"Es kann immer jemand mitlesen"
2. September 2014
DW: Herr Horchert, ist es wirklich so, dass Geheimdienste jeden meiner Schritte im Netz verfolgen?
Christian Horchert: Man muss davon ausgehen, dass amerikanische Sicherheitsbehörden alle Netzaktivitäten mitschreiben - auf allen möglichen Wegen. Eine Möglichkeit ist es, die Informationen aus Glasfaserkabeln zu duplizieren. Eine andere ist die gezielte Überwachung einzelner Rechner. Oder die Behörden versuchen, Zugang zu Datenbanken anderer Anbieter zu bekommen. Es ist aber nicht so, dass da jemand am Schreibtisch sitzt und sich die Informationen ständig ansieht. Sie laufen automatisiert in Datenbanken ein und werden je nach Bedarf und Anlass weiterverarbeitet. Eine denkbare Datenbankabfrage wäre: Mit wem hat diese Person in den vergangenen fünf Jahren kommuniziert? Auf Grundlage der gesammelten Informationen lässt sich das auswerten.
Aber das sind nicht die einzigen Stellen, die mein Surfverhalten mitschreiben?
Es fängt schon beim Browser an. Sogenannte Cookies geben Aufschluss über Seiten, die man aufgerufen hat. Viele Webseiten legen diese kleinen Dateien über den Browser auf den Rechnern ihrer Besucher ab. Beim Aufruf einer Seite übermittelt der Browser diese Cookies an die jeweilige Seite, die den Besucher daran wiedererkennt und unter anderem erfährt, wann er zuletzt dort war.
Um Nutzer noch besser identifizieren zu können, setzt sich derzeit ein neues System durch: das "Fingerprinting". Mit Hilfe von Javascript wird aus Informationen des Browsers eine Zeichenkette erstellt, die nicht auf dem Rechner des Besuchers, sondern auf dem Server des Betreibers abgelegt wird. Man kann diesen Fingerabdruck also nicht - wie ein Cookie - löschen. Diese Fingerprints sind mittlerweile sehr treffsicher.
Gibt es weitere Geräte, die meine Webseitenaufrufe registrieren?
Der Router, mit dem ich zu Hause ins Internet gehe, konfiguriert und verwaltet das ganze Heimnetzwerk. Wenn ich mich mit meinem Rechner dort anmelde, vergibt der Router eine individuelle IP-Adresse und zeigt mir auch den Weg - die Route - ins Internet. Außerdem übersetzt der Router die Adresszeile, die ich im Browser eingebe, in eine Adresse, mit der die gewünschte Seite aufgerufen werden kann. Der Router ist also ein Nadelöhr, durch das alle Seitenaufrufe hindurchgehen. Und das birgt Risiken. Wenn der Router von einem Angreifer übernommen wird, kann sich dieser nicht nur meinen Weg durchs Netz angucken, sondern auch manipulieren. Der Router könnte mich zum Beispiel auf Seiten lenken, auf die ich gar nicht will. Die Fernsteuerung eines Routers ist eigentlich gang und gäbe - etwa durch meinen Internetanbieter. Ein Beispiel: Wenn sich für die Einwahl ins Internet Einstellungen ändern, ist es ja viel einfacher, wenn der Provider das im Router gleich ändert, anstatt es dem Kunden aufzubürden. Diese Möglichkeit des Zugriffs können sich auch Angreifer zunutze machen.
Welche Rolle spielt mein Internetprovider?
Der Internetanbieter, über den ich ins Netz gehe, kriegt natürlich mit, welche Seiten ich im Netz aufrufe. Er speichert diese Informationen aber nur, wenn dies für Abrechnungszwecke nötig ist. Der Provider hat aber Informationen darüber, mit welcher IP-Adresse und zu welchem Zeitpunkt eine Person im Netz ist.
Und wenn ich in einem Café oder am Flughafen ein öffentliches WLAN nutze?
Es macht so gut wie keinen Unterschied, ob ich zu Hause über meinen Router und meinen Provider ins Netz gehe oder in einem Café ein öffentliches WLAN nutze. Theoretisch kann sich der Betreiber des Cafés am Ende eines Tages die Seiten anschauen, die seine Gäste aufgerufen haben. Viel wichtiger für den Nutzer ist aber, ob das WLAN verschlüsselt ist. In einem unverschlüsselten Netz kann jeder, der dort angemeldet ist, mitlesen, was ich gerade im Netz mache. Das kann der Wirt sein, das kann auch der Gast am Nebentisch sein. Bei verschlüsselten Netzwerken sind die einzelnen Daten nicht einsehbar.
Interessieren sich auch Webseitenbetreiber dafür, was ich mir sonst noch im Netz ansehe?
Wenn ich eine Webseite aufrufe, schreibt der Server dieser Seite unter anderem meine IP-Adresse mit und oft auch die Seite, von der ich komme. Auch hier landen also Informationen über mein Surfverhalten. Dazu kommen vielleicht noch Informationen über meinen Browser, mein Betriebssystem oder die Art meines Zugangs - ob mobil oder per DSL. Mit diesen Daten können Webseitenbetreiber schauen, was gut läuft, welche Seiten aufgerufen werden und ihr Angebot entsprechend anpassen.
Auf manchen Seiten ist Werbung eingeblendet, die von einem Drittanbieter kommt. Auch dieser Drittanbieter erhält Daten aus meinem Browser. Er erhält zum Beispiel Zugriff auf die Cookies auf meinem Rechner. So kann Werbung angezeigt werden, die für mich vielleicht relevant ist.
Kriegt sonst noch jemand mit, welche Seiten ich im Internet aufrufe?
Um weitere Informationen über das Verhalten ihrer Besucher zu erhalten, setzen viele Webseiten die Software "Google Analytics" ein. Diese übermittelt gesammelte Daten auch an Google selbst. Google erhält also von vielen Seiten Informationen geliefert, wer sie besucht hat. Und kann daraus für jeden Nutzer ein Profil anlegen.
Gilt das dann auch für soziale Netzwerke?
Ähnlich umfangreich sind die Informationen, die soziale Netzwerke über mich sammeln. Nicht nur, weil ich mein Profil vervollständige oder mit anderen interagiere. Denn Nutzer bleiben häufig in Netzwerken eingeloggt, auch wenn sie längst schon auf anderen Seiten unterwegs sind. Wenn eine dieser Seiten zum Beispiel einen "Gefällt-mir"-Button von Facebook enthält, werden Besucher von diesem Button und über ein Cookie von erkannt. Die Informationen über diesen Besuch werden an das Netzwerk übermittelt. Facebook weiß auf diesem Weg, welche Seiten ich im Internet aufrufe.
Welche Tipps können Sie geben?
1. Misstrauisch bleiben
Man muss sich immer wieder sagen, dass der Zugang zum Internet einem nicht gehört. Dass jemand anders ihn jederzeit mitlesen kann.
2. Software aktuell halten
Man sollte die Software auf einem Rechner oder Mobilgerät immer auf dem neuesten Stand halten. Am einfachsten folgt man den Aktualisierungshinweisen des jeweiligen Betriebssystems. Es schadet aber nicht, sich regelmäßig über Sicherheitslücken zu informieren und bei Bedarf vom jeweiligen Hersteller Updates herunterzuladen.
3. Privaten Modus einschalten
Die gängigen Browser bieten einen Modus an, der weder Cookies noch eine Chronik anlegt. So verhindert man, dass sich langfristig Daten im Browser ansammeln, die von Webseiten oder Angreifern abgerufen werden können.
4. Browser-Plug-ins installieren
Es gibt Erweiterungen, mit denen man einen Browser absichern kann. Ein "Ad Blocker" etwa verhindert nicht nur, dass einem Werbung angezeigt wird. Er ist darüber hinaus wertvoll in der digitalen Selbstverteidigung, weil damit ein effektives Nachverfolgen verhindert wird. Speziell für den Firefox gibt es die Erweiterung "NoScript", die die Ausführung von Javascript verhindert. Es gibt aber einen Haken: Viele Webseiten funktionieren ohne Javascript nicht richtig. "NoScript" muss folglich so konfiguriert werden, dass es bestimmte Dinge wieder zulässt. Das ist für Normal-User eigentlich nicht zumutbar.
5. Verschlüsselte Netzwerke nutzen
Nur verschlüsselte Netzwerke bieten ein Mindestmaß an Sicherheit. Aus unverschlüsselten Netzwerken lassen sich Informationen über das Verhalten im Netz leicht mitschneiden.
6. Virtuelle private Netzwerke wählen
Beim anonymen und nicht nachverfolgbaren Surfen im Netz hilft auch ein Virtuelles Privates Netzwerk (VPN). Das sind im Grunde in sich geschlossene Netze, in die man sich zusätzlich einloggt und die von außen nicht einsehbar sind. Es ist dann nicht mehr nachvollziehbar, welche Seiten ich aufrufe. Auch Webseitenbetreiber können mich nicht mehr ohne weiteres erkennen. Je nach Anbieter und Technik kostet so ein Service bis zu 15 Euro.
Christian Horchert ist Geschäftsführer von #link:https://www.sektioneins.de/#, einem international tätigen IT-Sicherheitsunternehmen mit Sitz in Köln. Unter anderem sucht SektionEins im Auftrag von Kunden nach Schwachstellen und Sicherheitslücken im Web und in mobilen Applikationen. Seit kurzem ist Horchert im Auftrag der Renewable Freedom Foundation und des Chaos Computer Clubs in Brüssel, um dort Lobbyarbeit für digitale Bürgerrechte zu betreiben.