Anonym im Internet

Transcription

Anonym im Internet
16
KnowWare EXTRA
4,-
d
chlan
s
t
u
e
D
Anonym
im Internet
Wie schütze ich beim Surfen meine Privatsphäre?
Wie bleibe ich so anonym wie möglich?
Andreas Janssen
www.KnowWare.de
Deutschland: 4,- EUR Österreich: 4,60 EUR
Schweiz: 8 SFR Luxemburg: 4,70 EUR Italien: 5,50 EUR
Acrobat Reader - Bestellung - Autoren gesucht
Acrobat Reader: Wie ...
F5/F6 öffnet/schließt die Ansicht Lesezeichen
Strg+F sucht
Im Menü Ansicht stellst du ein, wie die Datei gezeigt wird
STRG+0 = Ganze Seite STRG+1 = Originalgrösse STRG+2 = Fensterbreite
Im selben Menü kannst du folgendes einstellen:: Einzelne Seite,
Fortlaufend oder Fortlaufend - Doppelseiten .. Probiere es aus, um
die Unterschiede zu sehen.
Navigation
Pfeil Links/Rechts: eine Seite vor/zurück
Alt+ Pfeil Links/Rechts: Wie im Browser: Vorwärts/Zurück
Strg++ vergrößert und Strg+– verkleinert
Bestellung und Vertrieb für den Buchhandel
Bonner Pressevertrieb, Postfach 3920, D-49029 Osnabrück
Tel.: +49 (0)541 33145-20
Fax: +49 (0)541 33145-33
bestellung@knowware.de
www.knowware.de/bestellen
Autoren gesucht
Der KnowWare-Verlag sucht ständig neue Autoren. Hast du ein Thema,
daß dir unter den Fingern brennt? - ein Thema, das du anderen Leuten
leicht verständlich erklären kannst?
Schicke uns einfach ein paar Beispielseiten und ein vorläufiges
Inhaltsverzeichnis an folgende Adresse:
lektorat@knowware.de
Wir werden uns deinen Vorschlag ansehen und dir so schnell wie
möglich eine Antwort senden.
www.knowware.de
Inhalt
3
Vorwort .................................................... 4
Rewebber ..................................................... 31
Zu meiner Person...............................................4
Anonyme Proxies........................................... 32
Verfolgungswahn? ................................... 5
Internet Explorer ........................................... 33
Sicherheitsrisiko Nummer 1 ..................... 7
Opera .......................................................... 34
Guck mal, wer da sammelt ....................... 8
Proxy-Tools .................................................. 34
1. Der Staat ......................................................8
Sichere Email ......................................... 36
Exkurs – Die Situation in Europa........................8
Pretty Good Privacy ....................................... 36
Grossbritannien ...............................................8
Gnu PG ........................................................ 37
Deutschland....................................................8
JAP......................................................... 38
Österreich.......................................................8
Remailer ................................................ 39
Ungarn ...........................................................8
Niederlande ....................................................9
Software, die den Rechner sicher
macht..................................................... 40
Polen .............................................................9
Scramdisk .................................................... 40
Schweiz..........................................................9
Erstellung einer Scramdisk.............................. 40
Exkurs: Und die USA? ......................................9
Nutzung von Scramdisk.................................. 42
2. Die Industrie..................................................9
Weiteres zu Scramdisk ................................... 42
3. Hacker ........................................................ 10
AdAware ...................................................... 42
4. Weitere Interessenten................................... 10
Zukunftsmusik?...................................... 44
IP-Adresse – was ist das? ...................... 11
Palladium ..................................................... 44
Die Methoden der Sammler .................... 12
TCPA............................................................ 44
Die Methoden staatlicher Sammler ................... 14
LI-XML ......................................................... 44
Von Address- und anderen Haien ....................... 14
Big Brother Awards ................................ 46
Der gläserne Surfer ................................ 15
Willkommen bei den deutschen
BigBrotherAwards.......................................... 46
Was Browser verraten – und wie man
sich schützt ............................................ 16
1. Allgemein.................................................. 16
2. Sicherheit ................................................. 17
3. Inhalte ..................................................... 18
4. Verbindungen ............................................ 19
5. Programme ............................................... 19
6. Erweitert................................................... 19
Beispiel: Was dein Browser verrät ...................... 20
Betriebssystem ...................................... 21
XP-Antispy .................................................... 23
Outlook Express ..................................... 24
Wer verrät noch mehr? .......................... 25
Dein Provider ......................................... 26
Preisträger 2002 Deutschland ......................... 46
Preisträger 2002 – Österreich ......................... 47
Preisträger 2002 – Schweiz............................. 48
Stop 1984 .............................................. 49
Fallbeispiel ............................................. 50
URLs zu Programmen und anderen
Seiten..................................................... 51
Anonyme Proxies........................................... 51
JAP .............................................................. 51
Proxy-Tools .................................................. 51
Rewebber ..................................................... 51
Sichere Email ................................................ 51
GNU PG........................................................ 51
Was sagen Provider zum Datenschutz? ............. 27
Testseiten zum Überprüfen der BrowserSicherheit .................................................. 51
Was dein Provider weiß ... .............................. 27
Weitere Sites zum Thema Sicherheit ................ 51
Internetdienste ...................................... 28
Initiativen..................................................... 51
Überwachung an der Arbeit.................... 29
Nachrichten zum Thema ................................. 51
Und zu Hause?........................................ 29
Anhang – Unabhängigkeitserklärung
des Cyberspace ...................................... 52
Zusammenfassung ................................. 30
Rewebber und anonyme Proxies ............ 31
Was ist ein Proxy? ......................................... 31
4
Vorwort
Vorwort
Wer heute von „Überwachung“, von „Datensammelwut“ und „Anonymität im Internet“
spricht, gerät leicht zwischen zwei Fronten:
Die eine Gruppe sind die, die meinen, sie
hätten nichts zu verbergen; die, die Überwachung als notwendig für die Sicherheit
ansehen, für die „Cookies“ nichts als Kekse
sind; – für die anderen ist es schon zuviel,
dass ihr Provider ihre Zugangsdaten für die
Rechnung erfasst. Und der Kampf zwischen
diesen beiden Seiten wird genauso verbissen
und oft unsachlich geführt wie jeder andere
Glaubenskrieg.
Um mich gleich von vorneherein zu outen:
Ich gehöre zu keiner dieser beiden Gruppen,
ich bin der Meinung, es gibt mehr als schwarz
und weiß. Ab einem gewissen Punkt ziehe ich
eine Grenze, über die niemand ohne meine
Einladung zu gehen hat – kein Staat, keine
Firma und schon gar kein Hacker.
Dieses Heft heißt zwar „Anonym im Internet“
– eigentlich geht es aber um etwas anderes.
Im Englischen benutzt man für diese Sache
das Wort „privacy“, was fast, aber nicht ganz,
dem Wort „Privatsphäre“ entspricht. Genau
darum geht es: Wie schütze ich beim Surfen
meine Privatsphäre, wie bleibe ich so anonym
wie möglich?
Wer sich also als Hacker versuchen will und
hofft, in diesem Heft das nötige Handwerkszeug dazu zu finden, den muss ich enttäuschen: Die absolute Anonymität im Internet
ist ein Traum – es gibt sie nicht. Wann und
wo auch immer du ins Internet gehst, welche
Tipps und Tricks du auch benutzen magst:
alles kann zu dir zurückverfolgt werden – und
spätestens, wenn du als Hacker auffällst,
wird genau das passieren.
Geht es dir aber nur darum, die Privatsphäre
zu schützen, ist dieses Heft das Richtige für
dich. Ich werde dir zeigen:
•
•
•
•
•
•
wer Daten über dich sammelt;
welche Methoden dazu benutzt werden;
was Browser und Betriebssysteme über
dich verraten und wie du das verhinderst;
wo die Gefahren bei Emails liegen;
wie du deine Daten privat hältst;
welche Mittel du zu deinem Schutz
einsetzen kannst.
Zu meiner Person
Ich bin 37 Jahre alt und arbeite an der Hotline für einen der grössten Anbieter von
Sicherheits-Software weltweit. Mit dem
Internet habe ich seit 1995 zu tun, mit dem
Thema „Überwachung“ seit der missglückten
Volkszählung 1984. Im Knowware-Verlag ist
von mir das Heft „Viren, Hacker, Firewalls –
Sicherheit am PC“ erschienen.
Wie auch zu dem anderen Heft, stehe ich zu
Fragen per Email zur Verfügung:
janssenandreas@yahoo.de
Und natürlich gibt es auch für dieses Heft
eine Internetseite: de.geocities.com/
janssenandreas/privacy.html
Verfolgungswahn?
5
Verfolgungswahn?
1984 scheiterte der Versuch der damaligen
Bundesregierung, eine Volkszählung durchzuführen, vor dem Bundesverfassungsgericht
in Karlsruhe. Die Richter kritisierten u.a. die
fehlende Anonymität der Erhebung und
betonten das „Recht auf informelle Selbstbestimmung“ der Bürger. Ein zweiter Anlauf zur
Volkszählung 1986 wurde – trotz Androhung
hoher Bußgelder – von mehreren hunderttausend Menschen boykottiert und endete nach
Expertenmeinung „in einem Haufen Datenmüll“.
Seit damals hat sich viel geändert – weniger
an der Datensammelwut als am Bewusstsein
der Bürger. Wer heute von „Überwachung“
spricht, dem wird allzuleicht Verfolgungswahn
attestiert; er wird gefragt, ob er etwas zu
verbergen hätte; ihm werden kriminelle
Absichten unterstellt.
Tatsache ist:
•
Niemals wurden so viele Daten gesammelt
wie heute.
• Nirgendwo finden wir so viele Daten wie
im Internet.
• Nicht nur Polizei und Behörden, auch
Firmen, Detekteien, Marktforschungsinstitute und andere nutzen das Internet als
unermüdliche Datenquelle.
• Selbst für Hacker und Betrüger ist das
Internet ein reines El Dorado.
Der „gläserne Surfer“ ist kein Schlagwort,
sondern bittere Realität. Jeder kann über
einen Menschen, der viel surft, eine Menge
herausfinden – und das ohne allzuviel Arbeit.
Selbst dem Normalanwender wird das Ausspähen eines anderen leicht gemacht – nicht
zuletzt durch Unvorsicht der Surfer selber.
Nehmen wir das – zugegebenermaßen konstruierte – Beispiel des Klaus Dehrent, der
nichts zu verbergen hat:
Klaus Dehrent hat sich bei einer grossen
Firma beworben. Dem Personalchef haben
seine Unterlagen gefallen, routinemäßig
macht er jedoch eine Recherche im Internet
– und da kommt Überraschendes heraus:
1. Als Erstes gibt er den Namen „Klaus
Dehrent“ in eine Suchmaschine wie Google
(www.google.de) ein. Er findet 13 Einträge, von denen 5 irrelevant sind. Die
übrigen 8 sieht er sich an:
• 3 der 8 Einträge verweisen auf die
Homepage von Klaus. Dies ist eine Art
öffentliches Profil, ein Schaufenster, in
dem Klaus sich selber darstellt. Der
Personalchef überfliegt die Seiten, stellt
fest, dass Klaus Motorcross fährt (stand
nicht in den Bewerbungsunterlagen),
notiert sich für spätere Suchen noch die
angegebene Email-Adresse und will schon
weitergehen, als er noch einen Blick auf
die Link-Seite wirft: Fast alles Motorcross,
doch da ein Link auf die „Anonymen Alkoholiker“. Der Personalchef runzelt die
Stirn, notiert „Alkoholprobleme?“ und
blättert weiter.
• 3 weitere Einträge sind aus Gästebüchern anderer Websites – eines von einer
Tabakfirma, wo Klaus sich nach einer
bestimmten Tabaksorte erkundigt, eine
von www.vocatus.de, wo er sich massiv
über eine Firma beschwert, die dritte von
einem Rollenspiel.
• Die beiden letzten Einträge sind aus dem
Heise-Forum (www.heise.de), wo Klaus
sich über Microsoft auslässt.
2. Heise ist gleich eine gute Adresse zum
Weitersuchen. Der Personalchef nimmt
das „Alias“ von Klaus (bei Heise gibt man
sich selber einen Benutzernamen, ein
„Alias“ oder einen „Nic“) und lässt sich alle
Beiträge anzeigen – 241 Treffer!
Da das Ganze zu viel zum Ansehen ist,
überfliegt der Personalchef die Themen
und sieht sich die interessantesten an.
Nach 10 Minuten kommt er zu folgendem
Fazit:
• Klaus steht politische eher im linken
Spektrum;
• mehrfach hat er Leute, die anderer
Meinung waren, heftig und unsachlich
angegriffen, statt sich mit ihnen sachlich
auseinanderzusetzen (der Personalchef
notiert „intolerant“);
• in einem Beitrag erwähnt er eine Therapie, die er gemacht hat, ohne ihre Art zu
erläutern;
• in einem weiteren Beitrag erzählt er von
einem Gerichtsverfahren, das gegen Geldbuße eingestellt wurde (es ging um das
Hacken einer Website);
6
Verfolgungswahn?
• in einem dritten Beitrag steht eine andere Email-Adresse als die, die der Personalchef schon hat.
Das positive Bild aus den Bewerbungsunterlagen verschiebt sich, doch der Personalchef sucht weiter.
3. Unter der ersten Emailadresse findet er
nicht viel Neues im Internet, unter der
zweiten jedoch eine weitere Website von
Klaus, die offenbar schon länger nicht
aktualisiert wurde. Auch hier geht es um
Motocross, und hier erzählt Klaus von
einem schweren Unfall, den er vor einiger
Zeit hatte und von dem er immer noch
Rückenschmerzen hat (wieder eine Notiz
auf dem Block des Personalchefs.)
Außerdem befindet sich ein Link auf Klaus’
Auktionen bei einem grossen Auktionshaus
auf der Site. Ein kurzer Klick zeigt keine
aktuellen Auktionen – dafür interessiert
sich der Personalchef aber auch nicht,
sondern für die Bewertungen: 14 Stück,
davon 3 negative (eine wegen einer verkauften Raubkopie, zwei, weil er Ware
nicht geliefert bzw. nicht bezahlt hat). Der
Personalchef notiert: nicht zuverlässig.
4. Die Sache ist schon fast erledigt, doch zu
guter Letzt sucht der Personalchef noch im
Usenet nach beiden Email-Adressen. Unter
der ersten findet er fast ausschliesslich
Einträge bei Motocross (jedoch auch zwei
bei Alkoholismus, die sehr aufschlussreich
waren und zur Streichung des Fragezeichens bei „Alkoholprobleme führten), bei
der zweiten schliesslich findet er drei
Postings unter alt.sex.fetish.bondage und
ein Posting, in dem Klaus sich abfällig über
seinen derzeitigen Arbeitgeber auslässt.
Am nächsten Tag findet Klaus in seinem Briefkasten seine Bewerbungsunterlagen und die
Mitteilung, dass man sich für einen anderen
Bewerber entschieden habe – er möge diese
Absage nicht persönlich nehmen. Weiterhin
wünscht man ihm viel Erfolg für seinen
weiteren Lebensweg. Wie würde Klaus sagen:
„Ich habe doch nichts zu verbergen!“
Das Ganze hört sich weit hergeholt an? Nun,
im Dezember 2002 suchten Hacker im Internet nach Informationen über John M. Poindexter, den Chef des „Total Information
Awareness“-Projekts des US-Verteidigungsministeriums (siehe Exkurs: „Und die USA?“).
Innerhalb weniger Tage war bekannt, dass
Poindexter 269 700 Dollar für sein Haus in
Maryland bezahlt hat und dass es nicht
gestrichen, sondern mit Aluminium verkleidet
ist. Weiterhin tauchten Daten aus seiner
Steuererklärung auf, Satellitenbilder seines
Grundstücks und seine private Telefonnummer (301-424 66 13) sowie weitere Informationen.
Sicherheitsrisiko Nummer 1
7
Sicherheitsrisiko Nummer 1
Das Beispiel oben zeigt auch, wo das Sicherheitsrisiko Nummer 1 liegt: Beim User. Was
nützt der sicherste Rechner, wenn der User
seine Email-Adresse und seine persönlichen
Daten wie Konfetti ins Internet wirft, wenn
die wesentlichen Sicherheitsvorgaben, die
auch für den unbeteiligten Beobachter unmittelbar einsichtig sind, missachtet werden?
Es gibt eine Hand voll Sicherheitsvorgaben,
die man sich auf jedem Fall zu eigen machen
sollte, bevor man das Internet nutzt. Dazu
gehört:
•
•
•
Gehe nie ins Internet, wenn du als Benutzer mit Administrator-Rechten angemeldet
bist (unter Windows-NT oder 2000 also als
'Administrator' oder User mit Administrator-Rechten, unter Unix oder Linux als
'root'). Es ist grundsätzlich sicherer, einen
eigenen Benutzeraccount (Benutzerkonto)
mit eingeschränkten Rechten anzulegen,
um ins Internet zu gehen – so verhinderst
du, dass ein Hacker oder ein Schadprogramm wie z.B. ein Trojaner auf deinem
Rechner Administrator-Rechte erhält. Ein
solcher speziell eingerichteter User sollte
z.B. keine Löschrechte auf dem System
haben und keine Systembefehle ausführen
können.
Achte darauf, dass du persönliche Daten in
Formularen nur auf Seiten angibst, die
SSL-gesichert sind. Dies ist eine spezielle
Verschlüsselung im Internet, die das Abhorchen solcher Dateien verhindern soll.
Solche Seiten sind zwar nicht hundertprozentig sicher, aber doch sicher genug,
um den meisten Angriffen zu widerstehen.
Sorge dafür, dass Betriebssystem und
Browser immer auf dem neuesten Stand
sind. Sicherheitsupdates oder Servicepacks sind kein unnötiger Luxus, sondern
durchaus sinnvoll.
•
•
•
•
•
Öffne nicht jede Mail und jedes Attachment, das dir zugesendet wird. Du weißt
nie, was dir da ins Haus flattert. Das ach
so nützliche Tool kann sehr wohl ein Trojaner sein; der interessante Link, den dir
Vanessa schickt, führt dich nicht auf eine
Seite mit vielen bunten Bilderchen, sondern installiert auf deinem Rechner einen
Dialer.
Sorge dafür, dass vertrauliche Daten nicht
auf eben der Festplatte liegen, auf der
auch der Internetzugang ist. Am besten ist
es, zwei Betriebssysteme zu installieren:
Eines für den Zugang zum Internet und
eines, um normal mit dem Rechner zu
arbeiten. Ansonsten verschlüssle deine
Dateien mit einem guten Verschlüsselungsprogramm wie etwa Pretty Good Privacy
oder verstecke sie – z.B. mit Scramdisk –
auf einem virtuellen Laufwerk. Zu diesen
Programmen weiter hinten mehr.
Verlasse dich nicht auf die Verschlüsselungsmechanismen von Word, Excel etc.
Sie sind für den Hausgebrauch ganz nett –
jemandem, der sich auskennt, entlocken
sie aber nur ein müdes Grinsen.
Gib in Chats, Foren etc. niemals deine
Adresse, deine Telefonnummer oder gar
Bankdaten an.
Schließlich: Benutzt du die MainstreamProgramme,also die Programme, die von
den meisten Usern genutzt werden, bist
du eher ein Zielobjekt als ein User, der
nicht so gebräuchliche Programme nutzt.
Das betrifft nicht nur dein Betriebssystem,
sondern auch deinen Browser und dein
Mailprogramm. Abgesehen davon gibt
eshervorragende Alternativen zu den
üblichen Browsern und Mailprogrammen,
die obendrein kostenlos sind.
8
Guck mal, wer da sammelt
Guck mal, wer da sammelt
Der Fall von Klaus ist kein Einzelfall – Millionen von Surfern weltweit hinterlassen Datenspuren, die sich ohne allzugrossen Aufwand
zusammentragen lassen. Dabei ging es hier
nur um Informationen, die Klaus selber
gemacht hat. Keine Information, die du im
Internet gibst, geht wirklich verloren. So liegt
das Usenet-Archiv – und damit alle Beiträge
von Anfang an – jetzt bei Google:
www.google.de/grphp?hl=de
Heise zeigt auch Kommentare, die du vor
Jahren einmal abgegeben hast; andere Foren
arbeiten ähnlich; und selbst geschlossene
Internet-Seiten werden eine gewisse Zeit
archiviert, etwa bei Google oder hier:
www.archive.com
Jede Information kann Geld wert sein – es ist
eine ganze Industrie entstanden, die solche
Recherchen wie die von Klaus durchführt.
Doch die Datensammelwut geht weit darüber
hinaus: Es werden nicht nur frei zugängliche
Informationen gesammelt – jeder Besuch
einer Internetseite dient dazu, Informationen
über dich zusammenzutragen.
Es gibt drei Interessengruppen, die an deinen
Daten Interesse haben: Der Staat, die
Industrie und schliesslich Hacker.
1. Der Staat
Spätestens seit den Anschlägen vom 11. September 2001 ist die Sammelwut aller Staaten
ins Unermessliche gestiegen. Europaweit
wurden Provider verpflichtet, Verbindungsdaten der Nutzer über längere Zeit zu speichern und gegebenenfalls den Strafverfolgungsbehörden zu übergeben.
Exkurs – Die Situation in Europa
Hier einige Beispiele über die Situation in
Europa – die Beiträge stammen von diversen
Nachrichtenmagazinen im Internet, vor allem
www.heise.de:
Grossbritannien
„Neben sieben Ministerien (Department of
Environment, Food and Rural Affairs, Department of Health, Home Office, Department of
Trade and Industry, Department of Transport, Department for Work and Pensions,
Northern Ireland executive's Department of
Enterprise) sollen sich fast alle regionalen
Behörden und andere staatliche Institutionen
wie die Postkommission oder das Umweltamt
frei und ohne vorherige richterliche Genehmigung über das Kommunikationsverhalten der
britischen Bürger informieren können. Noch
nicht festgelegt ist, ab welchem Rang ein
Beamter die Daten anfordern kann.“
Deutschland
„Allen drei Geheimdienste wird zudem der
Weg zu tiefen Einschnitten ins Fernmeldegeheimnis über das Gesetz zur Einschränkung des entsprechenden Grundrechtsparagraphen Artikel 10 (G-10-Gesetz) geebnet.
Die an die Neufassung der Lauschbefugnisse
des auslaufenden § 12 des Fernmeldeanlagengesetzes teilweise angelehnten Formulierung geht nun dahin, dass ihnen Telekommunikationsunternehmen und Anbieter von
Telediensten im Internet Verbindungs- und
Nutzungsdaten frei Haus servieren müssen.“
Österreich
„Einer Pressemitteilung der ISPA zufolge
dürfen militärische Organe und Dienststellen
nach der Gesetzesnovelle bei österreichischen
Internet-Providern die Herausgabe von
Kundendaten verlangen. Die Provider müssen
"kostenfrei und unverzüglich" Namen, Adressen und Teilnehmernummern preisgeben –
dazu muss das Militär nur erklären, man
benötige diese Daten. Eine "Gefahr im
Verzug" muss nicht bestehen.“
Diese Gesetzesnovelle wurde mittlerweile
angenommen. Im Gesetz heisst es:
„Militärische Organe und Dienststellen nach
Abs. 1 dürfen von den Betreibern öffentlicher
Telekommunikationsdienste jene Auskünfte
über Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses verlangen,
die diese Organe und Dienststellen als wesentliche Voraussetzung zur Erfüllung von Aufgaben der nachrichtendienstlichen Aufklärung
oder Abwehr benötigen. Die ersuchte Stelle
ist verpflichtet, die Auskunft unverzüglich und
kostenlos zu erteilen."
Ungarn
„Wie in vielen anderen Ländern benötigen
auch in Ungarn Strafverfolger eine richterliche Genehmigung, um Informationen von
verschiedenen Telekommunikationssystemen
zu erhalten, d.h. um diese abzuhören. Nach
dem Nationalen Sicherheitsgesetz aus dem
Jahre 1995 ist für die Strafverfolgung jedoch
kein Durchsuchungsbefehl notwendig, um
Informationen zu erhalten, die als vertraulich
Guck mal, wer da sammelt
gelten. Das bedeutet, der Geheimdienst kann
eine Person ausspionieren, ohne irgendeiner
Kontrolle zu unterstehen, indem einfach und
willkürlich eine bestimmte Operation als
Staatsgeheimnis tituliert wird.“
Niederlande
„Niederländische Internetprovider erwarten,
dass Strafverfolgungsbehörden im Jahr 2004
Informationen über 300.000 Internet-User
einholen werden – vom Namen über den
Wohnort bis zur genauen Adresse. Diese
Zahlen werden in einem internen Dokument
der niederländischen Vertretung der InternetServiceprovider, NLIP, genannt, das hier
publiziert wurde:
www.opentap.com.
Laut demselben Dokument erwarten niederländische Provider, dass sie im Jahr 2005
Abhöranordnungen über 0,15 % ihrer User
erhalten, was auf 9000 Abhöranordnungen
hinausläuft. Im Jahr 2003 würden es also
4500 Abhöranordnungen sein. Am dramatischsten ist aber die in dem Dokument
geschätzte Zahl der Personen, über welche
die Polizei Auskünfte haben will. Von 90.000
im Jahr 2003 zu 300.000 im Jahr 2004, das
entspricht 5% der Gesamtanzahl der
Internet-User.“
Polen
In Polen ist mittlerweile geplant, dass fünf
Tage lang nur mit Erlaubnis eines Staatsanwaltes abgehört werden darf – danach muss
ein Richter entscheiden.
Schweiz
In der Schweiz sind die Provider nach dem
„Bundesgesetz zur Überwachung des Postund Fernmeldeverkehrs“ gezwungen, die
Email-Daten ihrer Kunden für das Eidgenössischen Departement für Umwelt, Verkehr,
Energie und Kommunikation sechs Monate
lang zur Verfügung zu halten
Zu diesen Nutzungsdaten, die gespeichert
werden, gehört:
• Von wann bis wann du im Internet warst
• Welche IP-Adresse du benutzt hast
• Welche Sites besucht wurden
Solltest du übrigens von der Arbeit surfen:
Auch dein Arbeitgeber sammelt diese Daten;
er kann sie selber auswerten und muss sie
auf Anfrage ebenfalls Strafverfolgungsbehörden oder Geheimdiensten übergeben.
Außerdem kann jederzeit dein Email-Verkehr
überwacht werden. Jede von dir gesendete
9
Email wird beim Email-Anbieter geloggt, d.h.
es wird festgehalten, wann du an wen eine
Email mit welchem Titel – manchmal sogar,
mit welchem Inhalt – gesendet hast.
Exkurs: Und die USA?
Im Verteidigungsministerium laufen im
Rahmen des „Total Information Awareness“Projekts des US-Verteidigungsministeriums
Bemühungen, ein System zur weltweiten
Überwachung des Internets einzurichten. Ziel
soll es sein, die Spur von Terroristen weltweit
zu verfolgen. Zu diesem Zweck soll auf Datenbanken in der ganzen Welt zugegriffen
werden, um Kreditkartenabrechnungen,
Reisen oder Arzneimittelverschreibungen zu
überprüfen.
Der amerikanische Geheimdienst NSA ist
schon seit Jahren im Internet aktiv. Dabei
geht es nicht nur um die Verfolgung von
Straftätern – auch für Wirtschaftsspionage
waren die Herren sich nicht zu fein.
Der „Foreign Intelligence Surveillance Act“
(FISA) erlaubt den US-Ermittlungsbehörden,
auch dann abzuhören und zu überwachen,
wenn kein konkreter Verdacht einer Straftat
vorliegt.
International arbeiten die US-Geheimdienste
unter anderem mit Europol zusammen – ein
Datenaustausch zwischen den Ermittlungsbehörden ist vereinbart, obwohl das Abkommen weder Datenschutz noch informelle
Selbstbestimmung der europäischen Bürger
berücksichtigt. George W. Bush geht sogar
noch weiter und fordert, die Datenschutzbestimmungen in Europa zu lockern.
2. Die Industrie
Mag man beim Staat noch von einem berechtigten Interesse ausgehen (Gefahrenabwehr,
Strafvereitelung und Strafverfolgung), so
geht es bei den Interessen nur um eines –
um Geld.
Der Werbemarkt im Internet (und nicht nur
dort) ist heiß umkämpft. Jedes Werbebanner
bringt Geld, jeder Klick auf ein Werbebanner
bringt mehr Geld. Schon früh wurde daher
überlegt, wie man Werbung auf die Sites
bringt, die den jeweiligen Surfer anspricht.
Über die Methoden, wie das funktioniert,
werde ich im nächsten Kapitel mehr sagen –
hier geht es um das Ziel der Datensammelei.
Und dieses Ziel heisst: Ein möglichst umfassendes Benutzerprofil zu schaffen. Dazu
gehört:
Guck mal, wer da sammelt
10
•
•
•
•
•
•
•
•
Von welcher Site kommt der Besucher?
Welche Sites hat er in der laufenden
Sitzung besucht?
Welchen Browser hat er, und wie ist dieser
eingestellt?
Reagiert er auf ein Werbebanner?
Besucht er einzelne Sites mehrfach?
Ist er identifizierbar – z.B. über die IPAdresse?
Welche Interessen hat er?
Gibt es weitere Informationen?
Besonders in den USA, aber auch in Europa,
werden persönliche Benutzerprofile zusammengestellt und gespeichert. Einer der größten Anbieter von Spyware, Cydoor , schreibt
auf seiner Site www.cydoor.com unter dem
Stichwort „Privacy“: „Cydoor no longer
assigns a unique user ID.“ Im Klartext
bedeutet diese Aussage:
•
•
•
Cydoors Schnüffelsoftware, die über
andere Programme auf deinen Rechner
kam, hat für dich eine Benutzernummer
generiert, über die du jederzeit identifizierbar warst;
Über diese ID konnten Daten über dich
gesammelt werden;
Cydoor hat diese Praxis mittlerweile
eingestellt; was mit den gesammelten
Daten geschehen ist, wird nicht gesagt.
3. Hacker
Anders als bei Staat und Industrie gibt es bei
Hackern kein dezidiertes Überwachen eines
einzelnen Users quer durchs Internet (obwohl
auch dies vereinzelt vorkommt). Vielmehr
werden hier Informationshäppchen gesucht,
auf ihre Brauchbarkeit überprüft und behalten oder weggeworfen. Dabei werden alle
verfügbaren Mittel genutzt – sowohl legale
als auch illegale.
Die meisten Hacker sind an Informationen
interessiert, die sie schnell zu Geld machen
können – vor allem Kreditkartennummern
und Kennworte für Internetzugänge und PPVSeiten (PPV-Pay per View-Bezahlseiten). Aber
auch Firmeninterna, Forschungsergebnisse,
Datenbanken etc. werden gerne genommen.
Beim Schutz der Privacy werde ich nur im
geringen Umfang auf die Aktivitäten von
Hackern eingehen. Wer sich mit diesem
Thema beschäftigen will, dem empfehle ich
mein Heft „Viren, Hacker, Firewalls –
Sicherheit am PC“ (Knowware-Heft 170).
4. Weitere Interessenten
Wer benutzt sonst noch die Informationen
des Internets, um so viel wie möglich über
dich zu erfahren?
Nun, da sind neben Wirtschaftsinformationsdiensten vor allem Detektive im Auftrag von
Arbeitgebern und Industrie. In einem HeiseArtikel von Januar 2001 heisst es: „Doch
nicht nur als Rechercheinstrument benutzt
der Privatermittler die Computertechnik. Sie
hilft ihm vor allem auch bei der PersonenÜberwachung am Arbeitsplatz: Arbeitgeber
wollen durch die Ermittlungen erfahren, wie
viel Zeit ihre Mitarbeiter mit Computerspielen
oder Internet- Shopping verbringen anstatt
zu arbeiten. Arglosigkeit erleichtert das
Geschäft der Detektive. Viele Anwender
würden bereitwillig Informationen über sich
herausgeben, zum Beispiel bei der Einrichtung eines Freemail-Accounts, so Sicherheitsexperte Altmann: "Diese Daten werden dann
oft weiterverkauft." Anhand von Informationen, die Menschen von sich aus auf privaten
Homepages veröffentlichten, hat Ermittler
Krohn selbst vollständige Personenlegenden
erstellt. In den Vereinigten Staaten lande er
sogar noch mehr Treffer: "In den USA haben
wir eine fast 100-prozentige Erfolgsquote bei
der Personenrecherche." Davon hätte selbst
Sherlock Holmes geträumt.“
Detektive haben eine weitere Einnahmequelle
entdeckt: Mit Hilfe des Tools „Spector“, das
unauffällig auf jedem Rechner installiert
werden kann, wird jeder Programmstart, jede
besuchte Website, jeder Chat, jede Email und
jede Passworteingabe aufgezeichnet. Diese
Daten werden per Email an eine festgelegte
Adresse versendet – ein traumhaftes Tool für
jeden Hacker, aber auch für jeden Schnüffler.
Es taucht weder in der Taskleiste noch im
Systray auf. Ursprünglich war das Tool zur
Überwachung von Angestellten gedacht. Die
Benutzung ist in Deutschland zwar nicht legal
– erworben werden kann es problemlos.
IP-Adresse – was ist das?
11
IP-Adresse – was ist das?
Im letzten Kapitel habe ich bereits den Begriff
„IP-Adresse“ benutzt. Da dieser Begriff auf
den folgenden Seiten eine wichtige Rolle
spielt, möchte ich ihn hier kurz erklären –
solltest du schon wissen, was eine IP-Adresse
ist, kannst du dieses Kapitel überspringen.
Ein Besuch im Internet ist ein beständiger
Datenaustausch. Wenn du in deinem Browser
eine Internet-Adresse eingibst, z.B.
www.knowware.de, sucht dein Provider, also
der Anbieter, mit dem du ins Internet gehst,
in einem speziellen Server, dem sogenannten
Name-Server, nach der IP-Adresse der
gewünschten Domain – in unserem Beispiel
also die Domain „knowware“ der Top-Level„de“. Top-Level Domains sind immer die
Einträge, die das Land– also .de, .at, .uk –
oder die Art der Site – also .info, .com, .org –
bezeichnen. Hat er diese IP-Adresse gefunden, verbindet er dich mit dem Server, auf
dem die Website liegt.
Über diese IP-Adresse bist du während deines
Aufenthaltes im Internet ständig identifizierbar. Solange du auf den Seiten eines Anbieters bist, mag dies ja noch keine Rolle spielen
– was aber, wenn dir jemand bei fast jeder
Seite, die du besuchst, über die Schulter
sieht?
Eine Sache, die später noch eine Rolle spielt:
Zu Testzwecken wird allgemein die IPAdresse 127.0.0.1 freigehalten. Sie wird
„Local Host“ genannt und bezeichnet immer
den Rechner, an dem du gerade sitzt – selbst
wenn dieser eine ganz andere IP-Adresse
hat.
Die dir zugeteilte IP-Adresse findest du meist
schon in der Zugangssoftware des Providers.
Hier ein Beispiel von freenet:
Eine IP-Adresse ist also mit einer Telefonnummer zu vergleichen – nur, dass du nicht
die Nummer eingeben musst, sondern nur
den Namen des Gegenübers. Allerdings
kannst du, wenn du möchtest, auch die IPAdresse eingeben. Eine Seite wie
www.homepage.de könnte also z.B. die IPAdresse 163.83.171.15 haben.
Diese kurze Beschreibung zeigt schon, dass
IP-Adressen von Websites relativ statisch
sein müssen, d.h. sie dürfen sich nicht sehr
häufig ändern. Darüber hinaus müssen sie
einmalig sein, damit du genau auf der Seite
herauskommst, auf die du willst.
Alternativ kannst du sie auch über den Befehl
„route print“ in der Eingabeaufforderung
ferststellen:
Nun muss der Server der Website allerdings
auch Daten an dich senden können – die
Bilder der Site, die du besuchen willst. Zu
diesem Zweck bekommst du von deinem
Provider, sobald du ins Internet gehst, eine
IP-Adresse zugeteilt. Da diese IP-Adresse von
deiner Einwahl ins Internet bis zu deiner
Abwahl gilt (beim nächsten Mal bekommst du
wahrscheinlich eine andere), bezeichnet man
diese IP-Adressen als dynamisch.
Du brauchst diese IP-Adresse, um z.B. mit
Bildtelefonie einen Bekannten im Internet
direkt anrufen zu können.
12
Die Methoden der Sammler
Die Methoden der Sammler
Sicher hast du schon mehrmals die Werbung
auf Internetseiten gesehen. Manchen ist sie
gleichgültig, andere emfinden sie als notwendiges Übel oder als störend. Kaum jemand
aber bedenkt, dass diese Werbung ein Mittel
der Überwachung sein kann.
Die Inhalte einer Website sind nicht als komplettes Dokument gespeichert, sondern jedes
Element für sich, also der Text, die Bilder,
ActiveX-Elemente, Steuerdateien .... Nun
kann der Betreiber ein Bild auf einen FTPServer legen, ohne dass du als Besucher der
Site dies merkst. Um dieses Bild auf der Site
darzustellen, gibt der Server, auf dem die
Site liegt, deine IP-Adresse an den FTPServer weiter. Dort wird sie geloggt, d.h. es
wird gespeichert, dass der User mit deiner
IP-Adresse von dieser Website aus dieses Bild
angefordert hat.
Einer der grössten Anbieter von Werbebannern im Internet ist Doubleclick:
www.doubleclick.com
Weltweit versorgt dieser Dienst mehrere
Milliionen Internetseiten mit Werbung, nach
eigenen Angaben hat er monatlich ca. 5 Mia
Anzeigen geschaltet. Dies gibt – zumindest
theoretisch – die Möglichkeit, sehr umfangreiche Benutzerprofile anzulegen und die
Werbung den Interessen des jeweiligen Users
anzupassen.
Anfang 2002 beugte sich Doubleclick einer
Sammelklage der US-Bundesstaaten Kalifornien, Texas und New York und erklärte, man
werde unrechtmäßig aufgezeichnete Kundendaten löschen. gleichzeitig stellte der Dienst
aber fest, man werde "weitermachen und
unseren Kunden denselben vollen Bereich
von Marketing-Lösungen anbieten".
Darüber hinaus legt Doubleclick auf deinem
Rechner ein Cookie (engl. Keks) ab. Nein, das
ist nichts zum Essen, sondern eine kleine
Datei, in der steht, wann du eine bestimmte
Website besucht hast.
Auf der Doubleclick-Seite unter der Adresse
www.doubleclick.com kannst du ein Cookie
herunterladen, das verhindern soll, dass
Doubleclick Cookies auf deinen Rechner legt.
Dieses Cookie muss auf dem Rechner
bleiben. Dadurch wird deine Privatsphäre
wenigstens ein bisschen geschützt. Der
Nachteil: Löschst du deine Cookies
regelmässig, wird dieses Cookie ebenfalls
gelöscht – und du musst es erneut
herunterladen
Cookies dienen nur einem Zweck: den User
identifizierbar zu machen. Bei entsprechender
Einstellung deines Browsers (dazu später
mehr) kannst du alle Cookies ablehnen – für
die meisten Seiten spielt dies keine Rolle.
Eine Ausnahme sind manche Freemailer im
Internet, vor allem Yahoo (www.yahoo.de).
Weigerst du dich hier, Cookies anzunehmen,
kannst du keine Emails lesen oder senden,
und auch die meisten anderen personalisierten Yahoo-Dienste sind dir verschlossen.
Yahoo ist überhaupt einer der sammelfreudigsten Anbieter von Diensten im Internet.
Neben deinen Adressdaten werden bei der
Anmeldung für einen der Dienste deine
Interessen abgefragt, um die Werbung gleich
anzupassen. Auf diese Weise verfügt Yahoo
weltweit wohl über einen der größten personalisierten Infopools – mit Namen, Anschrift,
Email-Adresse, oft auch Telefon- und Faxnummer. Werden diese Daten mit den Informationen aus bei Yahoo angemeldeten
Internetseiten und Suchanfragen verknüpft,
entsteht ein Informationsreservoir, nach dem
sich nicht nur Marketingfachleute die Finger
lecken.
Was Yahoo mit deinen Daten genau macht,
ist relativ schwer herauszufinden, besonders,
falls du kein Englisch kannst – die Infos gibt
es nämlich nur auf Englisch. Yahoo erklärt,
dass Informationen über dich gesammelt
werden, wenn du einen der personalisierten
Dienste des Unternehmens nutzt, und dass
diese Informationen mit Informationen
kombiniert werden, die von
Geschäftspartnern oder anderen Firmen
kommen. Diese personalisierten Dienst sind:
GeoCities, Groups, Email, Yahoo-Mappe etc.
Yahoo sagt auch deutlich: „Wenn Sie
registrieren, fragen wir nach Informationen
wie Name, Email-Adresse, Geburtsdatum,
Geschlecht, Postleitzahl, Beruf, Firma und
persönliche Interessen. Für einige kostenpflichtige Produkte und Dienste können wir
auch nach der Adresse und der
Sozialversicherungsnummer. Wenn Sie
einmal bei Yahoo registriert sind und sich für
unsere Dienste anmelden, sind Sie nicht
mehr anonym für uns.
Die Methoden der Sammler
13
Yahoo sammelt Informationen über Ihre
Transaktionen mit uns und einigen unserer
Geschäftspartner, auch Informationen über
Ihre Benutzung unserer finanziellen Produkte
und Dienste, die wir anbieten.
wie bei einem Offenbarungseid machst – oder
ob du dich fürs Surfen bezahlen lässt, indem
du Werbebanner einblenden lässt – jemand
anders sammelt gleichzeitig deine Daten,
verkauft sie und kassiert dafür.
Yahoo erhält und zeichnet automatisch in
seinen Server-Logs Informationen auf, die
wir von Ihrem Browser erhalten, darunter die
IP—Adresse, Yahoo!-Informationen und die
Seiten, die Sie abgefragt haben.“
Eine nicht ganz so bekannte Methode ist die
kostenlose Verbreitung werbefinanzierter
Software. Oft genug wird diese Software mit
sogenannter „Spyware“ gekoppelt, wirkt also
ähnlich wie ein trojanisches Pferd: In dem
von dir gewünschten Programm steckt ein
zweites, das deinen Rechner auskundschaftet
und Daten über dich an einen Empfänger im
Internet sendet – Daten, bei denen du noch
nicht einmal feststellen kannst, welche
Informationen sie beinhalten. Selbst nach der
Deinstallation des Trägerprogrammes bleibt
diese Spyware erhalten und arbeitet weiter.
Einige dieser werbefinanzierten Programme
mit integrierter Spyware sind:
Yahoo gibt auch an, unter welchen Bedingungen Daten an Dritte weitergegeben werden:
• An vertrauenswürdige Partner, die mit
Yahoo zusammenarbeiten;
• An Gerichte und Polizei
Yahoo hat allerdings eine Schwäche: Der
Dienst nimmt (noch) keine Kontrolle der
Daten vor, die der Benutzer eingibt. Andere
Anbieter gehen da schon weiter:So führt
etwa GMX (www.gmx.de) führt eine Logikkontrolle der Adresse und der Postleitzahl
durch; web.de und epost.de versenden das
Kennwort sogar per Post – genauso wie die
Auktionsplattform ebay. In allen genannten
Fällen geht es – entgegen anders lautenden
Erklärungen – nicht nur um die Sicherheit der
User, sondern auch um die kommerzielle
Nutzung der gesammelten Daten.
Generell gerieten viele Datensammler auf
Grund ihres Umgangs mit den Nutzerdaten in
die öffentliche Kritik. In den USA reagierten
Yahoo-Kunden empört, als Yahoo seine
neuen Marketing-Regeln veröffentlichte, nach
denen Kunden auch ohne ihre Zustimmung
zukünftig Werbe-Emails zugesendet werden.
Das Gleiche gilt für Telefonanrufe. Ebay.com
erklärte im Februar, man habe die Freiheit,
alle Nutzerinformationen nicht nur Behörden,
sondern auch Urheberrechtsinhabern und
anderen Ebay-Mitgliedern zu übermitteln,
wenn das für notwendig gehalten werde.
Sehr beliebt bei Datensammlern sind auch
Gewinnspiele und Gratisproben. Du ahnst gar
nicht, wie viele Leute hier freiwillig ihre Daten
abgeben – bis hin zum Monatseinkommen!
Wo immer es etwas umsonst im Internet
gibt, gibt es auch die Möglichkeit, daran zu
verdienen. Ob du nur deine Emailadresse
angeben musst, um Software im Wert von
100 $ zu bekommen – und du später dann
keine Software, dafür aber haufenweise
SPAM (Werbe-Emails) mehr oder weniger
seriöser Anbieter bekommst, ob du Webmiles
sammelst – und dafür fast so viele Angaben
•
•
•
•
•
•
•
•
Babylon Translator (hier wird bei der
Installation auf die Spyware hingewiesen)
ACDSEE (Bildbetrachtungsprogramm)
Cute FTP
Download Accelerator
Eudora (Email-Programm)
Gozilla (Download-Manager)
ICQ 2000a
Opera (Browser)
Eine sehr ausführliche Liste gibt es unter
www.tom-cat.com/spybase/
spylist.html.
Besonders auskunftsfreudig sind manche
Player. So identifiziert der Mediaplayer für
WindowsXP die abgespielten Stücke und
schreibt diese Infos in eine Datei auf der
Festplatte. Nach Auskunft von Datenschutzexperten überträgt er, während er sich aus
dem Internet die Daten über Titel, Künstler
etc. holt, die Infos über das aktuell abgespielte direkt an Microsoft. Das Programm selber
identifiziert sich mit seiner Seriennummer.
Dies gibt noch keine Information über den
Nutzer. Das ändert sich aber, sobald der
Nutzer sich beim Media Newsletter anmeldet.
Ein Microsoft-Sprecher erklärte, der Konzern
plane derzeit nicht, gesammelte Daten über
die Sehgewohnheiten von Kunden zu vermarkten, wolle dies aber für die Zukunft auch
nicht ausschliessen. Ein ähnliches Vorgehen
wird dem Player der Firma Real Networks
vorgeworfen.
Microsoft ist ein Thema für sich. Durch den
neuen Authentifizierungsdienst „Passport“ –
Teil der .net-Strategie – versucht Microsoft,
14
Die Methoden der Sammler
die weltweit grösste personengebundene
Datenbank der Welt zu schaffen.
Die Idee von „Passport“ ist an sich nicht
schlecht: Es soll einen zentralen Zugang zu
verschiedenen Websites und Angeboten im
Internet geben, ohne dass der Surfer sich
zahllose Kennworten merken muss. Gleichzeitig sollen diese Daten vor Hackern sicher
sein und so auch dem E-Commerce dienen.
Hacker schließlich gehen wieder andere
Wege. Sie schnüffeln einzelne Rechner oder
Verbindungen aus, knacken Datenbanken
oder fangen vertrauliche Emails auf.
Von Address- und anderen Haien
Einer der vielfach im Internet auftretenden
Sammler und Jäger ist der Addresshai. Beute
sind die Email-Addressen von Usern.
Die Wirklichkeit sieht anders aus: Seit Juni
geht Brüssel Vorwürfen nach, dass Microsoft
mit Passport unrechtmässig persönliche
Daten sammelt und an Dritte weiterleitet.
Email-Addressen sind besonders von Spammern, d.h. Werbeversendern, sehr gesucht.
Je mehr man über den Inhaber einer Addresse weiß, umso wertvoller ist diese.
Und auch im Zusammenhang mit den staatlichen Sammlern geriet Microsoft in Verruf,
als Datenschützer einen sogenannten „NSAKey“ im Programmcode von Windows fanden,
der es amerikanischen Geheimdiensten unter
Umständen erlaubt hätte, Kennworte zu
umgehen. Diese Meldung war einer der
Gründe, weshalb die französische Regierung
nicht mehr mit Microsoft arbeitet. Ob diese
NSA-Keys jemals genutzt wurden, konnte
nicht belegt werden.
Aus diesem Grunde werden verschiedene
Methoden benutzt, um an brauchbare, d.h.
für Käufer verwertbare Addressen zu kommen:
Die Methoden staatlicher Sammler
•
•
... sind subtiler, aber auch effizienter. Zum
einen können sie jederzeit auf die Daten
deines Providers zurückgreifen. Darüber
hinaus werden einzelne Sites gezielt überwacht. Dabei handelt es sich zumeist – aber
eben nicht nur – um Seiten mit kriminellen
oder terroristischen Inhalten.
Amerikanische Geheimdienste gehen noch
weiter, indem sie versuchen, nicht nur den
ganzen Internetverkehr (Carnivore) sondern
auch die gesamte Telekommunikation (Echelon )zu überwachen. Offiziell wird auch hier
nach Kriminellen gefahndet, doch ist es ein
offenes Geheimnis, dass Echelon auch für
Wirtschaftsspionage genutzt wird. Und nach
den Anschlägen vom 11. September 2001
wurde die Überwachung ausgedehnt.
•
Gleichzeitig wird in den USA diskutiert:
•
•
•
Kryptographie (d.h. Verschlüsselung von
Daten und Emails) und Steganographie
(Verbergen von Daten in anderen Dateine,
z.B. Bildern) zu verbieten;
Anonymizer und Rewebber zu verbieten;
Keylogger (wie „Magic Lantern“ , also
Programme, die jeden Tastaturanschlag
und jede Mausbewegung protokollieren
und per Internet weiterleiten, gegen
vermutliche Kriminelle einzusetzen.
•
Die einfachste Methode sind Addressverzeichnisse im Internet. Nahezu jeder Webmailer bietet an, die Addressen der Nutzer
in einem Addressverzeichnis eintragen zu
lassen. Dies erhöht die Möglichkeit, von
Freunden und Bekannten gefunden zu
werden - allerdings auch von Addresshändlern.
Eine weitere Methode sind Programme, die
beliebige Buchstaben- und Zahlenkombinationen benutzen, um so schnell wie
möglich so viele verschiedene Addressen
wie möglich zu kreieren. An diese künstlich erzeugten Addressen werden dann
Werbemails versendet, um die auszusortieren, die nicht funktionieren. Beide
Methoden haben den Nachteil, dass auf
diese Weise nur allgemeine Addressen
erzeugt werden können, die natürlich nicht
sonderlich interessant sind.
Eben deshalb steigen viele Addresshändler
auf feinere Methoden um. Eine Methode ist
esin Kleinanzeigen im Internet besonders
günstige Angebote zu machen, auf die per
Email geantwortet werden soll. Diese
Addressen zeigen bestimmte Interessengebiete des Addressinhabers. So kann
eine solche Anzeige z.B. ein besonders
günstiges Auto anbieten - damit weiß
man, dass der Interessent eventuell ein
neues Auto kaufen will. Gleichzeitig weiß
man, über welchen finanziellen Rahmen er
verfügt. Diese Informationen werten eine
solche Addresse natürlich gleich auf.
Eine andere Quelle sind Foren und Chats
im Internet. So werden Email-Addressen
aus Partnerforen gewinnbringend an
Porno-Spammer verkauft, Addressen aus
Computerforen gehen an Computerhändler
Die Methoden der Sammler
•
•
•
etc. Solche Addressen lassen sich durch
einfache Suchen mit Leichtigkeit aus Foren
filtern. Auch hier sind die Interessengebiete des Inhabers angegeben.
Wieder andere Addresshaie suchen gezielt
nach Internetseiten mit bestimmten Inhalten. Auf diesen Internetseiten gibt es
meist auch eine Kontaktaddresse.
Das Usenet ist ebenfalls eine beliebte
Quelle für Addressen und Informationen
über die Inhaber dieser Addressen.
Genauso beliebt sind Gewinnspiele – bei
denen nicht unbedingt man selber, auf
jedem Fall aber der Veranstalter gewinnt –,
kostenlose Produktproben, Downloads etc.
Alle diese Addresshändler rechnen mit dem
sogenannten Fehler 40 - der Fehler befindet
sich 40 cm vor dem Monitor. Sie profitieren
davon, dass viele Leute mit ihren EmailAddressen sehr sorglos umgehen. Bereits im
Beispiel oben habe ich dargestellt, wie man
nach einer bekannten Addresse sucht, um an
Infos über einen User zu kommen - hier
siehst du eine weitere beliebte Methode.
Wie kannst du dich nun schützen? Eine der
besten Methoden ist die Generierung von
15
Wegwerfaddressen, wie sie Spamgourmet
anbietet:
www.spamgourmet.com
Hier kannst du Addressen generieren, die du
im Internet benutzt, wenn du von einer Stelle
nur ein-zwei Antworten erwartest.
Die Technik ist relativ einfach: Du gehst auf
die Seite, gibst deine Email-Addresse ein und
einen Phantasiebegriff, also z.B. Hubert.
Benötigst du jetzt eine Wegwerfadresse,
nimmst du irgendeinen Begriff, die Zahl der
Mails, die an deine echte Addresse weiter
geleitet werden sollen und die Addresse, also
z.B. klaus.2.hubert@spamgourmet.com
Diese Addresse wird beim ersten Gebrauch
angelegt und die beiden ersten Mails werden
an deine echte Addresse weitergeleitet; jede
weitere Mail wird sofort geschluckt.
Die meisten Webmailer bieten auch Spamfilter, mit denen du bestimmte Absender oder
Begriffe aus der Betreffzeile sperren kannst.
Manche Anbieter geben auch die Möglichkeit,
nur bestimmte Absender durchzulassen - eine
zweischneidige Sache, da man nur noch
bedingt erreichbar ist.
Der gläserne Surfer
Was ich auf den letzten Seiten geschrieben
habe, zeigt deutlich: Es gibt kein wirklich
anonymes Surfen im Internet. Jeder, der
etwas anderes sagt („Sie brauchen nur unser
Tool XY!“), lügt. Spätestens wenn du durch
dein Verhalten im Internet mit dem Gesetz in
Konflikt kommst, wirst du dies schmerzhaft
feststellen.
Aber darum geht es auch gar nicht. Es geht
darum, deine „Privacy“, deine Privatsphäre zu
schützen. Es geht darum, dass du selber entscheidest, wem du welche Informationen
über dich gibst. Es geht darum, dass es Dinge
gibt, die niemanden etwas angehen. Es geht
um „informelle Selbstbestimmung“.
Der normale User im Internet ist der gläserne
Surfer. Er hinterlässt eine Datenspur hinter
sich, die fast jedes Greenhorn lesen kann.
Als Leser und Anwender dieses Heftes solltest
du in der Lage sein, deine Spur so weit zu
verwischen, dass selbst Winnetou Probleme
hätte, ihr zu folgen. Dabei benötigst du keine
kostspieligen Programme – die Tools, die ich
vorstelle, sind in der Regel Freeware. Und
das Beste ist: Es ist alles legal.
Bevor ich jedoch anfange, lass mich dir noch
eins sagen: Das wichtigste Werkzeug, um
sicher zu surfen und deine Privatsphäre zu
schützen, ist das menschliche Hirn. Was nützt
der beste Schutz im Internet, wenn du deine
Email-Adresse wie Konfetti ins Internet wirfst,
jedes Formular mit Begeisterung ausfüllst,
bei jedem Download „Gib mir!“ schreist und
dein Alias in Diskussionforen dein Vor- und
Nachname ist? Wenn dies dein Surfstil ist und
du auch nichts daran ändern magst, lege
dieses Heft beiseite – es ist nichts für dich.
Auch wenn es dir beim Surfen ausschließlich
um Geschwindigkeit und Bequemlichkeit
geht, ist dieses Heft nichts für dich – sicheres
Surfen ist genausowenig schnell und bequem
wie sicheres Autofahren.
Das heisst nicht, dass du wie eine Schnecke
durchs Internet kriechen musst – aber du
wirst manche Sicherheitsabfrage mehr
wegklicken müssen und vielleicht manche
Seiten nicht besuchen können. Aber glaub
mir: Die Sicherheit ist es wert.
16
Was Browser verraten – und wie man sich schützt
Was Browser verraten – und wie man sich schützt
Die erste und wichtigste Sicherheitslücke, die
du schliessen solltest, ist dein Browser. Dabei
ist es egal, welchen Browser du benutzt, ob
Microsofts Internet Explorer oder den Navigator von Netscape (obwohl ich den Navigator
aus Sicherheitsgründen und wegen seiner
Benutzerfreundlichkeit bevorzuge) – von der
Grundeinstellung her sind beide nicht sicher.
Und durch einige Features, die das Surfen
bequemer machen sollen, wird dein Browser
so geschwätzig wie Tante Lisa beim Kaffeeklatsch. Da du aber auf deinen Browser angewiesen bist, um zu surfen, solltest du ihn auf
jedem Fall ein wenig knebeln, wenn du im
Internet unterwegs bist.
Im Heft „Viren, Hacker, Firewalls – Sicherheit
am PC“ ging ich bereits auf die Sicherheitseinstellungen beim Internet Explorer ein. Hier
geht es um die Einstellungen, die geändert
werden müssen, um deine Privatsphäre zu
schützen. Auch diesmal zeige ich dies anhand
des Internet Explorers 5.5, da dieser der am
weitesten verbreitete Browser ist.
Solltest du an deinem Computer sitzen, gehe
über START|EINSTELLUNGEN|SYSTEMSTEUERUNG|INTERNETOPTIONEN auf die Einstellungen deines Browsers – stehst du im Browser,
wählst du EXTRAS|INTERNETOPTIONEN. Du
solltest folgendes Bild sehen:
Oben findest du 6 Registerkarten, die wie uns
jetzt der Reihe nach ansehen wollen.
1. Allgemein
Unter ALLGEMEIN findest du einige Grundeinstellungen, die du ändern kannst – zum einen
geht es hier um Geschwindigkeit, zum andern
um Speicherplatz, zum dritten um Sicherheit.
Die erste Einstellung, die du ändern solltest,
ist die Startseite. Normalerweise trägt sich
hier dein Provider ein, damit du jedes Mal,
wenn du ins Internet gehst, zuerst auf seine
Seite kommst. Meine Empfehlung ist, statt
dessen den Button LEERE SEITE zu wählen.
Unter TEMPORÄRE INTERNETDATEIEN“ findest
du zunächst die Möglichkeit, sie zu löschen;
außerdem kannst du dir dort die Dateien ansehen, die Internetseiten auf deinem Rechner
ablegen. Viele Seiten, die du besuchst, deponieren Bilder und manche der Steuerdateien
auf deinem Rechner. Dies dient dazu, dass
die Bilder, wenn du eine Seite ein zweites Mal
besuchst, nicht von Neuem geladen werden
müssen. Leider löschen sich diese Dateien
nicht automatisch – jedenfalls nicht immer.
Drückst du hier du den Knopf DATEIEN
LÖSCHEN, werden diese Dateien gelöscht –
allerdings nicht die Cookies, die ebenfalls in
diesem Verzeichnis liegen. Willst du diese
löschen, gehst du wie folgt vor:
•
•
Du klickst auf DATEIEN ANZEIGEN ...
... worauf sich folgendes Fenster öffnet:
•
Hier stellst du zunächst den Speicherplatz
ein, den du temporären Dateien einräumen
willst. Microsoft ist sehr verschwenderisch
– ich habe mit wesentlich geringeren Einstellungen als Microsoft gute Erfahrungen
gemacht. In der Regel sind bis zu 20 MB
durchaus ausreichend.
Was Browser verraten – und wie man sich schützt
•
Klickst du jetzt auf „Dateien anzeigen“,
erscheint folgendes Bild:
17
In der oberen Leiste findest du verschiedene
Zonen – uns interessiert ausschließlich die
Zone INTERNET. Markiere sie und klicke dann
auf STUFE ANPASSEN.
Im folgenden Bild müssen einige Einstellungen geändert werden:
•
Die Textdateien hier sind Cookies. Um sie
zu löschen, musst du sie markieren und
dann auf die „Entfernen“-Taste drücken.
Schließlich haben wir, wenn wir zur
Ausgangsseite zurückkehren, noch das
Feld VERLAUF. Hier werden alle Seiten
eingetragen, die du besuchst. Du kannst
die besuchten Seiten mit VERLAUF LEEREN
löschen und festlegen, wie lange die
besuchten Seiten gespeichert werden.
Leider bietet Microsoft nicht die Möglichkeit, die Seiten nicht zu speichern – auch
wenn du „0“ einträgst, werden die Daten
gespeichert. Schreibst du „1“, sind die
besuchten Seiten am nächsten Tag
verschwunden.
2. Sicherheit
Zur Erläuterung:
•
Die zweite Registerkarte ist SICHERHEIT. Auf
die Sicherheitseinstellungen ging ich schon in
„Viren, Hacker, Firewalls – Sicherheit am PC“
ein, so dass es hier nur um die Einstellungen
für die Privacy geht – und davon gibt es hier
mehrere.
•
•
Einige Server (insbesondere FTP-Server)
verlangen eine Anmeldung. Diese kann
von deinem Browser automatisch durchgeführt werden – dann aber mit evt. von dir
gespeicherten Daten oder deiner EmailAdresse. Daher schlage ich vor, hier nach
Namen und Kennwort fragen zu lassen –
damit bekommst du erst einmal mit, wenn
du von einer FTP-Site Daten bekommen
sollst, zum anderen werden keine Daten
von dir ungefragt herausgegeben.
Bei Cookies gibt es zwei Versionen: permanente Cookies, die auf dem Rechner
bleiben und dein Surfverhalten ausspionieren können, und temporäre Cookies, die
nur so lange auf deinem Rechner bleiben,
wie du auf der Site bist, die sie setzt. Bei
den permanenten Cookies habe ich EINGABEAUFFORDERUNG gewählt, da ich auf
Dienste angewiesen bin, die Cookies
voraussetzen. Bei den temporären Cookies
schlage ich „akzeptieren“ vor, da sie sich
nach dem Verlassen der Site löschen.
Bei der Abfrage EINFÜGEOPERATIONEN
ÜBER EIN SCRIPT ZULASSEN empfehle ich
DEAKTIVIEREN“. Java-Scripts könnten in
der Lage sein, z.B. den Inhalt deiner
Zwischenablage auszulesen.
18
Was Browser verraten – und wie man sich schützt
3. Inhalte
Da gibt es die Möglichkeit, das AUTOVERVOLLSTÄNDIGEN einzustellen. Klickst du auf
den Button, erscheint folgendes Bild:
•
Die nächste Registrierkarte ist INHALTE. Zum
Einen geht es hier um Filter, die Kindern
verbieten sollen, jugendgefährdende Seiten
anzusehen, zum anderen um persönliche
Informationen.
Was den Filter angeht: Er ist ein Witz. Jeder
vierzehnjährige, der sich mit einem Computer
auskennt, weiß, wo der Key gespeichert ist:
Du startest mit Start-Ausführen-regedit
den Registry-Editor, wählst den Key
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\
Policies\Ratings und löschst dort den
neuen Eintrag Key – und schon ist alles wieder
offen.
Für uns wichtig sind die Einstellungen in den
PERSÖNLICHEN INFORMATIONEN, denn hier
wird es gefährlich.
Hier solltest du alle Möglichkeiten deaktivieren, wenn du verhindern möchtest,
dass deine Daten auf deinem Rechner
gespeichert werden! Denn auch Hacker
wissen gut genug, wo diese Daten liegen.
Und solltest du die Option BENUTZERNAMEN UND KENNWÖRTER FÜR FORMULARE
•
aktiviert haben, reicht in der Regel schon
ein Buchstabe, um z.B. deine Emails zu
lesen.
Nach der Deaktivierung von AUTOVERVOLLSTÄNDIGEN solltest du auch FORMULARE LÖSCHEN und KENNWÖRTER LÖSCHEN
anklicken, damit auch diese Daten
gelöscht sind.
Zurück auf der Hauptseite solltest du unter
WALLET und PROFIL nachsehen, ob du da
Daten von dir gespeichert hast. Auch die
solltest du unbedingt löschen.
Was Browser verraten – und wie man sich schützt
4. Verbindungen
19
6. Erweitert
Die nächste Seite, die wir uns ansehen, ist
VERBINDUNGEN.
Hier kannst du deine Verbindung ins Internet
einstellen. Die sichere Einstellung lautet hier
KEINE VERBINDUNG WÄHLEN. Andernfalls kann
es passieren, dass beim Aufruf einer gespeicherten Seite die Verbindung ins Internet
erstellt wird – und zwar ohne deine Kontrolle.
Hier hat Microsoft alles das hingeräumt, was
woanders nicht untergebracht werden konnte
– und auch hier gibt es einige Einstellungen,
die uns angehen:
•
der Ansicht oben noch aktiviert, sollte aber
deaktiviert sein – es ist immer sinnvoller,
selber nachzuschauen, ob es etwas Neues
gibt. Merke: Misstraue jeder Automatik!
5. Programme
Unter Programme gibt es keine Einstellungen,
die uns interessieren, dafür aber wieder unter
dem nächsten Punkt:
AUTOMATISCHE ÜBERPRÜFUNG AUF AKTUALISIERUNGEN VON INTERNET EXPLORER ist in
•
VERWENDEN VON AUTOVERVOLLSTÄNDIGEN
muss hier noch einmal gezielt abgestellt
werden – sowohl für Webadressen als
auch im Windows Explorer.
•
Hier stellst du auch ein, ob die temporären
Dateien beim Schliessen des Browsers
gelöscht werden sollen. Dies ist endlich
eine positive Automatik – also einschalten!
•
Auch der Profil-Assistent kann hier eingeschaltet werden – oder ausgeschaltet, was
gleich viel sicherer ist!
So, das wars zum Internet Explorer. Und
damit sind wieder ein paar Sicherheitslücken
mehr identifiziert. Kommen wir gleich zu den
nächsten Einstellungen.