Spuren im Web


Verblüffende Hinterlassenschaften von Dipl.-Informatiker Norbert Luckhardt, Fachjournalist, Hannover Das Internet wirkt auf den ersten Blick anonym und flüchtig: Man wählt sich ein, surft über ein paar Webseiten, verschickt einige E-Mails, besucht möglicher- weise einen Online-Klöhnschnack (Chat) und anschließend "Klappe zu, Zirkus aus." Wirklich? Tatsächlich hinterlassen die meisten Internetnutzer regelmä- ßig eine Menge Spuren, und "das Netz" hat ein immenses Gedächtnis. Das ist vielleicht nicht unmittelbar gefährlich, kann aber durchaus unerwünschte und lästige Konsequenzen haben. Die Spuren beginnen beim Internet Service Provider. Hier erhält der Surfer eine IP-Nummer (z. B. 192.168.8.15), um überhaupt die Netzdienste nutzen zu können. Während einer Online-Session bleibt diese Nummer gleich und ist quasi ein Pseu- donym für den Nutzer. Bei Einwahldiensten ändert sie sich üblicherweise mit jeder Anmeldung; in Firmennetzwerken oder bei Standleitungen kann sie auch dauerhaft gleich bleiben und - sofern keine technischen Maßnahmen (Firewall, Proxy) sie nach außen verschleiern - den Anwender ständig identifizieren wie ein Nummern- schild am Auto. Wechselnde (dynamische) IP-Nummern entsprechen sozusagen den Kennzeichen eines Mietwagens: Wenn der Dienstleister eine Liste führt, welcher Kunde zu welcher Zeit unter welcher IP im Netz war, ist es auch hier bereits mit der Anonymität vorbei. Obwohl das deutsche Teledienstedatenschutzgesetz die Protokollierung so genan- nter Nutzungsdaten ohne Einwilligung des Betroffenen verbietet, speichern die meisten Web-Server die von einer IP-Nummer besuchten Seiten. Glücklicherweise kann im Internet - wie im "realen" Leben - nicht jeder einfach so nachfragen, wem ein Nummernschild gehört oder wer zu einer bestimmten Zeit mit einem Mietwagen unterwegs war. Aber auf der Datenautobahn gibt es Möglichkeiten, einen Fahrer direkt wiederzuerkennen und auszuforschen. Bereits der zu einer IP-Nummer gehörende Domain-Name (z. B. dialin42.hannover.anbieter.net, buchhaltung.firma.com oder martin-mustermann.de) verrät oft einiges über den Surfer: Beispielsweise die geografische Herkunft, den aktuellen Aufenthaltsort, den Arbeitgeber/Firmenhintergrund oder in Ausnahme- fällen schon den tatsächlichen Namen. Die verwendeten Domain-Informationen stehen jedem besuchten Dienst ohne weiteres zur Verfügung, beispielsweise für zielgerichtete regionale Werbung oder zur Verknüpfung mit weiteren Daten. Wer eine persönliche Domain besitzt, surft allerdings normalerweise nicht über diesen "Anschluss"; wie man im Netz tatsächlich auftritt (und mehr), verrät beispielsweise der "Selbsttest" des Niedersächsischen Datenschutzbeauftragten. Bei persönlichen Domains oder "eigenen" Firmenanschlüssen sind zudem Abfragen über die Internet-Registrierungsdienste möglich - mit Adresse und ggf. Telefon- nummer. Eine von etlichen weiteren "Auskunfteien": Zu jeder privaten Homepage legt T-Online unter http://home.t- online.de/home.impressum.html automatisch ein Zwangsimpressum mit vollständigem Namen, Anschrift und E-Mail-Adresse an (die Kennung ist der vom Benutzer gewählte Name oder die T-Online-Nummer). Geschwätzige Browser Auch die Webbrowser liefern den Betreibern besuchter Webseiten einige Details: die Browsersoftware, das verwendete Betriebssystem und gegebenenfalls die Webseite (Referrer), auf der man den Link zum neuen Ziel angeklickt hat - auch diese Daten verdeutlicht übrigens der Datenschutz-Selbsttest. Erst jetzt beginnen die "kleinen technischen Gemeinheiten": In der Standardkonfiguration speichern Browser auf Anforderung so genannte Cookies. Darin können Server beispiels- weise Daten über Präferenzen ablegen und so dem Surfer die immer wiederkeh- rende Anwahl bestimmter Rubriken abnehmen. Die Server können aber auch eine eindeutige Kennung vergeben und damit den Surfer bei jedem Besuch wiederer- kennen, unabhängig davon, welche IP-Nummer er gerade hat. Wie viele Cookies man schon gesammelt hat, zeigt ein Blick in das Verzeichnis "C:\Windows\Cookies\" (Internet Explorer) oder die Datei "cookies.txt" im Netscape-User-Verzeichnis (C:\Programme\Netscape\Users\<Name>). Lokale Surf-Spuren hinterlässt man übrigens mit dem Internet Explorer auch in den Ordnern "C:\Windows\Verlauf" und "C:\Windows\Temporary Internet Files", mit dem Netscape-Browser im Cache- Ordner und der Datei "netscape.hst" im User-Verzeichnis. Wer Zugriff zu diesen Daten hat, kann später einfach nachvollziehen, welche Webseiten und welche Bilder ein Benutzer betrachtet hat. Heikel werden Cookies, wenn sie helfen, Surfer über die Grenzen eines Anbieters hinweg zu verfolgen: Über eingeblendete Werbebanner kann ein Marketingver- bund alle Besuche auf angeschlossenen Webseiten erkennen und somit ein um- fassendes Interessen- und Nutzungsprofil des Kunden erstellen, per Cookie auch über Session-Grenzen hinweg. Wenn dieser Besucher dann ein einziges Mal an geeigneter Stelle (etwa bei einem Preisausschreiben) seinen Namen und die E-Mail-Adresse oder Postanschrift angibt, so erschließen sich der Werbewelt die schönsten Möglichkeiten. Noch interessanter sind natürlich Verknüpfungen mit "statistischen Daten" zum Haushaltseinkommen, Familienstand, persönlichen Gewohnheiten und so weiter, wie sie nicht selten als Gegenleistung für kostenlose Dienste erfragt werden. Bevor man derartige Daten preisgibt, sollte man unbedingt die Allgemeinen Geschäftsbedingungen (AGB) oder Anbietererklärungen zum Datenschutz lesen, insbesondere den Teil zur Weitergabe von Informationen an Dritte - und abwägen, ob man diese akzeptieren will und geneigt ist, den Erklär- ungen beziehungsweise dem Anbieter auch zu vertrauen. Das alles ist übrigens keine graue Theorie: Internetnutzer, die sich zum Beispiel im E-Mail- und Adressverzeichnis "suchen.de" eintragen, erklären sich per AGB neuerdings "einverstanden, dass ihre postalischen Adressen zu Marketing- zwecken verwendet und auch an Dritte weitergegeben werden können und dass sie ... einmal im Monat an die ... eingetragene E-Mail-Adresse eine ... Marketing- Mail erhalten ..." Und internationale Werbevermarkter wie DoubleClick Inc. versuchen seit Jahren, durch Kundenprofile zielgerichtete Online-Werbung an den Surfer zu bringen. Ein großes Risiko der elektronischen Medien ist heutzutage, dass die preiswerten Rechen- und Speicherkapazitäten eine umfassende Datensammlung und -aus- wertung erlauben. So könnten beispielsweise zur Vervollständigung interessanter Personenprofile Eingaben in Suchmaschinen, Äußerungen in Online-Diskussionen und Chats, Beiträge oder Anfragen in Mailinglisten und News-Archiven, Angaben auf der eigenen Homepage, Reaktionen auf Werbung (Online oder per E-Mail), Erfolg/Leistung bei Online-Spielen, Kauf und Stöbern in E-Commerce-Shops, Teilnahme an Seminaren, Mitgliedschaft in Klubs, Nutzung personalisierter Portale und so weiter allesamt miteinander verknüpft werden, um Aussagen über den Betroffenen abzuleiten, die dieser Werbetreibenden gegenüber nie als solche gemacht hat oder machen würde. Aus einer Vielzahl scheinbar belangloser Details und Stichwörter kann sich letztlich ein geldwertes Profil formieren. Die dahinter liegende Technik nennt sich Data Mining; das Interesse der Marketingwelt ist real und der Handel mit "qualifizierten" Adressen ein Milliardengeschäft. Völlig hilflos ist man den Ausforschungen gegenüber zum Glück nicht. Die einfachsten Maßnahmen sind Aufmerksamkeit, Zurückhaltung bei der Preisgabe eigener Daten und ein gesundes Maß an Misstrauen. Als technische Gegenmaß- nahmen empfehlen sich in den Browsereinstellungen: Cookies verbieten und aktive Inhalte abschalten, die ebenfalls zum "Tracking" missbraucht werden können. Zusätzliche Software wie beispielsweise der WebWasher (www.webwasher.de) oder Norton Personal Firewall/Internet Security (www.symantec.de) können Referrer und andere Infos aus dem Datenstrom herausfiltern und gezielt die Über- tragung an Werbevermarkter stoppen. Auch für wirklich anonymes Surfen gibt es Ansätze (siehe etwa www.datenschutzzentrum.de/projekte/anon/). Informationen zu Sicherheit und Datenschutz im Internet gibt es auch auf der IT- Security Area zur Münchner IT-Messe SYSTEMS. 5000 m² sind dort ausschließlich dem Thema Sicherheit gewidmet. An allen Messetagen vom 15. bis zum 19. Oktober läuft im neuen Business Gate eine eigene Vortragsreihe für Ein- und Aufsteiger in Sachen Sicherheit. Unter anderem Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) möchten dort fundiertes Basiswissen bei den Zuhörern schaffen, die noch nicht so tief in der IT-Sicherheitsmaterie stecken. Schutzmaßnahmen Zurückhaltende Informationspreisgabe: Persönliche Registrierung nur in ausgewählten Diensten nach aufmerksamem Lesen der AGB/Datenschutzerklärungen Restriktive Browsereinstellungen (Internet Explorer: Extras/Internetoptionen/Sicherheit/benutzerdefiniert, Netscape: Bearbeiten/Einstellungen/Erweitert): Cookies und aktive Inhalte (JavaScript, Java, ActiveX) deaktivieren oder nur für ausgewählte Websites zulassen Keine direkte Reaktion auf Werbe-E-Mails: Enthaltene Links ermöglichen dem Anbieter häufig kundenbezogene "Responsekontrolle" (bei Interesse besser die Homepage manuell im Browser ansteuern), auch Beschwerden über unaufgeforderte Mailings gelten als Lese-Bestätigung der Adresse Nutzung verschiedener Pseudonyme/E-Mail-Adressen/Internetaccounts für verschiedene Interessengebiete Nutzung von Anonymisierungsdiensten oder -software Filtersoftware gegen Browserdaten (erlaubt häufig auch mit beliebigen Browsern site-basierte Einschränkung von Cookies) Im eigenen lokalen Netzwerk: Auftreten nach außen unter einer einzigen IP-Adresse (Network Addresss Translation, NAT) durch Proxy- oder Firewall-Software, zentrales Filtern unerwünschter Cookies und Browser- daten durch Privacy-Proxies (z.B. Internet Junkbuster, http://internet.junkbuster.com)


		Anzeige

	*Copyright SecuMag* - Online 2005**