Wir veröffentlichen mit der Schwarzen Liste ein Verzeichnis von Webseiten, die man nicht nutzen kann, wenn man aktive Inhalte oder Cookies auf dem eigenen Rechner nicht zulässt.

Diese Liste wird von Zeit zu Zeit ergänzt, erhebt aber keineswegs Anspruch auf Vollständigkeit. Es geht uns um die Sensibilisierung von Anbietern und Nutzern gleichermaßen: wer mit dem Nutzer Geld verdienen möchte, sollte ihm nicht vorschreiben, wie unsicher er/sie den eigenen Computer betreiben soll.

Obwohl die Idee zur Schwarzen Liste nicht mehr ganz neu ist, erhalten wir ständig Meldungen von Webseiten, die wir aufnehmen sollten.

Als ehrenamtlich Tätige schaffen wir es natürlich nicht, eine auch nur annähernd vollständige Liste zu erstellen. Dennoch sind wir dankbar für Meldungen und nehmen in Abständen immer wieder neue Einträge auf.

Uns geht es vor allem darum, die Einsicht bei Nutzern und Anbietern gleichermaßen zu wecken. Wie man an den Einträgen sieht, zieht sich die Unsitte der erzwungenen aktiven Inhalte durch alle Branchen. Was den Einsatz von Cookies angeht, so sind uns die Unterschiede zwischen temporären und persistenten Cookies aus Sicherheitssicht bewusst. Wir vermerken daher zwar auch den erzwungenen Einsatz von Cookies als negativ, setzen jedoch keine Seite alleine wegen des Cookie-Einsatzes auf unsere Liste.

Dass eine Webseite die Zulassung aktiver Inhalte oder Cookies auf dem eigenen Rechner verlangt, merkt man als Nutzer in der Regel daran, dass die Seite unvollständig oder überhaupt nicht angezeigt wird, wenn man JavaScript, ActiveX oder Cookies deaktiviert hat.

Dabei ist insbesondere der Gebrauch von aktiven Inhalten gefährlich, weil man zulässt, dass ein unbekanntes Programm auf dem eigenen Rechner Aktivitäten auslöst, deren Ablauf und Auswirkungen man nicht kontrollieren kann.

Der Gebrauch aktiver Inhalte nimmt zu, häufig ohne dass dies wirklich nötig wäre. Gedankenlos werden Funktionen auf Webseiten platziert, die sich auch ohne den Gebrauch aktiver Inhalte durchaus umsetzen lassen würden. Alternativseiten für Benutzer mit höheren Sicherheitseinstellungen werden noch viel zu wenig zur Verfügung gestellt.

Wir halten dieses Vorgehen für eine unüberlegte Zumutung, denn dem Benutzer wird dadurch bei der Nutzung seines eigenen Rechners eine Statistenrolle zugewiesen: Wer sich sicherheitsbewusst verhält, den Empfehlungen des Bundesamtes für die Sicherheit in der Informationstechnik BSI folgt (www.bsi.bund.de/fachthem/sinet/index.htm) und aktive Inhalte nicht zulassen möchte, kann bestimmte WWW-Seiten schlichtweg nicht nutzen. Wir sind der Meinung, dass man diese Bevormundung und Erpressung nicht einfach hinnehmen sollte.

Die DVD tritt, wie viele Sicherheitsspezialisten dafür ein, den Nutzern selber zu überlassen, welche Sicherheitsvorkehrungen sie treffen wollen. Insbesondere kann man in diesem Zusammenhang nicht mit vermeintlich besser konfigurierbaren Sicherheitseinstellungen der neuesten Browser-Versionen der Marktführer argumentieren - und andere Plattformen ignorieren. Die Wahl hoher Sicherheitseinstellungen darf nicht durch Nutzungsverbot bestraft werden. Alternative Seiten ohne aktive Inhalte sollten zu jedem Web-Angebot gehören - die unnötige Verwendung aktiver Inhalte sollte ganz unterbleiben.

Wer meint, man könne ohne aktive Inhalte keine komplexen Anwendungen, wie z.B. Webshops, programmieren, wird hier eines Besseren belehrt: http://www.ohne-aktive-inhalte.de/. Ganz abgesehen davon, dass es Website-Anbieter gibt, die das schon heute beweisen.

Webangebote, die Benutzer nur dann nutzen können, wenn sie z.B. Cookies, JavaScript oder ActiveX akzeptieren, sind potenzielle Kandidaten für unsere öffentliche Liste.

Dabei nehmen wir allerdings davon Abstand, private Webseiten in die Liste einzutragen. Zwar sind die fraglichen Technologien hier nicht auf einmal sicherer, aber in der Regel ist auch niemand darauf angewiesen, diese Angebote wahrzunehmen. Wir möchten hauptsächlich erreichen, dass diejenigen Anbieter, die aus ihren kommerziellen Angeboten wirtschaftlichen Nutzen ziehen (und daher auch Gestaltungsmöglichkeiten haben), dem Sicherheits-bedürfnis ihrer Kundschaft Rechnung tragen.

Wegen der bereits oben kurz angedeuteten Diskussionüber Nutzen oder Schaden temporärer Cookies werden wir keine Webseiten aufnehmen, die ausschließlich temporäre Cookies verwenden, sonst aber auf unsichere Technologien verzichten. Erfahrungsgemäß kommt diese singuläre Verwendung jedoch eher selten vor.

Wird eine Webseite bei uns gemeldet (z.B. über schwarze-liste@datenschutzverein.de), so überprüfen wir den Hinweis und schreiben anschließend den Betreiber mit einem Formbrief an. In diesem erläutern wir das Anliegen und bitten um eine Reaktion innerhalb der nächsten 14 Tage.

Erst wenn entweder keine Reaktion erfolgt oder der Anbieter auch in Zukunft keine sichere Nutzungsalternative anbieten möchte, nehmen wir das Angebot in unsere Liste auf.

Eine Austragung wird auf Antrag sofort vorgenommen, wenn das Angebot benutzerfreundlich verändert wurde. Sie kann unter schwarze-liste@datenschutzverein.de veranlasst werden.