Privacy-Handbuch: Digitales Aikido
Dieser Abschnitt ist noch im Entstehen und noch nicht offizieller Bestandteil des Buchs. Gib den Autoren Zeit, den Inhalt anzupassen!
Die folgende grobe Übersicht soll die Orientierung im Dschungel der nachfolgend beschriebenen Möglichkeiten etwas erleichtern.
- Einsteiger: Datensammler nutzen verschiedene Möglichkeiten, Informationen über die Nutzer zu generieren. Die Wiedererkennung des Surfers bei der Nutzung verschiedener Dienste kann mit einfachen Mitteln erschwert werden. (Datensammler meiden und Alternativen nutzen, Cookies und JavaScript kontrollieren, Werbung filtern, SSL-verschlüsselte Verbindungen nutzen, E-Mail Client sicher konfigurieren...)
- 1. Grad: Zensur umgehen. Immer mehr Länder führen Zensur-Maßnahmen ein, um den Zugriff auf unerwünschte Inhalte zu sperren. Mit den Simple Tricks oder unzensierten DNS-Servern können diese Sperren umgangen werden.
- 2. Grad: Persönliche Daten und Inhalte der Kommunikation werden verschlüsselt. Das verwehrt unbefugten Dritten, Kenntnis von persönliche Daten zu erlangen. (Festplatte und Backups verschlüsseln mit Truecrypt, DM-Crypt oder FileVault, E-Mails verschlüsseln mit GnuPG oder S/MIME, Instant Messaging mit OTR...)
- 3. Grad: Anhand der IP-Adresse ist ein Nutzer eindeutig identifizierbar. Im Rahmen der Vorratsdatenspeicherung werden diese Daten für 6 Monate gespeichert. Mixkaskaden (JonDonym) oder Onion Router (Tor) bieten eine dem realen Leben vergleichbare Anonymität. Remailer bieten die Möglichkeit, den Absender einer E-Mail zu verschleiern.
- 4. Grad: Eine noch höhere Anonymität bietet das Invisible Internet Projekt (I2P) oder das Freenet Projekt. Eine dezentrale und vollständig verschlüsselte Infrastruktur verbirgt die Inhalte der Kommunikation und wer welchen Dienst nutzt. Auch Anbieter von Informationen sind in diesen Netzen anonym.
Die einzelnen Level bauen aufeinander auf! Es macht wenig Sinn, die IP-Adresse zu verschleiern, wenn man anhand von Cookies eindeutig identifizierbar ist. Auch die Versendung einer anonymen E-Mail ist in der Regel verschlüsselt sinnvoller.
Nachdenken
BearbeitenEine Graduierung in den Kampfsportarten ist keine Garantie, dass man sich im realen Leben erfolgreich gegen einen Angreifer zur Wehr setzen wird. Ähnlich verhält es sich mit dem Digitalen Aikido. Es ist weniger wichtig, ob man gelegentlich eine E-Mail verschlüsselt oder einmal pro Woche Anonymisierungsdienste nutzt. Entscheidend ist ein konsequentes, datensparsames Verhalten.
Ein kleines Beispiel soll zum Nachdenken anregen. Es ist keinesfalls umfassend oder vollständig. Ausgangspungt ist eine reale Person P mit Namen, Geburtsdatum, Wohnanschrift, Fahrerlaubnis, Kontoverbindung…).
Im Internet verwendet diese Person verschiedene Online-Identitäten:
- Facebook Account (es könnte auch Xing oder ein ...VZ sein).
- Eine E-Mail Adresse mit dem realen Namen bei einem Provider, der die Vorratsdatenspeicherung (VDS) umsetzt.
- Eine anonyme/pseudonyme E-Mail Adresse bei einem ausländischen Provider, der nicht zur Vorratsdatenspeicherung verpflichtet ist.
- Pseudonyme in verschiedenen Foren, die unter Verwendung der anonymen E-Mail Adresse angelegt wurden.
- Für Kommentare in Blogs verwendet die Person meist ein einheitliches Pseudonym, um sich Anerkennung und Reputation zu erarbeiten. (Ohne Reputation könnte das soziale Gefüge des Web 2.0 nicht funktionieren.)
[htb]
[[Image:../screenshots/nachdenken.png|image]] [abb:nachdenken]
Mit diesen Online-Identitäten sind verschiedene Datenpakete verknüpft, die irgendwo gespeichert und vielleicht nicht immer öffentlich zugänglich sind. Um übersichtlich zu bleiben nur eine minimale Auswahl:
- Das Facebook Profil enthält umfangreiche Daten: Fotos, Freundeskreis…
- Bei der Nutzung von vielen Webdiensten fallen kleine Datenkrümel an. Auch E-Mails werden von den Datensammlern ausgewertet. Die IP-Adresse des Absenders kann mit anderen Einträgen von Cookies oder User-Tracking-Systemen zeitlich korreliert werden und so können den Profilen die Mail-Adressen und reale Namen zugeordnet werden.
- Von dem anonymen E-Mail Postfach findet man VDS-Daten bei den Empfängern der E-Mails. Diese Datenpakete enthalten einen Zeitstempel sowie die IP-Adresse und E-Mail Adresse des Absenders und können mit weiteren Daten verknüpft werden.
- In Foren und Blogs findet man Postings und Kommentare, häufig mit den gleichen Pseudonymen, die auch für die E-Mail Adressen verwendet werden.
- Online-Einkäufern erforden in der Regel die Angaben zur Kontoverbindung und einer Lieferadresse, die der Person zugeordnet werden können.
Verkettung der Informationen und Datenpäckchen
BearbeitenDie verschiedenen Datenpakete können auf vielfältige Art verknüpft werden. Diese Datenverkettung ist eine neue Qualität für Angriffe auf die Privatsphäre, die unterschätzt wird.
Online Communities wie Facebook bieten viele Möglichkeiten. Neben der Auswertung von Freundschaftsbeziehungen gibt es auch viele Fotos. Dieser Datenpool ist schon sehr umfangreich:
Wirtschaftswissenschaftler haben eine Methode vorgestellt, um Meinungsmacher und kreative Köpfe in Online-Communities zu identifizieren [1].
MIT-Studenten erkennen homosexuelle Neigungen ihrer Kommilitonen anhand der Informationen über Freundschaften in den Facebook-Profilen [2].
Der Grünen-Vorsitzende Özdemir pflegte eine Freundschaft mit dem Intensivstraftäter Muhlis Ari, ist in seinem Facebook-Profil erkennbar [3].
Dem Facebook Profil kann man durch Kombination mit anderen Datenkrümeln den realen Namen und die meisten genutzten E-Mail Adressen zuordnen. Die Firma Rapleaf ist z.B. darauf spezialisiert. Auch pseudonyme Facebook Accounts können deanonymisiert werden.
Durch Analyse der im Rahmen der VDS gespeicherten IP-Adressen können bei zeitlicher Übereinstimmung beide E-Mail Adressen der gleichen Person zugeordnet werden. Ein einzelner passender Datensatz reicht aus. (Wenn nicht konsequent Anonymisierungsdienste für das anonyme Postfach verwendet werden.)
Die Verbindung zwischen anonymer E-Mail Adresse und Foren Account ergibt sich durch die Nutzung der E-Mail Adresse bei Anmeldung.
Durch Vergleiche von Aussagen und Wortwahl lassen sich Korrelationen zwischen verschiedenen Nicknamen in Foren und Blogs herstellen. Dem Autor sind solche Korrelationen schon mehrfach offensichtlich ins Auge gesprungen und konnten durch Nachfrage verifiziert werden.
Durch Datenschutzpannen können Informationen über Online-Einkäufe mit anderen Daten verknüpft werden. Dabei schützt es auch nicht, wenn man sich auf das Gütesiegel des TÜV Süd verlässt und bei einem Händler einkauft, der bisher nicht negativ aufgefallen ist. Eine kleine Zusammenfassung vom 29.10.09 bis 04.11.09:
Die Bücher der Anderen (500.000 Rechnungen online einsehbar [4] )
Die Libris Shops (Zugang zu Bestellungen von 1000 Buchshops [5] )
Sparkassen-Shops (350.000 Rechnung online einsehbar [6] )
Acht Millionen Adressen von Quelle-Kunden sollen verkauft werden [7])
Eine reichhaltige Quelle für Datensammler, die Profile ihrer Zielpersonen vervollständigen wollen oder nach potentiellen Zielpersonen rastern.
Durch die Verkettung der Datenpäckchen konnten in dem fiktiven Beispiel alle Online Identitäten de-anonymisiert werden. Für den Sammler, der diese Datensammlung in der Hand hält, ergibt sich ein komplexes Persönlichkeitsbild der Person P. Diese Datensammlung könnte das Leben von P in vielerlei Hinsicht beeinflussen, ohne dass dem Betroffenen klar wird, das hinter scheinbar zufälligen Ereignissen ohne Zusammenhang bewusste Entscheidungen stehen.
Die Datensammlungen werden mit kommerziellen Zielen ausgewertet, um uns zu manipulieren und unsere Kauf-Entscheidungen zu beeinflussen.
Personalabteilungen rastern routinemäßig das Internet nach Informationen über Bewerber. Dabei ist Google nur ein erster Ansatzpunkt. Bessere Ergebnisse liefern Personensuchmaschinen und soziale Netzwerke. Ein kurzer Auszug aus einem realen Bewerbungsgespräch:
Personalchef: Es stört Sie sicher nicht, dass hier geraucht wird. Sie rauchen ja ebenfalls.
Bewerber: Woher wissen Sie das?
Personalchef: Die Fotos in ihrem Facebook-Profil …
Qualifizierten Personalchefs ist dabei klar, dass eine kurze Recherche in Sozialen Netzen kein umfassendes Persönlichkeitsbild liefert. Die gefundenen Indizien können aber den Ausschlag für eine Ablehnung geben, wenn man als Frau gebrauchte Unterwäsche anbietet oder der Bewerber eine Nähe zur Gothic-Szene erkennen lässt.
Von der israelischen Armee ist bekannt, dass sie die Profile in sozialen Netzen überprüfen, wenn Frauen den Wehrdienst aus religiösen Gründen verweigern. Zur Zeit verweigern in Israel 35% der Frauen den Wehrdienst. Anhand der sozialen Netze wird der Lebenswandel dieser Frauen überprüft. Es werden Urlaubsfotos in freizügiger Bekleidung gesucht oder Anhaltspunkte für Essen in einem nicht-koscheren Restaurant. Auch aktiv wird dabei gehandelt und Fake-Einladungen zu einer Party während des Sabbats verschickt.
Firmen verschaffen sich unrechtmäßig Zugang zu Verbindungs- und Bankdaten, um ihrer Mitarbeiter auszuforschen. (Telekom- und Bahn-Skandal)
Identitätsdiebstahl ist ein stark wachsendes Delikt. Kriminelle durchforsten das Web nach Informationen über reale Personen und nutzen diese Identitäten für Straftaten. Wie sich Datenmissbrauch anfühlt: Man wird plötzlich mit Mahnungen für nicht bezahlte Dienstleistungen überschüttet, die man nie in Anspruch genommen hat [8].
Mit dem Projekt INDECT hat die EU ein Forschungsprojekt gestartet und mit 14,8 Mio Euro ausgestattet, um unsere Daten-Spuren für Geheimdienste zu erschließen [9].
Ich habe doch nichts zu verbergen…
Bearbeiten…oder habe ich nur zu wenig Fantasie, um mir die Möglichkeiten der Datensammler vorstellen, mein Leben zu beeinflussen?
Ein Beispiel
BearbeitenDas Seminar für angewandte Unsicherheit (SAU) hat ein sehr schönes Lehrbeispiel im Internet vorbereitet. Jeder kann nach Informationen dieser fiktiven Person selbst suchen und das Profil verifizieren. Es geht um folgende Person:
[[Image:../grafiken/beisp.png|frame|none|alt=image]]
Diese Informationen könnte ein Personalchef einer Bewerbung entnehmen oder sie sind der Krankenkasse bekannt oder sie ist bei einer Demo aufgefallen…Eine kurze Suche bei Google und verschiedenen Personensuchmaschinen liefert nur sehr wenige Treffer, im Moment sind es 3 Treffer. Gleich wieder aufgeben?
Die moderne Studentin ist sozial vernetzt. Naheliegend ist es, die verschiedenen Netzwerke wie StudiVZ usw. nach F. abzusuchen. Bei Facebook wird man erstmals fündig. Es gibt ein Profil zu dieser Person mit Fotos, Interessen und (wichtig!) eine neue E-Mail Adresse:
[[Image:../grafiken/beisp2.png|frame|none|alt=image]]
Bezieht man diese Adresse in die Suche bei anderen Sozialen Netzwerken mit ein, wird man bei MySpace.com erneut fündig. Hier gibt es ein Profil mit dieser E-Mail Adresse und man findet den Twitter-Account von F. sowie ein weiteres Pseudonym:
[[Image:../grafiken/beisp3.png|frame|none|alt=image]]
Mit den beiden gefundenen Pseudonymen g.....17 und f.....85 kann man erneut bei Google suchen und die Ergebnisse mit den Informationen aus den Profilen zusammenfassen.
- g.....17 ist offenbar depressiv. Das verordnete Medikament deutet auf Angstzustände hin, wurde von der Patientin nicht genommen sondern ins Klo geworfen.
- Sie hat Probleme im Studium und will sich krankschreiben lassen, um an Prüfungen nicht teilnehmen zu müssen.
- Außerdem hat sie ein massives Alkohol-Problem und beteiligt sich am Syncron-Saufen im Internet. Scheinbar ist sie auch vereinsamt.
- F. ist offenbar lesbisch, sie sucht nach einer Frau bei abgefuckt.de.
- F. ist im linksradikalen Spektrum aktiv. Sie hat an mehreren Demonstrationen teilgenommen und berichtet über Erfahrungen mit Hausdurchsuchungen. Möglicherweise ist das die Ursache für ihre Angstzustände.
- Öffentlich prangert sie in einem Diskussionsforum die Firma ihres Vaters an (wegen Ausspionierens von Mitarbeitern).
- Ihre linksgerichtete Grundhaltung wird durch öffentliche Unterstützung der Kampagne Laut ficken gegen Rechts unterstrichen.
- Von regelmäßiger Arbeit hält sie nicht viel.
- Die angegebene Adresse ist falsch. F. wohnt in einer 11-Personen-WG in einem besetzten Haus in Alt-Moabit. Die WG sucht nach einem neuen Mitglied.
- Die Wunschliste bei Amazon und Fotos bei Flickr…
Würden sie als Personalchef diese fiktive Person einstellen?
Welche Ansatzpunkte ergäben sich für den Verfassungsschutz?
Was könnte zukünftig für die Krankenkasse interessant sein?
Was hätte F. tun können, um die Profilbildung zu vermeiden?
Bedeutung der Pseudonyme
BearbeitenDie Suche nach Informationen über F. fiel relativ leicht. Sie verwendete die gleichen Pseudonyme mehrfach und die Pseudonyme waren eindeutig und einfach zu googeln. Damit ergeben sich viele Verknüpfungen von einzelnen Informationshäppchen. Als Verteidigung gegen diese Recherche kann man viele unterschiedliche Pseudonyme verwenden oder zumindest schwer googelbare Pseudonyme, wenn man wiedererkannt werden möchte.
Die Wiedererkennbarkeit lässt sich messen. Auf der Website How unique are your usernames? [10] kann man den Entropiewert seiner bevorzugten Pseudonyme berechnen lassen. Gute und schwer googelbare Pseudonyme haben Entropiewerte < 20. Werte über 40 sind sehr eindeutig und die damit verbunden Informationen somit leicht verknüpfbar.
Quellen
Bearbeiten- ↑ http://www.heise.de/tp/r4/artikel/31/31691/1.html
- ↑ http://www.heise.de/tp/r4/artikel/31/31181/1.html
- ↑ http://www.heise.de/tp/r4/artikel/32/32138/1.html
- ↑ http://www.netzpolitik.org/2009/exklusiv-die-buecher-der-anderen
- ↑ http://www.netzpolitik.org/2009/exklusiv-die-libri-shops-der-anderen
- ↑ http://www.netzpolitik.org/2009/zugriff-auf-350-000-rechnungen-im-sparkasse-shop
- ↑ http://www.zeit.de/digital/datenschutz/2009-11/quelle-kundendaten-verkauf
- ↑ http://www.zeit.de/digital/datenschutz/2010-01/identitaetsdiebstahl-selbsterfahrung
- ↑ http://www.zeit.de/digital/datenschutz/2009-09/indect-ueberwachung
- ↑ http://planete.inrialpes.fr/projects/how-unique-are-your-usernames