Bevor Edward Snowden am Dienstag vor dem Europarat darüber sprach, dass die NSA dem Terror unverdächtige Organisationen und Personen überwacht – beispielsweise den Children‘s Fund der Vereinten Nationen oder Anwälte, die für Amerika Handelsabkommen verhandeln – verlas er eine Mitteilung, die ihm offenbar seine Anwälte geschrieben hatten. In ihr stellte er heraus, dass er sich mit seinem Handeln im Rahmen der amerikanischen Verfassung bewege. Es sei gerade sein Ziel, Schaden von Amerika abzuwenden. Zu dieser Strategie gehört, nicht selbst über die Enthüllungen zu entscheiden, sondern diese Selektionen von Journalisten vornehmen zu lassen. Details seien von ihm nicht zu erwarten, nicht weil er keine habe, sondern weil es nicht seine Aufgabe sei, sie weiterzugeben.
Im Gespräch über XKeyscore, der Suchmaschine, mit der auch deutsche Geheimdienstagenten nach Informationen über Personen suchen, die sich im offenen Internet nicht finden lassen, wurde Snowden dann aber doch recht genau. Anhand der vielen einzelnen und digitalen Merkmale, die Menschen beim Internetnutzen auf Servern hinterlassen und die von Geheimdiensten gesammelt werden, ließen sich „Fingerabdrücke“ erstellen, sagte Snowden. Das Ziel sei, jeden Menschen auffindbar zu machen. Auf dem Weg dorthin nutze die Gemeinschaft der Geheimdienste allerdings auch die Kapazitäten anderer, beispielsweise „unverschlüsselter, kommerzieller Werbenetzwerke durch deren Cookies und andere Tracker im Alltagsgeschäft des Internets persönliche Daten verraten werden“.
Ob die Werbenetzwerke, die größten werden von Google und Facebook betrieben, dabei bewusst helfen, wurde am Dienstag nicht thematisiert. Genutzt werden die Netze allerdings. Die Technologie habe sich als „außergewöhnlich invasiv“ bewährt. Was er damit im Detail meinte, sagte Snowden erwartungsgemäß nicht. Diese Fragen beantwortet allerdings ein Papier der Princton Universität, das fünf Autoren Anfang April publizierten. Der Titel nimmt einiges vorweg: „Cookies, die dich ausliefern: Einschätzungen über die Überwachungsmöglichkeiten durch Tracking im Internet.“
Die Frage der Forscher ist einfach: Was lässt sich allein durch passive Beobachtung über einzelne Nutzer im Internet sagen? Damit zielen die Forscher natürlich auf die Nachrichtenlage des Spähskandals, lassen aber die Frage unberührt, ob die kommerziellen Tracker den staatlichen Stellen bei der Massenüberwachung geholfen haben. Vorweggenommen, das Ergebnis ist eindeutig: Fast die Hälfte der populären Webseiten schützen die Daten ihrer Nutzer nicht, so dass sich die Nutzer allein durch Beobachtung identifizieren lassen. Eine simulierte Alltagsnutzung offenbarte, dass normale Nutzer auf neun von zehn Webseiten erkannt werden. Anonymität im Internet gibt es schlicht nicht.
Ein maßgebliches Problem liegt in sogenannten „3rd Party Cookies“. Üblicherweise nutzen Webseiten Cookies, um Nutzer wiederzuerkennen. Das ist hilfreich, damit sich Nutzer nicht immer wieder einloggen müssen, oder gezielt angezeigt werden kann, was sich seit dem vorherigen Besuch einer Webseite verändert hat. Zusätzlich zu diesen Cookies, die der Anbieter direkt auf dem Computer der Nutzer speichert, lassen sich auf diesem Wege aber auch Cookies von dritten Parteien, beispielsweise Werbetreibenden, speichern. Diese Cookies lassen sich von unterschiedlichen Webseiten auslesen. Da Webseiten häufig mehrere 3rd-Party-Cookies eingebunden haben, entsteht so ein dichtes Netz. Es nimmt den Nutzer gefangen. Jede Seite, die er besucht – auch wenn er sie zuvor nie aufrief – kennt ihn bereits.
Die Forscher formulierten dies als Hypothese und überprüften sie im Internet. Sie simulierten Nutzer, die bis zu 300 Webseiten über einen Zeitraum von drei Monaten ansteuerten. Zwei Drittel der Seiten hatten 3rd-Party-Cookies im Einsatz. Aus dem Netz, das diese Cookies spannten, gab es praktisch kaum ein Entrinnen. Zusätzlich stellten die Forscher fest, dass rund 60 Prozent der reichweitenstärksten Webseiten persönliche Daten (Namen, E-Mail-Adressen) übermitteln und dadurch die ohnehin schon individuellen Cookie-Daten also zusätzlich mit personenbezogenen Daten unterfüttern. Der Zugriff auf IP-Adressen sei folglich völlig unerheblich, wollte man Menschen im Internet finden, schrieben die Forscher. Eine Vorratsdatenspeicherung – so würde man die Erkenntnisse in die politische Diskussion in Deutschland übersetzen – wäre gar nicht notwendig, um Menschen im Internet lückenlos zu überwachen.
Überwachung ist viel einfacher: Notwendig wäre nur, die auf dem Computer gespeicherte ID eines Cookies in Erfahrung zu bringen, oder den Datenstrom im Internet nach verknüpften persönlichen Daten und Cookie-IDs zu durchsuchen. Ein Anhaltspunkt genügt, um das digitale Bewegungsprofil aus dem Cookie-Netzwerk herauszulesen. Mit dem Wissen über das Surfverhalten eines Nutzers, schreiben die Autoren, ließe sich auch detailliert planen, wie ein Nutzer angreifbar wäre. Schadsoftware muss nicht per E-Mail verschickt werden, sie lässt sich überall im Netz verstecken – wissend, wo ein Nutzer ist, ließe sie sich zielsicher platzieren.
Dieses Szenario ist real, schreiben die Autoren. In durch Edward Snowden enthüllten Dokumenten wird beschrieben, dass die NSA Googles Cookies nutzt, um Zielpersonen zu finden. Diesen Fall haben die Forscher durchgespielt. Einfache Mittel, sich als Nutzer dagegen zu wehren, sehen die Forscher nicht. Methoden der Verschlüsselung per HTTPS nutzten wenig. Stattdessen müsste ein neues Cookie-System entwickelt werden, das bei jedem Besuch einer Webseite einen neuen Token bereitstellt, der wiederum nur per aufwendiger Mathematik auf das Cookie zurückzuführen ist. Diese Rechenleistung allerdings verschlingt Geld.
Wer sich schützen will, sollte Cookies so oft es geht sperren, die Speicherung von 3rd-Party-Cookies sogar gänzlich unterbinden. Auf der sicheren Seite seien die Nutzer des Tor-Browsers. Dieser müsse allerdings auch richtig verwendet werden, schreiben die Autoren. Auf einige Annehmlichkeiten des Internets müsse dann grundsätzlich verzichtet werden.
Die Forscher schreiben am Schluss, dass ihre Ergebnisse einen ohnehin überholten Sachstand beschreiben. Es sei beispielsweise bereits bekannt, dass unter anderem Google schon Wege gefunden hat, Cookie-Sperren in Apples Safari-Browser zu umgehen und dennoch einzelne Nutzer zu identifizieren. Ein nächstes Forschungsvorhaben könnte darüber hinaus darin bestehen, nachzuvollziehen, wie die Unternehmen es schaffen, Nutzer auch dann zielsicher zu identifizieren, wenn sie mehrere Geräte in ihrem Alltag nutzen. Das sei heute schließlich normal.
Letztlich, schreiben die Forscher, hoffen sie, mit ihrer Arbeit einen Beitrag für die politische Debatte geleistet zu haben. In der Studie stehe, was einzelne Nutzer, Unternehmen und die Politik unternehmen könnten, um der Massenüberwachung Einhalt zu gebieten. Um die Frage, worin der Unterschied staatlicher und kommerzieller Überwachung liegt, ging es dabei schon nicht mehr.
Schreibe einen Kommentar