Anonym im Internet
Transcription
Anonym im Internet
16 KnowWare EXTRA 4,- d chlan s t u e D Anonym im Internet Wie schütze ich beim Surfen meine Privatsphäre? Wie bleibe ich so anonym wie möglich? Andreas Janssen www.KnowWare.de Deutschland: 4,- EUR Österreich: 4,60 EUR Schweiz: 8 SFR Luxemburg: 4,70 EUR Italien: 5,50 EUR Acrobat Reader - Bestellung - Autoren gesucht Acrobat Reader: Wie ... F5/F6 öffnet/schließt die Ansicht Lesezeichen Strg+F sucht Im Menü Ansicht stellst du ein, wie die Datei gezeigt wird STRG+0 = Ganze Seite STRG+1 = Originalgrösse STRG+2 = Fensterbreite Im selben Menü kannst du folgendes einstellen:: Einzelne Seite, Fortlaufend oder Fortlaufend - Doppelseiten .. Probiere es aus, um die Unterschiede zu sehen. Navigation Pfeil Links/Rechts: eine Seite vor/zurück Alt+ Pfeil Links/Rechts: Wie im Browser: Vorwärts/Zurück Strg++ vergrößert und Strg+– verkleinert Bestellung und Vertrieb für den Buchhandel Bonner Pressevertrieb, Postfach 3920, D-49029 Osnabrück Tel.: +49 (0)541 33145-20 Fax: +49 (0)541 33145-33 bestellung@knowware.de www.knowware.de/bestellen Autoren gesucht Der KnowWare-Verlag sucht ständig neue Autoren. Hast du ein Thema, daß dir unter den Fingern brennt? - ein Thema, das du anderen Leuten leicht verständlich erklären kannst? Schicke uns einfach ein paar Beispielseiten und ein vorläufiges Inhaltsverzeichnis an folgende Adresse: lektorat@knowware.de Wir werden uns deinen Vorschlag ansehen und dir so schnell wie möglich eine Antwort senden. www.knowware.de Inhalt 3 Vorwort .................................................... 4 Rewebber ..................................................... 31 Zu meiner Person...............................................4 Anonyme Proxies........................................... 32 Verfolgungswahn? ................................... 5 Internet Explorer ........................................... 33 Sicherheitsrisiko Nummer 1 ..................... 7 Opera .......................................................... 34 Guck mal, wer da sammelt ....................... 8 Proxy-Tools .................................................. 34 1. Der Staat ......................................................8 Sichere Email ......................................... 36 Exkurs – Die Situation in Europa........................8 Pretty Good Privacy ....................................... 36 Grossbritannien ...............................................8 Gnu PG ........................................................ 37 Deutschland....................................................8 JAP......................................................... 38 Österreich.......................................................8 Remailer ................................................ 39 Ungarn ...........................................................8 Niederlande ....................................................9 Software, die den Rechner sicher macht..................................................... 40 Polen .............................................................9 Scramdisk .................................................... 40 Schweiz..........................................................9 Erstellung einer Scramdisk.............................. 40 Exkurs: Und die USA? ......................................9 Nutzung von Scramdisk.................................. 42 2. Die Industrie..................................................9 Weiteres zu Scramdisk ................................... 42 3. Hacker ........................................................ 10 AdAware ...................................................... 42 4. Weitere Interessenten................................... 10 Zukunftsmusik?...................................... 44 IP-Adresse – was ist das? ...................... 11 Palladium ..................................................... 44 Die Methoden der Sammler .................... 12 TCPA............................................................ 44 Die Methoden staatlicher Sammler ................... 14 LI-XML ......................................................... 44 Von Address- und anderen Haien ....................... 14 Big Brother Awards ................................ 46 Der gläserne Surfer ................................ 15 Willkommen bei den deutschen BigBrotherAwards.......................................... 46 Was Browser verraten – und wie man sich schützt ............................................ 16 1. Allgemein.................................................. 16 2. Sicherheit ................................................. 17 3. Inhalte ..................................................... 18 4. Verbindungen ............................................ 19 5. Programme ............................................... 19 6. Erweitert................................................... 19 Beispiel: Was dein Browser verrät ...................... 20 Betriebssystem ...................................... 21 XP-Antispy .................................................... 23 Outlook Express ..................................... 24 Wer verrät noch mehr? .......................... 25 Dein Provider ......................................... 26 Preisträger 2002 Deutschland ......................... 46 Preisträger 2002 – Österreich ......................... 47 Preisträger 2002 – Schweiz............................. 48 Stop 1984 .............................................. 49 Fallbeispiel ............................................. 50 URLs zu Programmen und anderen Seiten..................................................... 51 Anonyme Proxies........................................... 51 JAP .............................................................. 51 Proxy-Tools .................................................. 51 Rewebber ..................................................... 51 Sichere Email ................................................ 51 GNU PG........................................................ 51 Was sagen Provider zum Datenschutz? ............. 27 Testseiten zum Überprüfen der BrowserSicherheit .................................................. 51 Was dein Provider weiß ... .............................. 27 Weitere Sites zum Thema Sicherheit ................ 51 Internetdienste ...................................... 28 Initiativen..................................................... 51 Überwachung an der Arbeit.................... 29 Nachrichten zum Thema ................................. 51 Und zu Hause?........................................ 29 Anhang – Unabhängigkeitserklärung des Cyberspace ...................................... 52 Zusammenfassung ................................. 30 Rewebber und anonyme Proxies ............ 31 Was ist ein Proxy? ......................................... 31 4 Vorwort Vorwort Wer heute von „Überwachung“, von „Datensammelwut“ und „Anonymität im Internet“ spricht, gerät leicht zwischen zwei Fronten: Die eine Gruppe sind die, die meinen, sie hätten nichts zu verbergen; die, die Überwachung als notwendig für die Sicherheit ansehen, für die „Cookies“ nichts als Kekse sind; – für die anderen ist es schon zuviel, dass ihr Provider ihre Zugangsdaten für die Rechnung erfasst. Und der Kampf zwischen diesen beiden Seiten wird genauso verbissen und oft unsachlich geführt wie jeder andere Glaubenskrieg. Um mich gleich von vorneherein zu outen: Ich gehöre zu keiner dieser beiden Gruppen, ich bin der Meinung, es gibt mehr als schwarz und weiß. Ab einem gewissen Punkt ziehe ich eine Grenze, über die niemand ohne meine Einladung zu gehen hat – kein Staat, keine Firma und schon gar kein Hacker. Dieses Heft heißt zwar „Anonym im Internet“ – eigentlich geht es aber um etwas anderes. Im Englischen benutzt man für diese Sache das Wort „privacy“, was fast, aber nicht ganz, dem Wort „Privatsphäre“ entspricht. Genau darum geht es: Wie schütze ich beim Surfen meine Privatsphäre, wie bleibe ich so anonym wie möglich? Wer sich also als Hacker versuchen will und hofft, in diesem Heft das nötige Handwerkszeug dazu zu finden, den muss ich enttäuschen: Die absolute Anonymität im Internet ist ein Traum – es gibt sie nicht. Wann und wo auch immer du ins Internet gehst, welche Tipps und Tricks du auch benutzen magst: alles kann zu dir zurückverfolgt werden – und spätestens, wenn du als Hacker auffällst, wird genau das passieren. Geht es dir aber nur darum, die Privatsphäre zu schützen, ist dieses Heft das Richtige für dich. Ich werde dir zeigen: • • • • • • wer Daten über dich sammelt; welche Methoden dazu benutzt werden; was Browser und Betriebssysteme über dich verraten und wie du das verhinderst; wo die Gefahren bei Emails liegen; wie du deine Daten privat hältst; welche Mittel du zu deinem Schutz einsetzen kannst. Zu meiner Person Ich bin 37 Jahre alt und arbeite an der Hotline für einen der grössten Anbieter von Sicherheits-Software weltweit. Mit dem Internet habe ich seit 1995 zu tun, mit dem Thema „Überwachung“ seit der missglückten Volkszählung 1984. Im Knowware-Verlag ist von mir das Heft „Viren, Hacker, Firewalls – Sicherheit am PC“ erschienen. Wie auch zu dem anderen Heft, stehe ich zu Fragen per Email zur Verfügung: janssenandreas@yahoo.de Und natürlich gibt es auch für dieses Heft eine Internetseite: de.geocities.com/ janssenandreas/privacy.html Verfolgungswahn? 5 Verfolgungswahn? 1984 scheiterte der Versuch der damaligen Bundesregierung, eine Volkszählung durchzuführen, vor dem Bundesverfassungsgericht in Karlsruhe. Die Richter kritisierten u.a. die fehlende Anonymität der Erhebung und betonten das „Recht auf informelle Selbstbestimmung“ der Bürger. Ein zweiter Anlauf zur Volkszählung 1986 wurde – trotz Androhung hoher Bußgelder – von mehreren hunderttausend Menschen boykottiert und endete nach Expertenmeinung „in einem Haufen Datenmüll“. Seit damals hat sich viel geändert – weniger an der Datensammelwut als am Bewusstsein der Bürger. Wer heute von „Überwachung“ spricht, dem wird allzuleicht Verfolgungswahn attestiert; er wird gefragt, ob er etwas zu verbergen hätte; ihm werden kriminelle Absichten unterstellt. Tatsache ist: • Niemals wurden so viele Daten gesammelt wie heute. • Nirgendwo finden wir so viele Daten wie im Internet. • Nicht nur Polizei und Behörden, auch Firmen, Detekteien, Marktforschungsinstitute und andere nutzen das Internet als unermüdliche Datenquelle. • Selbst für Hacker und Betrüger ist das Internet ein reines El Dorado. Der „gläserne Surfer“ ist kein Schlagwort, sondern bittere Realität. Jeder kann über einen Menschen, der viel surft, eine Menge herausfinden – und das ohne allzuviel Arbeit. Selbst dem Normalanwender wird das Ausspähen eines anderen leicht gemacht – nicht zuletzt durch Unvorsicht der Surfer selber. Nehmen wir das – zugegebenermaßen konstruierte – Beispiel des Klaus Dehrent, der nichts zu verbergen hat: Klaus Dehrent hat sich bei einer grossen Firma beworben. Dem Personalchef haben seine Unterlagen gefallen, routinemäßig macht er jedoch eine Recherche im Internet – und da kommt Überraschendes heraus: 1. Als Erstes gibt er den Namen „Klaus Dehrent“ in eine Suchmaschine wie Google (www.google.de) ein. Er findet 13 Einträge, von denen 5 irrelevant sind. Die übrigen 8 sieht er sich an: • 3 der 8 Einträge verweisen auf die Homepage von Klaus. Dies ist eine Art öffentliches Profil, ein Schaufenster, in dem Klaus sich selber darstellt. Der Personalchef überfliegt die Seiten, stellt fest, dass Klaus Motorcross fährt (stand nicht in den Bewerbungsunterlagen), notiert sich für spätere Suchen noch die angegebene Email-Adresse und will schon weitergehen, als er noch einen Blick auf die Link-Seite wirft: Fast alles Motorcross, doch da ein Link auf die „Anonymen Alkoholiker“. Der Personalchef runzelt die Stirn, notiert „Alkoholprobleme?“ und blättert weiter. • 3 weitere Einträge sind aus Gästebüchern anderer Websites – eines von einer Tabakfirma, wo Klaus sich nach einer bestimmten Tabaksorte erkundigt, eine von www.vocatus.de, wo er sich massiv über eine Firma beschwert, die dritte von einem Rollenspiel. • Die beiden letzten Einträge sind aus dem Heise-Forum (www.heise.de), wo Klaus sich über Microsoft auslässt. 2. Heise ist gleich eine gute Adresse zum Weitersuchen. Der Personalchef nimmt das „Alias“ von Klaus (bei Heise gibt man sich selber einen Benutzernamen, ein „Alias“ oder einen „Nic“) und lässt sich alle Beiträge anzeigen – 241 Treffer! Da das Ganze zu viel zum Ansehen ist, überfliegt der Personalchef die Themen und sieht sich die interessantesten an. Nach 10 Minuten kommt er zu folgendem Fazit: • Klaus steht politische eher im linken Spektrum; • mehrfach hat er Leute, die anderer Meinung waren, heftig und unsachlich angegriffen, statt sich mit ihnen sachlich auseinanderzusetzen (der Personalchef notiert „intolerant“); • in einem Beitrag erwähnt er eine Therapie, die er gemacht hat, ohne ihre Art zu erläutern; • in einem weiteren Beitrag erzählt er von einem Gerichtsverfahren, das gegen Geldbuße eingestellt wurde (es ging um das Hacken einer Website); 6 Verfolgungswahn? • in einem dritten Beitrag steht eine andere Email-Adresse als die, die der Personalchef schon hat. Das positive Bild aus den Bewerbungsunterlagen verschiebt sich, doch der Personalchef sucht weiter. 3. Unter der ersten Emailadresse findet er nicht viel Neues im Internet, unter der zweiten jedoch eine weitere Website von Klaus, die offenbar schon länger nicht aktualisiert wurde. Auch hier geht es um Motocross, und hier erzählt Klaus von einem schweren Unfall, den er vor einiger Zeit hatte und von dem er immer noch Rückenschmerzen hat (wieder eine Notiz auf dem Block des Personalchefs.) Außerdem befindet sich ein Link auf Klaus’ Auktionen bei einem grossen Auktionshaus auf der Site. Ein kurzer Klick zeigt keine aktuellen Auktionen – dafür interessiert sich der Personalchef aber auch nicht, sondern für die Bewertungen: 14 Stück, davon 3 negative (eine wegen einer verkauften Raubkopie, zwei, weil er Ware nicht geliefert bzw. nicht bezahlt hat). Der Personalchef notiert: nicht zuverlässig. 4. Die Sache ist schon fast erledigt, doch zu guter Letzt sucht der Personalchef noch im Usenet nach beiden Email-Adressen. Unter der ersten findet er fast ausschliesslich Einträge bei Motocross (jedoch auch zwei bei Alkoholismus, die sehr aufschlussreich waren und zur Streichung des Fragezeichens bei „Alkoholprobleme führten), bei der zweiten schliesslich findet er drei Postings unter alt.sex.fetish.bondage und ein Posting, in dem Klaus sich abfällig über seinen derzeitigen Arbeitgeber auslässt. Am nächsten Tag findet Klaus in seinem Briefkasten seine Bewerbungsunterlagen und die Mitteilung, dass man sich für einen anderen Bewerber entschieden habe – er möge diese Absage nicht persönlich nehmen. Weiterhin wünscht man ihm viel Erfolg für seinen weiteren Lebensweg. Wie würde Klaus sagen: „Ich habe doch nichts zu verbergen!“ Das Ganze hört sich weit hergeholt an? Nun, im Dezember 2002 suchten Hacker im Internet nach Informationen über John M. Poindexter, den Chef des „Total Information Awareness“-Projekts des US-Verteidigungsministeriums (siehe Exkurs: „Und die USA?“). Innerhalb weniger Tage war bekannt, dass Poindexter 269 700 Dollar für sein Haus in Maryland bezahlt hat und dass es nicht gestrichen, sondern mit Aluminium verkleidet ist. Weiterhin tauchten Daten aus seiner Steuererklärung auf, Satellitenbilder seines Grundstücks und seine private Telefonnummer (301-424 66 13) sowie weitere Informationen. Sicherheitsrisiko Nummer 1 7 Sicherheitsrisiko Nummer 1 Das Beispiel oben zeigt auch, wo das Sicherheitsrisiko Nummer 1 liegt: Beim User. Was nützt der sicherste Rechner, wenn der User seine Email-Adresse und seine persönlichen Daten wie Konfetti ins Internet wirft, wenn die wesentlichen Sicherheitsvorgaben, die auch für den unbeteiligten Beobachter unmittelbar einsichtig sind, missachtet werden? Es gibt eine Hand voll Sicherheitsvorgaben, die man sich auf jedem Fall zu eigen machen sollte, bevor man das Internet nutzt. Dazu gehört: • • • Gehe nie ins Internet, wenn du als Benutzer mit Administrator-Rechten angemeldet bist (unter Windows-NT oder 2000 also als 'Administrator' oder User mit Administrator-Rechten, unter Unix oder Linux als 'root'). Es ist grundsätzlich sicherer, einen eigenen Benutzeraccount (Benutzerkonto) mit eingeschränkten Rechten anzulegen, um ins Internet zu gehen – so verhinderst du, dass ein Hacker oder ein Schadprogramm wie z.B. ein Trojaner auf deinem Rechner Administrator-Rechte erhält. Ein solcher speziell eingerichteter User sollte z.B. keine Löschrechte auf dem System haben und keine Systembefehle ausführen können. Achte darauf, dass du persönliche Daten in Formularen nur auf Seiten angibst, die SSL-gesichert sind. Dies ist eine spezielle Verschlüsselung im Internet, die das Abhorchen solcher Dateien verhindern soll. Solche Seiten sind zwar nicht hundertprozentig sicher, aber doch sicher genug, um den meisten Angriffen zu widerstehen. Sorge dafür, dass Betriebssystem und Browser immer auf dem neuesten Stand sind. Sicherheitsupdates oder Servicepacks sind kein unnötiger Luxus, sondern durchaus sinnvoll. • • • • • Öffne nicht jede Mail und jedes Attachment, das dir zugesendet wird. Du weißt nie, was dir da ins Haus flattert. Das ach so nützliche Tool kann sehr wohl ein Trojaner sein; der interessante Link, den dir Vanessa schickt, führt dich nicht auf eine Seite mit vielen bunten Bilderchen, sondern installiert auf deinem Rechner einen Dialer. Sorge dafür, dass vertrauliche Daten nicht auf eben der Festplatte liegen, auf der auch der Internetzugang ist. Am besten ist es, zwei Betriebssysteme zu installieren: Eines für den Zugang zum Internet und eines, um normal mit dem Rechner zu arbeiten. Ansonsten verschlüssle deine Dateien mit einem guten Verschlüsselungsprogramm wie etwa Pretty Good Privacy oder verstecke sie – z.B. mit Scramdisk – auf einem virtuellen Laufwerk. Zu diesen Programmen weiter hinten mehr. Verlasse dich nicht auf die Verschlüsselungsmechanismen von Word, Excel etc. Sie sind für den Hausgebrauch ganz nett – jemandem, der sich auskennt, entlocken sie aber nur ein müdes Grinsen. Gib in Chats, Foren etc. niemals deine Adresse, deine Telefonnummer oder gar Bankdaten an. Schließlich: Benutzt du die MainstreamProgramme,also die Programme, die von den meisten Usern genutzt werden, bist du eher ein Zielobjekt als ein User, der nicht so gebräuchliche Programme nutzt. Das betrifft nicht nur dein Betriebssystem, sondern auch deinen Browser und dein Mailprogramm. Abgesehen davon gibt eshervorragende Alternativen zu den üblichen Browsern und Mailprogrammen, die obendrein kostenlos sind. 8 Guck mal, wer da sammelt Guck mal, wer da sammelt Der Fall von Klaus ist kein Einzelfall – Millionen von Surfern weltweit hinterlassen Datenspuren, die sich ohne allzugrossen Aufwand zusammentragen lassen. Dabei ging es hier nur um Informationen, die Klaus selber gemacht hat. Keine Information, die du im Internet gibst, geht wirklich verloren. So liegt das Usenet-Archiv – und damit alle Beiträge von Anfang an – jetzt bei Google: www.google.de/grphp?hl=de Heise zeigt auch Kommentare, die du vor Jahren einmal abgegeben hast; andere Foren arbeiten ähnlich; und selbst geschlossene Internet-Seiten werden eine gewisse Zeit archiviert, etwa bei Google oder hier: www.archive.com Jede Information kann Geld wert sein – es ist eine ganze Industrie entstanden, die solche Recherchen wie die von Klaus durchführt. Doch die Datensammelwut geht weit darüber hinaus: Es werden nicht nur frei zugängliche Informationen gesammelt – jeder Besuch einer Internetseite dient dazu, Informationen über dich zusammenzutragen. Es gibt drei Interessengruppen, die an deinen Daten Interesse haben: Der Staat, die Industrie und schliesslich Hacker. 1. Der Staat Spätestens seit den Anschlägen vom 11. September 2001 ist die Sammelwut aller Staaten ins Unermessliche gestiegen. Europaweit wurden Provider verpflichtet, Verbindungsdaten der Nutzer über längere Zeit zu speichern und gegebenenfalls den Strafverfolgungsbehörden zu übergeben. Exkurs – Die Situation in Europa Hier einige Beispiele über die Situation in Europa – die Beiträge stammen von diversen Nachrichtenmagazinen im Internet, vor allem www.heise.de: Grossbritannien „Neben sieben Ministerien (Department of Environment, Food and Rural Affairs, Department of Health, Home Office, Department of Trade and Industry, Department of Transport, Department for Work and Pensions, Northern Ireland executive's Department of Enterprise) sollen sich fast alle regionalen Behörden und andere staatliche Institutionen wie die Postkommission oder das Umweltamt frei und ohne vorherige richterliche Genehmigung über das Kommunikationsverhalten der britischen Bürger informieren können. Noch nicht festgelegt ist, ab welchem Rang ein Beamter die Daten anfordern kann.“ Deutschland „Allen drei Geheimdienste wird zudem der Weg zu tiefen Einschnitten ins Fernmeldegeheimnis über das Gesetz zur Einschränkung des entsprechenden Grundrechtsparagraphen Artikel 10 (G-10-Gesetz) geebnet. Die an die Neufassung der Lauschbefugnisse des auslaufenden § 12 des Fernmeldeanlagengesetzes teilweise angelehnten Formulierung geht nun dahin, dass ihnen Telekommunikationsunternehmen und Anbieter von Telediensten im Internet Verbindungs- und Nutzungsdaten frei Haus servieren müssen.“ Österreich „Einer Pressemitteilung der ISPA zufolge dürfen militärische Organe und Dienststellen nach der Gesetzesnovelle bei österreichischen Internet-Providern die Herausgabe von Kundendaten verlangen. Die Provider müssen "kostenfrei und unverzüglich" Namen, Adressen und Teilnehmernummern preisgeben – dazu muss das Militär nur erklären, man benötige diese Daten. Eine "Gefahr im Verzug" muss nicht bestehen.“ Diese Gesetzesnovelle wurde mittlerweile angenommen. Im Gesetz heisst es: „Militärische Organe und Dienststellen nach Abs. 1 dürfen von den Betreibern öffentlicher Telekommunikationsdienste jene Auskünfte über Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses verlangen, die diese Organe und Dienststellen als wesentliche Voraussetzung zur Erfüllung von Aufgaben der nachrichtendienstlichen Aufklärung oder Abwehr benötigen. Die ersuchte Stelle ist verpflichtet, die Auskunft unverzüglich und kostenlos zu erteilen." Ungarn „Wie in vielen anderen Ländern benötigen auch in Ungarn Strafverfolger eine richterliche Genehmigung, um Informationen von verschiedenen Telekommunikationssystemen zu erhalten, d.h. um diese abzuhören. Nach dem Nationalen Sicherheitsgesetz aus dem Jahre 1995 ist für die Strafverfolgung jedoch kein Durchsuchungsbefehl notwendig, um Informationen zu erhalten, die als vertraulich Guck mal, wer da sammelt gelten. Das bedeutet, der Geheimdienst kann eine Person ausspionieren, ohne irgendeiner Kontrolle zu unterstehen, indem einfach und willkürlich eine bestimmte Operation als Staatsgeheimnis tituliert wird.“ Niederlande „Niederländische Internetprovider erwarten, dass Strafverfolgungsbehörden im Jahr 2004 Informationen über 300.000 Internet-User einholen werden – vom Namen über den Wohnort bis zur genauen Adresse. Diese Zahlen werden in einem internen Dokument der niederländischen Vertretung der InternetServiceprovider, NLIP, genannt, das hier publiziert wurde: www.opentap.com. Laut demselben Dokument erwarten niederländische Provider, dass sie im Jahr 2005 Abhöranordnungen über 0,15 % ihrer User erhalten, was auf 9000 Abhöranordnungen hinausläuft. Im Jahr 2003 würden es also 4500 Abhöranordnungen sein. Am dramatischsten ist aber die in dem Dokument geschätzte Zahl der Personen, über welche die Polizei Auskünfte haben will. Von 90.000 im Jahr 2003 zu 300.000 im Jahr 2004, das entspricht 5% der Gesamtanzahl der Internet-User.“ Polen In Polen ist mittlerweile geplant, dass fünf Tage lang nur mit Erlaubnis eines Staatsanwaltes abgehört werden darf – danach muss ein Richter entscheiden. Schweiz In der Schweiz sind die Provider nach dem „Bundesgesetz zur Überwachung des Postund Fernmeldeverkehrs“ gezwungen, die Email-Daten ihrer Kunden für das Eidgenössischen Departement für Umwelt, Verkehr, Energie und Kommunikation sechs Monate lang zur Verfügung zu halten Zu diesen Nutzungsdaten, die gespeichert werden, gehört: • Von wann bis wann du im Internet warst • Welche IP-Adresse du benutzt hast • Welche Sites besucht wurden Solltest du übrigens von der Arbeit surfen: Auch dein Arbeitgeber sammelt diese Daten; er kann sie selber auswerten und muss sie auf Anfrage ebenfalls Strafverfolgungsbehörden oder Geheimdiensten übergeben. Außerdem kann jederzeit dein Email-Verkehr überwacht werden. Jede von dir gesendete 9 Email wird beim Email-Anbieter geloggt, d.h. es wird festgehalten, wann du an wen eine Email mit welchem Titel – manchmal sogar, mit welchem Inhalt – gesendet hast. Exkurs: Und die USA? Im Verteidigungsministerium laufen im Rahmen des „Total Information Awareness“Projekts des US-Verteidigungsministeriums Bemühungen, ein System zur weltweiten Überwachung des Internets einzurichten. Ziel soll es sein, die Spur von Terroristen weltweit zu verfolgen. Zu diesem Zweck soll auf Datenbanken in der ganzen Welt zugegriffen werden, um Kreditkartenabrechnungen, Reisen oder Arzneimittelverschreibungen zu überprüfen. Der amerikanische Geheimdienst NSA ist schon seit Jahren im Internet aktiv. Dabei geht es nicht nur um die Verfolgung von Straftätern – auch für Wirtschaftsspionage waren die Herren sich nicht zu fein. Der „Foreign Intelligence Surveillance Act“ (FISA) erlaubt den US-Ermittlungsbehörden, auch dann abzuhören und zu überwachen, wenn kein konkreter Verdacht einer Straftat vorliegt. International arbeiten die US-Geheimdienste unter anderem mit Europol zusammen – ein Datenaustausch zwischen den Ermittlungsbehörden ist vereinbart, obwohl das Abkommen weder Datenschutz noch informelle Selbstbestimmung der europäischen Bürger berücksichtigt. George W. Bush geht sogar noch weiter und fordert, die Datenschutzbestimmungen in Europa zu lockern. 2. Die Industrie Mag man beim Staat noch von einem berechtigten Interesse ausgehen (Gefahrenabwehr, Strafvereitelung und Strafverfolgung), so geht es bei den Interessen nur um eines – um Geld. Der Werbemarkt im Internet (und nicht nur dort) ist heiß umkämpft. Jedes Werbebanner bringt Geld, jeder Klick auf ein Werbebanner bringt mehr Geld. Schon früh wurde daher überlegt, wie man Werbung auf die Sites bringt, die den jeweiligen Surfer anspricht. Über die Methoden, wie das funktioniert, werde ich im nächsten Kapitel mehr sagen – hier geht es um das Ziel der Datensammelei. Und dieses Ziel heisst: Ein möglichst umfassendes Benutzerprofil zu schaffen. Dazu gehört: Guck mal, wer da sammelt 10 • • • • • • • • Von welcher Site kommt der Besucher? Welche Sites hat er in der laufenden Sitzung besucht? Welchen Browser hat er, und wie ist dieser eingestellt? Reagiert er auf ein Werbebanner? Besucht er einzelne Sites mehrfach? Ist er identifizierbar – z.B. über die IPAdresse? Welche Interessen hat er? Gibt es weitere Informationen? Besonders in den USA, aber auch in Europa, werden persönliche Benutzerprofile zusammengestellt und gespeichert. Einer der größten Anbieter von Spyware, Cydoor , schreibt auf seiner Site www.cydoor.com unter dem Stichwort „Privacy“: „Cydoor no longer assigns a unique user ID.“ Im Klartext bedeutet diese Aussage: • • • Cydoors Schnüffelsoftware, die über andere Programme auf deinen Rechner kam, hat für dich eine Benutzernummer generiert, über die du jederzeit identifizierbar warst; Über diese ID konnten Daten über dich gesammelt werden; Cydoor hat diese Praxis mittlerweile eingestellt; was mit den gesammelten Daten geschehen ist, wird nicht gesagt. 3. Hacker Anders als bei Staat und Industrie gibt es bei Hackern kein dezidiertes Überwachen eines einzelnen Users quer durchs Internet (obwohl auch dies vereinzelt vorkommt). Vielmehr werden hier Informationshäppchen gesucht, auf ihre Brauchbarkeit überprüft und behalten oder weggeworfen. Dabei werden alle verfügbaren Mittel genutzt – sowohl legale als auch illegale. Die meisten Hacker sind an Informationen interessiert, die sie schnell zu Geld machen können – vor allem Kreditkartennummern und Kennworte für Internetzugänge und PPVSeiten (PPV-Pay per View-Bezahlseiten). Aber auch Firmeninterna, Forschungsergebnisse, Datenbanken etc. werden gerne genommen. Beim Schutz der Privacy werde ich nur im geringen Umfang auf die Aktivitäten von Hackern eingehen. Wer sich mit diesem Thema beschäftigen will, dem empfehle ich mein Heft „Viren, Hacker, Firewalls – Sicherheit am PC“ (Knowware-Heft 170). 4. Weitere Interessenten Wer benutzt sonst noch die Informationen des Internets, um so viel wie möglich über dich zu erfahren? Nun, da sind neben Wirtschaftsinformationsdiensten vor allem Detektive im Auftrag von Arbeitgebern und Industrie. In einem HeiseArtikel von Januar 2001 heisst es: „Doch nicht nur als Rechercheinstrument benutzt der Privatermittler die Computertechnik. Sie hilft ihm vor allem auch bei der PersonenÜberwachung am Arbeitsplatz: Arbeitgeber wollen durch die Ermittlungen erfahren, wie viel Zeit ihre Mitarbeiter mit Computerspielen oder Internet- Shopping verbringen anstatt zu arbeiten. Arglosigkeit erleichtert das Geschäft der Detektive. Viele Anwender würden bereitwillig Informationen über sich herausgeben, zum Beispiel bei der Einrichtung eines Freemail-Accounts, so Sicherheitsexperte Altmann: "Diese Daten werden dann oft weiterverkauft." Anhand von Informationen, die Menschen von sich aus auf privaten Homepages veröffentlichten, hat Ermittler Krohn selbst vollständige Personenlegenden erstellt. In den Vereinigten Staaten lande er sogar noch mehr Treffer: "In den USA haben wir eine fast 100-prozentige Erfolgsquote bei der Personenrecherche." Davon hätte selbst Sherlock Holmes geträumt.“ Detektive haben eine weitere Einnahmequelle entdeckt: Mit Hilfe des Tools „Spector“, das unauffällig auf jedem Rechner installiert werden kann, wird jeder Programmstart, jede besuchte Website, jeder Chat, jede Email und jede Passworteingabe aufgezeichnet. Diese Daten werden per Email an eine festgelegte Adresse versendet – ein traumhaftes Tool für jeden Hacker, aber auch für jeden Schnüffler. Es taucht weder in der Taskleiste noch im Systray auf. Ursprünglich war das Tool zur Überwachung von Angestellten gedacht. Die Benutzung ist in Deutschland zwar nicht legal – erworben werden kann es problemlos. IP-Adresse – was ist das? 11 IP-Adresse – was ist das? Im letzten Kapitel habe ich bereits den Begriff „IP-Adresse“ benutzt. Da dieser Begriff auf den folgenden Seiten eine wichtige Rolle spielt, möchte ich ihn hier kurz erklären – solltest du schon wissen, was eine IP-Adresse ist, kannst du dieses Kapitel überspringen. Ein Besuch im Internet ist ein beständiger Datenaustausch. Wenn du in deinem Browser eine Internet-Adresse eingibst, z.B. www.knowware.de, sucht dein Provider, also der Anbieter, mit dem du ins Internet gehst, in einem speziellen Server, dem sogenannten Name-Server, nach der IP-Adresse der gewünschten Domain – in unserem Beispiel also die Domain „knowware“ der Top-Level„de“. Top-Level Domains sind immer die Einträge, die das Land– also .de, .at, .uk – oder die Art der Site – also .info, .com, .org – bezeichnen. Hat er diese IP-Adresse gefunden, verbindet er dich mit dem Server, auf dem die Website liegt. Über diese IP-Adresse bist du während deines Aufenthaltes im Internet ständig identifizierbar. Solange du auf den Seiten eines Anbieters bist, mag dies ja noch keine Rolle spielen – was aber, wenn dir jemand bei fast jeder Seite, die du besuchst, über die Schulter sieht? Eine Sache, die später noch eine Rolle spielt: Zu Testzwecken wird allgemein die IPAdresse 127.0.0.1 freigehalten. Sie wird „Local Host“ genannt und bezeichnet immer den Rechner, an dem du gerade sitzt – selbst wenn dieser eine ganz andere IP-Adresse hat. Die dir zugeteilte IP-Adresse findest du meist schon in der Zugangssoftware des Providers. Hier ein Beispiel von freenet: Eine IP-Adresse ist also mit einer Telefonnummer zu vergleichen – nur, dass du nicht die Nummer eingeben musst, sondern nur den Namen des Gegenübers. Allerdings kannst du, wenn du möchtest, auch die IPAdresse eingeben. Eine Seite wie www.homepage.de könnte also z.B. die IPAdresse 163.83.171.15 haben. Diese kurze Beschreibung zeigt schon, dass IP-Adressen von Websites relativ statisch sein müssen, d.h. sie dürfen sich nicht sehr häufig ändern. Darüber hinaus müssen sie einmalig sein, damit du genau auf der Seite herauskommst, auf die du willst. Alternativ kannst du sie auch über den Befehl „route print“ in der Eingabeaufforderung ferststellen: Nun muss der Server der Website allerdings auch Daten an dich senden können – die Bilder der Site, die du besuchen willst. Zu diesem Zweck bekommst du von deinem Provider, sobald du ins Internet gehst, eine IP-Adresse zugeteilt. Da diese IP-Adresse von deiner Einwahl ins Internet bis zu deiner Abwahl gilt (beim nächsten Mal bekommst du wahrscheinlich eine andere), bezeichnet man diese IP-Adressen als dynamisch. Du brauchst diese IP-Adresse, um z.B. mit Bildtelefonie einen Bekannten im Internet direkt anrufen zu können. 12 Die Methoden der Sammler Die Methoden der Sammler Sicher hast du schon mehrmals die Werbung auf Internetseiten gesehen. Manchen ist sie gleichgültig, andere emfinden sie als notwendiges Übel oder als störend. Kaum jemand aber bedenkt, dass diese Werbung ein Mittel der Überwachung sein kann. Die Inhalte einer Website sind nicht als komplettes Dokument gespeichert, sondern jedes Element für sich, also der Text, die Bilder, ActiveX-Elemente, Steuerdateien .... Nun kann der Betreiber ein Bild auf einen FTPServer legen, ohne dass du als Besucher der Site dies merkst. Um dieses Bild auf der Site darzustellen, gibt der Server, auf dem die Site liegt, deine IP-Adresse an den FTPServer weiter. Dort wird sie geloggt, d.h. es wird gespeichert, dass der User mit deiner IP-Adresse von dieser Website aus dieses Bild angefordert hat. Einer der grössten Anbieter von Werbebannern im Internet ist Doubleclick: www.doubleclick.com Weltweit versorgt dieser Dienst mehrere Milliionen Internetseiten mit Werbung, nach eigenen Angaben hat er monatlich ca. 5 Mia Anzeigen geschaltet. Dies gibt – zumindest theoretisch – die Möglichkeit, sehr umfangreiche Benutzerprofile anzulegen und die Werbung den Interessen des jeweiligen Users anzupassen. Anfang 2002 beugte sich Doubleclick einer Sammelklage der US-Bundesstaaten Kalifornien, Texas und New York und erklärte, man werde unrechtmäßig aufgezeichnete Kundendaten löschen. gleichzeitig stellte der Dienst aber fest, man werde "weitermachen und unseren Kunden denselben vollen Bereich von Marketing-Lösungen anbieten". Darüber hinaus legt Doubleclick auf deinem Rechner ein Cookie (engl. Keks) ab. Nein, das ist nichts zum Essen, sondern eine kleine Datei, in der steht, wann du eine bestimmte Website besucht hast. Auf der Doubleclick-Seite unter der Adresse www.doubleclick.com kannst du ein Cookie herunterladen, das verhindern soll, dass Doubleclick Cookies auf deinen Rechner legt. Dieses Cookie muss auf dem Rechner bleiben. Dadurch wird deine Privatsphäre wenigstens ein bisschen geschützt. Der Nachteil: Löschst du deine Cookies regelmässig, wird dieses Cookie ebenfalls gelöscht – und du musst es erneut herunterladen Cookies dienen nur einem Zweck: den User identifizierbar zu machen. Bei entsprechender Einstellung deines Browsers (dazu später mehr) kannst du alle Cookies ablehnen – für die meisten Seiten spielt dies keine Rolle. Eine Ausnahme sind manche Freemailer im Internet, vor allem Yahoo (www.yahoo.de). Weigerst du dich hier, Cookies anzunehmen, kannst du keine Emails lesen oder senden, und auch die meisten anderen personalisierten Yahoo-Dienste sind dir verschlossen. Yahoo ist überhaupt einer der sammelfreudigsten Anbieter von Diensten im Internet. Neben deinen Adressdaten werden bei der Anmeldung für einen der Dienste deine Interessen abgefragt, um die Werbung gleich anzupassen. Auf diese Weise verfügt Yahoo weltweit wohl über einen der größten personalisierten Infopools – mit Namen, Anschrift, Email-Adresse, oft auch Telefon- und Faxnummer. Werden diese Daten mit den Informationen aus bei Yahoo angemeldeten Internetseiten und Suchanfragen verknüpft, entsteht ein Informationsreservoir, nach dem sich nicht nur Marketingfachleute die Finger lecken. Was Yahoo mit deinen Daten genau macht, ist relativ schwer herauszufinden, besonders, falls du kein Englisch kannst – die Infos gibt es nämlich nur auf Englisch. Yahoo erklärt, dass Informationen über dich gesammelt werden, wenn du einen der personalisierten Dienste des Unternehmens nutzt, und dass diese Informationen mit Informationen kombiniert werden, die von Geschäftspartnern oder anderen Firmen kommen. Diese personalisierten Dienst sind: GeoCities, Groups, Email, Yahoo-Mappe etc. Yahoo sagt auch deutlich: „Wenn Sie registrieren, fragen wir nach Informationen wie Name, Email-Adresse, Geburtsdatum, Geschlecht, Postleitzahl, Beruf, Firma und persönliche Interessen. Für einige kostenpflichtige Produkte und Dienste können wir auch nach der Adresse und der Sozialversicherungsnummer. Wenn Sie einmal bei Yahoo registriert sind und sich für unsere Dienste anmelden, sind Sie nicht mehr anonym für uns. Die Methoden der Sammler 13 Yahoo sammelt Informationen über Ihre Transaktionen mit uns und einigen unserer Geschäftspartner, auch Informationen über Ihre Benutzung unserer finanziellen Produkte und Dienste, die wir anbieten. wie bei einem Offenbarungseid machst – oder ob du dich fürs Surfen bezahlen lässt, indem du Werbebanner einblenden lässt – jemand anders sammelt gleichzeitig deine Daten, verkauft sie und kassiert dafür. Yahoo erhält und zeichnet automatisch in seinen Server-Logs Informationen auf, die wir von Ihrem Browser erhalten, darunter die IP—Adresse, Yahoo!-Informationen und die Seiten, die Sie abgefragt haben.“ Eine nicht ganz so bekannte Methode ist die kostenlose Verbreitung werbefinanzierter Software. Oft genug wird diese Software mit sogenannter „Spyware“ gekoppelt, wirkt also ähnlich wie ein trojanisches Pferd: In dem von dir gewünschten Programm steckt ein zweites, das deinen Rechner auskundschaftet und Daten über dich an einen Empfänger im Internet sendet – Daten, bei denen du noch nicht einmal feststellen kannst, welche Informationen sie beinhalten. Selbst nach der Deinstallation des Trägerprogrammes bleibt diese Spyware erhalten und arbeitet weiter. Einige dieser werbefinanzierten Programme mit integrierter Spyware sind: Yahoo gibt auch an, unter welchen Bedingungen Daten an Dritte weitergegeben werden: • An vertrauenswürdige Partner, die mit Yahoo zusammenarbeiten; • An Gerichte und Polizei Yahoo hat allerdings eine Schwäche: Der Dienst nimmt (noch) keine Kontrolle der Daten vor, die der Benutzer eingibt. Andere Anbieter gehen da schon weiter:So führt etwa GMX (www.gmx.de) führt eine Logikkontrolle der Adresse und der Postleitzahl durch; web.de und epost.de versenden das Kennwort sogar per Post – genauso wie die Auktionsplattform ebay. In allen genannten Fällen geht es – entgegen anders lautenden Erklärungen – nicht nur um die Sicherheit der User, sondern auch um die kommerzielle Nutzung der gesammelten Daten. Generell gerieten viele Datensammler auf Grund ihres Umgangs mit den Nutzerdaten in die öffentliche Kritik. In den USA reagierten Yahoo-Kunden empört, als Yahoo seine neuen Marketing-Regeln veröffentlichte, nach denen Kunden auch ohne ihre Zustimmung zukünftig Werbe-Emails zugesendet werden. Das Gleiche gilt für Telefonanrufe. Ebay.com erklärte im Februar, man habe die Freiheit, alle Nutzerinformationen nicht nur Behörden, sondern auch Urheberrechtsinhabern und anderen Ebay-Mitgliedern zu übermitteln, wenn das für notwendig gehalten werde. Sehr beliebt bei Datensammlern sind auch Gewinnspiele und Gratisproben. Du ahnst gar nicht, wie viele Leute hier freiwillig ihre Daten abgeben – bis hin zum Monatseinkommen! Wo immer es etwas umsonst im Internet gibt, gibt es auch die Möglichkeit, daran zu verdienen. Ob du nur deine Emailadresse angeben musst, um Software im Wert von 100 $ zu bekommen – und du später dann keine Software, dafür aber haufenweise SPAM (Werbe-Emails) mehr oder weniger seriöser Anbieter bekommst, ob du Webmiles sammelst – und dafür fast so viele Angaben • • • • • • • • Babylon Translator (hier wird bei der Installation auf die Spyware hingewiesen) ACDSEE (Bildbetrachtungsprogramm) Cute FTP Download Accelerator Eudora (Email-Programm) Gozilla (Download-Manager) ICQ 2000a Opera (Browser) Eine sehr ausführliche Liste gibt es unter www.tom-cat.com/spybase/ spylist.html. Besonders auskunftsfreudig sind manche Player. So identifiziert der Mediaplayer für WindowsXP die abgespielten Stücke und schreibt diese Infos in eine Datei auf der Festplatte. Nach Auskunft von Datenschutzexperten überträgt er, während er sich aus dem Internet die Daten über Titel, Künstler etc. holt, die Infos über das aktuell abgespielte direkt an Microsoft. Das Programm selber identifiziert sich mit seiner Seriennummer. Dies gibt noch keine Information über den Nutzer. Das ändert sich aber, sobald der Nutzer sich beim Media Newsletter anmeldet. Ein Microsoft-Sprecher erklärte, der Konzern plane derzeit nicht, gesammelte Daten über die Sehgewohnheiten von Kunden zu vermarkten, wolle dies aber für die Zukunft auch nicht ausschliessen. Ein ähnliches Vorgehen wird dem Player der Firma Real Networks vorgeworfen. Microsoft ist ein Thema für sich. Durch den neuen Authentifizierungsdienst „Passport“ – Teil der .net-Strategie – versucht Microsoft, 14 Die Methoden der Sammler die weltweit grösste personengebundene Datenbank der Welt zu schaffen. Die Idee von „Passport“ ist an sich nicht schlecht: Es soll einen zentralen Zugang zu verschiedenen Websites und Angeboten im Internet geben, ohne dass der Surfer sich zahllose Kennworten merken muss. Gleichzeitig sollen diese Daten vor Hackern sicher sein und so auch dem E-Commerce dienen. Hacker schließlich gehen wieder andere Wege. Sie schnüffeln einzelne Rechner oder Verbindungen aus, knacken Datenbanken oder fangen vertrauliche Emails auf. Von Address- und anderen Haien Einer der vielfach im Internet auftretenden Sammler und Jäger ist der Addresshai. Beute sind die Email-Addressen von Usern. Die Wirklichkeit sieht anders aus: Seit Juni geht Brüssel Vorwürfen nach, dass Microsoft mit Passport unrechtmässig persönliche Daten sammelt und an Dritte weiterleitet. Email-Addressen sind besonders von Spammern, d.h. Werbeversendern, sehr gesucht. Je mehr man über den Inhaber einer Addresse weiß, umso wertvoller ist diese. Und auch im Zusammenhang mit den staatlichen Sammlern geriet Microsoft in Verruf, als Datenschützer einen sogenannten „NSAKey“ im Programmcode von Windows fanden, der es amerikanischen Geheimdiensten unter Umständen erlaubt hätte, Kennworte zu umgehen. Diese Meldung war einer der Gründe, weshalb die französische Regierung nicht mehr mit Microsoft arbeitet. Ob diese NSA-Keys jemals genutzt wurden, konnte nicht belegt werden. Aus diesem Grunde werden verschiedene Methoden benutzt, um an brauchbare, d.h. für Käufer verwertbare Addressen zu kommen: Die Methoden staatlicher Sammler • • ... sind subtiler, aber auch effizienter. Zum einen können sie jederzeit auf die Daten deines Providers zurückgreifen. Darüber hinaus werden einzelne Sites gezielt überwacht. Dabei handelt es sich zumeist – aber eben nicht nur – um Seiten mit kriminellen oder terroristischen Inhalten. Amerikanische Geheimdienste gehen noch weiter, indem sie versuchen, nicht nur den ganzen Internetverkehr (Carnivore) sondern auch die gesamte Telekommunikation (Echelon )zu überwachen. Offiziell wird auch hier nach Kriminellen gefahndet, doch ist es ein offenes Geheimnis, dass Echelon auch für Wirtschaftsspionage genutzt wird. Und nach den Anschlägen vom 11. September 2001 wurde die Überwachung ausgedehnt. • Gleichzeitig wird in den USA diskutiert: • • • Kryptographie (d.h. Verschlüsselung von Daten und Emails) und Steganographie (Verbergen von Daten in anderen Dateine, z.B. Bildern) zu verbieten; Anonymizer und Rewebber zu verbieten; Keylogger (wie „Magic Lantern“ , also Programme, die jeden Tastaturanschlag und jede Mausbewegung protokollieren und per Internet weiterleiten, gegen vermutliche Kriminelle einzusetzen. • Die einfachste Methode sind Addressverzeichnisse im Internet. Nahezu jeder Webmailer bietet an, die Addressen der Nutzer in einem Addressverzeichnis eintragen zu lassen. Dies erhöht die Möglichkeit, von Freunden und Bekannten gefunden zu werden - allerdings auch von Addresshändlern. Eine weitere Methode sind Programme, die beliebige Buchstaben- und Zahlenkombinationen benutzen, um so schnell wie möglich so viele verschiedene Addressen wie möglich zu kreieren. An diese künstlich erzeugten Addressen werden dann Werbemails versendet, um die auszusortieren, die nicht funktionieren. Beide Methoden haben den Nachteil, dass auf diese Weise nur allgemeine Addressen erzeugt werden können, die natürlich nicht sonderlich interessant sind. Eben deshalb steigen viele Addresshändler auf feinere Methoden um. Eine Methode ist esin Kleinanzeigen im Internet besonders günstige Angebote zu machen, auf die per Email geantwortet werden soll. Diese Addressen zeigen bestimmte Interessengebiete des Addressinhabers. So kann eine solche Anzeige z.B. ein besonders günstiges Auto anbieten - damit weiß man, dass der Interessent eventuell ein neues Auto kaufen will. Gleichzeitig weiß man, über welchen finanziellen Rahmen er verfügt. Diese Informationen werten eine solche Addresse natürlich gleich auf. Eine andere Quelle sind Foren und Chats im Internet. So werden Email-Addressen aus Partnerforen gewinnbringend an Porno-Spammer verkauft, Addressen aus Computerforen gehen an Computerhändler Die Methoden der Sammler • • • etc. Solche Addressen lassen sich durch einfache Suchen mit Leichtigkeit aus Foren filtern. Auch hier sind die Interessengebiete des Inhabers angegeben. Wieder andere Addresshaie suchen gezielt nach Internetseiten mit bestimmten Inhalten. Auf diesen Internetseiten gibt es meist auch eine Kontaktaddresse. Das Usenet ist ebenfalls eine beliebte Quelle für Addressen und Informationen über die Inhaber dieser Addressen. Genauso beliebt sind Gewinnspiele – bei denen nicht unbedingt man selber, auf jedem Fall aber der Veranstalter gewinnt –, kostenlose Produktproben, Downloads etc. Alle diese Addresshändler rechnen mit dem sogenannten Fehler 40 - der Fehler befindet sich 40 cm vor dem Monitor. Sie profitieren davon, dass viele Leute mit ihren EmailAddressen sehr sorglos umgehen. Bereits im Beispiel oben habe ich dargestellt, wie man nach einer bekannten Addresse sucht, um an Infos über einen User zu kommen - hier siehst du eine weitere beliebte Methode. Wie kannst du dich nun schützen? Eine der besten Methoden ist die Generierung von 15 Wegwerfaddressen, wie sie Spamgourmet anbietet: www.spamgourmet.com Hier kannst du Addressen generieren, die du im Internet benutzt, wenn du von einer Stelle nur ein-zwei Antworten erwartest. Die Technik ist relativ einfach: Du gehst auf die Seite, gibst deine Email-Addresse ein und einen Phantasiebegriff, also z.B. Hubert. Benötigst du jetzt eine Wegwerfadresse, nimmst du irgendeinen Begriff, die Zahl der Mails, die an deine echte Addresse weiter geleitet werden sollen und die Addresse, also z.B. klaus.2.hubert@spamgourmet.com Diese Addresse wird beim ersten Gebrauch angelegt und die beiden ersten Mails werden an deine echte Addresse weitergeleitet; jede weitere Mail wird sofort geschluckt. Die meisten Webmailer bieten auch Spamfilter, mit denen du bestimmte Absender oder Begriffe aus der Betreffzeile sperren kannst. Manche Anbieter geben auch die Möglichkeit, nur bestimmte Absender durchzulassen - eine zweischneidige Sache, da man nur noch bedingt erreichbar ist. Der gläserne Surfer Was ich auf den letzten Seiten geschrieben habe, zeigt deutlich: Es gibt kein wirklich anonymes Surfen im Internet. Jeder, der etwas anderes sagt („Sie brauchen nur unser Tool XY!“), lügt. Spätestens wenn du durch dein Verhalten im Internet mit dem Gesetz in Konflikt kommst, wirst du dies schmerzhaft feststellen. Aber darum geht es auch gar nicht. Es geht darum, deine „Privacy“, deine Privatsphäre zu schützen. Es geht darum, dass du selber entscheidest, wem du welche Informationen über dich gibst. Es geht darum, dass es Dinge gibt, die niemanden etwas angehen. Es geht um „informelle Selbstbestimmung“. Der normale User im Internet ist der gläserne Surfer. Er hinterlässt eine Datenspur hinter sich, die fast jedes Greenhorn lesen kann. Als Leser und Anwender dieses Heftes solltest du in der Lage sein, deine Spur so weit zu verwischen, dass selbst Winnetou Probleme hätte, ihr zu folgen. Dabei benötigst du keine kostspieligen Programme – die Tools, die ich vorstelle, sind in der Regel Freeware. Und das Beste ist: Es ist alles legal. Bevor ich jedoch anfange, lass mich dir noch eins sagen: Das wichtigste Werkzeug, um sicher zu surfen und deine Privatsphäre zu schützen, ist das menschliche Hirn. Was nützt der beste Schutz im Internet, wenn du deine Email-Adresse wie Konfetti ins Internet wirfst, jedes Formular mit Begeisterung ausfüllst, bei jedem Download „Gib mir!“ schreist und dein Alias in Diskussionforen dein Vor- und Nachname ist? Wenn dies dein Surfstil ist und du auch nichts daran ändern magst, lege dieses Heft beiseite – es ist nichts für dich. Auch wenn es dir beim Surfen ausschließlich um Geschwindigkeit und Bequemlichkeit geht, ist dieses Heft nichts für dich – sicheres Surfen ist genausowenig schnell und bequem wie sicheres Autofahren. Das heisst nicht, dass du wie eine Schnecke durchs Internet kriechen musst – aber du wirst manche Sicherheitsabfrage mehr wegklicken müssen und vielleicht manche Seiten nicht besuchen können. Aber glaub mir: Die Sicherheit ist es wert. 16 Was Browser verraten – und wie man sich schützt Was Browser verraten – und wie man sich schützt Die erste und wichtigste Sicherheitslücke, die du schliessen solltest, ist dein Browser. Dabei ist es egal, welchen Browser du benutzt, ob Microsofts Internet Explorer oder den Navigator von Netscape (obwohl ich den Navigator aus Sicherheitsgründen und wegen seiner Benutzerfreundlichkeit bevorzuge) – von der Grundeinstellung her sind beide nicht sicher. Und durch einige Features, die das Surfen bequemer machen sollen, wird dein Browser so geschwätzig wie Tante Lisa beim Kaffeeklatsch. Da du aber auf deinen Browser angewiesen bist, um zu surfen, solltest du ihn auf jedem Fall ein wenig knebeln, wenn du im Internet unterwegs bist. Im Heft „Viren, Hacker, Firewalls – Sicherheit am PC“ ging ich bereits auf die Sicherheitseinstellungen beim Internet Explorer ein. Hier geht es um die Einstellungen, die geändert werden müssen, um deine Privatsphäre zu schützen. Auch diesmal zeige ich dies anhand des Internet Explorers 5.5, da dieser der am weitesten verbreitete Browser ist. Solltest du an deinem Computer sitzen, gehe über START|EINSTELLUNGEN|SYSTEMSTEUERUNG|INTERNETOPTIONEN auf die Einstellungen deines Browsers – stehst du im Browser, wählst du EXTRAS|INTERNETOPTIONEN. Du solltest folgendes Bild sehen: Oben findest du 6 Registerkarten, die wie uns jetzt der Reihe nach ansehen wollen. 1. Allgemein Unter ALLGEMEIN findest du einige Grundeinstellungen, die du ändern kannst – zum einen geht es hier um Geschwindigkeit, zum andern um Speicherplatz, zum dritten um Sicherheit. Die erste Einstellung, die du ändern solltest, ist die Startseite. Normalerweise trägt sich hier dein Provider ein, damit du jedes Mal, wenn du ins Internet gehst, zuerst auf seine Seite kommst. Meine Empfehlung ist, statt dessen den Button LEERE SEITE zu wählen. Unter TEMPORÄRE INTERNETDATEIEN“ findest du zunächst die Möglichkeit, sie zu löschen; außerdem kannst du dir dort die Dateien ansehen, die Internetseiten auf deinem Rechner ablegen. Viele Seiten, die du besuchst, deponieren Bilder und manche der Steuerdateien auf deinem Rechner. Dies dient dazu, dass die Bilder, wenn du eine Seite ein zweites Mal besuchst, nicht von Neuem geladen werden müssen. Leider löschen sich diese Dateien nicht automatisch – jedenfalls nicht immer. Drückst du hier du den Knopf DATEIEN LÖSCHEN, werden diese Dateien gelöscht – allerdings nicht die Cookies, die ebenfalls in diesem Verzeichnis liegen. Willst du diese löschen, gehst du wie folgt vor: • • Du klickst auf DATEIEN ANZEIGEN ... ... worauf sich folgendes Fenster öffnet: • Hier stellst du zunächst den Speicherplatz ein, den du temporären Dateien einräumen willst. Microsoft ist sehr verschwenderisch – ich habe mit wesentlich geringeren Einstellungen als Microsoft gute Erfahrungen gemacht. In der Regel sind bis zu 20 MB durchaus ausreichend. Was Browser verraten – und wie man sich schützt • Klickst du jetzt auf „Dateien anzeigen“, erscheint folgendes Bild: 17 In der oberen Leiste findest du verschiedene Zonen – uns interessiert ausschließlich die Zone INTERNET. Markiere sie und klicke dann auf STUFE ANPASSEN. Im folgenden Bild müssen einige Einstellungen geändert werden: • Die Textdateien hier sind Cookies. Um sie zu löschen, musst du sie markieren und dann auf die „Entfernen“-Taste drücken. Schließlich haben wir, wenn wir zur Ausgangsseite zurückkehren, noch das Feld VERLAUF. Hier werden alle Seiten eingetragen, die du besuchst. Du kannst die besuchten Seiten mit VERLAUF LEEREN löschen und festlegen, wie lange die besuchten Seiten gespeichert werden. Leider bietet Microsoft nicht die Möglichkeit, die Seiten nicht zu speichern – auch wenn du „0“ einträgst, werden die Daten gespeichert. Schreibst du „1“, sind die besuchten Seiten am nächsten Tag verschwunden. 2. Sicherheit Zur Erläuterung: • Die zweite Registerkarte ist SICHERHEIT. Auf die Sicherheitseinstellungen ging ich schon in „Viren, Hacker, Firewalls – Sicherheit am PC“ ein, so dass es hier nur um die Einstellungen für die Privacy geht – und davon gibt es hier mehrere. • • Einige Server (insbesondere FTP-Server) verlangen eine Anmeldung. Diese kann von deinem Browser automatisch durchgeführt werden – dann aber mit evt. von dir gespeicherten Daten oder deiner EmailAdresse. Daher schlage ich vor, hier nach Namen und Kennwort fragen zu lassen – damit bekommst du erst einmal mit, wenn du von einer FTP-Site Daten bekommen sollst, zum anderen werden keine Daten von dir ungefragt herausgegeben. Bei Cookies gibt es zwei Versionen: permanente Cookies, die auf dem Rechner bleiben und dein Surfverhalten ausspionieren können, und temporäre Cookies, die nur so lange auf deinem Rechner bleiben, wie du auf der Site bist, die sie setzt. Bei den permanenten Cookies habe ich EINGABEAUFFORDERUNG gewählt, da ich auf Dienste angewiesen bin, die Cookies voraussetzen. Bei den temporären Cookies schlage ich „akzeptieren“ vor, da sie sich nach dem Verlassen der Site löschen. Bei der Abfrage EINFÜGEOPERATIONEN ÜBER EIN SCRIPT ZULASSEN empfehle ich DEAKTIVIEREN“. Java-Scripts könnten in der Lage sein, z.B. den Inhalt deiner Zwischenablage auszulesen. 18 Was Browser verraten – und wie man sich schützt 3. Inhalte Da gibt es die Möglichkeit, das AUTOVERVOLLSTÄNDIGEN einzustellen. Klickst du auf den Button, erscheint folgendes Bild: • Die nächste Registrierkarte ist INHALTE. Zum Einen geht es hier um Filter, die Kindern verbieten sollen, jugendgefährdende Seiten anzusehen, zum anderen um persönliche Informationen. Was den Filter angeht: Er ist ein Witz. Jeder vierzehnjährige, der sich mit einem Computer auskennt, weiß, wo der Key gespeichert ist: Du startest mit Start-Ausführen-regedit den Registry-Editor, wählst den Key HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\ Policies\Ratings und löschst dort den neuen Eintrag Key – und schon ist alles wieder offen. Für uns wichtig sind die Einstellungen in den PERSÖNLICHEN INFORMATIONEN, denn hier wird es gefährlich. Hier solltest du alle Möglichkeiten deaktivieren, wenn du verhindern möchtest, dass deine Daten auf deinem Rechner gespeichert werden! Denn auch Hacker wissen gut genug, wo diese Daten liegen. Und solltest du die Option BENUTZERNAMEN UND KENNWÖRTER FÜR FORMULARE • aktiviert haben, reicht in der Regel schon ein Buchstabe, um z.B. deine Emails zu lesen. Nach der Deaktivierung von AUTOVERVOLLSTÄNDIGEN solltest du auch FORMULARE LÖSCHEN und KENNWÖRTER LÖSCHEN anklicken, damit auch diese Daten gelöscht sind. Zurück auf der Hauptseite solltest du unter WALLET und PROFIL nachsehen, ob du da Daten von dir gespeichert hast. Auch die solltest du unbedingt löschen. Was Browser verraten – und wie man sich schützt 4. Verbindungen 19 6. Erweitert Die nächste Seite, die wir uns ansehen, ist VERBINDUNGEN. Hier kannst du deine Verbindung ins Internet einstellen. Die sichere Einstellung lautet hier KEINE VERBINDUNG WÄHLEN. Andernfalls kann es passieren, dass beim Aufruf einer gespeicherten Seite die Verbindung ins Internet erstellt wird – und zwar ohne deine Kontrolle. Hier hat Microsoft alles das hingeräumt, was woanders nicht untergebracht werden konnte – und auch hier gibt es einige Einstellungen, die uns angehen: • der Ansicht oben noch aktiviert, sollte aber deaktiviert sein – es ist immer sinnvoller, selber nachzuschauen, ob es etwas Neues gibt. Merke: Misstraue jeder Automatik! 5. Programme Unter Programme gibt es keine Einstellungen, die uns interessieren, dafür aber wieder unter dem nächsten Punkt: AUTOMATISCHE ÜBERPRÜFUNG AUF AKTUALISIERUNGEN VON INTERNET EXPLORER ist in • VERWENDEN VON AUTOVERVOLLSTÄNDIGEN muss hier noch einmal gezielt abgestellt werden – sowohl für Webadressen als auch im Windows Explorer. • Hier stellst du auch ein, ob die temporären Dateien beim Schliessen des Browsers gelöscht werden sollen. Dies ist endlich eine positive Automatik – also einschalten! • Auch der Profil-Assistent kann hier eingeschaltet werden – oder ausgeschaltet, was gleich viel sicherer ist! So, das wars zum Internet Explorer. Und damit sind wieder ein paar Sicherheitslücken mehr identifiziert. Kommen wir gleich zu den nächsten Einstellungen.