Wie steht es um Ihre "digitale Identität"?
Transcription
Wie steht es um Ihre "digitale Identität"?
Die Präsentation „Fährtensucher im Internet: Spuren in der digitalen Welt― soll helfen, das „Risko-Bewusstsein― bei der Nutzung von Information and Communication Technologies (ICT) zu schärfen, indem besser verstanden wird, was sich technisch abspielt (Datenflüsse, Identifikation von Rechnern, Nutzern). Die Situation wird mit aktuellen Beispielen veranschaulicht. Vor allem den „Digital Immegrants― wird empfohlen, die eine oder andere der angegebenen Web-Sites selbst zu besuchen und so sich selbst ein Bild zu machen, was für „Digital Natives― selbstverständlich ist. 1 Art. 3 Datenschutzgesetz: Begriffe a. Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen; b. betroffene Personen: natürliche oder juristische Personen, über die Daten bearbeitet werden; c. besonders schützenswerte Personendaten: Daten über 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe, 4. administrative oder strafrechtliche Verfolgungen und Sanktionen; d. Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt; ... g. Datensammlung: jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind; 2 The above cartoon by Peter Steiner has been reproduced from page 61 of July 5, 1993 issue of The New Yorker, (Vol.69 (LXIX) no. 20) only for academic discussion, evaluation, research and complies with the copyright law of the United States as defined and stipulated under Title 17 U. S. Code. 3 4 5 6 Wenn man von Sicherheit spricht, so sollte man sich zuerst überlegen, was es zu sichern gilt. Das Internet spielt bei verschiedenen Gliedern der Wertschöpfungskette eine zunehmend wichtige Rolle. Die Aufwendungen für Internet-Sicherheit stehen häufig in engem Zusammenhang mit den Wertschöpfungsanteilen. In Bezug auf Sicherheitsfragen ist der Werbe- und damit auch der PersonendatenWelt besondere Beachtung zu schenken. Interessanterweise kommen zwei der über die letzten fünf Jahre (2000-2005) am schnellsten wachsenden Software-Firmen aus dem Suchmaschinenumfeld: Google: 181% , Salesforce.com: 124% , FAST: 85% 7 Um Marktanteile zu vergrössern werden enorme Marketinganstrengungen unternommen. Das Internet spielt im Bereich Werbung eine zunehmend wichtige Rolle, ist aber immer noch von geringer Bedeutung im Vergleich zu den konventionellen Werbekanälen. (Die Schweizer Post spediert rund 3 Milliarden Briefe pro Jahr, 1.2 Milliarden davon d.h. 40% der Briefe sind adressierte Werbungen. Generell geht man davon aus, dass jeder 2. Werbefranken ins Direktmarketing fliesst.) .Der florierende Handel mit Adressen , Telefonnummern und eMailAdressen führt einerseits zu geringeren Streuverlusten bzw. besser passenden Werbungen, andererseits wächst auch die Belästigung der Verbraucher mit unerwünschter Werbung unerlaubte Werbeanrufe bei Privatanschlüssen ("Wir machen da eine Umfrage") nehmen ebenso zu, wie Spamming. Die genaue Kenntnis der Kundenprofile ist enorm nützlich. Verschiedene Firmen haben sich auf die Vermittlung von Kundendaten bzw. Adresslisten spezialisiert. Schober Direct Media Bachenbülach verkauft die Informationen zu rund 5.8 Mio Privatadressen mit rund 100 Merkmalen, 430‗000 Firmenadressen, sowie Geo-Marketing-Daten und bietet die folgenden Dienste an. • Business MarketBase: Hier finden Sie alle rund 430'000 Firmenadressen mit Millionen von Zusatzinformationen aus der Schweiz. • Consumer MarketBase: Über 5,8 Mio Privatadressen und Milliarden an Zusatzinformationen • Geo MarketBase: Mit Schober Geomarketing wissen Sie, wo Ihre Kunden sind. • Listbroking: Die Kundendateien von über 280 namhaften Firmen werden vereinigt. 8 Viele Websites bieten bereits personalisierte Informationen an. Die Palette reicht von einfachen Spracheinstellungslösungen, über auf die letzten Website-Besuche referenzierende Informationen, bis hin zu individueller grafische Gestaltung. 9 AdSense für Content-Seiten Anzeigen, die speziell auf den Content Ihrer Website ausgerichtet sind. AdWords für Werber: Bei AdWords gibt es keine Mindestausgaben in Bezug auf die Anzeigenschaltung. Sie können beispielsweise ein Tagesbudget in Höhe von 5 Euro und einen maximalen Betrag von 0,10 Euro pro Klick festlegen. Aktivierungsgebühr: 7.50 CHF (5 USD) CPC-Mindestbetrag (Cost-per-Click): 0.01 CHF (0.01 USD) und höher, je nach Qualität des Keywords CPM-Mindestbetrag (Cost-per-Thousand-Impressions): 0.30 CHF (0.25 USD) Mindestzahlung: (gilt nur für Vorauszahlung) 15.00 CHF (10 USD) Das maximale Preis-pro-Klick-Gebot (Cost-per-Click - CPC) ist der höchste Betrag, den Sie für einen Klick auf Ihre AdWords-Anzeige zu zahlen bereit sind. Das maximale CPC-Gebot eines Keywords ist einer der Faktoren, die die Anzeigenposition beeinflussen. Aus diesem Grund können Sie durch eine Erhöhung des maximalen CPC-Gebots eine höhere Anzeigenposition erzielen. Eine Reduzierung des maximalen CPC-Gebots kann zu einer niedrigeren Anzeigenposition führen. 10 [18.12.2006 10:10] http://www.heise.de/security/news/meldung/82679 In Untergrund-Foren werden bereits Exploits für Microsofts neuestes Betriebssystem Windows Vista verhökert, mit denen sich ein Rechner kompromittieren lässt, berichten US-Medien. Laut Trend Micro[1] seien bis zu 50.000 US-Dollar auf den Online-Auktionen ähnelnden Seiten geboten worden. Aber auch Exploits für andere Software würden dort gehandelt, je nach Popularität der Programme und Zuverlässigkeit des Exploits für Summen zwischen 20.000 und 30.000 US-Dollar. Zudem sollen sich komplette Bots und Trojaner erwerben lassen: Ein Trojaner zum Stehlen von Daten soll zwischen 1000 und 5000 US-Dollar bringen, ein Bot zum Aufbau etwa einer Spam-Armee ist für 5000 bis 20.000 Dollar zu haben. Auch die mit Trojanern geklauten persönlichen Daten und virtuellen Währungen etwa aus OnlineSpielen stünden zum Verkauf. Kreditkartennummern inklusive PIN gehen für 500 Dollar über den Tisch. Ohne gültige PIN, aber dafür mit dreistelligem Sicherheitscode und Ablaufdatum kostet eine Kreditkartennummer nur noch 25 Dollar. Ein eBay- oder PayPal-Account schlägt gerade noch mit 7 Dollar zu Buche. Bereits Ende vergangenen Jahres zeigte sich beim WMF-Exploit[2], wie lukrativ es sein kann, mit Schadsoftware Geld zu verdienen. Damals hatte Kaspersky Hacker in russischen Foren beobachtet, die den Exploit für 4000 Dollar angeboten und verkauft hatten[3]. Kurze Zeit darauf versuchten zahlreiche Webseiten, Besucher über den Exploit mit Trojanern zu infizieren. [1] http://de.trendmicro-europe.com/ [2] http://www.heise.de/security/news/meldung/67794 [3] http://www.heise.de/security/news/meldung/69207 [4] mailto:dab@ct.heise.de 11 Citi® Identity Theft Solutions http://www.citibank.com/us/cards/cardserv/advice/victim.htm This free service for Citi cardholders will help you get your life back if you suspect you've been a victim of identity theft. One of our Identity Theft Specialists will provide you with the support you need every step of the way until your case is closed. Remember, you have $0 liability, which means you won‘t have to pay for any unauthorized charges on your Citi card. (commercials http://www.youtube.com/watch?v=qP1nJ49Ru3I http://www.youtube.com/watch?v=0cFo7PREzyA ) Identity Theft Example of a Chief of Police: http://www.youtube.com/watch?v=ngeuRgZMrNs 12 13 ADSL-Kundenanschlüsse sind durch die Telefonnummer des Kunden identifiziert. Nach dem Internet-Verbindungsaufbau eines ADSL-Kunden weist Swisscom diesem Kunden bzw. dieser Telefonnummer eine Internet-Protokoll-Adresse (IP-Adresse) zu. Cablenet-Kunden sind typisch durch die Ethernet-Adresse (MAC-Adresse) ihres Anschlussmodems identifiziert. Sobald jemand auf seinem Internet-Browser eine bestimmtes Internet-Angebot anwählt (z.B. die Web-Site www.flickr.com), wird die IP-Adresse des entsprechenden Servers gesucht und es werden Datenpakete zum gewünschten Server gesendet. Um Daten durch das Internet zu leiten, wird jedes Paket mit einer Absender- und Destinationsadresse IP-Adresse versehen. Die Datenpakete durchqueren Netze von verschiedensten Anbieter – z.B. in der Schweiz das ADSL-Anschlussnetz von Swisscom, das Netz eines Internet Service Providers (ISP), grosse Rückgrat-Netze (Backbone-Netze), Netze bei den angewählten Web-Servern. 14 Der Datenpfad vom eigenen Rechner zum angewählten Rechner kann mit dem DOSFenster-Befehl tracert (z.B. >tracert www.flickr.ch) aufgezeigt werden. Über die Website www.visualroute.ch kann man sich Datenpfade zwischen dem VisualrouteRechner in Bern und einem Rechner seiner Wahl aufzeigen lassen. 15 Mit der Anfrage an den Web-Server schicken viele Browser auch noch Informationen über den eigenen Rechner mit. Der Web-Server erfährt damit beispielsweise, welche Spracheinstellung der Browser eingestellt hat, welche Filetypen unterstützt werden, oder dass die angewählte Seite bereits einmal abgerufen worden ist und dass diese Seite nur geliefert werden soll, wenn sie seit dem letzten Besuch verändert wurde. Falls die Web-Seite nicht direkt eingetippt (oder aus einer Bookmarkliste angewählt) wurde, sondern über einen Verweis auf einer anderen Web-Seite angewählt wurde, so wird mit der Anfrage auch die Adresse dieser Web-Seite, der sogenannte Referer mit geschickt. 16 CookiesPersonalization.mpg 17 Cookies provide state in „stateless HTTP protocol― allowing for personalization (user greetings, date of last visit, language selected, personal infos), retrieval of Session data (e.g. shopping basket) or Session Tracking and User Identification. Cookies are pieces of information generated by a Web server and stored in the user's computer, ready for future access. Cookies are embedded in the HTML information flowing back and forth between the user's computer and the servers. Cookies were implemented to allow user-side customization of Web information. Essentially, cookies make use of user-specific information transmitted by the Web server onto the user's computer so that the information might be available for later access by itself or other servers. In most cases, not only does the storage of personal information into a cookie go unnoticed, so does access to it. Web servers automatically gain access to relevant cookies whenever the user establishes a connection to them, usually in the form of Web requests. http://wp.netscape.com/newsref/std/cookie_spec.html 18 Advertising Servers and Advertising networks provide a way for media buyers to coordinate ad campaigns across dozens, hundreds, or even thousands of sites in an efficient manner. The campaigns often involve running ads over a category (run-of-category) or an entire network (run-of-network). They provide Closed-Loop Marketing with more control over your online ads, <iframe src="http://ad.doubleclick.net/adi/altavista.digital.com/result_front;kw=Hotel+AND+Bar celona+AND+Velo;lang=XX;cat=stext;ord=667390994?“ width=468 height=80 marginwidth=0 marginheight=0 frameborder=0 scrolling=no></iframe> more meaningful relationships with consumers and the power to act on what you learn. Hence, they create a clear correlation between advertising and life long customers. Advertising Server Examples are: •DataBank seamlessly integrates ad and site activity data to allow analysis of the complete customer lifecycle from impression to purchase. •WhenU runs successful online campaigns for over 200 advertisers, from direct marketers to established brands. Clickthrough rates range from 3% - 20%, with industry-leading conversion ratios. We offer performance-based CPC pricing and charge only for the traffic we deliver. Our advertiser renewal rate is above 90%. WhenU's contextual marketing technology is the most robust in the world. It works based on client side software that resides on the user's desktop with the user's permission. [www.whenU.com] •DoubleClick (NetGravity) servers send out more than a billion banner ads every day (acquired by Google in 2007) •DART centralizes campaign management, creates a single set of reports (including post-click activity) for your entire campaign. [http://techweb.aol.com/wire/story/TWB19981007S0011] •MatchLogic, 24/7 Media, REALMedia, Flycast, AdKnowledge, … 19 Ein Proxyserver (von engl. proxy representative = Stellvertreter, bzw. lat. "proximus" = "Der Nä(c)hste") ist ein „Stellvertreter― für andere Server. Der HTTP-Proxyserver macht den Datentransfer effizienter (weniger Netzbelastung durch große Datenmengen) bzw. schneller und erhöht die Sicherheit, indem der gesamte Datenverkehr kontrolliert werden kann. Ein „transparenter Proxy― ist von aussen kaum zu erkennen. Ein Proxy hat eine oder mehrere der folgenden Funktionen: Zwischenspeicher (Cache): Der Proxy speichert gestellte Anfragen bzw. vielmehr deren Ergebnis. Wird die gleiche Anfrage erneut gestellt, kann diese aus dem Speicher beantwortet werden, ohne zuerst den Webserver zu fragen. Der Proxy stellt sicher, dass die von ihm ausgelieferten Informationen nicht allzu veraltet sind. Eine vollständige Aktualität wird daher in der Regel nicht gewährleistet. Durch das Zwischenspeichern können Anfragen schneller beantwortet werden, und es wird gleichzeitig die Netzlast verringert. Beispielsweise vermittelt ein Proxyserver einer Firma den gesamten Datenverkehr der Computer der Mitarbeiter mit dem Internet. Filter: Mittels Proxy können beispielsweise bestimmte Kategorien von Webseiten für den Benutzer gesperrt oder Zugriffe darauf protokolliert werden. Es kann auch der Inhalt auf schädliche Programme durchsucht werden. Somit ist ein Proxy meist Teil von Firewalls. Zugriffssteuerung: Ist der Server nicht frei im Internet erreichbar, so kann ein vorgeschalteter Proxy den Zugriff ermöglichen. Ein Angreifer kann dann den Server nicht mehr direkt angreifen, sondern nur den Proxy. Es kann auch der Zugriff von Clients auf Webserver nur über einen Proxy ermöglicht werden. Vorverarbeitung von Daten: Proxys können auch gewisse Applikationsfunktionen übernehmen, beispielsweise Daten in ein standardisiertes Format bringen. Anonymisierungsdienst: Der Proxy leitet die Daten des Clients zum Server weiter, wodurch der Server die IP-Adresse des Clients nicht auslesen kann. 20 Überwachungskameras im Hauptbahnhof Zürich: •An keinem anderen öffentlich zugänglichen Ort in Zürich ist die Dichte der Überwachungskameras höher als am Hauptbahnhof: Über 100 Kameras beobachten KundInnen und Angestellte von Bahn und Shopping. Der Hauptbahnhof wird täglich von 300‘000 Menschen frequentiert. •Die Kameras sind alle auf den öffentlich zugänglichen Bereich gerichtet. Sie dienen der Verhaltenskontrolle, der Beweissicherung und der Einsatzplanung in Krisenfällen. Die meisten Kameras sind untereinander zu einem eigentlichen CCTV-System vernetzt, das von der Kantonspolizei und den Bundesbahnen SBB gemeinsam betrieben wird. (CCTV = Closed Circuit TV). ProduzentInnen: Bigbrother Awards Schweiz & Rote Fabrik in Zusammenarbeit mit SIUG (Swiss Internet User Group) und dem Archiv Schnüffelstaat Schweiz (ASS) Gestaltung Print / Web: Annina Rüst Überwachungskameras in Köln: Chaos Circuit Television - Datenbank http://koeln.ccc.de/updates/old/2000-10-06_berwachungskame.html Ob diese Kameras nur von den dafür berechtigten Organisationen genutzt werden können ist fraglich. Nach „Wardialing― und „Warsurfing― wird vielleicht „Warviewing― als nächstes Schlawort auftauchen, um die (Un)Sicherheit von ITC-Systemen zu veranschaulichen. 21 Alarm Activated VCR: After pressing record, a normal VCR takes about 20 seconds before it starts recording usable pictures. With an alarm activated recorder, it can be set so that the tape is ready to start recording in about one second. The signal to begin recording can be from an alarm or any other input. •Schwenk- / Neig- / Zoom-Funkkamera (5‘000€) •Reichweite: 500 - 3000 Meter in Gebäuden, bis zu 5000 Meter ohne Hindernisse •Sony ® Tag- (0,9 Lux Color) und Nacht- (0,003 Lux restlichttauglich S/W) Kamera •420 TV-Linien, nahezu DVD-Qualität •340 Grad Schwenken, 340 Grad Neigen •26fach-Zoom, Zoomzeit: auf Maximum ca. 3 Sekunden •8 GHz (Bildübertragung), 433 MHz oder 868 MHz (Fernsteuerung) •Dome-Kamera 3‘000€ •25 Meter Anschlusskabel für alle TV- und Videogeräte •digitales Steuerpult mit Joystick und LCD-Display •Minikamera •330€ inkl. Empfänger mit Anschluss für TV-Geräte und Videorekorder www.top-sicherheit.com •Batteriemodul bis zu 30 Stunden Dauereinsatz •Reichweite beträgt 20 – 100 Metern in Gebäuden bzw. bis zu 300 Meter ohne Hindernisse •60 Grad Blickwinkel •Detailerkennungen bis 1,50 Meter (Gesichtszüge) bzw. 2 Meter (Kfz- Nummern & Personen) •Getarnte Kameras •Wanduhrkamera inkl. Ton zur verdeckten Video- und Tonüberwachung in VHSVideoqualität EUR 49,98 •Bewegungsmelder inkl. Ton zur verdeckten Video- und Tonüberwachung EUR 99,99 22 CCTV (closed circuit television) is a television system in which signals are not publicly distributed; cameras are connected to television monitors in a limited area such as a store, an office building, or on a college campus. CCTV is commonly used in surveillance systems. •hochauflösende Netzwerkkamera mit Web-Server 300€ •Live-Bilder mittels Internet Explorer von jedem PC aus sichtbar •30 Bilder pro Sekunde, 20 Benutzer möglich, Kennwortschutz •10 Lux Color-Kamera, Auflösung 640 x 480 Pixel, nur für Innenbereiche, Abmessungen: 85 x 55 x 34 mm) •Steuerbare Netzkamera mit Web-Server Fr. 350 •LEVELONE FCS-1010 Pan/Tilt IP Kamera (SENSOR TYP: 1/4" CCD SENSOR) •AUFLÖSUNG: PIXEL AUFNAHME VIDEO: 352X288 PIXEL •SCHNITTSTELLE: NETZWERK(10/100MBIT)+ WIRELESS Aufgrund der sinkenden Kosten der Web-Cams gibt es immer mehr Leute geben, welche solche Cams auch für den privaten Gebrauch installieren. Man könnte sich vorstellen, dass schon in naher Zukunft ein neues Thema „Warviewing― kreiert wird. Dabei würde versucht, mit Kamera-Funkempfängern und Web-Angriffen, Kamerabilder von eigentlich nur für den internen Gebrauch bestimmten Kameras extern anzuschauen. Ein interessanter Aspekt ist dabei auch, dass Zubringerverbindungen (z.B. Richtstrahlverbindung Säntis-Üetliberg) ebenfalls abgehört werden können. 23 24 Das Mobilfunknetz bzw. das seit Anfang 1990er-Jahre von der Group Spéciale Mobile (GSM) eingeführte GSM-Netz enthält so genannte Basisstation, welche lokale Zellen (Funkzellen) versorgen. Diese als Base Transceiver Station (BTS) bezeichneten Stationen umfassen meist mehre Antennen, welche Sektorenzellen im Umkreis von bis zu 35 Kilometer um den Antennenstandort versorgen können. Die Größe einer Zelle ist systembedingt maximal 35km. Besonders in Gebieten mit hoher Netzauslastung (z.B. Städte, Bahnhöfe) arbeitet man aber auch mit so genannten Mikrozellen von einigen 10 bis 100 Meter Grösse. Jede Zelle bzw. Sektorzelle hat eine eindeutige ZellenIdentifikationsnummer (Cell ID). Ein Endgerät (Terminal, Mobile) führt ständig Messungen der Signalstärke und qualität der aktuellen Zelle sowie der Feldstärke der Nachbarzellen durch und sendet diesen Bericht alle 480ms an den BSC (Base Station Controller). Ein BSC bedient mehrere BTS. Falls während einem Gespräch oder einer Datenverbindung die Empfangssignale von einer BTS deutlich besser sind, als diejenigen der aktuell genutzten BTS, so schaltet das Netz die Verbindung automatisch auf die bessere BTS um. Man nennt dies „Handover―. Eine Location Area besteht aus einer variablen Anzahl von Funkzellen (BTS). Sie ist durch die Location Area Identity (LAI) identifiziert, bestehend aus Mobile Country Code (MCC), Mobile Network Code (MNC) und Location Area Code (LAC). Eine Location Area deckt je nach Netzdichte (Anzahl der BTS), Gesprächs- bzw. Datenaufkommen und individuellen, vom Netzbetreiber festgelegten Konfigurationen ein geografisches Gebiet von mehreren 10 bis 100km ab. Solange sich das Mobiltelefon im „idle mode― befindet, also keine Verbindung aktiv ist, ist die Location Area die einzige standortbezogene Information, die dem Netz bekannt ist. Die Preisgabe des Aufenthaltsortes kann jedoch erzwungen werden, beispielsweise durch so genannte „stille SMS―, die dem Netzbetreiber die Bestimmung der aktuellen Funkzelle ermöglichen. Im idle mode (Gerät in "Standby") trifft die Mobilstation selbständig die Entscheidung für einen Zellwechsel beim Verlassen einer Location Area, d.h. das GSM-Netz kennt nur die Location Area des Endgeräts, falls dieses nicht aktiv ist. Wechselt das Mobiltelefon in eine Funkzelle, die einer anderen Location Area angehört, so findet ein Location Update statt, sprich das Netz wird darüber informiert, dass man sich nun in einem anderen Aufenthaltsbereich befindet. Wird in eine andere Zelle innerhalb der gleichen Location Area gewechselt, so findet kein Location Update statt. Damit ist die LA die kleinste addressierbare Einheit, in der ein Mobiltelefon mittels Paging gerufen werden kann. Die International Mobile Subscriber Identity (IMSI) dient in GSM- und UMTS-Mobilfunknetzen der weltweit eindeutigen Identifizierung von Netzteilnehmern (Mobiles, Terminal). Die IMSI setzt sich aus 3 Zeichen Mobile Country Code (MCC), 2 Zeichen Mobile Network Code (MNC) und 10 Zeichen Mobile Subscriber Identification Number (MSIN) zusammen. Beispiel einer IMSI: 262019876543210, MCC=262 für Deutschland, MNC=01 für TMobile, MSIN=9876543210 für den Teilnehmer. http://de.wikipedia.org/wiki/Global_System_for_Mobile_Communications http://de.wikipedia.org/wiki/Base_Transceiver_Station 25 Das Bundesamt für Kommunikation unterhält eine Datenbank der Standorte und Sendeleistungen von Sendeanlagen. Es gibt auch verschiedene Communities, welche Datenbanken mit Senderstandortskoordinaten aufbauen (z.B. www.wiggle.net). 26 27 Information Sharing wird immer beliebter. Private können heute mit wenigen Mausclicks und vielfach sogar kostenlos Photos, Tondokumente, Videos auf dem Internet veröffentlichen. Jeder kann heute Beschreibungen zu beliebigen Themen veröffentlichen (z.B. Blogs, Wiki) oder seine bevorzugten Internet-Adressen veröffentlichen und kommentieren (http://deli.cio.us). Mittlerweile werden Informationen mit verschiedensten Zusatzdaten versehen. Bei Flickr kann man beispielsweise auch angeben, an welchem Ort ein Photo aufgenommen wurde. Entsprechend kann man sich auch anzeigen lassen, welche Photos in einer bestimmten Region aufgenommen wurden. 28 openBC/XING will das berufliche und geschäftliche Netzwerk zu einer aktiv genutzten Ressource machen. Dank der erweiterten Funktionen für Kontakt-Suche und –Management entdecken Mitglieder auf der Plattform Geschäfts- und Fachleute, Chancen sowie auf sie zugeschnittene Angebote. Business 2.0/CNN Money bezeichnet die Open Business Club AG als „one of the world‘s hottest Web 2.0 startups―. Red Herring zählt das Unternehmen zu den „Top 100 Unternehmen in Europa―. Ende September 2006 hat die Networking-Plattform knapp 1,5 Millionen Mitglieder in allen Staaten der Welt und stellt zwischen ihnen Abermillionen von Verbindungen her. Seit November 2003 ist die Zahl der Mitglied kontinuierlich gestiegen. Ähnliche Angebote gibt es zum Auffinden von ehemaligen Klassenkameraden (www.classmates.com, www.klassenkameraden.ch). http://www.linkedin.com/home 29 Das wohl wichtigste Internet-Werkzeug sind die Suchmaschinen. Viele Leute nutzen aber nur einen Bruchteil der Funktionen, welche Suchmaschinen anbietet. Man sollte sich mal die Mühe nehmen, die erweiterten Funktionen von Google zu studieren oder speziell nach Bildern oder News-Artikeln zum gewählten Suchbegriff suchen. http://www.google.ch/intl/de/options/ bzw. http://www.google.ch/intl/de/about.html •Suche nach Bildern: http://images.google.ch •Suche nach News-Artikeln: http://news.google.ch 30 Viele Suchmaschinenbetreiber analysieren die eingegeben Suchbegriffe, um ihre Suchalgorithmen zu optimieren. Dabei werden nach Möglichkeit die Suchbegriffe pro Besucher untersucht. Unter anderem Yahoo, AOL und MSN haben Daten über Suchanfragen ihrer Nutzer auch schon an das amerikanische Justizministerium weitergegeben. 31 Reference: MICHAEL BARBARO and TOM ZELLER Jr., Published: August 9, 2006 Für Forschungszwecke veröffentlichte AOL im August 2006 20Millionen Suchbegriffe, welche 650‘000 AOL-Kunden eingegeben hatten. Die Begriffe wurden anonymisiert (mit zufälliger Nummer pro Kunde) veröffentlicht, um die Privatsphäre der Kunden sicherzustellen: In 2006 AOL violated the privacy of 650‘000 users by publicly releasing three months of search query records. Search terms can expose the most intimate details of a person's life. These records could be connected back to you and cause you great harm. Would you want strangers to know where you or your child work or go to school? How about everyone seeing search queries that reference your financial information, medical history, sexual orientation, or religious affiliation?" 32 Mit modernen Handies und kleinen Zustzmodulen können mit der ―cnlab Tourlive Software‖ Positions- und Bildinformationen erfasst und lokal abgespeichert, oder online auf einer Webseite angeboten werden. Weitere Informationen findet man bei www.tourlive.ch . 33 Beispiel zur Darstellung der TourLive-Daten auf der Webseite: Man kann sich online oder offline Bilder, Positionsdaten (geographische Koordinaten in Google Map / Google Earch, Geschwindigkeit, Höhenprofil, zurückgelegte Distanz) anzeigen lassen. 34 http://www.ortung.biz/ Realtime GPS Ortung & Tracking per SMS & GPRS von Personen, Fahrzeugen, Tieren, Baumaschinen oder Booten . 35 Der Golfkrieg erlebte Geburtsstunde des Cyberwar. CIA implantierte beispielsweise einen Microchip in Drucker und anderes Computerzubehör. Signale des irakischen Luftabwehrsystems führten dazu, dass die Drucker und Computerzubehör-Einrichtungen wie Niedrigfrequenzsender arbeiteten und dadurch lokalisierbar wurden (d.h. sie lieferten ein Ortungsleuchtfeuer). Und wo ein Drucker lokalisiert werden kann, sind technologisch hoch stehende Anlagen nicht weit entfernt. Chip war von NSA gebaut worden. Chippen: Microchips mit einer versteckten Bombe, die von der US-Regierung ferngesteuert werden können. Winn Schwartau (Journalist): Telefonanlage die in den frühen 70er-Jahren nach Polen verkauft wurde, enthielt ferngesteuerte Sprengkapsel 36 37 Browser speichern verschiedenste Eingaben automatisch lokal auf dem Rechner ab. Es sind dies beispielsweise: • eingetippte Webseiten-Adressen (History-File) • heruntergeladene Informationen wie Bilder oder Cookies (Cache) Andere Informationen speichern die Benutzer bewusst ab (z.B. Bookmarks/Favorites). Wer auf einen Rechner zugreifen kann, kann sich anhand der lokal abgespeicherten Informationen ein Bild machen über die Surfgewohnheiten derjenigen Personen, welche diesen Rechner nutzen. 38 Gegenwärtig ist es im Trend, Anwendungen nicht mehr lokal auf seinem Rechner zu betreiben, sondern bei einem so genannten Application Service Provider (ASP). Entsprechend werden die Daten über das Netz übertragen und auf fremden Rechnern abgespeichert. 39 40 Bei der Übertragung wird häufig von ―End-zu-End-Verschlüsselung‖ gesprochen, d.h. alle Daten, welche zwischen der Rechnern übertragen werden, sind durch kryptologische Verfahren geschützt, so dass die Daten nur von den beabsichtigten Kommunikationspartnern gelesen werden können. Beim Mensch-Maschine-Übergang bleiben die Daten aber unverschlüsselt: Die Tastatureingaben und Bildschirmausgaben sind unverschlüsselt. 41 Eine der gegenwärtig grössten Gefahren stellen einerseits die vielen ungeschützten Rechner im Privatbereich dar. Andererseits ist die Tatsache, dass sich Angreifer heute nicht mehr profilieren sondern vielmehr verstecken wollen ein Problem. Hatte man noch vor zwei Jahren relativ schnell festgestellt, wenn jemand ein bösartiges Programm auf seinen Rechner eingespielt hat, so ist dem heute nicht mehr so. Man rechnet, dass in manchen Regionen bis zu 7% der Rechner durch Fremde kontrolliert werden können. Dazu haben sie kleine Programme (Bots) auf die Rechner gespielt und steuern diese Programme nach Bedarf. Beispielsweise zum Versand von SPAM-Mails, um bestimmte Rechner zu überfluten (Distributed Denial of Service, DDOS) oder um Tastatureingaben und Bildschirmausgaben abzufangen. Mar 19, 2007: Symantec tracked 6 million separate bots—compromised computers used to send spam or steal personal data—controlled by roughly 4,700 separate servers through so-called "bot herders" who could be anywhere in the world. During the same six-month period, from last July through December, Symantec also watched 332 of what it calls "underground economy servers," where stolen personal data, such as credit card and bank account information, is routinely bartered and sold. According to Alfred Huger, Symantec‘s vice president of engineering, it‘s not unusual for these underground economy servers to be the same as those maintained by the bot herders. http://www2.csoonline.com/blog_view.html?CID=32583 42 E-Blaser ist seit 2003 auf dem Markt. Es wird von den Antivirenprogrammen nicht als ―Virus― oder „Trojaner― detektiert. Orvell Monitoring 2007 - nimmt in regelmäßigen Abständen den Bildschirminhalt auf und speichert die Daten versteckt auf der Festplatte. Orvell ist zur vollständigen visuellen Überwachung aller PC-Aktivitäten entworfen - ausführlich bis zum letzten Tastananschlag. Neue Version: grafische Analyse und Zeitauswertung der PC Nutzung, Druckeraufnahme, Suchmaschinenaufnahme, Aufnahme von Systemänderungen, Profi Keylogger zur Tastaturaufnahme, E-Mail Alarm bei Anschluss von USB Sticks und vieles mehr. € 69.95 - deutsche Version. http://www.protectcom.de/ Winston Monitoring 2007 - die deutsche PC Überwachungssoftware spezialisiert auf den Versand der Überwachungsreporte per E-Mail. Sie erhalten regelmäßig detaillierte Berichte der PC Nutzung (gestartete Programme, besuchte Internetseiten, Systemaktivitäten) an Ihre E-Mail Adresse. Somit erfahren Sie immer und überall, was an Ihrem PC gearbeitet wurde, ohne sich an den zu überwachenden PC zu begeben. 43 44 45 Art. 3 Datenschutzgesetz: Begriffe a. Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen; b. betroffene Personen: natürliche oder juristische Personen, über die Daten bearbeitet werden; c. besonders schützenswerte Personendaten: Daten über 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe, 4. administrative oder strafrechtliche Verfolgungen und Sanktionen; d. Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt; ... g. Datensammlung: jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind; 46 Um den Kunden eine ―persönlichere Bedienung‖ anzubieten können Webangebote automatisch an die Vorlieben der Besuchenden angepasst werden: In einer ersten Phase können Kunden konfigurieren, mit welchen Einstiegsinformationen sie begrösst werden sollen (Content selection) und/oder wie diese dargestellt werden sollen (look and feel). Ein weitere Aspekt der Personalisierung ist die möglichst personenbezogene Begrüssung sowie die Auslieferung von Informationen (Hello message with name, User based content selection, Content based marketing). Schliesslich wird mit Avataren versucht, möglichst ―menschliche‖ Benutzerschnittstellen zu generieren. 47