datenschutz tutorial Christoph Scholz Security IT Symbol Picutre Bild - Schloss mit Fingerabdruck vor Nullen und Einsen - Blau - CC BY-SA 2.0

Datenschutz – Das Tutorial

Wann immer man sich bemüht, Bekannte und Freunde für das Thema Datenschutz zu sensibilisieren, fällt früher oder später der Satz, der gewissermaßen als Totschlagargument dienen soll:

„Ich habe doch nichts zu verbergen“

Okay, Argument akzeptiert. Dann macht es dir doch sicher nichts aus mir deine Bank-Chipkarte samt PIN zu geben – die Gelegenheit kannst du dann auch gleich nutzen um deinem Arbeitgeber von deinem Alkoholproblem zu erzählen und den Autohändler beim Thema Ratenzahlung auf deine fünfstelligen Schulden ansprechen. Zuguterletzt trägst du natürlich deine Vorliebe für Fesselspielchen als T-Shirt Aufdruck spazieren.

Wie man sieht, hat auch der durchschnittliche Bürger durchaus etwas zu verbergen….

Über den aktuellen Stand der Überwachung im täglichen Leben informieren im Wesentlichen zwei Links im Schlusswort dieses Textes. Dieses Informationsblatt befasst sich lediglich mit Möglichkeiten zur Erhaltung des Datenschutzes im World Wide Web.

Während der Lektüre wird deutlich werden, dass sich viele der Risiken für die Privatsphäre bereits im Voraus, noch vor dem ersten Onlinegang ausschalten, oder zumindest minimieren lassen.

Daher befasst sich zunächst der erste Teil des Informationsblattes mit diesem Aspekt des Datenschutzes im bzw. vor dem Netz, im zweiten Teil wird dann explizit auf die verschiedenen Formen der Gefährdungen und besonders auf mögliche Lösungen eingegangen.

Beim Erstellen dieses Informationsblattes wurde größeren Wert auf praktisch umsetzbare Ratschläge als auf umfassende Dokumentation gelegt. Demzufolge handelt es sich bei den meisten Links um Verweise zu Webseiten mit allgemeinen Informationen beziehungsweise zu Seiten für Software-Downloads.

Reine Quellenangaben finden sich jedoch i.d.R. nicht. Ich habe, wann immer möglich versucht,Verweise zu deutschsprachigen Seiten anzugeben. Da sich aber zu einigen Sachgebieten brauchbare Informationen leider vorrangig nur in englischer Sprache finden lassen, habe ich bei Weblinks jeweils die Sprache der Webseite wie folgt auskommentiert

(DE) – Deutsch

(EN) – Englisch

Der gesamte Text inklusive der Links befinden sich auf dem aktuellen Stand vom Februar 2007.

Ich wünsche mir, dass dieses Informationsblatt möglichst weite Verbreitung findet und auf diese Weise viele Neueinsteiger in das Thema des Datenschutzes (online und allgemein) hinein finden.

Da gerade der Datenschutz ständiger Entwicklung und Neuregelung unterliegt, sind Anpassungen des Textes zwecks Aktualisierung ausdrücklich erlaubt, um Wahrung des Originaltextes und Nennung der gemachten Aktualisierungen wird aber gebeten.

INHALT

VORWORT

TEIL 1 – DATENSCHUTZ AM ARBEITSPLATZ

I. Das Betriebssystem

II. Die Verwendung von Open Source Software

III. Metadaten – Was Texte und Grafiken verraten

  • Metadaten in Office-Dokumenten
  • Metadaten in PDFs (Ebooks)
  • Metadaten in Bilddateien

Teil 2 – DATENSCHUTZ IM NETZ

E-Mails – Stille Post die Bände spricht

  • Wie steht es um die Privatsphäre der email
    Gmail
  • Sicherer e-mailen – Was kann man tun?

Instant Messaging – Plaudern für das Protokoll

  • AOL- Nachrichten an den großen Bruder
  • Sicheres Instant Messaging – Was kann man tun?

VoIP – Hör mal wer da horcht

  • Skype – Der Freund in deiner Leitung
  • Sicheres VoIP – Was kann man tun?

Unbekannt unterwegs – ab durchs TOR

  • Vorteile
  • Bedenken
  • Nachteile

Extra Nr. 1: Die Überwachungsexperten – eBay, PayPal und der Rest

Extra Nr. 2: Der Meisterspion – Google und seine Dienste

Schlusswort – Was noch zu tun bleibt

Kontakt

Datenschutz am Arbeitsplatz – Das Betriebssystem

Auch wenn sich diese Anleitung an Benutzer für Windows-Systeme wendet, so sind dennoch viele Inhalte genereller Natur, die sich dementsprechend bedingt auch auf andere Betriebssysteme anwenden lassen. Es kann nicht schaden, auch einmal über den Wechsel zu einem anderen Betriebssystem nachzudenken. Linux wird (nach Windows-Maßstäben) immer benutzerfreundlicher und ein Blick auf dieses System könnte sich gerade vom sicherheitstechnischen Aspekt her durchaus lohnen.

Wer Linux einmal gefahrlos antesten möchte kann dies mit Knoppix tun. Es lässt sich von CD starten und anwenden, so dass keine Installation erforderlich ist. CDs/DVDs mit Knoppix finden sich regelmäßig als Beigabe von Computer-Magazinen. Wem das immer noch zu umständlich sein sollte, bietet sich folgende Alternative:

Auf der Internetseite der Open Source Region Stuttgart, ist es sogar möglich, Knoppix online zu testen: http://opensource.region-stuttgart.de/index.php?main=8&sub=8_0

Datenschutz am Arbeitsplatz – Die Verwendung von Open Source Software

Wie im weiteren Verlauf dieses Dokumentes immer wieder zu sehen sein wird, sind die wahren Risikofaktoren für die Privatsphäre weniger irgendwelche Online-Kriminelle, sondern vielmehr große Firmen – seien es nun Microsoft, eBay oder AOL.

Viele dieser riesigen Unternehmen (sowohl Webdienst-Anbieter als auch Softwarehersteller) haben ein unangemessenes Interesse an den Informationen der Nutzer ihrer Dienste und Programme.

Daher geht ein großer Teil der Datenspionage auch auf das Konto dieser kommerziellen Anbieter. Somit empfiehlt sich auch aus Gründen der Privatsphäre die Nutzung von Open Source Software. Bei dieser ist der Quellcode (mit dem sie programmiert wurden) offen zugänglich und auf diese Weise können Änderungen nachvollzogen werden, so dass im Allgemeinen keine Spionagefunktionen zu befürchten sind.

Bei Software deren Quellen (Source) nicht offen (open) liegen – wie es meist bei kommerzieller Software die Regel ist – kann theoretisch alles mögliche in die Software eingebaut worden sein.

Es gibt mittlerweile für fast jede kommerzielle Anwendung auch eine Open Source Alternative. Dazu gehören beispielsweise:

und viele mehr….

Die Verwendung jeweils aktueller Versionen kann daher, wenn sie von der Seite des Herstellers heruntergeladen wird, die Infektion durch Spyware verhindern.

Einfache Anleitungen zu verschiedenen Open Source-Programmen finden sich hier: http://teuchtlurm.de/aosw/index.htm bzw. http://www.uckanleitungen.de/

Metadaten – Was Texte und Grafiken verraten

Wie Eingangs bereits gesagt, beginnt das Risiko unbeabsichtigt Informationen über sich oder seine Arbeit weiterzugeben nicht erst im Internet.

Bereits beim Verfassen und Abspeichern von Office-Dokumenten oder PDFs (Ebooks) und beim Umgang mit Bilddateien (vornehmlich Bildern von Digitalkameras) kann so manche Lücke in die Privatsphäre gerissen werden.

Solche verborgenen Informationen sollten daher vor der Veröffentlichung (etwa auf einer Webseite) unbedingt entfernt werden. Nun stellt sich natürlich die Frage, wie es überhaupt erst dazu kommen kann.

Schuld daran sind normalerweise nicht einsehbare Dateiinformationen.

Das Geheimnis liegt in den so genannten Metadaten, das sind (ganz einfach) Daten, die Informationen über andere Daten enthalten. Das heißt, dass es innerhalb eines Word-Textes oder einer JPG-Grafik Dateien gibt, die Auskunft geben können – etwa über Autor, Erstellungsdatum, Änderungsdatum, das verwendete Programm und ähnliches mehr. Da sie bereits innerhalb anderer Dateien liegen, werden sie auch nicht als selbstständiges Dateiformat angezeigt.

Metadaten in Word-Dokumenten

Für den durchschnittlichen Anwender von Bürosoftware in Privathaushalten ist es meist zunächst eher irrelevant, wenn sich zusätzliche Informationen in Dokumenten finden lassen. So wird der Tatsache, dass im Office-Programm unter „Datei“ – „Eigenschaften“ vermerkt ist, wann der Brief erstellt, zuletzt geändert und wer als Autor eingetragen wurde, nicht viel Bedeutung beigemessen. Auch dass sich eventuell über die Option „Rückgängig machen“ der Bürosoftware geänderte Textpassagen genauer betrachten ließen, klingt zunächst wenig spektakulär. All diese Umstände werden den durchschnittlichen Privatanwender nicht groß stören – in geschäftlichen Angelegenheiten kann das jedoch durchaus interessant sein. Dazu ein kleines Beispiel:

Nehmen wir einmal an, der aufgebrachten Sachbearbeiterin soll glaubhaft gemacht werden, dass das verspätete Antwortschreiben, dass als Mailanhang viel zu spät eingesandt worden war, bereits vorgestern in einer anderen Mail fristgerecht abgeschickt wurde, diese Mail jedoch „rein zufällig“ irgendwo im Netz verloren gegangen sein muss. Ist die Dame vom Amt nun clever und wütend genug, wirft sie (wie oben beschrieben) einen Blick in die Dateieigenschaften und entdeckt, das besagtes Antwortschreiben erst heute Vormittag erstellt worden war…upps…

Daher stellt sich natürlich die Frage

Sichere Text-Dokumente – Was kann man tun?

In OpenOffice ist es möglich Dokumente beim Speichern mit einem Passwort zu versehen, so dass nur eine Person die das Passwort kennt, die Datei überhaupt öffnen darf. Somit ist zumindest ein Schutz vor unbemerkten Veränderungen des Textes gegeben.

Sollte ein Dokument oft geändert worden sein, so empfiehlt es sich, den gesamten Text in eine neu erstellte Datei zu kopieren, so dass die Änderungen nicht mehr nachvollzogen werden können.

Wie bereits im Vermerk zum Format dieses Textes auf der ersten Seite erklärt, ist es von Vorteil, wenn Textdokumente, wann immer möglich, nicht im Original Office-Format als *.doc, sondern in anderen Alternativformaten wie etwa *rtf gespeichert werden, da diese keine Makros enthalten können. Makros sind ausführbare Dateien die in Texten, z.B. Formatierungen erleichtern sollen, aber den Text als Datei mit ausführbarem Inhalt zu einem potentiellen Sicherheitsrisiko, in Form von Makroviren machen. Konvertieren in andere, sicherere Formate, macht also durchaus Sinn.

Bei kurzen Texten die keinerlei Formatierung benötigen, kann auch das oft vernachlässigte *.txt Format wieder Verwendung finden.

Übrigens sind nach Auskunft von Fachleuten die bereits mitgelieferten Bordmittel zur Entfernung von Metadaten von Windows Vista und Office 2003 nicht ausreichend. So werden unter Vista lediglich Kopien des Dokuments benutzt, somit bestehe immer noch die Gefahr versehentlich das Original zu versenden. Office 2003 zeige zwar Metadaten an, diese müssen jedoch von Hand entfernt werden. Daher wird empfohlen ein unabhängiges Programm zu verwenden.

Anmerkung:
Ein (eventuell zweisprachiger) Hinweis auf die Bevorzugung von „sicheren“ Textformaten, kann beispielsweise in der Signatur oder Fußnote einer email angebracht werden:

„Textanhaenge nach Moeglichkeit bitte nur im .rtf oder .txt Format senden“
„If possible, please send texts in .rtf or .txt format only“

Metadaten in PDF-Dokumenten

Ähnlich wie Word-Dokumente enthalten auch PDF-Dateien meist allgemeine Informationen über den Autor, den Namen des Programms mit dem sie erstellt wurden, Erstellungs- und Änderungsdatum, sowie eventuelle ergänzende Kommentare. Anders als bei herkömmlichen Texten, kommt man jedoch an diese Informationen nicht ohne weiteres heran. Das es aber doch recht einfach werden kann, zeigt ein Fall aus dem Jahr 2006.

Damals gab das Pentagon einen Untersuchungsbericht über die Erschießung eines italienischen Geheimdienstagenten namens Nicola Calipari heraus (er befreite der im März 2005 die Journalistin Giuliana Sgrena als Geisel aus dem Irak und wurde kurz darauf von US-Soldaten erschossen)

Im PDF-Dokument waren Textpassagen geschwärzt worden. In diesem Fall reichte das markieren der geschwärzten Teile und anschließendes kopieren in den Editor aus, um sie im Klartext lesen zu können.

Sicherere PDF-Dokumente – Was kann man tun?

Eine einfache Lösung bietet das Programm PDF Explorer (http://homepage.oniduo.pt/pdfe) mit dem sich die Metadaten aus PDFs auslesen und anpassen, bzw. vollständig löschen lassen. Die Seite ist zwar auf Englisch verfasst, während der Installation kann als Sprache jedoch auch „Deutsch“ gewählt werden.

Metadaten in Bilddateien

Besonders Fotos, die mit Digitalkameras gemacht und im JPEG-Format gespeichert werden, können Metadaten enthalten. Diese werden als so genannte Exif-Dateien gespeichert. Darin enthalten sind unter anderem Informationen wie Kameratyp, Aufnahmedatum, Brennweite und Belichtungszeit, sowie andere Informationen die aber auf den ersten Blick nur für professionelle Fotografen interessant zu sein scheinen.

Ich habe mir mal willkürlich ein Beispielbild aus dem Internet besorgt um zu zeigen, was so alles in einem Digitalfoto (von zwei Katzen) versteckt sein kann. Wie gesagt das dürfte recht uninteressant sein, zeigt aber mal die Menge an Daten:

| Hersteller: FUJIFILM |
| Modell: FinePix1500 |
| Copyright: |
| Änderungsdatum: Samstag, 22. April 2000 2 |
| Orientierung: Top / left side |
| X-Auflösung: 72/1 |
| Y-Auflösung: 72/1 |
| Auflösungseinheit: Inch |
| Firmware Version: Digital Camera FinePix1500 Ver1.00 |
| YCbCr-Positionierung: 2 |
| Aufnahmedatum: Samstag, 22. April 2000 22:35:28 |
| Digitalisierungsdatum: Samstag, 22. April 2000 22:35:28 |
| Belichtungsprogramm: Normal |
| Exposure Bias [EV]: 0,0 |
| F-Nummer: F2,6 |
| Brennweite [mm]: 6,6 |
| ISO-Wert: 125 |
| Verschlusszeit [s]: 1/97 |
| Blende: F2,6 |
| Max. Blende: F2,6 |
| Blitz: Fired |
| Messmethode: Multi-segment |
| Helligkeit: 0,70 |
| Farbraum: sRGB |
| Sensing Method: One-chip color area sensor |
| Dateiquelle: DSC |
| Szenentyp: |
| Bildbreite: 640 |
| Bildhöhe: 480 |
| Komponentenkonf.: YCbCr |
| Durchschn. Kompression: 2/1 |
| Focal Plane X Resolution: 1087/1 |
| Focal Plane Y Resolution: 1087/1 |
| Focal Plane Res. Unit: 3 |
| EXIF-Version: 0210 |
| FlashPix Version: 0100 |
| Kompression: 6 |
| X-Auflösung: 480/1 |
| Y-Auflösung: 480/1 |
| Auflösungseinheit: Centimeter |
| Jpeg-Offset: 826 |
| Jpeg-Grösse: 3817 |
| Index: R98 |
| Version: 0100 |

Jetzt stellt sich natürlich die Frage: Warum sind diese Metadaten denn nun so sensibel?

Es wird unter anderem das Vorschaubild abgespeichert, wie es VOR der Bearbeitung war. Ist etwa ein Portrait zwecks Veröffentlichung im Internet aus einem größeren Foto am PC „ausgeschnitten“ worden (sei es ein Gruppenbild oder ein freizügigeres Bild), dann ist unter Umständen in der Bildvorschau (die in der Datei enthalten ist) noch das original Gesamtbild zu sehen.

Das gleiche gilt natürlich auch für Unkenntlichmachung/Verfremdung des Gesichts (etwa durch den berühmten „schwarzen Balken“ über den Augen). Bei einem Digitalbild im Format *.jpg, könnte somit im gespeicherten Vorschaubild durchaus noch das vollständige Gesicht zu sehen sein (was das etwa für anonyme Informanten von Journalisten oder verdeckte Ermittler bedeuten könnte, dürfte jedem klar sein).

Zu guter Letzt enthalten einige Bilder sogar noch zusätzlich GPS-Daten, dass heißt, man könnte genau feststellen, wo dieses Bild aufgenommen wurde (dies soll besonders bei Foto-Handys mit aktiviertem GPS der Fall sein).

Sichere Bilddateien – Was kann man tun?

Auch hier ist die einfachste Lösung ein kleines Programm, in diesem Fall nennt es sich Exifer (http://www.exifer.friedemann.info/). Man kann es kostenlos von der deutsch/englischsprachigen Website herunterladen, stört allerdings bei jedem Start mit einer Registrierungsaufforderung. Unter Linux bietet etwa Digikam (Website http://www.digikam.org/) Funktionen zum editieren von Exif-Dateien

Darüber hinaus löst ein Satz wie „Dein Urlaubsfoto wurde mit einer Canon PowerShot A610 aufgenommen – nicht wahr?“ nicht nur Staunen aus, sondern bietet (neben dem amüsanten Verblüffungsfaktor 😉 ) auch einen guten Einstieg um Bekannte und Freunde für das Thema Datenschutz zu sensibilisieren.

Passwörter – sicher gewählt, einfach zu merken

Der Gebrauch von Passwörtern ist praktisch Teil jeder Dokumentation zum Thema Datensicherheit. Daher werde ich an dieser Stelle nur kurz darauf eingehen. Dass Namen von Personen und Orten oder einfache Begriffe nicht als Passwort verwendet werden dürfen, sollte jedem klar sein. Versionen wie etwa „g3b4u1“ („gebaut“) mögen originell sein – wirklichen Schutz bieten sie jedoch auch nicht.

Ein sicheres Passwort ist mindestens achtstellig, besteht aus einer Kombination von Groß- und Kleinschreibung, Umlauten sowie Zahlen und Sonderzeichen. In manchen Fällen sind keine Umlaute oder Sonderzeichen erlaubt – die übrigen Regeln behalten jedoch weiterhin ihre Gültigkeit.

Wie kann man sich sichere Passwörter merken? Eine der einfachsten und zugleich sichersten Methoden ist die Bildung von Sätzen und deren Abkürzung. Das sind dann etwa wie folgt aus:

„zwei ganz enge Freunde werden fünf bösen Kerlen übel eins verpassen“ -> 2geFw5böKü1v

So ist es auch möglich sich längere Passwörter einfach zu merken. (Durch Verwendung als Beispiel ist dieses Passwort natürlich als kompromittiert anzusehen)

Ein solches Passwort ist relativ sicher vor so genannten „Brute-Force-Angriffen“, bei denen mit elektronischen Wörterbüchern alle möglichen Begriffe ausprobiert werden, um so das Passwort zu „erraten“.

Für einige Gelegenheiten benötigt man stattdessen eine Passphrase (auch Mantra genannt). Dabei handelt es sich um einen längeren Satz, der genau wie ein Passwort verwendet wird. Für eine Passphrase empfiehlt es sich, keine kurzen Redensarten wie „Eile mit Weile“ zu benutzen – ein längerer Satz ist hierbei quasi Pflicht (sonst könnte man auch gleich nur ein Passwort nehmen). Die Verwendung ungewöhnlicher Worte, etwa aus einer (erdachten) Mundart, sichern das Mantra zusätzlich ab:

„Wo die Buba no machen weylt nur selten o Gascht im Haim“ – auch „Schraibvehler“ können sinnvoll sein und das bloße erraten erschweren.

Soviel zur Erstellung sicherer Passwörter – ebenso wichtig wie die sichere Erstellung ist jedoch auch der sichere Gebrauch von Passwörtern. Auch wenn es praktisch und bequem ist, kann von der gängigen Praxis Passwörter zu speichern (etwa zum automatischen Start von Messengern) nur abgeraten werden.

Das Risiko durch einen Keylogger (Schadprogramm das Tastatureingaben protokolliert um so an sensible Daten wie etwa Kennwörter für Online-Banking) unbeabsichtigt Passwörter preiszugeben ist geringer, als sie durch Speicherung für Programme zu gefährden.

Ein letzter Punkt zum Thema Passwörter allgemein ist das Thema Social Engineering/Social Hacking.

Die Gefahr eines Passwortdiebstahls beginnt nicht erst im Netz. Dennoch wird die Gefährlichkeit dieser Art des Angriffs meist völlig unterschätzt. In der Regel sind vor allem Unternehmen betroffen, es ist aber auch von Vorteil für den Privatanwender dieses Risiko zu kennen.

Social Engineering bedeutet, dass jemand durch Vorgabe falscher Informationen und Position (er gibt sich etwa als Mitarbeiter der Telekom aus) und geschickte Gesprächstechnik den Gegenüber manipuliert und dazu verleitet, sensible Daten (hauptsächlich Passwörter) zu verraten. Diese Methode an Passwörter zu gelangen hat sich gegenüber den oben genannten „Wörterbuch-Angriffen“ als weitaus erfolgreicher erwiesen. Ein wahrer Meister in dieser Kunst war David Mitnick, ein Ex-Hacker, der nun eine Firma für Sicherheitsberatungen führt und Bücher zu diesem Thema geschrieben hat.

Beste Methode zur Abwehr solcher Angriffe, ist die Devise „Trust noone“ (Vertraue niemandem). Keinesfalls sollten Passwörter per Mail oder Telefon an angebliche Mitarbeiter irgendeines Unternehmens weitergegeben werden.

Zum Abschluss des ersten Kapitels möchte ich noch auf eine besonders effektive Sicherheitsmaßnahme hinweisen:

Die beste Sicherheits-Software

Das Angebot an Sicherheits-Software, die den PC schützen soll ist praktisch unüberschaubar. Neben dem unüberschaubaren Angebot an Virenscannern, Anti-Spionage-Programmen und Firewalls, gibt es mittlerweile spezialisierte Trojaner-Aufspürer und Anti-Hacking-Tools. Eines haben diese Programme aber alle gemeinsam – sie sind ein zusätzliches Stück Software auf der Festplatte und destabilisieren somit das System. Zudem zahlt man für einige davon sogar bares Geld für Lizenzen usw.

Neben diesem heftig beworbenen und oft kommerzialisierten Angebot, gibt es jedoch ein kostenloses Open Source Produkt, das (quasi als regelrechter „Geheimtipp“) von allen führenden Hackern und Sicherheitsexperten empfohlen wird. Mit Hilfe dieser Software verhindert man im Voraus die Infektion durch Viren, hält Trojaner fern, schützt sich vor Spyware – und härtet somit letztlich das ganze System.

Diese Software nennt sich – Brain 2.0 – in aktualisierter deutscher Fassung auch als Gehirn 2.0 erhältlich (nein, einen Download-Link gibt es dafür leider nicht).

Ernsthaft betrachtet heißt das „Denken kommt vor klicken“. Wer seinen Verstand benutzt und sich vorher überlegt, welche Programme er wirklich benötigt, welche email er öffnet und auf welchen Link er klickt, tut mehr für die Sicherheit seines Systems und zur Wahrung seiner Privatsphäre, als dies eine Software jemals könnte.

Datenschutz im Netz – E-Mail – stille Post die Bände spricht

Statistisch gesehen ist die email immer noch das beliebteste Kommunikationsmittel im Internet. Dementsprechend vielseitig sind natürlich auch die Risiken von denen die bekanntesten sicher so genannte Viren und Würmer sind. Die Zeiten in denen Viren nur dem fragwürdigen „Spaß“ dienten Rechner weitgehend unbrauchbar zu machen und Nutzer zu erschrecken sind jedoch längst vorbei.

Mittlerweile richten sich Schädlinge im emails hauptsächlich gegen zwei Ziele.

Zum einen an den Einzelplatzrechner an sich – etwa um ihn zum Teil eines Botnetzwerkes zu machen, oder zur Spamversendung zu nutzen (was rechtliche Konsequenzen für den ahnungslosen Benutzer haben kann)

Zum anderen direkt gegen die Privatsphäre des Nutzers, indem versucht wird, an sensible Daten wie Passwörter für Online-Banking oder email-Accounts zu gelangen.

Doch eben diese Privatsphäre ist nicht mehr allein durch Würmer & Co gefährdet (gegen die man sich schon mit gesundem Menschenverstand schützen kann), sondern gerät auch immer weiter ins Visier von Staatsanwaltschaft, Geheimdiensten und dem viel zitierten „Anti-Terror-Maßnahmen“ (längst schon sollte der Begriff „Terrorismus“ als Unwort des Jahres gelten). In Anbetracht all dieser Umstände, stellt sich für den Nutzer der Maildienste die berechtigte Frage:

Wie steht es um die Privatsphäre der email?

Wer glaubt, die Überwachung von Mails finde entweder nur in den Köpfen irgendwelcher

Spinner, oder nur im kommunistischen China statt, der irrt sich gewaltig: Seit dem ersten

Januar 2005 gilt die neue Telekommunikation-Überwachungsverordnung (TKÜV).

Durch sie sind alle Anbieter von digitalen Kommunikationsdiensten dazu gezwungen, Abhörschnittstellen, etwa zur Überwachung des email-Versandes für Verfassungsschutz & Co einzurichten und demzufolge haben das auch praktisch alle getan.

Einen besonderen Status wenn es um Vertraulichkeit der elektronischen Post geht, nimmt in diesem Fall ein spezieller Maildienst ein:

Gmail

Googlemail (Gmail), der Email-Dienst der Suchmaschine Google ist für seinen hervorragenden Spamfilter bekannt. Daher lassen sich online auch Anleitungen finden , wie man seine elektronische Post erst über das Gmail-Konto eines eigens zu diesem Zweck eingerichteten Accounts laufen lässt, bevor es die Mails an der Standardadresse abliefert, wobei eine große Menge Spam heraus gefiltert wird.

Nun ist die Frage berechtigt, wie Gmail so gute Filterergebnisse und Spamerkennungsraten erreicht, während bei anderen Anbietern weitaus mehr Spam das Postfach erreicht.

Die Antwort auf diese Frage ist einfach:

Gmail liest die eingehenden Mails.

Während die Spamüberprüfung anderer Emailanbieter lediglich die Betreffzeile (den Header) auf verdächtige Begriffe wie „ViAgRa“ testet und die Absenderadresse mit Listen von bekannten Spamservern (Blacklists) vergleicht, geht Gmail noch einen deutlichen Schritt weiter, indem es die Mail „öffnet“, und auf Inhalte die auf Spam schließen lassen abscannt, bevor die Mail schließlich an den Empfänger weitergesendet wird.

Sicheres E-mailen – Was kann man tun?

Bisher sind „nur“ Anbieter mit mehr als 1000 direkten Kunden dazu verpflichtet, diese Lauscheinrichtung für den Staat einzurichten. Solange diese Verordnung in der vorliegenden Form bleibt, ist also die einfachste Methode sich weniger überwachen zu lassen, kleinere Anbieter zu suchen.

Beispielsweise bieten Foren oft die Möglichkeit sich eine Foren-email-Adresse im Stil von nickname@forenname.de anzulegen. Im Zweifelsfall einfach recht freundlich den Boardadmin fragen. Solange das Forum nicht überlaufen ist, wäre dies zumindest ein relativ einfaches Mittel.

Wer sich lediglich von Spam befreien will und sich nicht um die Überwachung schert, kann es mit Bluebottle Freemail (Website (EN): http://www.bluebottle.com/) einem englischsprachigen Maildienst versuchen.

Eine etwas weiter gehende Möglichkeit wäre, zu einem Anbieter zu wechseln, der Verschlüsselung von Mails ohne Zutun des Benutzers anbietet wie etwa der englischsprachige Anbieter hushmail (EN) (Website (EN): https://www.hushmail.com/).

Eine der effektivsten Möglichkeiten bleibt nach wie vor Mails selber zu verschlüsseln – was durchaus einfacher sein kann, als gedacht – das größte Problem besteht darin, dass die Verschlüsselung nur dann Sinn macht, wenn der Empfänger der Mail diese auch entschlüsseln kann – das heißt, um eine sichere Kommunikation per email zu etablieren, müssen möglichst viele Kontakte ( wie etwa Arbeitskollegen, Bekannte und Freunde) mitmachen.

Abschließend sei noch darauf hingewiesen dass zudem noch die Möglichkeit besteht, so genannte Remailer zu verwenden. Es würde den Rahmen dieser Anleitung sprengen, genauer auf dieses Thema einzugehen, daher folgt nur eine stark vereinfachte Zusammenfassung.

Im Normalfall enthält die email neben Informationen über den Absender, den Empfänger und die Versandzeit auch noch weitergehende darüber, welche Server die Mail weitergeleitet haben und mit welchem Programm sie versandt wurde. Anhand dieser Informationen ist die Rückverfolgung einer email relativ einfach.

Personen die ein besonderes Interesse an Anonymität haben (z.B. Journalisten) senden daher ihre emails über einen Remailer. Dieser entfernt die oben genannten Informationen aus der email und macht es praktisch unmöglich, den Namen und die email-Adresse des Versenders zu ermitteln.

Soviel sei gesagt über den (Daten-)Schutz der email, im folgenden Abschnitt wenden wir uns einer weiteren populären Kommunikationsform im Internet zu.

Instant Messaging – plaudern für das Protokoll

Instant Messaging ist heute eine der beliebtesten Kommunikationsformen im Netz und dass „Chatten“ genauso wie die Nutzung anderer Internetdienste nicht ohne Gefahren für die Privatsphäre des Einzelnen ist, sollte jedem klar sein.

Mittlerweile gibt es vier große Messenger die sich miteinander den Markt teilen: AIM, ICQ, MSN (eigentlich: Windows Live Messenger) und der Yahoo! Messenger.

Da im Konkurrenzkampf der Anbieter, derjenige Betreiber einen Vorteil hat, der die Interessen seiner Kunden am besten erkennt und so am gezieltesten werben kann, versuchen die Firmen natürlich möglichst viel über ihre Nutzer zu erfahren – und die beste Informationsquelle über die Interessen der Benutzer ist natürlich der Benutzer selbst.

Daher verwundert es nicht, dass es viele Anbieter dieser Dienste es nicht gerade genau mit dem Datenschutz nehmen. So haben sie oft ziemlich bedenkliche Geschäftsbedingungen (ja, dass ist der lange Text den niemand durchliest sondern gleich „Ich akzeptiere/I agree/OK“ klickt 😉).

AOL – Nachrichten an den großen Bruder

Ein klassisches Beispiel dafür ist der Konzern AOL (America Online) der neben seinem Angebot als Internetprovider auch noch diverse andere Dienste bietet – darunter zwei der beliebtesten Messenger, nämlich AIM und ICQ.

ICQ wurde im November 1996 von der Firma Mirabilis veröffentlicht, das Unternehmen wurde dann ein Jahr später, im Juni 1997 von AOL gekauft. Somit fällt ICQ unter die Nutzungsbedingungen von AOL.

So muss der Benutzer dazu bereit erklären, jede Form von geistigem Eigentumsrecht an ICQ abzutreten, was bedeutet, dass man unter anderem das Copyright an allen geschriebenen oder versandten Daten zugunsten von AOL verliert. Ebenso stimmt man durch Akzeptanz der Nutzungsbedingungen ICQ/AOL das Recht zu, alle diese Daten aufzuzeichnen, zu speichern, zu sortieren und gegebenenfalls auch an andere Institutionen, besonders Strafverfolgungsbehörden (was Geheimdienste einschließt) weiterzugeben.

Letztlich stimmt man damit also der totalen Kontrolle durch AOL zu.

Was bedeutet das konkret:

  • gibst du einem Freund per ICQ deine Adresse/Kontonummer/.., bekommt sie auch AOL
  • Informationen und private Angaben wie Alter, Wohnort etc. können heraus gefiltert werden
  • Solltest du dich bei Problemen an einen Freund per ICQ wenden so werden auch deine privaten Nöte und Ängste aufgezeichnet
  • Wenn du flirtest oder sogar Cybersex/Chatsex haben solltest…auch das wird mitgeloggt
  • angenommen du verfasst ein Buch oder Gedichte und schickst das Manuskript per ICQ an einen Freund, so verlierst du das Copyright. AOL könnte z B dieses Buch herausbringen oder einen Gedichtband mit dem klingenden Titel: „Lyrik unserer ICQ und AIM User“ und Du würdest vom Gewinn nicht einen Pfennig sehen weil du das Copyright abgetreten hast

Außerdem ist vielleicht schon mal jemandem aufgefallen, dass man seinen ICQ-Account nicht wirklich löschen kann. Man kann seinen Kontakten in der Liste sagen „Ciao ich bin weg“, die Liste löschen, alle Angaben im Profil entfernen und die ICQ-Nummer wegschmeißen. Damit ist der Account zwar „entsorgt“ (ich habe es selbst schon so gemacht) aber eben noch längst nicht gelöscht.

Da verwundert es dann auch nicht weiter, dass bei AIM und ICQ die gesamte Verbindung und Kommunikation zwischen den Chattern unverschlüsselt übertragen wird (wer hätte das gedacht…)

Beim MSN sieht es ähnlich aus, denn mit der Nutzung ihrer Software erklärt sich der Anwender ebenfalls mit dem Mitschnitt von Nachrichten einverstanden. Allerdings soll es einige „Nachbesserungen“ gegeben haben, dazu kann der Autor aber nichts genaueres sagen. Im übrigen werden für die Nutzung des MSN-Messengers in etwa 10 Ports (quasi die Tore der verschiedenen Dienste/Programme ins Internet) geöffnet, was die Sicherheit des Systems senkt

Natürlich möchten alle Anbieter die Nutzer ihrer Software möglichst effektiv überwachen und so können ihre Messenger auch nur dazu verwendet werden um ihren eigenen Dienst (etwa ICQ) zu verwenden.

Sicheres Instant Messaging – Was kann man tun?

Im Gegensatz zur sonst für Software geltenden Regel nur Originalsoftware zu verwenden,
muss man in diesem Fall aus Gründen des Datenschutzes davon abraten. Selbstverständlich verbieten jedoch alle Anbieter in ihren Nutzungsbedingungen die Verwendungen von alternativen Chat-Programmen, die nicht Originalsoftware des Herstellers sind.

Eine minimale Schadensbegrenzung kann durch Verwendung von Multi-Protokoll-Messengern wie etwa Miranda (Website (EN) http://www.miranda-im.org/) die mehrere Protokolle beherrschen, erreicht werden. Auf diese Weise wird zumindest die direkte Adware der Originalprogramme (in Form von Werbung) umgangen – die Überwachung durch den Anbieter bleibt aber trotzdem bestehen, solange man diesen Dienst weiterhin nutzt

Ich persönlich empfehle daher Jabber, das eine wirkliche Alternative darstellt. Klare Vorteile von Jabber sind, dass es auf allen Betriebssystemen (Windows, Linux, Mac) läuft und das es sich dabei um ein offenes Protokoll handelt.

Das bedeutet, es gehört keiner monopolistischen Firma und hat daher auch keinen zentralen Hauptserver, sondern viele voneinander unabhängige kleine Server. Demzufolge gibt es bei Jabber auch keinerlei Überwachung durch irgendeinen dubiosen Megakonzern.

Weitere Vorteile von Jabber sind, dass es leicht verschlüsselt werden kann und sowohl konventionelles Instant Messaging als auch Gruppenchats (MUC) und in absehbarer Zukunft auch VoIP beherrscht. Darüber hinaus kann ein Account, wenn er nicht mehr benötigt wird, wirklich gelöscht werden. Entgegen anders lautenden Gerüchten, ist Jabber übrigens auch nicht schwieriger als irgendein anderer IM einzurichten.

Im Übrigen bieten einige Jabber-Server die Möglichkeit über so genannte Gateways beispielsweise mit ICQ-Kontakten zu chatten – ob das allerdings bezüglich der Sicherheit wirklich Sinn macht ist für mich mehr als fraglich.

Eine einfache aber komplette Anleitung für Jabber bekommt man im deutschsprachigen Jabber-Kompendium. (Website: http://de.wikibooks.org/wiki/Jabber-Kompendium)

Einziger „Nachteil“ ist, das Jabber bislang unter Nutzern klassischer Instant Messenger eher unbekannt geblieben ist – und dass echte Jabber-Fans es (verständlicherweise) oft ablehnen, Gateways zu anderen Diensten zu benutzen.

Das heißt letztlich, entweder man leistet eine Menge Überzeugungsarbeit um etwa seine ICQ-Kontakte zu einem Umstieg auf Jabber zu bewegen, oder man empfiehlt ihnen Multi-Protokoll-Messenger zu verwenden (so dass sie mit ihnen per Jabber kommunizieren, aber mit anderen Kontakten weiterhin per ICQ chatten können).

Sollte ein Bekannter zu keinem der genannten Möglichkeiten bereit sein – Ich persönlich bin zu der Überzeugung gelangt, dass mir meine Privatsphäre wichtiger ist, als die Unflexibilität einiger meiner ICQ-Kontakte. Somit steige ich langfristig auf ausschließliche Nutzung von Jabber um.

Andere Chats – IRC, MUC und SILC

Indem er ein Chat-Netzwerk (das es vorher nur lokal gab) ins Internet übertrug, schuf der finnische Student Jarkko Oikarinen 1988 die Urform des Gesprächs in Chaträumen – den IRC (Internet Relay Chat). Durch die Verbreitung der Instant Messenger geriet diese „Mutter aller Chats“ später vielerorts in Vergessenheit, obwohl sich die Grundform nach wie vor in jedem Forum-integrierten Chat findet.

Trotzdem gibt es nach wie vor große Netzwerke von Servern, auf denen die Benutzer in vielen verschiedenen Räumen (Channels) miteinander kommunizieren. Was die Sicherheit dieser Form des Chats betrifft, so muss man leider als klaren Nachteil feststellen, dass die gesamten Nachrichten und Passwörter unverschlüsselt im Klartext übertragen werden (ein Problem das, wie bereits gesagt, auch bei allen Instant Messengern der Fall ist)

Sicheres Chatten – was kann man tun?

Die naheliegendste Methode ist natürlich, das Gespräch zu verschlüsseln und tatsächlich bieten verschiedene IRC-Programme (Clients) diese Möglichkeit. Am verbreitetsten im IRC ist wohl die Verschlüsselung per SSL. Dieses Verfahren verschlüsselt allerdings nur die Kommunikation zwischen zwei „Stationen“. Läuft die Kommunikation also nicht direkt, sondern wird über einen Server geleitet (wie das im IRC der Fall ist), dann ist das Gespräch von Serverseite aus einsehbar.

Eine einfache, kurze Anleitung für IRC mit SSL findet sich auf der deutschsprachigen Website http://www.mefalcon.org/forum/thread.php?threadid=130

Es gibt jedoch weitaus sicherere Möglichkeiten des Chats. Klarer Nachteil aller folgenden Alternativen ist, dass, falls man bereits längere Zeit im IRC aktiv ist, Freunde und Bekanntschaften verlieren würde.

Wer nun nicht gleich sein ganzes Netzwerk verlassen will, könnte OPs oder Admins fragen, ob der Zugang über Tor (siehe das eigene Kapitel zu diesem Thema) erlaubt ist (leider ist die Verwendung von Tor auf vielen IRC-Servern nicht gerne gesehen, da es häufig von Script Kiddies und Trollen missbraucht wird)

Andernfalls bietet sich als erste, sicherere und unkomplizierte Alternative die Möglichkeit an, Gespräche stattdessen in Jabber MUC (Multi-User Chat) zu führen – Mehrbenutzerchats in Chaträumen. Dort ist es möglich, sich einen beliebigen Namen zu geben, so dass die Jabber-ID nicht angezeigt wird, was natürlich ein Plus für die Privatsphäre ist.

Eine weitere, etwas aufwändigere Möglichkeit sicher zu chatten wäre, stattdessen die Verwendung von SILC (Website: http://silcnet.org/) zu verwenden, das ähnlich aussieht, jedoch gänzlich anders aufgebaut ist. Vereinfacht gesagt wird hierbei der gesamte Chat verschlüsselt. Nachteil des SILC ist neben der für Anfänger wenig transparenten Methode, die relativ geringe Verbreitung dieses Dienstes.

VoIP – Hör mal wer da horcht

Neben Instant Messaging wir auch VoIP, also das Telefonieren über das Internet, immer populärer. Einer der am meisten verwendeten VoIP-Dienste ist sicherlich Skype. Warum jedoch ein kritischer Blick auf diesen Dienst empfiehlt, wird sich im Folgenden zeigen.

Skype – der Freund in deiner Leitung

Auch wenn das Programm bisher als sicher gilt (das Unternehmen wirbt unter anderem auch mit der automatischen Verschlüsselung der Gespräche), so zeigen sich, wie es oft bei Marktführern und kommerzieller Software der Fall ist, besondere Risiken für den Anwender.

Dazu zwei kurze Meldungen.

  • Am 21. Dezember 2006 machte bereits der erste Skype-Wurm auf sich aufmerksam. Er fordert dazu auf, die Datei „sp.exe“ zu downloaden – ein Trojanisches Pferd.
  • Am 07.02.2007 wurde in einer heise-Meldung bekannt, das Skype BIOS-Daten ausliest.

Skype ließ zwar kurz darauf erklären die Spyware stamme von einem Drittanbieter der für den Plug-In-Manager des Programms zuständig gewesen sei und dass diese Spionage in aktuellen Versionen nicht mehr der Fall sein wird – das Vertrauen in das Unternehmen stärkt dies sicher nicht.

Übriges Vertrauen schwindet, wenn man sich die Besitzverhältnisse ansieht – Skype gehört zu eBay. (warum das Nutzen es eBay-Dienstes ein datenschutzrechtlicher Alptraum ist wird später erklärt)

Schlussendlich fällt Skype auch noch unter den „Patriots Act“ der USA und damit der Überwachung durch amerikanische Geheimdienste. Dadurch sind kommerzielle Softwarehersteller gezwungen, Hintertüren für diese Dienste in ihren Programmen einzurichten. Fazit: Finger weg

Sicheres VoIP – was kann man tun?

Erste Maßnahme (wie erwähnt) keine Verwendung von Skype. Der Dienst, von dem bereits jetzt deutlich wird, dass er in absehbarer Zukunft Standard werden wird, ist SIP. Anbieter für Sip-Accounts und entsprechende Sip-Softphones (VoIP-Software) gibt es bereits und bietet daher eine gute Möglichkeit auf Skype zu verzichten. Allerdings hat Sip den deutlichen Nachteil, dass es nicht verschlüsselt werden kann. Die beste Alternative zu Skype wäre natürlich ein sicherer, nicht-kommerzieller VoIP-Dienst.

Daher darf man gespannt sein, wie sich das Zfone Projekt (Website: http://zfoneproject.com/) des Verschlüsselungs-Gurus Phil Zimmermann entwickeln wird. Dieses Projekt verfolgt gezielt den Zweck durch Verwendung eines neuen Protokolls, das Abhören von Gesprächen zu verhindern. Eine erste beta Version gibt es bereits (Stand Februar 2007).

Anmerkung: Bisher (ebenfalls Februar 2007) verwende ich leider auch noch Skype, da dies die einzige Möglichkeit für mich ist, Kontakte in Übersee kostenfrei zu erreichen – doch ich gelobe Besserung (und habe daher weiterhin ein Auge auf die Entwicklung von Zfone)

Also kann man als zukünftige Alternative SIP + Zfone nahe legen. Einige Anwender benutzen diese Kombination bereits mit Erfolg.

Unerkannt unterwegs – ab durchs Tor

Um es gleich zu Beginn dieses Kapitels zu sagen; Absolute Anonymität im Internet gibt es nicht. Anders lautende Versprechungen werden meist von Herstellern diverser „Anonymisierungssoftware“ gemacht – dies entspricht jedoch mehr ihrer Marketing-Maßnahmen, als der Realität.

Allerdings gibt es auch wirksame Maßnahmen die eine hohe Anonymität im Netz bieten – wieder einmal ganz ohne teure Software.

Wirklich professionelle „paranoide Spinner“ verschlüsseln selbstverständlich ihre emails, versenden sie über anonymisierende Remailer – und verwenden TOR (Website (EN/DE http://tor.eff.org/) Auch wenn sich dieses Informationsblatt an „Normalsterbliche“ richtet, soll Tor hier nicht unerwähnt bleiben, seine Nutzung ist für jedermann empfehlenswert der sich der Überwachung widersetzen will. Es läuft auf allen gängigen Betriebssystemen wie Windows, Mac oder Linux

Bei TOR handelt es sich um ein Netzwerk verschiedener, weltweit verteilter Rechner, über das man seine Internetverbindung leitet. Dabei erfolgt die Weiterleitung über die Server zu Server nach dem Zufallsprinzip. Aufgrund dieser „schichtweisen“ Struktur, ähnlich wie die Schale einer Zwiebel (auf englisch „onion“), nennt man diese Server auch Onion Router. Dank dieses Systems ist es zu keinem Zeitpunkt möglich, den Ausgangspunkt und den Weg des einzelnen Nutzers anhand seiner IP nachvollziehen zu können.

Daher ist Tor üblichen „Proxyservern“ in Puncto Sicherheit deutlich überlegen. Bei der Verwendung normaler Proxyserver, muss der Surfer dem Proxybetreiber vertrauen, dass dieser seine IP nicht speichert (allerdings tun dies einige, etwa um zu späterem Zeitpunkt der Staatsanwaltschaft diese Daten aushändigen zu können). Da bei Tor mit seiner Struktur niemand weiß woher der Nutzer kommt und wohin er geht, würde eine Speicherung der IP nichts bringen.

Es lässt sich praktisch alles „torifizieren“ – man kann über Tor nicht nur auf Webseiten surfen, sondern etwa auch die Anmeldung bei seinem Jabber-Server anonymisieren.

Der absolute Vorteil von Tor – die Anonymität – hat leider manchmal auch einen ärgerlichen Nebeneffekt Neben vielen ehrbaren Nutzern, missbrauchen auch Script Kiddies und Pseudo-Hacker Tor für ihre Zwecke. So etwa beispielsweise um unerkannt Unfriede stiften zu können. Daher empfiehlt sich auch die Verwendung eines Routers mit Firewall um Belästigungen durch diese zu verhindern. Aus demselben Grund ist, wie im Kapitel über Chats bereits erwähnt, die Verwendung von Tor speziell im IRC nicht gerne gesehen bzw. sogar verboten.

Außerdem stehen natürlich Strafverfolgungsbehörden dieser „Tarnung“ sehr skeptisch gegenüber, ihre Bedenken gegen Tor folgen dabei scheinbar dem Motto „wer sich versteckt, hat auch etwas zu verbergen“. Tatsächlich sind bereits Betreiber von Tor-Servern von der Polizei belästigt worden, da von ihren Rechnern aus Straftaten im Netz begangen worden seien.

Es wird hier nicht näher auf die zahlreichen Argumente eingegangen, die man gegen diese Überlegungen ins Felde führen könnte, jedoch soviel sei gesagt:

Wenn ein PC-Benutzer seinen Rechner als Tor-Router zur Verfügung stellt und ein bösartiger Internet-Nutzer schließlich eine Straftat begeht kann keiner der Serverbetreiber Auskunft geben, woher er kam – selbst wenn er wollte – denn es ist aufgrund der Struktur dieses Netzwerks schlicht und einfach nicht möglich. Ganz offensichtlich wurde dieses Prinzip von der Staatsanwaltschaft immer noch nicht verstanden – Sie täte daher gut daran, ihre unsinnigen Aktionen gegen Onion Router Betreiber einzustellen.

Tatsächlich gibt es (noch) kein Gesetz, demzufolge die Nutzung von Tor illegal oder verboten wäre (allerdings wird an entsprechenden Regelungen gearbeitet)

Einziger wirklicher Nachteil von Tor für den Internet-Nutzer ist, dass sich die Verbindung durch das mehrfache weiterleiten drastisch verlangsamt. Würde es mehr Freiwillige geben, die bereit wären ihren PC als Server zur Verfügung zu stellen, würde das Tor-Netzwerk nicht nur noch sicherer werden, sondern auch deutlich schneller (daher würden sich alle Tor-Nutzer über mehr Unterstützung freuen) . Tor ist also nichts für Nutzer langsamer Verbindungen

Zur Einrichtung und Installation von Tor, bietet sich für den Anfänger unter Windows das „Vidalia-Bundle“ an. Es ist einfach zu installieren und einzurichten und ermöglicht so auch gänzlich unerfahrenen Anwendern diesen Dienst zu nutzen.

Eine bebilderte deutschsprachige Anleitung zum Tor-Vidalia-Bundle findet sich unter: http://blau.in/blog/452

Anmerkung: Die Verwendung des ähnlich arbeitenden Dienstes JAP mag zunächst interessant erscheinen, da es sich aber um einen deutschen Dienst handelt, der sich (nach langem Rechtsstreit) dazu verpflichten musste, gegebenenfalls auf richterliche Anordnung die Anonymität aufzuheben, ist er für ernsthaft an Anonymität interessierte User jedoch keine vertrauenswürdige Alternative mehr.

Soviel zu Risiken für den Datenschutz durch diverse Programme beziehungsweise deren Anbieter.

Wer nun bisher der Ansicht war, er würde über mehr Online-Privatsphäre verfügen als andere Personen, da er keinen der oben genannten Dienste benutze, wird unter Umständen eines besseren belehrt werden.

In den folgenden zwei Extras zum Thema, wird aufgezeigt werden, dass alle bisher genannten Umstände zusammengenommen, den Datenschutz vermutlich weniger gefährden, als er es durch die im folgenden geschilderten Bedrohungen bereits in großem Ausmaße ist.

Besagte Extras behandeln letztlich alltägliche Dienste, die entweder praktisch jeder Internet-Anwender bereits unzählige Male benutzt hat. oder zumindest Bekannte hat, die es vermutlich beinahe jeden Tag tun – in beiden Fällen, ohne auch nur von der Gefahr die von diesen Konzernen ausgeht etwas zu ahnen.

Somit betritt der Leser nun das erschreckende Reich der Online-Dienst-Anbieter – wo Suchhunde ihre Herrchen beißen, die Banken ihren Kunden der Privatsphäre berauben und wo auf virtuellen Flohmärkten der Ausverkauf des Datenschutzes durch Online-Kaufhäuser längst in vollem Gange ist!!!

Extra 1: Die Überwachungsexperten – eBay, Paypal und der Rest

Seit 2005 gehört Skype zu eBay, ebenso wie PayPal (2002) und mobile.de (2004). eBay seinerseits ist ein Unternehmen – das bereits mehrmals durch seine Kundenüberwachung in scharfe Kritik geriet.

So muss sich der Kunde bei Abschluss eines eBay-Accounts per Geschäftsvereinbarung damit einverstanden erklären, dass alle erhobenen Daten an den Mutterkonzern in die USA, sowie an Dritte versendet werden – dies geschähe vor allem „zur Abwehr von Gefahren für die staatliche Sicherheit“

Da verwundert es nicht, dass sich das Unternehmen 2003 mit der erfolgreichen Strafverfolgung brüstete, die durch Herausgabe von Benutzerprofilen durch eBay ermöglicht wurde.

Sollte man dann angesichts dieser Überwachung wenigstens den gesetzlich garantierten Widerspruch gegen die Nutzung der eigenen Daten in Anspruch nehmen wollen, so ist dies nur noch auf den Formularseiten von eBay möglich.

Bei der eBay-Tochter PayPal aus Großbritannien sieht es nicht besser aus

In gewisser Hinsicht ist PayPal noch paranoider als eBay. Sollte nur der geringste Verdacht wie eine entfernte Namensähnlichkeit mit einer „Blacklist“ von Drogenhändlern oder Terroristen bestehen, wird das Konto eingefroren und per email wird eine Identitätsbestätigung gefordert. Nach welchen Kriterien genau die Selektion erfolgt ist nicht bekannt.

Das führt letztendlich dazu, dass man, so man wieder an sein Geld möchte, ein persönliches Dokument an eine unbekannte, nicht näher bezeichnete Stelle nach Omaha (Nebraska) schicken muss, die dann alles weitere arrangiert.

eBay-Spionage – was kann man tun?

Die einzige effektive Methode gegen eBay-Spionage ist es, keinen der von eBay angebotenen Dienste zu nutzen (Ja, Sicherheitslösungen können auch so einfach sein 😉 )

Ob andere Online-Kaufplattformen pfleglicher mit den Daten ihrer Kunden umgehen, kann getrost bezweifelt werden. Sie werden eventuell nicht in so großem Stil arbeiten, aber Kleinvieh macht ja bekanntlich auch Mist (ähnlich wie etwa bei Rabattmarken)

Wie weiter unten, unter “ Extra-Hinweis – Webseiten blocken“ beschrieben, ist es sogar möglich solche Webseiten komplett zu blockieren, was das boykottieren dieser Anbieter noch einfacher macht.

Extra 2: Der Meisterspion – Google und seine Dienste

Praktisch ein ganzes Buch wert sind die Verletzungen der Privatsphäre durch den Suchmaschinen-Giganten Google, daher ist dieser Teil besonders umfangreich geworden. Trotzdem wurde versucht, das Material auf die nötigsten Informationen zu beschränken. Empfehlenswert ist es auch auch einen Blick auf den Beitrag zu Googles Emailservice Gmail zu werfen.

Google – Die Suchmaschine

Praktisch jeder Internetbenutzer hat schon einmal „gegoogelt“, tatsächlich wird die Suchmaschine wahrscheinlich häufiger aufgerufen als irgendeine andere Webseite sonst. Statistisch führen 75% aller Verweise/Weiterleitungen zu Google (Stand 2005)

Das verwundert auch nicht weiter, wenn man weiß, wie klein das Angebot an Suchmaschinen ist. Letztlich wurden viele andere Suchmaschinen (wie etwa Alltheweb oder AltaVista) von den „drei Großen“ geschluckt – Google, Yahoo, und Microsoft. Somit hat Google eine ausgezeichnete Position auf dem Markt

Google – Die Finanzkraft

Neben der bekannten Suchmaschine gleichen Namens, bietet Google mittlerweile auch viele andere Dienstleistungen an. Dazu gehört unter anderem seit Oktober 2006 auch das Video-Portal Youtube.

Manche von Googles Versuchen auf anderen Gebieten Fuß zu fassen erwiesen sich als Flop. Die Online-Produktsuche Froogle kennt man vielleicht dem Namen nach, der Google Messenger war gegen den MSN chancenlos und die Google-Kontaktbörse orkut kam nur in die Schlagzeilen, als sie zur Abwicklung von Drogengeschäften von sich reden machte.

Dank der Einnahmen in Milliardenhöhe kann sich Google diese kreativen Patzer jedoch problemlos leisten. Andere „Dienstleistungen“ von Google sind weniger bekannt, tragen aber immens zu den Einnahmen bei.

Google – Die Bedrohung

Die Ausrichtung des Unternehmens ist vom Prinzip her so simpel wie sie gleichzeitig katastrophal für die Nutzer ist. Sie besagt „Weil ich alles suche, muss ich alles wissen – auch über meine Nutzer“

Wer, wann, was von wo aus sucht, alles von Interesse für Google. Und tatsächlich sammeln sie diese Informationen auch. Google identifiziert jeden einzelnen Nutzer über seine Google Cookie-ID, erfasst die IP des Nutzers, Datum und Zeitpunkt der Anfrage, die Suchbegriffe und sogar die Einstellung des Browsers.

Mittlerweile ist es fast unmöglich Google Servern aus dem Weg zu gehen, so wurde etwa der Blog-Anbieter blogger.com im Jahr 2000 übernommen – Google ist also praktisch überall und schon diese allumfassende Anwesenheit stellt eine Bedrohung dar.

Google Desktop Search

Bei Verwendung der „Google Desktop Search“ wird Beispielsweise der Suchindex, das heißt, die Informationen über alle Dokumente zur „effektiveren Indizierung“ auf die entsprechenden Google-Server in den USA übertragen.

Da in den USA die Bestimmungen zum Zugriff auf Server seitens von Regierungsinstanzen (wie etwa Geheimdiensten) weitaus liberaler sind, als die Bestimmungen die für den Zugriff auf private Einzelplatz-PCs gelten, kann sich jeder vorstellen, welche möglichen Konsequenzen dies für die „Strafverfolgung“ haben kann.

Google und Firefox

Bereits ein alter Hut ist die Google Toolbar in Mozilla Firefox und für viele Nutzer einfach nur praktisch. Unter Internetnutzern gibt es seit Jahren Diskussionen darüber, ob Google nun mit seiner Toolbar spioniert oder nicht, mittlerweile scheint es jedoch erwiesen, dass dem so ist. Ebenso wie in der „großen“ Version, loggt auch hier Google alles mit, was es kriegen kann.

Darüberhinaus warnte die die Electronic Frontier Foundation (EFF) bereits im Februar 2006 vor dem Gebrauch der Toolbar, da diese es Hackern leichter macht Zugriff auf Daten zu erhalten.

Einer der neuesten Geniestreiche zur Überwachung ist dem Unternehmen mit dem Angebot des Google Phishing-Schutzes in der Version Firefox 2.0 gelungen. Stimmt man dem Angebot zu, werden alle angesurften Seiten von Google darauf geprüft, ob sie Elemente enthalten, die für Phishing -Seiten typisch sind. Klingt sehr Service-orientiert hat jedoch einen riesigen Haken. Google erhält alle Protokolldaten die mit der Abfrage zusammenhängen, verknüpft diese Daten aber (angeblich) nicht mit anderen Benutzerdaten. Sollte allerdings die an Google gesendete URL der Webseite persönliche Informationen enthalten……

Googles unendliche Datensammelwut nutzt allerdings nicht nur dem Konzern. Mittlerweile können unbedacht ins Netz gesetzte Informationen sogar die berufliche Karriere gefährden. Das ergibt sich ganz einfach dadurch, das mittlerweile viele potentielle Arbeitgeber sich erst einmal online über ihre Bewerber informieren – dazu reicht es oft schon bei Google nach dem vollen Namen der Person zu suchen. Finden sich dabei Inhalte wie veraltete ungepflegte Homepages mit lächerlichen „Spaß-Bildern“ (etwa von Partys) oder die Mitgliedschaft in einem politischen Internetforum, kann dies die Bewerbungschancen durchaus drücken.

Wer sich weitergehend mit dem Google-Imperium beschäftigen möchte, dem empfehle ich das folgende englischsprachige Video, das auf der Webseite auch zum Download für den Quick Time Player, den Windows Media Player, Playstation Portable und den iPod zur Verfügung steht:

Master Plan – About the Power of Google (EN)

http://masterplanthemovie.com/

Suchmaschine Google spioniert – was kann man tun?

Natürlich ist die naheliegendste Maßnahme gegen die Verletzung des Datenschutzes durch Google, die Benutzung einer anderen Suchmaschine. Diese Lösung wird aber selten gewählt, da der Benutzer an das Google-Layout gewohnt ist und man darüber hinaus eine der anderen beiden Monopolisten wählen müsste.

Es gibt allerdings einige Maßnahmen welche die Überwachung durch Google senken können.

Berühmt-berüchtigt sind Googles Cookies, daher empfiehlt es sich, diese permanent zu blocken.

In Firefox 2.0 bedeutet dies unter „Einstellungen“ den Punkt „Datenschutz“ zu wählen und unter „Cookies“ die „Ausnahmen“ anzuklicken. Hier setzt man folgende Seiten auf „blocken“:

  • google-analytics.com
  • googlesyndication.com
  • alexa.com

und am besten auch gleich

  • google.com
  • google.de

Dies führt zwar dazu, dass man bestimmte Google-Dienste wie etwa die personalisierte Suche nicht mehr nutzen kann – aber für seine Privatsphäre muss man eben Opfer bringen.

Wer noch radikaler gegen Google vorgehen will, kann als „Notlösung“ zur Suche nach Webseiten auch Scroogle verwenden ( (EN) http://www.scroogle.org/scrapde8.html).

Die Anbieter dieses Dienstes beschreiben die Funktion wie eine Art Filter: Die Suchanfrage an Google wird über den Server von Scroogle geleitet. Google erkennt Scroogle als Anfragenden und speichert IP/Suchbegriff/Datum und Zeit von Scroogle anstelle der des Benutzers. Scroogle leitet dann die Antworten auf die Suchanfrage an den Benutzer weiter und löscht Googles Cookie. Die so entstandenen Log-Dateien werden dann innerhalb von 7 Tagen gelöscht.

Andere andere Möglichkeit sich doch von der Bindung an eine einzige Suchmaschine zu befreien, wäre die Verwendung von Metacrawlern.Diese Metasuchmaschinen beziehen die Antworten von mehreren Suchmaschinen gleichzeitig – was sie etwas langsamer als normale Suchmaschinen macht, dafür aber auch viel Werbung und unsinnige Seiten aussortiert.

Eine der gebräuchlichsten deutschsprachigen Metasuchmaschinen ist metager2 ( (DE)  http://www.metager2.de/)

Extra-Hinweis: Webseiten blocken

Sollte man nach all den Informationen über ihre Praktiken außer dem Vorgehen gegen Google noch radikaler werden und sich auch gegen andere Monopolisten wehren wollen, so kann man auch deren komplette Webseiten blocken. Möglich wird dies durch eine Firefox-Erweiterung namens BlockSite (EN)(https://addons.mozilla.org/mozilla/3145/). Dort auf das grüne Feld mit dem Hinweis „install now“ klicken.

Eine deutschsprachige Anleitung zum Umgang mit dieser Erweiterung, sowie weitere nützliche Firefox-Informationen findet man in der FirefoxWiki ( (DE) http://www.firefox-browser.de/wiki/BlockSite).

Seiten großer Monopolisten wären etwa

  • http://www.*google.de*
  • http://www.*google.com*
  • http://*sb.google.com*
  • http://www.*youtube.com*
  • http://www.*amazon.com*
  • http://www.*ebay.de*

Allerdings sollte man sich darüber klar sein, dass diese Webseiten dann überhaupt nicht mehr aufgerufen werden können (sie werden also nicht gefiltert sondern tatsächlich total geblockt), bis man den Eintrag wieder aus der Liste entfernt.

Schlusswort – Was noch zu tun bleibt

Die Maßnahmen zum Schutz der Privatsphäre im Internet sind natürlich nur ein sehr kleiner Teil der Gesamtproblematik.

Einen Blick auf das, was vielleicht online noch auf uns zukommen wird, bietet das fiktive Szenario der Zukunftsvision „Epic 2015“, eine Geschichte vollständiger digitaler Online-Überwachung durch elitäre Megakonzern-Monopole.

„Epic 2015“ – Ein Flash-Video zur Zukunft des Internets

Doch selbstverständlich hört Überwachung nicht im Internet auf, ganz im Gegenteil.

Datenschutz beginnt im Alltag

Sei es der US-amerikanische „Patriots Act“ oder die Einrichtung von „Anti-Terror-Datenbanken“ – noch nie zuvor war unsere alltägliche Privatsphäre so gefährdet wie heute! Und wer bereits die Risiken für den Datenschutz im Internet gesehen hat, kann nachvollziehen, welche Auswirkungen das im realen Leben haben kann….

Wer sich verständlich und für Einsteiger verständlich über die Überwachung im Alltag informieren will, dem empfehle ich die folgenden Links

„Alltag Überwachung“ – Eine Online-Videoserie der Tagesschau (DE)

Panopticom – Ein kleine interaktive Flash-Animation zum Mitmachen (DE)

Wie weit die Überwachung schon fortgeschritten ist, zeigt sich u.a. daran, dass die US-Regierung Herstellerfirmen von Farblaserdrucker dazu veranlasste, Techniken in ihre Produkte einzubauen die eine exakte Zuordnung des gedruckten Schriftstücks zu einem bestimmten Drucker ermöglicht. Offiziell richtet sich diese Maßnahme gegen (Geld-)Fälscher, allerdings lässt sich diese Technik ebenfalls vortrefflich zur Überwachung nutzen.

Des weiteren wird Hitachi voraussichtlich noch in diesem Jahr (2007) RFID-Staub herstellen können, das sind RFID-Chips die so dünn sind (Maße 0,05 x 0,05 mm mit einer Dicke von 5 Mikron), dass sie sich problemlos in Papier (wie etwa Eintrittskarten oder Geldscheine) einarbeiten lassen (worum es sich bei RFID handelt und welche Bedeutung RFID für die Überwachungsgesellschaft hat, erklärt sich unter anderem in den Videos der Tagesschau)

Für weitere Fragen zu Themen des Datenschutzes in- und außerhalb des Netzes stehe ich (inklusive meiner recht umfangreichen Linkliste) gerne zur Verfügung.

Kontakt

Der Autor ist zu erreichen unter der Jabber-ID: zazengate@jabber.ccc.de

Bildnachweis: Datenschutz Tutorial – Christoph Scholz Security IT Symbol Picutre Bild – Schloss mit Fingerabdruck vor Nullen und Einsen – BlauCC BY-SA 2.0

Kommentare (6) Schreibe einen Kommentar

  1. Eine sichere Verschlüsselung gerade bei Chats für Jugendliche wäre wünschenswert. Und ein Siegel für "Geprüfte Jugendsicherheit" wäre für Eltern und Lehrer eine große Hilfe und würde zur schnellen Verbreitung solcher Chats unter Jugendlichen führen.

  2. das Open Source Demo Center hat am 17.01.08 dichtgemacht – sehr schade! Nicht für mich, aber für andere Wechselwillige, ich bin mit meinem Ubuntu sehr zufrieden.

  3. Bei der Bildbearbeitungssoftware "Gimp" (Open Source) hat man die Möglichkeit, nach dem Bearbeiten, beispielsweise der Verkleinerung, beim Abspeichern der Bilddatei die EXIF-Daten löschen zu lassen.
    Ähnliches bietet auch beispielsweise IrfanView.
    Somit sind obige Probleme nicht mehr gegeben.

  4. Ja Ubuntu ist Super war mein erster Einstig in Linux.
    Auch wenn es für leihen etwas Unübersichtlich erscheint hat man sich nach weniger Zeit Recht Schnell eingearbeitet. 😆

  5. […] Natürlich enthält die beigefügte Datei einen freundlichen Virus, der nach dem Entpacken durch Klicken auf die „google webmastertools.exe“ gestartet wird. Mein Viren-Scanner erkannte ihn nicht, aber zum Glück habe ich die beste Sicherheits-Software der Welt installiert: Brain 2.0. […]

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.