Wie steht es um Ihre "digitale Identität"?

Transcription

Wie steht es um Ihre "digitale Identität"?
Die Präsentation „Fährtensucher im Internet: Spuren in der digitalen Welt― soll
helfen, das „Risko-Bewusstsein― bei der Nutzung von Information and
Communication Technologies (ICT) zu schärfen, indem besser verstanden wird, was
sich technisch abspielt (Datenflüsse, Identifikation von Rechnern, Nutzern). Die
Situation wird mit aktuellen Beispielen veranschaulicht.
Vor allem den „Digital Immegrants― wird empfohlen, die eine oder andere der
angegebenen Web-Sites selbst zu besuchen und so sich selbst ein Bild zu machen,
was für „Digital Natives― selbstverständlich ist.
1
Art. 3 Datenschutzgesetz: Begriffe
a. Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder
bestimmbare Person beziehen;
b. betroffene Personen: natürliche oder juristische Personen, über die Daten
bearbeitet werden;
c. besonders schützenswerte Personendaten: Daten über
1. die religiösen, weltanschaulichen, politischen oder
gewerkschaftlichen Ansichten oder Tätigkeiten,
2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,
3. Massnahmen der sozialen Hilfe,
4. administrative oder strafrechtliche Verfolgungen und Sanktionen;
d. Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine
Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen
Person erlaubt;
...
g. Datensammlung: jeder Bestand von Personendaten, der so aufgebaut ist,
dass die Daten nach betroffenen Personen erschliessbar sind;
2
The above cartoon by Peter Steiner has been reproduced from page 61 of July
5, 1993 issue of The New Yorker, (Vol.69 (LXIX) no. 20) only for academic
discussion, evaluation, research and complies with the copyright law of the
United States as defined and stipulated under Title 17 U. S. Code.
3
4
5
6
Wenn man von Sicherheit spricht, so sollte man sich zuerst überlegen, was es zu
sichern gilt. Das Internet spielt bei verschiedenen Gliedern der Wertschöpfungskette
eine zunehmend wichtige Rolle. Die Aufwendungen für Internet-Sicherheit stehen
häufig in engem Zusammenhang mit den Wertschöpfungsanteilen.
In Bezug auf Sicherheitsfragen ist der Werbe- und damit auch der PersonendatenWelt besondere Beachtung zu schenken. Interessanterweise kommen zwei der über
die letzten fünf Jahre (2000-2005) am schnellsten wachsenden Software-Firmen aus
dem Suchmaschinenumfeld: Google: 181% , Salesforce.com: 124% , FAST: 85%
7
Um Marktanteile zu vergrössern werden enorme Marketinganstrengungen unternommen. Das
Internet spielt im Bereich Werbung eine zunehmend wichtige Rolle, ist aber immer noch von
geringer Bedeutung im Vergleich zu den konventionellen Werbekanälen. (Die Schweizer Post
spediert rund 3 Milliarden Briefe pro Jahr, 1.2 Milliarden davon d.h. 40% der Briefe sind
adressierte Werbungen. Generell geht man davon aus, dass jeder 2. Werbefranken ins
Direktmarketing fliesst.) .Der florierende Handel mit Adressen , Telefonnummern und eMailAdressen führt einerseits zu geringeren Streuverlusten bzw. besser passenden Werbungen,
andererseits wächst auch die Belästigung der Verbraucher mit unerwünschter Werbung unerlaubte Werbeanrufe bei Privatanschlüssen ("Wir machen da eine Umfrage") nehmen ebenso
zu, wie Spamming.
Die genaue Kenntnis der Kundenprofile ist enorm nützlich. Verschiedene Firmen haben sich auf
die Vermittlung von Kundendaten bzw. Adresslisten spezialisiert. Schober Direct Media
Bachenbülach verkauft die Informationen zu rund 5.8 Mio Privatadressen mit rund 100
Merkmalen, 430‗000 Firmenadressen, sowie Geo-Marketing-Daten und bietet die folgenden
Dienste an.
• Business MarketBase: Hier finden Sie alle rund 430'000 Firmenadressen mit Millionen von
Zusatzinformationen aus der Schweiz.
• Consumer MarketBase: Über 5,8 Mio Privatadressen und Milliarden an Zusatzinformationen
• Geo MarketBase: Mit Schober Geomarketing wissen Sie, wo Ihre Kunden sind.
• Listbroking: Die Kundendateien von über 280 namhaften Firmen werden vereinigt.
8
Viele Websites bieten bereits personalisierte Informationen an. Die Palette reicht von
einfachen Spracheinstellungslösungen, über auf die letzten Website-Besuche
referenzierende Informationen, bis hin zu individueller grafische Gestaltung.
9
AdSense für Content-Seiten Anzeigen, die speziell auf den Content Ihrer Website
ausgerichtet sind.
AdWords für Werber: Bei AdWords gibt es keine Mindestausgaben in Bezug auf die
Anzeigenschaltung. Sie können beispielsweise ein Tagesbudget in Höhe von 5 Euro und
einen maximalen Betrag von 0,10 Euro pro Klick festlegen.
Aktivierungsgebühr: 7.50 CHF (5 USD)
CPC-Mindestbetrag (Cost-per-Click): 0.01 CHF (0.01 USD) und höher, je nach Qualität
des Keywords
CPM-Mindestbetrag (Cost-per-Thousand-Impressions): 0.30 CHF (0.25 USD)
Mindestzahlung: (gilt nur für Vorauszahlung) 15.00 CHF (10 USD)
Das maximale Preis-pro-Klick-Gebot (Cost-per-Click - CPC) ist der höchste Betrag, den Sie
für einen Klick auf Ihre AdWords-Anzeige zu zahlen bereit sind. Das maximale CPC-Gebot
eines Keywords ist einer der Faktoren, die die Anzeigenposition beeinflussen. Aus diesem
Grund können Sie durch eine Erhöhung des maximalen CPC-Gebots eine höhere
Anzeigenposition erzielen. Eine Reduzierung des maximalen CPC-Gebots kann zu einer
niedrigeren Anzeigenposition führen.
10
[18.12.2006 10:10] http://www.heise.de/security/news/meldung/82679
In Untergrund-Foren werden bereits Exploits für Microsofts neuestes Betriebssystem Windows Vista
verhökert, mit denen sich ein Rechner kompromittieren lässt, berichten US-Medien. Laut Trend
Micro[1] seien bis zu 50.000 US-Dollar auf den Online-Auktionen ähnelnden Seiten geboten worden.
Aber auch Exploits für andere Software würden dort gehandelt, je nach Popularität der Programme
und Zuverlässigkeit des Exploits für Summen zwischen 20.000 und 30.000 US-Dollar. Zudem sollen
sich komplette Bots und Trojaner erwerben lassen: Ein Trojaner zum Stehlen von Daten soll zwischen
1000 und 5000 US-Dollar bringen, ein Bot zum Aufbau etwa einer Spam-Armee ist für 5000 bis
20.000 Dollar zu haben.
Auch die mit Trojanern geklauten persönlichen Daten und virtuellen Währungen etwa aus OnlineSpielen stünden zum Verkauf. Kreditkartennummern inklusive PIN gehen für 500 Dollar über den
Tisch. Ohne gültige PIN, aber dafür mit dreistelligem Sicherheitscode und Ablaufdatum kostet eine
Kreditkartennummer nur noch 25 Dollar. Ein eBay- oder PayPal-Account schlägt gerade noch mit 7
Dollar zu Buche. Bereits Ende vergangenen Jahres zeigte sich beim WMF-Exploit[2], wie lukrativ es
sein kann, mit Schadsoftware Geld zu verdienen. Damals hatte Kaspersky Hacker in russischen Foren
beobachtet, die den Exploit für 4000 Dollar angeboten und verkauft hatten[3]. Kurze Zeit darauf
versuchten zahlreiche Webseiten, Besucher über den Exploit mit Trojanern zu infizieren.
[1] http://de.trendmicro-europe.com/
[2] http://www.heise.de/security/news/meldung/67794
[3] http://www.heise.de/security/news/meldung/69207
[4] mailto:dab@ct.heise.de
11
Citi® Identity Theft Solutions
http://www.citibank.com/us/cards/cardserv/advice/victim.htm
This free service for Citi cardholders will help you get your life back if you
suspect you've been a victim of identity theft. One of our Identity Theft
Specialists will provide you with the support you need every step of the way
until your case is closed. Remember, you have $0 liability, which means you
won‘t have to pay for any unauthorized charges on your Citi card.
(commercials http://www.youtube.com/watch?v=qP1nJ49Ru3I
http://www.youtube.com/watch?v=0cFo7PREzyA )
Identity Theft Example of a Chief of Police:
http://www.youtube.com/watch?v=ngeuRgZMrNs
12
13
ADSL-Kundenanschlüsse sind durch die Telefonnummer des Kunden identifiziert.
Nach dem Internet-Verbindungsaufbau eines ADSL-Kunden weist Swisscom diesem
Kunden bzw. dieser Telefonnummer eine Internet-Protokoll-Adresse (IP-Adresse) zu.
Cablenet-Kunden sind typisch durch die Ethernet-Adresse (MAC-Adresse) ihres
Anschlussmodems identifiziert.
Sobald jemand auf seinem Internet-Browser eine bestimmtes Internet-Angebot
anwählt (z.B. die Web-Site www.flickr.com), wird die IP-Adresse des entsprechenden
Servers gesucht und es werden Datenpakete zum gewünschten Server gesendet.
Um Daten durch das Internet zu leiten, wird jedes Paket mit einer Absender- und
Destinationsadresse IP-Adresse versehen. Die Datenpakete durchqueren Netze von
verschiedensten Anbieter – z.B. in der Schweiz das ADSL-Anschlussnetz von
Swisscom, das Netz eines Internet Service Providers (ISP), grosse Rückgrat-Netze
(Backbone-Netze), Netze bei den angewählten Web-Servern.
14
Der Datenpfad vom eigenen Rechner zum angewählten Rechner kann mit dem DOSFenster-Befehl tracert (z.B. >tracert www.flickr.ch) aufgezeigt werden. Über die
Website www.visualroute.ch kann man sich Datenpfade zwischen dem VisualrouteRechner in Bern und einem Rechner seiner Wahl aufzeigen lassen.
15
Mit der Anfrage an den Web-Server schicken viele Browser auch noch
Informationen über den eigenen Rechner mit. Der Web-Server erfährt damit
beispielsweise, welche Spracheinstellung der Browser eingestellt hat, welche
Filetypen unterstützt werden, oder dass die angewählte Seite bereits einmal
abgerufen worden ist und dass diese Seite nur geliefert werden soll, wenn sie
seit dem letzten Besuch verändert wurde.
Falls die Web-Seite nicht direkt eingetippt (oder aus einer Bookmarkliste
angewählt) wurde, sondern über einen Verweis auf einer anderen Web-Seite
angewählt wurde, so wird mit der Anfrage auch die Adresse dieser Web-Seite,
der sogenannte Referer mit geschickt.
16
CookiesPersonalization.mpg
17
Cookies provide state in „stateless HTTP protocol― allowing for
personalization (user greetings, date of last visit, language selected, personal
infos), retrieval of Session data (e.g. shopping basket) or Session Tracking and
User Identification.
Cookies are pieces of information generated by a Web server and stored in the
user's computer, ready for future access. Cookies are embedded in the HTML
information flowing back and forth between the user's computer and the
servers. Cookies were implemented to allow user-side customization of Web
information.
Essentially, cookies make use of user-specific information transmitted by the
Web server onto the user's computer so that the information might be
available for later access by itself or other servers. In most cases, not only
does the storage of personal information into a cookie go unnoticed, so does
access to it. Web servers automatically gain access to relevant cookies
whenever the user establishes a connection to them, usually in the form of
Web requests.
http://wp.netscape.com/newsref/std/cookie_spec.html
18
Advertising Servers and Advertising networks provide a way for media buyers to
coordinate ad campaigns across dozens, hundreds, or even thousands of sites in an efficient
manner. The campaigns often involve running ads over a category (run-of-category) or an
entire network (run-of-network). They provide Closed-Loop Marketing with more control
over your online ads,
<iframe
src="http://ad.doubleclick.net/adi/altavista.digital.com/result_front;kw=Hotel+AND+Bar
celona+AND+Velo;lang=XX;cat=stext;ord=667390994?“
width=468 height=80 marginwidth=0 marginheight=0 frameborder=0
scrolling=no></iframe>
more meaningful relationships with consumers and the power to act on what you
learn. Hence, they create a clear correlation between advertising and life long
customers. Advertising Server Examples are:
•DataBank seamlessly integrates ad and site activity data to allow analysis of the
complete customer lifecycle from impression to purchase.
•WhenU runs successful online campaigns for over 200 advertisers, from direct
marketers to established brands. Clickthrough rates range from 3% - 20%, with
industry-leading conversion ratios. We offer performance-based CPC pricing and
charge only for the traffic we deliver. Our advertiser renewal rate is above 90%.
WhenU's contextual marketing technology is the most robust in the world. It works based on
client side software that resides on the user's desktop with the user's permission.
[www.whenU.com]
•DoubleClick (NetGravity) servers send out more than a billion banner ads every day
(acquired by Google in 2007)
•DART centralizes campaign management, creates a single set of reports (including
post-click activity) for your entire campaign.
[http://techweb.aol.com/wire/story/TWB19981007S0011]
•MatchLogic, 24/7 Media, REALMedia, Flycast, AdKnowledge, …
19
Ein Proxyserver (von engl. proxy representative = Stellvertreter, bzw. lat. "proximus" = "Der
Nä(c)hste") ist ein „Stellvertreter― für andere Server. Der HTTP-Proxyserver macht den
Datentransfer effizienter (weniger Netzbelastung durch große Datenmengen) bzw. schneller und
erhöht die Sicherheit, indem der gesamte Datenverkehr kontrolliert werden kann. Ein „transparenter
Proxy― ist von aussen kaum zu erkennen.
Ein Proxy hat eine oder mehrere der folgenden Funktionen:
Zwischenspeicher (Cache): Der Proxy speichert gestellte Anfragen bzw. vielmehr deren Ergebnis.
Wird die gleiche Anfrage erneut gestellt, kann diese aus dem Speicher beantwortet werden, ohne
zuerst den Webserver zu fragen. Der Proxy stellt sicher, dass die von ihm ausgelieferten
Informationen nicht allzu veraltet sind. Eine vollständige Aktualität wird daher in der Regel nicht
gewährleistet. Durch das Zwischenspeichern können Anfragen schneller beantwortet werden, und es
wird gleichzeitig die Netzlast verringert. Beispielsweise vermittelt ein Proxyserver einer Firma den
gesamten Datenverkehr der Computer der Mitarbeiter mit dem Internet.
Filter: Mittels Proxy können beispielsweise bestimmte Kategorien von Webseiten für den Benutzer
gesperrt oder Zugriffe darauf protokolliert werden. Es kann auch der Inhalt auf schädliche
Programme durchsucht werden. Somit ist ein Proxy meist Teil von Firewalls.
Zugriffssteuerung: Ist der Server nicht frei im Internet erreichbar, so kann ein vorgeschalteter Proxy
den Zugriff ermöglichen. Ein Angreifer kann dann den Server nicht mehr direkt angreifen, sondern
nur den Proxy. Es kann auch der Zugriff von Clients auf Webserver nur über einen Proxy ermöglicht
werden.
Vorverarbeitung von Daten: Proxys können auch gewisse Applikationsfunktionen übernehmen,
beispielsweise Daten in ein standardisiertes Format bringen.
Anonymisierungsdienst: Der Proxy leitet die Daten des Clients zum Server weiter, wodurch der
Server die IP-Adresse des Clients nicht auslesen kann.
20
Überwachungskameras im Hauptbahnhof Zürich:
•An keinem anderen öffentlich zugänglichen Ort in Zürich ist die Dichte der
Überwachungskameras höher als am Hauptbahnhof: Über 100 Kameras
beobachten KundInnen und Angestellte von Bahn und Shopping. Der
Hauptbahnhof wird täglich von 300‘000 Menschen frequentiert.
•Die Kameras sind alle auf den öffentlich zugänglichen Bereich gerichtet. Sie
dienen der Verhaltenskontrolle, der Beweissicherung und der Einsatzplanung
in Krisenfällen. Die meisten Kameras sind untereinander zu einem
eigentlichen CCTV-System vernetzt, das von der Kantonspolizei und den
Bundesbahnen SBB gemeinsam betrieben wird. (CCTV = Closed Circuit TV).
ProduzentInnen: Bigbrother Awards Schweiz & Rote Fabrik in
Zusammenarbeit mit SIUG (Swiss Internet User Group) und dem Archiv
Schnüffelstaat Schweiz (ASS) Gestaltung Print / Web: Annina Rüst
Überwachungskameras in Köln: Chaos Circuit Television - Datenbank
http://koeln.ccc.de/updates/old/2000-10-06_berwachungskame.html
Ob diese Kameras nur von den dafür berechtigten Organisationen genutzt
werden können ist fraglich. Nach „Wardialing― und „Warsurfing― wird
vielleicht „Warviewing― als nächstes Schlawort auftauchen, um die (Un)Sicherheit von ITC-Systemen zu veranschaulichen.
21
Alarm Activated VCR: After pressing record, a normal VCR takes about 20 seconds before it
starts recording usable pictures. With an alarm activated recorder, it can be set so that the tape
is ready to start recording in about one second. The signal to begin recording can be from an
alarm or any other input.
•Schwenk- / Neig- / Zoom-Funkkamera (5‘000€)
•Reichweite: 500 - 3000 Meter in Gebäuden, bis zu 5000 Meter ohne Hindernisse
•Sony ® Tag- (0,9 Lux Color) und Nacht- (0,003 Lux restlichttauglich S/W) Kamera
•420 TV-Linien, nahezu DVD-Qualität
•340 Grad Schwenken, 340 Grad Neigen
•26fach-Zoom, Zoomzeit: auf Maximum ca. 3 Sekunden
•8 GHz (Bildübertragung), 433 MHz oder 868 MHz (Fernsteuerung)
•Dome-Kamera 3‘000€
•25 Meter Anschlusskabel für alle TV- und Videogeräte
•digitales Steuerpult mit Joystick und LCD-Display
•Minikamera
•330€ inkl. Empfänger mit Anschluss für TV-Geräte und Videorekorder www.top-sicherheit.com
•Batteriemodul bis zu 30 Stunden Dauereinsatz
•Reichweite beträgt 20 – 100 Metern in Gebäuden bzw. bis zu 300 Meter ohne Hindernisse
•60 Grad Blickwinkel
•Detailerkennungen bis 1,50 Meter (Gesichtszüge) bzw. 2 Meter (Kfz- Nummern & Personen)
•Getarnte Kameras
•Wanduhrkamera inkl. Ton zur verdeckten Video- und Tonüberwachung in VHSVideoqualität EUR 49,98
•Bewegungsmelder inkl. Ton zur verdeckten Video- und Tonüberwachung EUR
99,99
22
CCTV (closed circuit television) is a television system in which signals are not publicly
distributed; cameras are connected to television monitors in a limited area such as a store, an
office building, or on a college campus. CCTV is commonly used in surveillance systems.
•hochauflösende Netzwerkkamera mit Web-Server 300€
•Live-Bilder mittels Internet Explorer von jedem PC aus sichtbar
•30 Bilder pro Sekunde, 20 Benutzer möglich, Kennwortschutz
•10 Lux Color-Kamera, Auflösung 640 x 480 Pixel, nur für Innenbereiche, Abmessungen:
85 x 55 x 34 mm)
•Steuerbare Netzkamera mit Web-Server Fr. 350
•LEVELONE FCS-1010 Pan/Tilt IP Kamera (SENSOR TYP: 1/4" CCD SENSOR)
•AUFLÖSUNG: PIXEL AUFNAHME VIDEO: 352X288 PIXEL
•SCHNITTSTELLE: NETZWERK(10/100MBIT)+ WIRELESS
Aufgrund der sinkenden Kosten der Web-Cams gibt es immer mehr Leute geben, welche solche
Cams auch für den privaten Gebrauch installieren.
Man könnte sich vorstellen, dass schon in naher Zukunft ein neues Thema „Warviewing― kreiert
wird. Dabei würde versucht, mit Kamera-Funkempfängern und Web-Angriffen, Kamerabilder von
eigentlich nur für den internen Gebrauch bestimmten Kameras extern anzuschauen. Ein
interessanter Aspekt ist dabei auch, dass Zubringerverbindungen (z.B. Richtstrahlverbindung
Säntis-Üetliberg) ebenfalls abgehört werden können.
23
24
Das Mobilfunknetz bzw. das seit Anfang 1990er-Jahre von der Group Spéciale Mobile (GSM) eingeführte GSM-Netz
enthält so genannte Basisstation, welche lokale Zellen (Funkzellen) versorgen. Diese als Base Transceiver Station
(BTS) bezeichneten Stationen umfassen meist mehre Antennen, welche Sektorenzellen im Umkreis von bis zu 35
Kilometer um den Antennenstandort versorgen können. Die Größe einer Zelle ist systembedingt maximal 35km.
Besonders in Gebieten mit hoher Netzauslastung (z.B. Städte, Bahnhöfe) arbeitet man aber auch mit so genannten
Mikrozellen von einigen 10 bis 100 Meter Grösse. Jede Zelle bzw. Sektorzelle hat eine eindeutige ZellenIdentifikationsnummer (Cell ID). Ein Endgerät (Terminal, Mobile) führt ständig Messungen der Signalstärke und qualität der aktuellen Zelle sowie der Feldstärke der Nachbarzellen durch und sendet diesen Bericht alle 480ms an
den BSC (Base Station Controller). Ein BSC bedient mehrere BTS. Falls während einem Gespräch oder einer
Datenverbindung die Empfangssignale von einer BTS deutlich besser sind, als diejenigen der aktuell genutzten BTS,
so schaltet das Netz die Verbindung automatisch auf die bessere BTS um. Man nennt dies „Handover―.
Eine Location Area besteht aus einer variablen Anzahl von Funkzellen (BTS). Sie ist durch die Location Area
Identity (LAI) identifiziert, bestehend aus Mobile Country Code (MCC), Mobile Network Code (MNC) und Location
Area Code (LAC). Eine Location Area deckt je nach Netzdichte (Anzahl der BTS), Gesprächs- bzw.
Datenaufkommen und individuellen, vom Netzbetreiber festgelegten Konfigurationen ein geografisches Gebiet von
mehreren 10 bis 100km ab.
Solange sich das Mobiltelefon im „idle mode― befindet, also keine Verbindung aktiv ist, ist die Location Area die
einzige standortbezogene Information, die dem Netz bekannt ist. Die Preisgabe des Aufenthaltsortes kann jedoch
erzwungen werden, beispielsweise durch so genannte „stille SMS―, die dem Netzbetreiber die Bestimmung der
aktuellen Funkzelle ermöglichen.
Im idle mode (Gerät in "Standby") trifft die Mobilstation selbständig die Entscheidung für einen Zellwechsel beim
Verlassen einer Location Area, d.h. das GSM-Netz kennt nur die Location Area des Endgeräts, falls dieses nicht aktiv
ist.
Wechselt das Mobiltelefon in eine Funkzelle, die einer anderen Location Area angehört, so findet ein Location
Update statt, sprich das Netz wird darüber informiert, dass man sich nun in einem anderen Aufenthaltsbereich
befindet. Wird in eine andere Zelle innerhalb der gleichen Location Area gewechselt, so findet kein Location Update
statt. Damit ist die LA die kleinste addressierbare Einheit, in der ein Mobiltelefon mittels Paging gerufen werden
kann.
Die International Mobile Subscriber Identity (IMSI) dient in GSM- und UMTS-Mobilfunknetzen der weltweit
eindeutigen Identifizierung von Netzteilnehmern (Mobiles, Terminal). Die IMSI setzt sich aus 3 Zeichen Mobile
Country Code (MCC), 2 Zeichen Mobile Network Code (MNC) und 10 Zeichen Mobile Subscriber Identification
Number (MSIN) zusammen. Beispiel einer IMSI: 262019876543210, MCC=262 für Deutschland, MNC=01 für TMobile, MSIN=9876543210 für den Teilnehmer.
http://de.wikipedia.org/wiki/Global_System_for_Mobile_Communications
http://de.wikipedia.org/wiki/Base_Transceiver_Station
25
Das Bundesamt für Kommunikation unterhält eine Datenbank der Standorte und
Sendeleistungen von Sendeanlagen.
Es gibt auch verschiedene Communities, welche Datenbanken mit
Senderstandortskoordinaten aufbauen (z.B. www.wiggle.net).
26
27
Information Sharing wird immer beliebter. Private können heute mit wenigen
Mausclicks und vielfach sogar kostenlos Photos, Tondokumente, Videos auf dem
Internet veröffentlichen. Jeder kann heute Beschreibungen zu beliebigen Themen
veröffentlichen (z.B. Blogs, Wiki) oder seine bevorzugten Internet-Adressen
veröffentlichen und kommentieren (http://deli.cio.us).
Mittlerweile werden Informationen mit verschiedensten Zusatzdaten versehen. Bei
Flickr kann man beispielsweise auch angeben, an welchem Ort ein Photo
aufgenommen wurde. Entsprechend kann man sich auch anzeigen lassen, welche
Photos in einer bestimmten Region aufgenommen wurden.
28
openBC/XING will das berufliche und geschäftliche Netzwerk zu einer aktiv
genutzten Ressource machen. Dank der erweiterten Funktionen für Kontakt-Suche
und –Management entdecken Mitglieder auf der Plattform Geschäfts- und Fachleute,
Chancen sowie auf sie zugeschnittene Angebote. Business 2.0/CNN Money
bezeichnet die Open Business Club AG als „one of the world‘s hottest Web 2.0
startups―. Red Herring zählt das Unternehmen zu den „Top 100 Unternehmen in
Europa―.
Ende September 2006 hat die Networking-Plattform knapp 1,5 Millionen Mitglieder
in allen Staaten der Welt und stellt zwischen ihnen Abermillionen von Verbindungen
her. Seit November 2003 ist die Zahl der Mitglied kontinuierlich gestiegen.
Ähnliche Angebote gibt es zum Auffinden von ehemaligen Klassenkameraden
(www.classmates.com, www.klassenkameraden.ch).
http://www.linkedin.com/home
29
Das wohl wichtigste Internet-Werkzeug sind die Suchmaschinen. Viele Leute nutzen
aber nur einen Bruchteil der Funktionen, welche Suchmaschinen anbietet. Man sollte
sich mal die Mühe nehmen, die erweiterten Funktionen von Google zu studieren oder
speziell nach Bildern oder News-Artikeln zum gewählten Suchbegriff suchen.
http://www.google.ch/intl/de/options/ bzw. http://www.google.ch/intl/de/about.html
•Suche nach Bildern: http://images.google.ch
•Suche nach News-Artikeln: http://news.google.ch
30
Viele Suchmaschinenbetreiber analysieren die eingegeben Suchbegriffe, um ihre
Suchalgorithmen zu optimieren. Dabei werden nach Möglichkeit die Suchbegriffe pro
Besucher untersucht.
Unter anderem Yahoo, AOL und MSN haben Daten über Suchanfragen ihrer Nutzer
auch schon an das amerikanische Justizministerium weitergegeben.
31
Reference: MICHAEL BARBARO and TOM ZELLER Jr., Published: August 9, 2006
Für Forschungszwecke veröffentlichte AOL im August 2006 20Millionen
Suchbegriffe, welche 650‘000 AOL-Kunden eingegeben hatten. Die Begriffe wurden
anonymisiert (mit zufälliger Nummer pro Kunde) veröffentlicht, um die Privatsphäre
der Kunden sicherzustellen:
In 2006 AOL violated the privacy of 650‘000 users by publicly releasing three
months of search query records. Search terms can expose the most intimate details of
a person's life. These records could be connected back to you and cause you great
harm. Would you want strangers to know where you or your child work or go to
school? How about everyone seeing search queries that reference your financial
information, medical history, sexual orientation, or religious affiliation?"
32
Mit modernen Handies und kleinen Zustzmodulen können mit der ―cnlab Tourlive
Software‖ Positions- und Bildinformationen erfasst und lokal abgespeichert, oder
online auf einer Webseite angeboten werden.
Weitere Informationen findet man bei www.tourlive.ch .
33
Beispiel zur Darstellung der TourLive-Daten auf der Webseite: Man kann sich online
oder offline Bilder, Positionsdaten (geographische Koordinaten in Google Map /
Google Earch, Geschwindigkeit, Höhenprofil, zurückgelegte Distanz) anzeigen
lassen.
34
http://www.ortung.biz/
Realtime GPS Ortung & Tracking per SMS & GPRS von Personen, Fahrzeugen,
Tieren, Baumaschinen oder Booten .
35
Der Golfkrieg erlebte Geburtsstunde des Cyberwar. CIA implantierte
beispielsweise einen Microchip in Drucker und anderes Computerzubehör.
Signale des irakischen Luftabwehrsystems führten dazu, dass die Drucker und
Computerzubehör-Einrichtungen wie Niedrigfrequenzsender arbeiteten und
dadurch lokalisierbar wurden (d.h. sie lieferten ein Ortungsleuchtfeuer). Und
wo ein Drucker lokalisiert werden kann, sind technologisch hoch stehende
Anlagen nicht weit entfernt.
Chip war von NSA gebaut worden.
Chippen: Microchips mit einer versteckten Bombe, die von der US-Regierung
ferngesteuert werden können.
Winn Schwartau (Journalist): Telefonanlage die in den frühen 70er-Jahren
nach Polen verkauft wurde, enthielt ferngesteuerte Sprengkapsel
36
37
Browser speichern verschiedenste Eingaben automatisch lokal auf dem Rechner ab.
Es sind dies beispielsweise:
• eingetippte Webseiten-Adressen (History-File)
• heruntergeladene Informationen wie Bilder oder Cookies (Cache)
Andere Informationen speichern die Benutzer bewusst ab (z.B.
Bookmarks/Favorites).
Wer auf einen Rechner zugreifen kann, kann sich anhand der lokal abgespeicherten
Informationen ein Bild machen über die Surfgewohnheiten derjenigen Personen,
welche diesen Rechner nutzen.
38
Gegenwärtig ist es im Trend, Anwendungen nicht mehr lokal auf seinem
Rechner zu betreiben, sondern bei einem so genannten Application Service
Provider (ASP). Entsprechend werden die Daten über das Netz übertragen und
auf fremden Rechnern abgespeichert.
39
40
Bei der Übertragung wird häufig von ―End-zu-End-Verschlüsselung‖
gesprochen, d.h. alle Daten, welche zwischen der Rechnern übertragen
werden, sind durch kryptologische Verfahren geschützt, so dass die Daten nur
von den beabsichtigten Kommunikationspartnern gelesen werden können.
Beim Mensch-Maschine-Übergang bleiben die Daten aber unverschlüsselt:
Die Tastatureingaben und Bildschirmausgaben sind unverschlüsselt.
41
Eine der gegenwärtig grössten Gefahren stellen einerseits die vielen
ungeschützten Rechner im Privatbereich dar. Andererseits ist die Tatsache,
dass sich Angreifer heute nicht mehr profilieren sondern vielmehr verstecken
wollen ein Problem. Hatte man noch vor zwei Jahren relativ schnell
festgestellt, wenn jemand ein bösartiges Programm auf seinen Rechner
eingespielt hat, so ist dem heute nicht mehr so. Man rechnet, dass in manchen
Regionen bis zu 7% der Rechner durch Fremde kontrolliert werden können.
Dazu haben sie kleine Programme (Bots) auf die Rechner gespielt und steuern
diese Programme nach Bedarf. Beispielsweise zum Versand von SPAM-Mails,
um bestimmte Rechner zu überfluten (Distributed Denial of Service, DDOS)
oder um Tastatureingaben und Bildschirmausgaben abzufangen.
Mar 19, 2007: Symantec tracked 6 million separate bots—compromised
computers used to send spam or steal personal data—controlled by roughly
4,700 separate servers through so-called "bot herders" who could be anywhere
in the world. During the same six-month period, from last July through
December, Symantec also watched 332 of what it calls "underground
economy servers," where stolen personal data, such as credit card and bank
account information, is routinely bartered and sold. According to Alfred
Huger, Symantec‘s vice president of engineering, it‘s not unusual for these
underground economy servers to be the same as those maintained by the bot
herders. http://www2.csoonline.com/blog_view.html?CID=32583
42
E-Blaser ist seit 2003 auf dem Markt. Es wird von den Antivirenprogrammen
nicht als ―Virus― oder „Trojaner― detektiert.
Orvell Monitoring 2007 - nimmt in regelmäßigen Abständen den
Bildschirminhalt auf und speichert die Daten versteckt auf der Festplatte.
Orvell ist zur vollständigen visuellen Überwachung aller PC-Aktivitäten
entworfen - ausführlich bis zum letzten Tastananschlag.
Neue Version: grafische Analyse und Zeitauswertung der PC Nutzung,
Druckeraufnahme, Suchmaschinenaufnahme, Aufnahme von
Systemänderungen, Profi Keylogger zur Tastaturaufnahme, E-Mail Alarm bei
Anschluss von USB Sticks und vieles mehr. € 69.95 - deutsche Version.
http://www.protectcom.de/
Winston Monitoring 2007 - die deutsche PC Überwachungssoftware spezialisiert auf den Versand der Überwachungsreporte per E-Mail. Sie
erhalten regelmäßig detaillierte Berichte der PC Nutzung (gestartete
Programme, besuchte Internetseiten, Systemaktivitäten) an Ihre E-Mail
Adresse.
Somit erfahren Sie immer und überall, was an Ihrem PC gearbeitet wurde,
ohne sich an den zu überwachenden PC zu begeben.
43
44
45
Art. 3 Datenschutzgesetz: Begriffe
a. Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder
bestimmbare Person beziehen;
b. betroffene Personen: natürliche oder juristische Personen, über die Daten
bearbeitet werden;
c. besonders schützenswerte Personendaten: Daten über
1. die religiösen, weltanschaulichen, politischen oder
gewerkschaftlichen Ansichten oder Tätigkeiten,
2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,
3. Massnahmen der sozialen Hilfe,
4. administrative oder strafrechtliche Verfolgungen und Sanktionen;
d. Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine
Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen
Person erlaubt;
...
g. Datensammlung: jeder Bestand von Personendaten, der so aufgebaut ist,
dass die Daten nach betroffenen Personen erschliessbar sind;
46
Um den Kunden eine ―persönlichere Bedienung‖ anzubieten können
Webangebote automatisch an die Vorlieben der Besuchenden angepasst
werden:
In einer ersten Phase können Kunden konfigurieren, mit welchen
Einstiegsinformationen sie begrösst werden sollen (Content selection)
und/oder wie diese dargestellt werden sollen (look and feel). Ein weitere
Aspekt der Personalisierung ist die möglichst personenbezogene Begrüssung
sowie die Auslieferung von Informationen (Hello message with name, User
based content selection, Content based marketing). Schliesslich wird mit
Avataren versucht, möglichst ―menschliche‖ Benutzerschnittstellen zu
generieren.
47