedoch oftmals versäumt. Da möglicherweise personenbezogene Daten aus der EU und von EU-Bürgern übertragen werden (die IP-Adresse ist ein personenbezogenes Datum), muss sichergestellt sein, dass ein Auftragsverarbeitungsvertrag (EU-Staaten und Staaten, die über ein angemessenes Datenschutzniveau verfügen) oder rechtskonforme Standardvertragsklauseln (Staaten, die über kein angemessenes Datenschutzniveau verfügen) mit dem CDN-Anbieter vereinbart werden.

Bei der Nutzung von CDN’s bleibt eigentlich nur eine Datenverarbeitung nach Artikel 6 Absatz 1 lit. f DSGVO (berechtigtes Interesse) möglich. Aber ist dies gerechtfertigt?

Vermutlich ja, wenn man auf die Vorteile bei der Performance und den erhöhten Schutz bei DDoS-Angriffen und sonstiger Malware verweist. Es wäre zudem auch schwierig zu argumentieren, dass „diese Interessen gegen die Interessen oder Grundrechte und -freiheiten der betroffenen Personen nicht überwiegen“.

Somit sind wir also Safe, oder!? Nun ja, zumindest sollte auch überprüft werden, ob es denn vielleicht auch EU-europäische Alternativen gibt. Außerdem sollte, wenn dies nicht der Fall ist auch eine Datentransfer-Folgenabschätzung durchgeführt werden.

Benötigt meine Webseite den Zugang zu einem CDN?

CDN’s können insbesondere für Webseiten, die sehr viele Pageviews generieren und auf ein globales Publikum zielen interessant sein. Die Ladegeschwindigkeit kann sich für einige Besucher erheblich verbessern. Zudem können Up- und Downloadzeiten mit Hilfe von CDN’s verringert werden

Cloudflare Netzwerk

Das Netzwerk des CDN-Anbieters Cloudflare und sein Geschwindigkeitsversprechen

Man sollte sich dennoch überlegen, ob es für die eigene Seite wirklich notwendig ist eine dritte Partei zu integrieren. Zudem sollte man scheinbar kostenlose CDN Integrationen einiger Webhosting-Anbieter mit Vorsicht genießen. Wo es nichts oder fast nichts kostet sind andere Quellen der Monetarisierung (Tracking etc.) nicht weit weg.

CDN’s führen uns wieder ein Stück weit in Richtung Zentralisierung des Netzes

Wenn irgendwann die Mehrzahl aller Webseiten an einem der großen CDN’s hängen, ist dies unweigerlich wieder ein Stück in Richtung Zentralisierung. Zudem besteht dann die Gefahr das unabhängige Seiten „abgestraft“ werden könnten, wenn diese sich nicht der „neuen Norm“ fügen. Dies gilt sowohl für Suchmaschinen Ergebnisse, als auch für Anti-Viren-Software und /oder Blocklisten. Man macht sich dann quasi verdächtig, wenn man kein „sicheres“ CDN nutzt.

Des Weiteren besteht immer die Gefahr, dass ein CDN aufgrund eines technischen Defektes ausfallen kann. Dies betrifft dann häufig tausende von Seiten gleichzeitig. In diesem Jahr hatte der bekannte CDN-Anbieter Fastly einen Ausfall, bei dem zigtausend Webseiten zeitweise nicht mehr erreichbar gewesen sind. Fastly führte den Vorfall auf eine Servicekonfiguration zurück, die zu Unterbrechungen der „POP’s“ (Points of Presence) weltweit führte. Ein Jahr zuvor kam es zu einem ähnlichen Vorfall bei Cloudflare.

Auch wenn es Anbieter aus verschiedenen Ländern gibt, so sind die bekanntesten und größten abermals in den USA beheimatet. Zu diesen zählen beispielsweise: Cloudflare, Fastly, Akamai, Amazon AWS Cloudfront, Google Cloud CDN, Microsoft Azure CDN oder StackPath. Bekannte europäische CDN’s sind u.a.: CDN77 (Großbritannien), KeyCDN (Schweiz) oder Leaseweb (Niederlande).

Fazit

CDN’s werden im Bereich Webhosting in Zukunft vermutlich an Bedeutung gewinnen. Sie sind ja zudem auch ein weiteres optionales Add-On, dass die Webhosting-Anbieter offerieren können. Nachdem SSL-Zertifikate mittlerweile, vorallem durch die Bereitstellung von Let’s Encrypt, in der Regel nichts mehr kosten, kann die Bereitstellung eines CDN eine weitere Einnahmequelle für die Anbieter darstellen.

Interessenten sollten jedoch abwegen, inwiefern es sich für ihre Bedürfnisse lohnt, eine weitere externe Infrastruktur, über diese sie keine Kontrolle haben, in ihre Webseite zu integrieren. Den vermeintlichen Vorteilen der oftmals schnelleren Ladegeschwindigkeit und von vermeintlich besserer Gefahrenabwehr, stehen die Abhängigkeit, die Kosten und eine komplexe datenschutzrechtliche Einordnung gegenüber.

Pyngu Digital

Aktuelle Artikel

RISC-V – Die Zukunft der Mikroprozessoren könnte Open Source sein

RISC-V – Die Zukunft der Mikroprozessoren könnte Open Source sein

Arm ist die derzeit dominierende CPU-Architektur für Mikrocontroller und Mikroprozessoren für kleine sowie mobile Geräte. Die Gründe hierfür sind, dass Arm-Chips einen reduzierten und dadurch effizienten Befehlssatz (RISC) verwenden, während die Architektur der Intel...

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), welches am 01.12.2021 in Kraft tritt, ersetzt die Datenschutzregelungen des Telekommunikationsgesetz (TKG) und des Telemediengesetz (TMG) und fässt diese in einem Gesetz zusammen. Zudem soll das Gesetz...

Serif oder Sans Serif? – Das ist hier die Frage

Serif oder Sans Serif? – Das ist hier die Frage

Es gibt verschiedene Kategorien in die Schriftarten eingeteilt werden können. Die beiden wichtigsten, um fundierte Designentscheidungen zu treffen sind zweifelsohne: Serif und Sans Serif. Worin besteht aber der Unterschied zwischen serifenlosen und serifenbetonten...

Kategorien

Privacy

Artikel über Themen aus den Bereichen Datenschutz, Datensicherheit, Netzpolitik und Datensouveränität.

Design

Artikel über Themen aus den Bereichen Design, Funtionalität und optische Ästhetik in technischem Kontext.

Tech

Artikel über Themen aus den Bereichen Hardware, Softwareintegration und neue Technologien.

Über das Pyngu Magazin

Zu Pyngu Digital

RSS-Feed

pyngu.com/feed

Diese Webseite benutzt keine Cookies.

Mit der weiteren Nutzung der Webseite stimmen sie zu, dass Sie damit einverstanden sind nicht getrackt zu werden. Sie stimmen außerdem zu, dass Ihre Daten nicht an Dritte weitergegeben werden. Wir verarbeiten keine personenbezogene Daten auf der Webseite zur Wahrung unseres berechtigten Interesses, den Datenschutz unserer Besucher zu respektieren.

Folgende Kategorien von Cookies werden von uns eingesetzt:

- Keine

- Nada

- Niente

Weitere Informationen finden Sie in unserer Pyngu-Cookie-Policy.