Archiv

Tracking
Wie Internet-Nutzer ausspioniert werden

Wer eine Website im Internet aufruft, wird sofort beobachtet. Nicht unbedingt von staatlichen Geheimdiensten, aber auf jeden Fall von kommerziellen Datenhändlern. Diese protokollieren jeden Aufruf einer Website, egal mit welchem Gerät. Machen lässt sich dagegen so gut wie nichts.

Von Peter Welchering |
    Symbolfoto zum Thema Internetkriminalität: eine Hand vor einem Computer-Monitor
    Kommerzielle Datenhändler folgen Internetnutzern überall hin. (imago / epd / Annette Zoepf)
    "Man weiß ja in der Regel nicht, was diese Tracker mit den Daten alles machen."
    Manfred Kloiber: Sagt Hermann Sauer, der eine Sicherheitsbox entwickelt hat, um unbelauscht und unbeobachtet im Internet surfen, mailen und chatten zu können. Doch dieser Schutz dient gar nicht in erster Linie dazu, Angriffe auf die Privatsphäre durch Geheimdienste und Ordnungshüter abzuwehren. Sondern es geht darum, die Schnüffelei durch Online-Anbieter und Internet-Dienste zu stoppen. Peter Welchering, Sie haben zusammen mit einigen Experten diese Sicherheitsbox, etwas zusätzliche Software und einige Webdienste genommen, um herauszubekommen, wie weit die kommerzielle Überwachung im Internet denn geht. Was ist dabei herausgekommen?
    Peter Welchering: Gut 1.000 Unternehmen weltweit überwachen uns im Netz, und zwar lückenlos. Ein Großteil dieser Datenhändler tauscht die Überwachungsdaten untereinander aus, ein Teil verkauft diese Überwachungsdaten an Nachrichtendienste und andere Sicherheitsbehörden. Und diese Überwachung erfolgt geräteübergreifend. Mit anderen Worten: Wer ein Smartphone, einen Laptop oder einen PC hat und irgendeinen Netzservice damit nutzt, dessen Verhalten wird umfassend kontrolliert. Und die Datenschützer stehen diesem Treiben weitgehend hilflos gegenüber.
    Kloiber: Bevor wir uns diese kommerzielle Überwachung im Detail ansehen, fassen wir kurz zusammen, wie dieser Überwachungstrend aussieht und welche Daten die kommerziellen Netzüberwachungsunternehmen von uns tagtäglich erheben. Mit welchen Methoden sie uns identifizieren.

    Die technische Ausstattung war nicht anspruchsvoll: Eine Sicherheitsbox namens Trutzbox, die als Router fungiert. Dazu Software, um den Netzverkehr am eigenen Router analysieren zu können und Tools wie ip-check.info, browserspy.dk oder audiofingerprint, um genau verfolgen zu können, welche Webserver welche Daten vom Browser haben wollen, wenn ein ganz normaler Internetnutzer surft. Das Ergebnis: Durch die Verknüpfung von Nutzungsprofilen im Netz mit Mailadressen, Telefonnummern und Social-Media-Accounts werden Internet-Nutzer identifiziert, wird ihr Verhalten protokolliert. Die Tracking genannten Methoden der Überwachung sind dabei ausgefeilter und vielfältiger geworden. Galt vor einigen Jahren noch der Cookie als das Identifizierungsinstrument der Wahl, so sind es heute Identitätsnummern, Signaturen und Browserprofile. Hermann Sauer beschreibt das so.
    "Der setzt gar keinen Cookie hier, sondern er übermittelt durch die Query-Parameter, also das, was im Prinzip jetzt auf dem Server aufgerufen wird als Parameter, hier zum Beispiel meine Bildschirmauflösung mit Farbeinstellung, wo ich mich gerade befinde. Es gibt eine eindeutige ID, wie viel Tabs ich gerade aufhabe, er kommt auch an die Bookmarks dran, an die Historie, wo ich schon mal gesurft habe, um weitere Informationen zu finden, was natürlich gerade für das Fingerprinting des Browsers ganz wichtig ist, ist, welches Betriebssystem habe ich, welche Version genau, welche Plug-ins habe ich im Browser. Und diese fünf oder sechs Parameter, die sind so eindeutig, dass mich das unter Milliarden von Internet-Usern immer wieder eindeutig macht, weil ich mit der gleichen Bildschirmauflösung des Browsers starte, das kann er herauskriegen, die Farbauflösung und die genauen Einstellungen des Browsers, die sind so individuell, dass er im Prinzip mich nächste Woche oder morgen oder jetzt gleich, wenn ich eine andere Seite aufrufe, wiedererkennen kann."
    Zwischen 120 bis 260 Datenabfragen bei Aufruf einer Nachrichtenseite
    Die von Hermann Sauer und seinem Team entwickelte Trutzbox dient dabei in erster Linie der Abwehr von Überwachungsmaßnahmen. Doch mit diesen Abwehrmethoden lässt sich auch herausfinden, von welchen Webservern welche Anfragen an das Gerät des Internet-Nutzers geschickt werden und welche Daten sie vom Nutzer haben wollen. Denn wer Überwachung abwehren will, muss wissen, wie sie funktioniert. Hermann Sauer:
    "Die Trutzbox schaut sich an, welche Daten an den Server gehen, und hat 'ne gewisse Intelligenz, um Cookies zu handeln, um Daten, die meine Identität verraten, entsprechend zu manipulieren. Dadurch wird der gesamte Traffic zu der Seite, die ich aufrufe, die ich ja nicht blockieren kann, so manipuliert, dass auch der Server, den ich aufrufe, mich nicht ohne Weiteres überwachen kann."
    Für unsere Recherchen, wer hier die Netznutzer wie überwacht, musste allerdings genau diese Schutzfunktionen ausgeschaltet werden, um die Datenabfragen der Überwachungsserver nachverfolgen zu können. Schon beim Aufruf einer Nachrichtenseite konnten so zwischen 120 bis 260 Datenabfragen von Internet-Servern dokumentiert werden. Beim Aufruf von Online-Shops und den Angeboten von Versandhändlern waren das teilweise über 100 Zugriffe von anderen Internet-Servern auf den Browser des Nutzers. Die dabei eingesetzten Javascripts für das Tracking sind sehr ausgefeilt. Sie weisen zum Teil mehr als 10.000 Programmzeilen auf, die sehr unterschiedliche Überwachungsfunktionen ausführen.


    Kloiber: Das hört sich nach Komplettüberwachung an. Wie intensiv arbeiten denn diese gut 1.000 Überwachungsfirmen zusammen, die in diesem Bereich tätig sind, Peter Welchering?
    Welchering: Also wir haben das bei den Recherchen für ein halbes Dutzend der großen Datenhändler und Marktforscher nachvollziehen können. Die haben ihre Tracker so aufeinander abgestimmt, dass die untereinander Daten austauschen, um nicht bei einem Browserprofil hängen zu bleiben, sondern den Nutzer dahinter persönlich identifizieren zu können. Dabei spielen übrigens Cookies auch noch immer eine Rolle. Sie werden allerdings zunehmend unwichtiger. Ein typisches Muster, das man durch die von der Trutzbox protokollierten Zugriffe dabei erkennen konnte, war, dass der Tracker eines Datenhändlers in meinem Browser einen Cookie setzt. Dieser Cookie wird an den Server des ersten Datenhändlers zurückgeschickt. Für diesen Cookie wird ein einmaliger und eindeutiger Schlüssel errechnet. Der Schlüssel geht an meinem Browser, wird auf meinem Rechner abgelegt. Und mein Browser erhält dann den Befehl vom Webserver des ersten Datenhändlers, diesen Schlüssel an weitere Webserver anderer Datenhändler weiterzureichen.
    Kloiber: Welche Rolle spielen dabei Social-Media-Dienste?
    Welchering: Eine zentrale Rolle. Sehr viele Identifizierungen laufen immer noch über die Facebook-ID. Das ist ja seit dem Jahr 2010 bekannt. Diese Facebook-ID nutzt beispielsweise ein Versandhändler, um zu protokollieren, welche Produkte sich ein Internet-Nutzer anschaut. Kunden, die sich nicht auf der Seite dieses Versandhändlers mit ihrem Kundenaccount anmelden, werden über ihre Facebook-ID identifiziert. Und da kann dann ermittelt werden, welche Produkte der Nutzer sich anschaut, wie lange er das tut, in welcher Interessentiefe, und damit lässt sich künftiges Kaufverhalten, lassen sich die Interessen dieses dann persönlich bekannten Kunden sehr gut ermitteln. Aber die Facebook-ID hat einen Konkurrenten bekommen, nämlich IDs von Datenhändlern.
    Kloiber: Habe ich dann als Nutzer bei jedem dieser Datenhändler eine eigene ID?
    Ein gigantisches Staatsversagen
    Welchering: Da wird kräftig kooperiert. Das lässt sich auch an den protokollierten Zugriffen ablesen. Die ID, die ein Datenhändler einem Nutzer verpasst hat, wird über weitere Zugriffe an andere Datenhändler weitergegeben. Und das passiert auch geräteübergreifend, etwa mit meinem Smartphone und Laptop, sodass dann auch Bewegungsprofile mit einfließen.
    Kloiber: Wie kommen denn die Datenhändler von dieser ID zur persönlichen Identität eines Nutzers?
    Welchering: Dazu brauchen sie seine Mail-Adresse oder Telefonnummer. Die erhalten sie entweder über Social-Media-Accounts oder aber, indem sie bei der Nutzung von Web-Mail beim Aufruf des Kontos tracken. Ich habe das bei meinem Web-Mail-Konto mal nachverfolgt: Es gab 121 Get-Befehle und drei Befehle werteten den URL aus, aus der meine Mail-Adresse ermittelt werden konnte.
    Kloiber: Zum Schluss die Frage aller Fragen: Wie kann sich der Netznutzer vor dieser weitreichenden Überwachung schützen?
    Welchering: Effektiver Schutz ist hier schwierig. Virtuelle private Netzwerke helfen, Sicherheitsboxen wie die Trutzbox helfen. Letztlich ist es eine staatliche Aufgabe, das Recht der Bürger auf informationelle Selbstbestimmung durchzusetzen. Und hier haben wir es mit einem gigantischen Staatsversagen zu tun.