Ausgabe 08/2013 - Schwerpunkt Privat

Anonymität im Netz

Was tun?

Gibt es eigentlich im Netz noch Privatheit?

Die moderne Gesellschaft basiert auf ständiger Kommunikation und Wissensaustausch. Der Wert persönlicher Daten beläuft sich nach Berechnungen der Boston Consulting Group allein in der EU auf 315 Milliarden Euro im Jahr und soll bis 2020 auf eine Billion Euro steigen. Doch dem Austausch von Daten – ganz gleich, ob es sich um Fotos, Handydaten oder Formeln handelt – sollte eine informierte, bewusste Wahl vorausgehen. Denn jeder Einzelne hat das Recht, zu entscheiden und festzulegen, was andere über ihn wann und in welchem Zusammenhang wissen. 

Aber können wir wirklich entscheiden? Viele wissen nicht einmal, dass ihre Daten missbraucht werden. Und sie wissen nicht, was sie dagegen tun können. Für viele gilt es daher, sich in Sachen Privatsphäre im Netz weiterzubilden.

Hundertprozentige digitale Selbstverteidigung ist nicht möglich, aber man kann viele seiner Spuren im Netz verwischen oder sie gar nicht erst hinterlassen. Dass Geheimdienste über den direkten Zugang zu Diensteanbietern oder Netzwerkbetreibern Daten abzapfen, kann der Einzelne nicht ändern – diese Art der Spionage fand schon zu Zeiten der Briefpost oder des analogen Telefons statt. Neu ist, dass die Grenzen zwischen kommerzieller Nutzung und staatlicher Überwachung zu einem neuartigen militärisch-industriellen Komplex verschwimmen, also zu jener Verbindung staatlicher und wirtschaftlicher Interessen, vor der in den Fünfzigerjahren schon US-Präsident Dwight D. Eisenhower gewarnt hat. Erst wird gespeichert und später gesucht, aber selten gelöscht.

Banken und Versicherungen, Anwälte und immer mehr Behörden bedienen sich aus den frei zugänglichen Quellen sozialer Netzwerke und anderer Dienste. Sie hören und lesen mit, kaufen im großen Stil Daten ein und machen im Zweifelsfall rechtliche Ansprüche geltend, um an vermeintlich private Angaben heranzukommen. Ein Beispiel: Bei Scheidungsverfahren in den USA wird immer öfter die Vorlage detaillierter Protokolle aller Log-ins bei Facebook samt Datum, Uhrzeit und Ort verlangt, um den Ehepartner der Untreue zu überführen.

Kann ich mich im Netz gegen Datendiebe und Schnüffler schützen?

Wichtiger als alle technischen Details ist: gesunder Menschenverstand. Erst denken, dann posten! Was einmal im Netz ist, lässt sich schwer bis unmöglich wieder löschen, da die Daten bereits in Datenbanken abgelegt sind. Die Faustregel lautet: Würden Sie das, was Sie online schreiben, morgen oder Jahre später auf der Titelseite einer Tageszeitung lesen wollen? Beziehen Sie auch Privatbilder in diese Frage ein, denn manche Unternehmen denken bereits darüber nach, Ferienfotos auf Facebook zu analysieren, um die Gewichtszunahme einer Person zu errechnen und so Risikokandidaten zu identifizieren. Auch US-Behörden sollen bereits 400 Millionen Fotos von Gesichtern gespeichert haben. 

Wenn ein Dienst kostenlos ist, sind die Anbieter meist auf die privaten Daten der Nutzer aus. Natürlich kann man, bevor man „ich stimme zu“ anklickt, das Kleingedruckte lesen. Besser ist auch hier: denken, prüfen, entscheiden, auswählen. Und lieber einmal etwas links liegen lassen, das als tolles Angebot erscheint. 

Was kann man tun, um seine Spuren im Netz zu verwischen?

Pseudonyme oder ein Alias verwenden. Nur weil ein Dienst den echten Namen fordert, muss man ihn noch lange nicht angeben. Zumindest nicht dort, wo es etwa um Fotosharing, eine Spieleplattform oder Ähnliches geht.

Man sollte auch immer möglichst wenige persönliche Angaben machen, die Datenmakler sammeln, bündeln und weiterverkaufen können – und die wiederum Hacker dazu nutzen können, Ihre Identität zu kapern. 

Geben Sie nie Telefon- oder Handynummer preis, auch nicht Adresse, Geburtstag, besuchte Schulen, Arbeitgeber, Mädchennamen der Frau oder andere Details. Wenn diese Daten verlangt werden, machen Sie falsche Angaben, die es erschweren, ein kohärentes Profil zu erstellen.

Seien Sie misstrauisch gegenüber allen mobilen und Social Apps, die man auf Plattformen wie etwa Facebook installieren kann. Man vergisst allzu schnell, dass man damit Dritten fortwährenden Einblick in seinen Freundeskreis, sein Lese- und Konsumverhalten sowie viele andere persönliche Details gibt. Es lohnt sich, die Autorisierungen für externe Dienste regelmäßig in den Einstellungen von Facebook, Twitter oder Google zu prüfen – und den Zugang für solche Apps beim geringsten Zweifel zu widerrufen. Bereits abgesaugte und weiterverkaufte Daten kann man damit allerdings nicht mehr zurückholen.

Wie kann ich das Risiko verringern, dass mir jemand beim Surfen über die Schulter schaut?

Der Purist postet wenig oder noch besser: gar nicht. Doch auch passive Nutzerdaten, die durch Surfen entstehen und im Browserverlauf dokumentiert werden, können im Hintergrund abgeschöpft werden. Permanentes Tracking nennt man die Dauerüberwachung der Nutzer bei Suchmaschinen wie Google. Mitbewerber wie Ixquick und DuckDuckGo setzen hingegen auf anonyme Suche und erfahren aktuell starken Zulauf. „Online gibt man wohl nirgendwo persönlichere Daten preis, als wenn man eine Suchmaschine benutzt“, sagt DuckDuckGo-Chef Gabriel Weinberg.

Drei Viertel aller beliebten Webseiten enthalten Cookies und Tracking Code, mit dem sich ein Nutzer quer durchs Internet verfolgen lässt. An einem einzigen Tag kommen gut 100 professionelle Mitgucker zusammen. Dagegen helfen Tracking-Blocker, die man in allen gängigen Browsern installieren kann, wie Disconnect, Collusion, Ghostery, DoNotTrackMe oder Privacyfix.

Experten empfehlen außerdem, für verschiedene Tätigkeiten jeweils nur einen bestimmten Browser zu benutzen, um den unbeabsichtigten Datenabfluss zu minimieren. Verwenden Sie also zum Beispiel ausschließlich Safari, wenn Sie etwa Facebook nutzen, Chrome wiederum für Google, den Internet Explorer oder Opera für andere Dinge. Die meisten Menschen bleiben aus purer Bequemlichkeit bei oft genutzten Diensten permanent eingeloggt und geben so viel mehr preis als nötig.

Wie real ist die Gefahr, dass Kriminelle meine Daten abfangen und damit finanziellen Schaden anrichten?

Diese Gefahr wird wegen des leichtsinnigen Umgangs mit privaten Angaben in sozialen Medien und professioneller Einbrüche in die Datenbanken von Unternehmen immer größer. Hacker stahlen vergangenes Jahr die persönlichen Daten von rund 12,6 Millionen US-Bürgern und verursachten einen Schaden von rund zehn Milliarden Dollar. Hierzulande beträgt der wirtschaftliche Schaden neuesten Studien zufolge 151 Euro pro gestohlenem Datensatz.

Am ehesten Einfluss hat der Einzelne auf sein eigenes Verhalten. Wer also unbedingt öffentliche WiFi-Netze nutzen möchte, etwa im Café oder am Flughafen, sollte sich Onlinebanking verkneifen. Man sollte in offenen Netzen auch keine E-Mails mit vertraulichem Inhalt verschicken, weil Hacker gezielt in diesen öffentlichen Netzen nach persönlichen Daten suchen. Immer noch gibt es zu viele Websites, auf denen die Kommunikation nach dem Log-in nicht komplett mit SSL-Verschlüsselung geschützt ist (zu erkennen am Adress-Vorsatz https bzw. dem Schlüsselsymbol). Dritte können den Datenaustausch spielend leicht abfangen und sich dann unter falschem Namen anmelden. Ohne SSL-Verschlüsselung können übrigens auch der Internetanbieter und andere Dritte stets mitlesen, wonach Sie gerade suchen oder was Sie online einkaufen – es sei denn, Sie haben vorher ein Hilfsmittel namens HTTPS Everywhere* installiert.

Gegen drahtlose Ausspähung hilft auch ein VPN-Client auf dem Laptop, Tablet und Smartphone, der den gesamten Verkehr verschlüsselt durch einen virtuellen, privaten Tunnel schickt und somit – zumindest entlang der Strecke – abhörsicher macht. Eine Liste kostenloser wie gebührenpflichtiger VPN-Dienste gibt es unter anderem unter www.countryvpn.com.

Was kann ich tun, um meine Webdienste sicherer zu machen? 

Verwenden Sie dasselbe Passwort nicht mehrfach. Vermeiden Sie bei der Wahl eines Passworts Namen oder andere simple Begriffe aus Ihrem Alltag. Wechseln Sie regelmäßig die Passwörter für wichtige Dienste. Software zur Erzeugung und verschlüsselten Verwaltung von Passwörtern wie 1Password oder Dashlane ist hilfreich, solange das Master-Passwort für dieses Programm kompliziert und auch lang genug ist.

Die meisten großen Cloud-Anbieter wie Yahoo, Apple, Google, Microsoft und Twitter haben inzwischen die sogenannte Zwei-Faktor-Authentifizierung eingeführt: Man muss sich nicht nur mit einem Passwort ausweisen, sondern obendrein einen dynamisch erzeugten Code eingeben, der an ein vorher verifiziertes Mobiltelefon geschickt wird. Das macht es für Hacker etwas schwerer, ein Konto zu kapern und dort Informationen über weitere Konten zu stehlen. 

Das Forschungsprojekt Cloudsweeper* von Informatikern der University of Illinois in Chicago stöbert die in einem Gmail-Konto schlummernden Daten auf und benennt sogar ihren aktuellen Schwarzmarktwert. Passwörter für Konten, die Ihnen ein leichtsinniger Anbieter im Klartext geschickt hat, sollten Sie verschlüsseln oder löschen. 

Schließlich ist es empfehlenswert, auch online zu diversifizieren, also seine Daten und damit seine gesamte Online-Identität nicht komplett bei ein und demselben Anbieter wie Google abzulegen. Das heißt, zum Beispiel Korrespondenz, Fotoalben, Videos, Dokumente oder Tabellenkalkulationen über mehrere Anbieter zu streuen und sich dort mit unterschiedlichen Identitäten und Passwörtern anzumelden.

Ist das nicht ein ständiges Katz-und-Maus-Spiel, das die Bösen immer gewinnen werden? 

„Es ist ein Wettrüsten“, sagt Andrew Sudbury, Gründer des Startups Abine, das Werkzeuge zur digitalen Selbstverteidigung verkauft. Und die Bösen, sagt er, „kommen bisher ungeschoren davon, weil die meisten Menschen keine Ahnung haben, was passiert“. Sobald mehr Nutzer das Platzieren von Cookies blockieren, lassen sich die Datenjäger etwas Neues einfallen, etwa das Fingerprinting von Geräten über deren Browser. Da jedes Smartphone und jeder Computer eine ganz individuelle Kombination von Hard- und Software besitzt, lassen sich anhand des Betriebssystems, der Bildschirmauflösung, installierter Programme und Erweiterungen rund neun von zehn Geräten und damit der einzelne Nutzer identifizieren. Wie exponiert man selbst dasteht, testet die Seite Panopticlick*.

Gegen diese neue Art der heimlichen Beschattung kann man sich nur wehren, indem man JavaScript und Flash im Browser ausschaltet (und sich damit vieler Funktionen moderner Seiten beraubt) oder – was viel praktischer ist – den Open-Source-Anonymisierungsdienst Tor Project* benutzt, der die IP-Adresse und somit den Standort und andere Details hinter vielen weltweit verteilten Proxy-Servern versteckt.

Sind Smartphones sicherer als Notebooks?

Sie sind noch exponierter als herkömmliche Rechner, denn sie verfügen über Peilsender, die mit ihren Sensoren fast alles aufzeichnen – was den meisten gar nicht bewusst ist. So können nicht nur die Mobilfunkbetreiber alle Verbindungsdaten einschließlich der Gerätenummer sowie An- und Abmeldung bei einer Funkzelle erfassen, sondern auch die Suchabfragen und App-Benutzung in ihrem Funknetz mitverfolgen. Ausländische Netzbetreiber verkaufen solche Datensätze bereits, und einige Firmen sind dabei, Mobiltelefone über deren feststehende MAC-Adresse geografisch metergenau zu verfolgen. Dagegen hilft nur, das Gerät auszuschalten und möglichst die Batterie zu entfernen. 

Dienste wie Google Now und Apples für das Betriebssystem iOS 7 angekündigter Dienst Today lernen aus der stillen Beobachtung, wo jeder Kunde wohnt und arbeitet, welche Wege er von A nach B wählt und welche Gewohnheiten er pflegt. Auch Plattformen wie Facebook und Entwickler von Smartphone-Apps verschaffen sich Zugang zu privaten Daten. Wer etwa Facebook auf seinem Smartphone installiert, gibt dem US-Netzwerk die Erlaubnis, das gesamte Adressbuch auf seine Server zu saugen – samt aller E-Mail-Adressen und Telefonnummern anderer Facebook-Nutzer oder sogar völlig unbeteiligter Dritter. Was so in der Datenbank von Facebook (und womöglich der NSA) landet, bezeichnen Experten als „Schattenprofile“.

Sind Apps generell ein großes Sicherheitsrisiko?

Bei vielen Apps ist Vorsicht geboten, da sie den Zugriff auf alle möglichen Daten im Smartphone verlangen und die meisten Menschen dies gestatten, ohne darüber nachzudenken. So stellten Forscher aus San Diego jüngst fest, dass sich rund 40 Prozent aller iPhone-Apps Zugang zur Gerätenummer (UDID) verschaffen und sie an Werbenetzwerke weitergeben, obwohl Apple dies seit diesem Jahr verboten hat. Französische Forscher bemängelten Anfang des Jahres, dass eine von zwölf iPhone-Apps auf das Adressbuch zugreift und der durchschnittliche Nutzer am Tag 76-mal, ohne es zu ahnen, seine Ortsdaten verrät. 

Wenig besser sieht es bei den Millionen von Android-Apps aus, für die es weltweit mehr als 500 Onlinemarktplätze gibt, die, im Gegensatz zu Apple, wenig bis gar keiner Kontrolle unterliegen – vom offiziellen Google Play Store einmal abgesehen. Eine Viertelmillion Android-Apps sind nach einer aktuellen Studie von Juniper Networks mit Malware infiziert, die Nutzerdaten stiehlt und Smartphones für Botnets rekrutiert. 

Werbenetzwerke und Datenhäscher werden immer besser darin, mobile Geräte zu identifizieren, die über dieselbe Funkzelle oder denselben Hotspot und so mit derselben IP-Adresse ins Netz gehen, und können die Smartphone-Besitzer verfolgen, und zwar auf allen ihren Geräten und Standorten.

Was kann man gegen diese Art der Verfolgung tun?

Leider noch wenig. Apple etwa gewährt nur eng begrenzten Einblick in seine Geräte und der auf ihnen laufenden Anwendungen. Das macht Apples Betriebssystem sicherer und zugleich undurchsichtiger als etwa Android.

Werbefirmen nutzen Apps wie MobileScope, das seit Juni der Datenschutzfirma Evidon gehört, die das Programm wiederum Firmenkunden anbietet, die sehen wollen, wer aus ihren Apps Daten absaugt. Alternativen für Verbraucher sind Norton und Lookout Mobile Security – sofern man einem Cloud-Anbieter Einblick in sein Gerät und seine Daten geben will. Und damit ein Risiko gegen ein anderes eintauscht. DuckDuckGo hat auch eine Mobil-App mit anonymer Suche vorgestellt.

Was kann mir schon passieren? Ich habe nichts zu verbergen.

Missbräuchlich verwendete Daten können der Karriere schaden. Oder sie machen Versicherungen teurer. Sie verhindern, dass man einen Kredit oder eine Wohnung bekommt. Sie gefährden Beziehungen. Und sie sind Nadelstiche gegen eine offene Gesellschaft, die auf Vertrauen baut. Der mit Abstand größte Datenmakler Acxiom aus den USA etwa hat nach eigenen Angaben intime Daten von rund einer Milliarde Menschen, die sich nach 1500 Variablen wie Lebenswandel, Konsumverhalten, Bonität, Medikamenten oder Krankheiten sortieren lassen.

Können private Daten nicht anonymisiert werden?

Es gibt keine wirklich anonymen Daten mehr. Im Verbund mit anderen Datensätzen, die sich finden oder einkaufen lassen, können Algorithmen Einzelpersonen schnell wieder ausfindig machen. So genügten in einer belgischen Studie aus dem Frühjahr die „anonymen“ Verbindungsdaten von vier Telefonaten, um 95 Prozent von 1,5 Millionen Kunden von Mobiltelefonen eindeutig zu identifizieren. 

Auch wer sich gar nicht exponiert, kann aufgrund des Onlineverhaltens seiner Freunde ins Visier geraten. Forscher der Universität Rochester in New York konnten den Standort eines Twitter-Nutzers mit 85-prozentiger Wahrscheinlichkeit in einem 100-Meter-Radius bestimmen, indem sie einfach die Plapperei seiner Onlinefreunde auswerteten. 

Na und? Was soll daran bedenklich sein?

Ein Teil des Problems sind fehlerhafte Datensätze, die Unschuldige in Verdacht bringen oder den Arbeitsplatz kosten können. Je mehr Datensätze gesammelt werden, desto mehr Fehler gibt es. Das kann aus einem unbescholtenen Nachbarn einen öffentlich gebrandmarkten Terrorverdächtigen machen. 

Weit öfter aber führt es zu Vergeudung kostbarer Ressourcen, weil sich Personen und Unternehmen gegen falsche Verdächtigungen wehren müssen – und Behörden und Bürokratie wachsen, um all die Fehler wieder auszubügeln.

Wie kann ich meine Kommunikation und meine Daten am besten sichern? 

Verschlüsseln Sie, so viel es geht. Bewährt ist die Erweiterung Encipher.it, um Webmail zu verschlüsseln, sowie das Programm Pretty Good Privacy (PGP). Für Instant-Messaging-Dienste sollte die Erweiterung OTR* installiert werden. Skype ist keine sichere Alternative und hat bislang keine überzeugende Antwort auf die Frage gegeben, ob US-Behörden die Kommunikation seit Jahren überwachen. Chinas Sicherheitsbehörden machen das erwiesenermaßen bereits.

Mobile Kommunikation (Text, Audio, Video) zwischen Endgeräten lässt sich mittels Silent Circle verschlüsseln. Eine Alternative für Handy-Verschlüsselung, bei der nicht mal der Anbieter einen Nachschlüssel besitzt, ist die Open Source App RedPhone. Ratsam ist es auch, Einträge in sozialen Netzwerken zu verschlüsseln, sodass nur die Adressaten sie lesen können, aber nicht etwa Facebook, dessen Werbekunden oder Geheimdienste. Das ermöglichen Werkzeuge wie Scrambls oder Privly (derzeit noch in der Alpha-Erprobung).

Was ist bei Cloud-Diensten zu beachten?

Persönliche Daten auf dem Weg in die Cloud zu sichern löst nur einen Teil des Problems. Auch gespeicherte Daten sollten verschlüsselt sein – egal ob in der Cloud, auf dem eigenen Rechner, einer externen Festplatte oder einem USB-Stick. Wer sich um den Zugriff von US-Behörden sorgt, muss um fast alle bekannten Anbieter einen Bogen machen. 

Es ist empfehlenswert, seine Dateien mithilfe von Werkzeugen wie TrueCrypt oder Boxcryptor zu verschlüsseln. Ersteres erlaubt das Anlegen eines unsichtbaren virtuellen Laufwerks auf dem eigenen Rechner oder in der Cloud, das selbst dann nicht auftaucht, wenn neugierige Staatsdiener die Festplatte genauer untersuchen oder die Herausgabe des Kennworts verlangen. 

Detaillierte Hinweise finden sich unter anderem im Handbuch der Crypto-Party-Bewegung*, das kostenlos erhältlich ist. ---

Das Buch Mich kriegt ihr nicht! Gebrauchsanweisung zur digitalen Selbstverteidigungvon Steffan Heuer und Pernille Tranberg ist im Februar im Murmann Verlag erschienen. Wer sich selbst einmal als Datenhändler versuchen möchte, kann das Onlinespiel www.datadealer.com testen.

b1-link.de/_https_everywhere

Der allumfassende Name ist etwas irreführend, denn "HTTPS Everywhere" kann nicht den gesamten Webverkehr schützten. Das Werkzeug zwingt nur all jene Anbieter zum Aufbau einer verschlüsselten Verbindung, wenn diese bereits HTTPS anbieten, aber nicht konsequent verwenden. Insofern ist es ein Schritt in die richtige Richtung, aber bietet keinen hundertprozentigen Schutz vor unerlaubten Mitlesern. 

b1-link.de/cloudsweeper

b1-link.de/_panopticlick

b1-link.de/torproject

b1-link.de/off_record

b1-link.de/cryptoparty

b1-link.de/crypto_handbook

Mehr aus diesem Heft

Privat 

Total durchsichtig

Die Schweden zahlen gern elektronisch. Und bald sollen sie ganz ohne Bargeld auskommen. Ob das eine gute Idee ist?

Lesen

Privat 

Vom Knacki zum Unternehmer

Kriminelle sind kreativ, risikobereit, durchsetzungsfähig. Also geborene Entrepreneure. Das nötige Rüstzeug für legale Geschäfte vermittelt ihnen eine bemerkenswerte Initiative.

Lesen