Das Internet hat keine dunklen Ecken

Der Bundestag streitet kontrovers darüber, ob Abgeordnete offiziell mit Edward Snowden sprechen dürfen. Der Europarat hat ihn in dieser Woche in einem ruhigen und aufschlussreichen Gespräch vernommen.

Bevor Edward Snowden am Dienstag vor dem Europarat darüber sprach, dass die NSA dem Terror unverdächtige Organisationen und Personen überwacht – beispielsweise den Children‘s Fund der Vereinten Nationen oder Anwälte, die für Amerika Handelsabkommen verhandeln – verlas er eine Mitteilung, die ihm offenbar seine Anwälte geschrieben hatten. In ihr stellte er heraus, dass er sich mit seinem Handeln im Rahmen der amerikanischen Verfassung bewege. Es sei gerade sein Ziel, Schaden von Amerika abzuwenden. Zu dieser Strategie gehört, nicht selbst über die Enthüllungen zu entscheiden, sondern diese Selektionen von Journalisten vornehmen zu lassen. Details seien von ihm nicht zu erwarten, nicht weil er keine habe, sondern weil es nicht seine Aufgabe sei, sie weiterzugeben.

Im Gespräch über XKeyscore, der Suchmaschine, mit der auch deutsche Geheimdienstagenten nach Informationen über Personen suchen, die sich im offenen Internet nicht finden lassen, wurde Snowden dann aber doch recht genau. Anhand der vielen einzelnen und digitalen Merkmale, die Menschen beim Internetnutzen auf Servern hinterlassen und die von Geheimdiensten gesammelt werden, ließen sich „Fingerabdrücke“ erstellen, sagte Snowden. Das Ziel sei, jeden Menschen auffindbar zu machen. Auf dem Weg dorthin nutze die Gemeinschaft der Geheimdienste allerdings auch die Kapazitäten anderer, beispielsweise „unverschlüsselter, kommerzieller Werbenetzwerke durch deren Cookies und andere Tracker im Alltagsgeschäft des Internets persönliche Daten verraten werden“.

Dieses Cookie-Bild ist nicht völlig verkehrt. Nur geht es im Internet nicht um Süßigkeiten, sondern kleine Dateien, die Computer wie Kennzeichen speichern und jedem vorzeigen, der es sehen will. Zum Einsatz kommt dabei nicht nur eins, wie beim Auto, sondern tausende pro Gerät.

Ob die Werbenetzwerke, die größten werden von Google und Facebook betrieben, dabei bewusst helfen, wurde am Dienstag nicht thematisiert. Genutzt werden die Netze allerdings. Die Technologie habe sich als „außergewöhnlich invasiv“ bewährt. Was er damit im Detail meinte, sagte Snowden erwartungsgemäß nicht. Diese Fragen beantwortet allerdings ein Papier der Princton Universität, das fünf Autoren Anfang April publizierten. Der Titel nimmt einiges vorweg: „Cookies, die dich ausliefern: Einschätzungen über die Überwachungsmöglichkeiten durch Tracking im Internet.“

Die Frage der Forscher ist einfach: Was lässt sich allein durch passive Beobachtung über einzelne Nutzer im Internet sagen? Damit zielen die Forscher natürlich auf die Nachrichtenlage des Spähskandals, lassen aber die Frage unberührt, ob die kommerziellen Tracker den staatlichen Stellen bei der Massenüberwachung geholfen haben. Vorweggenommen, das Ergebnis ist eindeutig: Fast die Hälfte der populären Webseiten schützen die Daten ihrer Nutzer nicht, so dass sich die Nutzer allein durch Beobachtung identifizieren lassen. Eine simulierte Alltagsnutzung offenbarte, dass normale Nutzer auf neun von zehn Webseiten erkannt werden. Anonymität im Internet gibt es schlicht nicht.

Ein maßgebliches Problem liegt in sogenannten „3rd Party Cookies“. Üblicherweise nutzen Webseiten Cookies, um Nutzer wiederzuerkennen. Das ist hilfreich, damit sich Nutzer nicht immer wieder einloggen müssen, oder gezielt angezeigt werden kann, was sich seit dem vorherigen Besuch einer Webseite verändert hat. Zusätzlich zu diesen Cookies, die der Anbieter direkt auf dem Computer der Nutzer speichert, lassen sich auf diesem Wege aber auch Cookies von dritten Parteien, beispielsweise Werbetreibenden, speichern. Diese Cookies lassen sich von unterschiedlichen Webseiten auslesen. Da Webseiten häufig mehrere 3rd-Party-Cookies eingebunden haben, entsteht so ein dichtes Netz. Es nimmt den Nutzer gefangen. Jede Seite, die er besucht – auch wenn er sie zuvor nie aufrief – kennt ihn bereits.

Wenn Webseite-A die Cookies von Werber-X verwendet, und Webseite-B die Cookies von Werber-Y. Dann kennt mich Webseite-C schon beim ersten Besuch, weil ich dort wieder auf die Cookies von Werber-X und -Y treffe. Im Internet ist dieser Nutzererkennung alltäglich.

Die Forscher formulierten dies als Hypothese und überprüften sie im Internet. Sie simulierten Nutzer, die bis zu 300 Webseiten über einen Zeitraum von drei Monaten ansteuerten. Zwei Drittel der Seiten hatten 3rd-Party-Cookies im Einsatz. Aus dem Netz, das diese Cookies spannten, gab es praktisch kaum ein Entrinnen. Zusätzlich stellten die Forscher fest, dass rund 60 Prozent der reichweitenstärksten Webseiten persönliche Daten (Namen, E-Mail-Adressen) übermitteln und dadurch die ohnehin schon individuellen Cookie-Daten also zusätzlich mit personenbezogenen Daten unterfüttern. Der Zugriff auf IP-Adressen sei folglich völlig unerheblich, wollte man Menschen im Internet finden, schrieben die Forscher. Eine Vorratsdatenspeicherung – so würde man die Erkenntnisse in die politische Diskussion in Deutschland übersetzen – wäre gar nicht notwendig, um Menschen im Internet lückenlos zu überwachen.

Überwachung ist viel einfacher: Notwendig wäre nur, die auf dem Computer gespeicherte ID eines Cookies in Erfahrung zu bringen, oder den Datenstrom im Internet nach verknüpften persönlichen Daten und Cookie-IDs zu durchsuchen. Ein Anhaltspunkt genügt, um das digitale Bewegungsprofil aus dem Cookie-Netzwerk herauszulesen. Mit dem Wissen über das Surfverhalten eines Nutzers, schreiben die Autoren, ließe sich auch detailliert planen, wie ein Nutzer angreifbar wäre. Schadsoftware muss nicht per E-Mail verschickt werden, sie lässt sich überall im Netz verstecken – wissend, wo ein Nutzer ist, ließe sie sich zielsicher platzieren.

Dieses Szenario ist real, schreiben die Autoren. In durch Edward Snowden enthüllten Dokumenten wird beschrieben, dass die NSA Googles Cookies nutzt, um Zielpersonen zu finden. Diesen Fall haben die Forscher durchgespielt. Einfache Mittel, sich als Nutzer dagegen zu wehren, sehen die Forscher nicht. Methoden der Verschlüsselung per HTTPS nutzten wenig. Stattdessen müsste ein neues Cookie-System entwickelt werden, das bei jedem Besuch einer Webseite einen neuen Token bereitstellt, der wiederum nur per aufwendiger Mathematik auf das Cookie zurückzuführen ist. Diese Rechenleistung allerdings verschlingt Geld.

Wer sich schützen will, sollte Cookies so oft es geht sperren, die Speicherung von 3rd-Party-Cookies sogar gänzlich unterbinden. Auf der sicheren Seite seien die Nutzer des Tor-Browsers. Dieser müsse allerdings auch richtig verwendet werden, schreiben die Autoren. Auf einige Annehmlichkeiten des Internets müsse dann grundsätzlich verzichtet werden.

Die Forscher schreiben am Schluss, dass ihre Ergebnisse einen ohnehin überholten Sachstand beschreiben. Es sei beispielsweise bereits bekannt, dass unter anderem Google schon Wege gefunden hat, Cookie-Sperren in Apples Safari-Browser zu umgehen und dennoch einzelne Nutzer zu identifizieren. Ein nächstes Forschungsvorhaben könnte darüber hinaus darin bestehen, nachzuvollziehen, wie die Unternehmen es schaffen, Nutzer auch dann zielsicher zu identifizieren, wenn sie mehrere Geräte in ihrem Alltag nutzen. Das sei heute schließlich normal.

Letztlich, schreiben die Forscher, hoffen sie, mit ihrer Arbeit einen Beitrag für die politische Debatte geleistet zu haben. In der Studie stehe, was einzelne Nutzer, Unternehmen und die Politik unternehmen könnten, um der Massenüberwachung Einhalt zu gebieten. Um die Frage, worin der Unterschied staatlicher und kommerzieller Überwachung liegt, ging es dabei schon nicht mehr.

Veröffentlicht von Stefan Schulz

Diplom-Soziologe aus Jena via Bielefeld in Frankfurt am Main. Kümmert sich promovierend um die Bauernfamilien des 12. Jahrhunderts mit ihrem Problem der erstmaligen "Kommunikation unter Unbekannten" und ist heute Journalist. stefanschulz.com

7 Kommentare

  1. UrsulaJ sagt:

    schützt konsequent vor staatlichen wie auch privaten Datensammlern. Ohne zu über treiben: Familiär-private Sammlungen bleiben außer Betracht.

    Dabei schützt das geltende Recht nicht übermäßig oder kompliziert: Es sagt nur, dass man entweder eine Einwilligung haben muss oder einen guten Grund, will man Daten ohne Einwilligung erheben.

  2. Lilili42 sagt:

    Liebe FAZ,

    damit Ihre Leser verstehen worum es eigentlich geht (die Umgehung von freiwilligen Restriktionen in den Browsern) müssten Sie Ihnen erläutern was die Same Origin Policy und was Cross Site Scripting ist, warum es eingeschränkt wird und wie es mit Third Party Cookies umgangen wird.

    So wie es hier steht, ist das ganze für Ihre Leser etwas nebulös.

    Wie wäre es mit einem Artikel: „Mein Webbrowser, das unbekannte Wesen“. Das wäre doch was für Natur und Technik…

  3. HMtet sagt:

    Kaufen Sie sich einen WLan-Stick; geben sie im Vertrag einen falschen Namen und Adresse an (wird nie nachgeprüft, geben Sie an, dass sie keine Postzusendungen wünschen; das gleiche gilt für Mobiles); kaufen Sie nur prepaid-Karten. Nur per Bar-Zahlung versteht sich. Ihr Gerät (PC/Laptop/Smartphone/Pad usw.) auch nur ohne Angaben von Echt-Namen in bar kaufen. Ein Ausweis wird nie gefordert.
    .
    Geben Sie nirgends ihren Echt-Namen an, treten Sie nie über diese WLan-Verbindung mit anderen in Verbindung, die Sie im RL kennen (keine Emails an ungeschützte User; kein Online-Shopping; nur fake accounts in sozialen Netzwerken – ich hab mehr als 20 fb accounts über die Jahre gemacht, die fast alle noch aktiv sind und zu den „Milliarden fb-Nutzern“ gehören).
    .
    Nutzen Sie „Startpage dot com“ als Startseite (Link ist modifizierbar).
    .
    Randomisieren Sie ihre Mac-Adresse.
    .
    Speichern Sie nie ihren Echt-Namen auf ihrer Festplatte. Oder noch besser: legen Sie Honey-Pots (z.B. fingierte Bewerbungsschreiben, Login-Daten für Email-Adressen mit Falschangaben).
    .
    Kleben Sie die Webcam (vom Laptop) ab.
    .
    Erstellen sie eine batch-Datei auf dem Desktop, in der nur „ipconfig /flushdns“ steht.
    Und löschen Sie so den DNS Cache vor jedem Besuch der nächsten Domain.
    .
    Privat-Modus des Browsers verwenden. Generell keine Chronik erstellen lassen.
    .
    Add-Ons (wie z.B. NoScript für Firefox) verwenden.
    .
    Loggen Sie sich ab und zu in die ungeschützten Netze ihrer Umgebung (Nachbarn; irgendwo parken…) ein. Ist nicht mal strafbar :P
    .
    usw.
    _____________
    Ok, zugegeben, es ist möglicherweise etwas kompliziert. Aber machbar. Für mich. Auch ohne Alu-Hut. Aber auch problemlos für Kriminelle. Ich bin nicht mal ein IT-Experte, sondern lediglich ein Durchschnitts-User. Wer es wirklich darauf anlegt, wird nie erwischt. Und einige meiner Maßnahmen sind auch extrem sinnvoll für Unternehmen. Zumindest, wenn sie Betriebsgeheimnisse schützen oder Netz-Recherchen vor anderen verbergen möchten.

    • Stefan Schulz sagt:

      wenn Sie dann als erstes mit ihrem „anonymen“ Gerät auf ihren E-Mail-Server zugreifen und damit anzeigen, wer Sie sind.

    • perfekt57 sagt:

      aber Sie haben anscheind noch nicht in voller Tragweite verstanden, worum es geht (keine Kritik,, sondern mögliche Feststellung) – die pure Statistik filtert Sie persönlich anhand ihrer unbewussten Persönlichkeitsmerkmale, die sie unveräußerlich mit sich herumtragen, aus allen anderen 7 Milliarden Menschen heraus.

      Das ist „Rasterfahndung, full take“ – jeder Mensch, immer, überall & ausnahmslos, anordnungsfrei, routinemässig.

      Wir hatten nie etwas anderes erwartet. Denn es ist alles angelsächsiche Psychologie, nichts anderes, mit „Internet als Mittel“ hat es nur am Rande zu tun; nein, hier ist die angelsächsiche Seele unterwegs – und für die galt alles oben gesagt schon immer auch – und halt auch grad anderes herum, „von uns zu denen“, es war und ist keine Einbahnstrasse, nicht für den global erfahrenen Politik- und Staatenprofiler oder -lenker.

      und hülfe ja auch der menschheit voran – gewisse anteile des angelsächsischen von innen nach außen gekehrt: beinhaltete nämlich den zwang eines künftigen „führers und reichskanzlers“ sich zuvor – am beispiel deutschlands erzählt – sich des ganzen, relevanten deutschen staatsapparats zu bemächtigen – der ggfls. könnte ihn schützen vor der nsa und den usa, usw.. und sonst nichts.

      und dieser zwang, den die spitzen der usa und von gchq hier absichtsvoll-kenntnisreich (!) exekutieren, hätte dann eben auch nur diesen einen sinn, man weiß es, rechnet es mit ein: solche durch öffentlichen widerspruch auffällig zu machen, so dass sie frühzeitig zu identifizieren wären. die genannten wüssten das aber auch, sie sind in kenntnis geboren, es könnte mit solchen nicht anders sein, nichts neues unter der sonne.

      and thats why we continue to say „no try for loosers!“ – denn am ende bestünde halt leider immer doch ein statistisches restrisiko, dass es anders käme als – sogar best-angelsächsisch – für den lauf der geschichte top-down so schön geplant, tsss … .

      also: sagt es allen weiter! „go, tell it on the mountains!“ vielleicht auch, oder so.

      und bliebe z.b. in mitteleuropa evtl. noch das zusätzliche politische problem, dass so vielen netten, alten europäischen staatsdienern „von der schutz- u. spähfraktion“ jetzt diese art der globalen weiterentwicklung die hoffnung auf eine thesaurierung der eigenen lebensleistung anerkennungsvoll im gedächtsniß der eigenen volksseele ein strich durch die rechnung gemacht würde. die stehen jetzt vermutlich teils als alte deppen da, die früher nicht genug gemacht hätten – dabei waren sie nie das einsichtsvolle kollektiv, dass zu der nsa-gchq-leistung, die wir jetzt „ganz plötzlich“ öffentlich so vorfinden, aus sich selbst heraus je fähig hätte sein können – die waren ja alle auch anders ausgesucht (!). (bliebe aber das problem, dass diese womöglich ganz vielen alten jetzt aber trotzdem noch mit einer vollkommen intakten narzistischen homöosthase in pension gehen sollen können, darauf ja auch ein recht haben „wir haben aber alles gegeben, was uns möglich war“ – ja sicher.)
      .
      „to know the business your in“ – wie gsagt: am ziemlich oberen ende all der überwachungsanstrenungen zum zecke des globalen freiheits-, kultur- und zivilisationserhaltes wäre aber heute höchstwahrscheinlich eben – ganz normaler geschichtsverlauf mit all seinen zu erwägenden zutaten – trotdem immer noch oder schon wieder davon auszugehen, dass ein heutiger herr hilter nicht nur fliessend englisch spräche, sondern aktiv angelsächsisch träumte, sich vorbereitender weise von innen heraus zuerst und vorab zu messen, drunter täte der es womöglich heute halt kaum machen. just for the record. und so wäre das eben, wenn man nur mit den möglichen fragen des jetzt ehrlich sein wollte. vielleicht.

      Kleinigkeiten erledigen die Götter sofort – alles andere aber bleiben die Mühen der Ebene und die Anstrengungen der Etappe.

      Darum mehr FAZ bitte!

  4. perfekt57 sagt:

    schon verschiedentlich darauf hingewiesen ggfls. doch mal den wiki-eintrag zu „enigma“ resp. blechtley park“ in ruhe ganz zu lesen – und zu verstehen.

    und hatten – in kentnis der geschichte, nämlich, das das englische volk, fighting for its livelihood, an dieser für es alles entscheidenden stelle alles dransetzen musste, was es hatte von rechenleistung als brute force bis hin zu wahrsagern, spionen, zahlenflüsterern, dieben, tiefseetauchern und hellsehern, die deutsche u-boot-bedrohung abzuwehren.

    und das von doofen deutscher seite aus, soweit bekannt, keinerlei versuch gemacht wurde, die eigene annahme der unknackbarkeit durch ein- oder mehrere unabhängige gegenteams auch nur in erwägung ziehen zu lassen, „wie würden wir denn vorgehen, wenn wir die ums blanke entsetzen nebst leben kämpfenden engländer waren?“ – und die deutschen haben bis heute als volk daraus scheinbar nicht vel lernen können – oder wollen.

    und die frage für uns heutige wäre „wo war eigentlich die masse der 12.000 leute von bletchley park ein paar jahre vorher, also so ca. 1937? im staatsdienst oder irgendwo anders? waren die schon im staatsdienst, oder stießen die erst hinzu, als „ihr vaterland“ sie rief?“ ja, vermutlich also das.

    und so wäre für uns und heute vermutlich ganz nüchtern festzustellen, dass a. in den deutschen diensten und behörden nach all den jahrzehnten des friedens die besten, so wie früher überall schon, auch nicht vorhanden wären – die kämen erst im kriegs- oder krisenfalle hinzu – und solange hätte die gegenwärtige besatzung pflichgemäß für die die stelle gehalten, mehr nicht.

    und dass b. in kenntniss all dessen, und als gelebte eigene pflicht und konsequnz, die usa ständig an irgendeiner relativ fernen oder nahen front mit soldaten oder nsa real krieg führen würden, um nie ganz aus dem training zu sein. (es gibt die interviews mit den oberkommandierenden dazu bei tube, die das genau so sagen, das steht fest daher)

    woraus man dann aber im umkehrschluss – gerade die deutschen hätten womöglich diese ihnen selbst gar nicht so auffallende eigenschaft, mit der zeit immer mind. europa zu domminieren – und somit als funktion der zeit für die anderen aus dem ruder zu laufen – evtl. eine möglich neue, junge doktrin fürs zukünfige mitteleuropa in form einer „gsci – german strategic change initiative“ ableiten könnte:

    „wie auch immer dürfen bei uns gerade die besten auch in solchen oder ähnlichen krisenzeiten niemals in den staatsdienst gehen, sich bewusst nicht rufen lassen; für deutschland wäre eine mannschaft der zweitbesten auch dann noch vermutlich weiterhin gut genug.“

    wie man diskutieren könnte. und sogar – unter schutz und schirm unseres einsichtsvoll- unabhängigen staates – eine domain .de ins leben rufen dazu? (ja, leben, einfach nur mal normal leben, also mit internet.)

    und wer „blechtley park“ nicht verstünde, kennte die „nsa“ nicht, würde nie verstehen, also vermutlich.

    (wobei anscheinend irgendjemand die einträge für „enigma, maschine“ und „bletchley park“, usw., seit wir sie das erste mal verlinkten, anscheind überarbeitet, gestrafft und gekürzt hätte, leider. gerade auch die angelsächsischen absichten heute sind wohl voller wirtschaftlichem eigennutz für die eigene zukunft auch. und da schadete zuviel von manchem wissen „bei den anderen“?)

  5. […] Anonymität im Internet ist unter derzeitigen Bedingungen fast unmöglich […]

Schreibe einen Kommentar zu perfekt57 Antworten abbrechen

Pflichtfelder sind mit * markiert.