|
|
Erschienen in Datenschutz Nachrichten Ausgabe 3/2005
Die Tarnkappe für das Internet – nicht nur für Langstreckenflieger
von Henry Krasemann
Wer das Internet nutzt, hinterlässt Spuren und ist identifizierbar. Anonymisierungsdienste helfen dem Nutzer sein Recht auf Anonymität umzusetzen und diese Spuren zu verwischen.
Frau K traute ihren Ohren nicht. Was der aus Pakistan stammenden Bundesbürgerin von den so genannten »Border Agents« bei ihrer Einreise in die USA entgegengehalten wurde, klang unglaublich. Man habe bei einem der größten Onlineversender für Bücher recherchiert und festgestellt, dass sie sich für »Bücher über Zweitsprachen« interessiere. Die Einreise wurde ihr verwehrt.
Spuren im Netz
Wer sich im Internet bewegt, hinterlässt Spuren. Jeder Rechner, der online ist, ist durch eine Nummer, die so genannte IP-Adresse, eindeutig identifizierbar. Dies ist auch technisch notwendig, um überhaupt die einzelnen Rechner adressieren zu können. Die Datenpakete wüssten sonst nicht, wo sie hin müssten. Dabei wird bei jeder Abfrage, sei es einer Webseite oder eines anderen Webdienstes wie Onlinebanking oder Chat, stets diese Nummer mit weiteren Daten etwa über die Beschaffenheit des Rechners, Suchmaschinenabfragen oder Ursprungswebseiten an den Diensteanbieter bzw. Webseitenbetreiber übermittelt. In der Regel speichert dieser diese Daten dann, um sie später für Auswertungszwecke nutzen zu können. Die deutschen Datenschutzgesetze setzen dem zwar enge Grenzen. Kaum ein Anbieter hält sich jedoch hieran – schon in Deutschland nicht, noch weniger im globalen Internet. Das Surfverhalten einzelner Nutzer lässt sich so noch Monate oder gar Jahre später nachvollziehen.
Die festen IP-Adressen, die stets und eindeutig einem Computer zugeordnet sind, stellen heutzutage die Ausnahme dar. Üblicher ist es, dass die IP-Adressen dynamisch vergeben werden. Wer sich zum Beispiel bei T-Online einwählt, bekommt eine freie Adresse aus dem diesem Provider zugeordneten Pool von IP-Adressen zugewiesen. Beendet er die Verbindung, steht die IP-Adresse wieder für andere Nutzer zur Verfügung.
Dieses Verfahren bietet jedoch nur vordergründig Sicherheit gegenüber wissbegierigen Webdiensteanbietern. So führen viele Provider Listen, welcher ihrer Kunden wann welche IP-Adresse zugewiesen bekommen hat. Zulässig ist dieses nach der wohl herrschenden Meinung grundsätzlich nur, soweit es für die Erbringung des Dienstes und die Abrechnung notwendig ist. Dies gilt ungeachtet der Frage, ob es sich hierbei um einen Telekommunikationsdienst oder Teledienst handelt. Denn sowohl § 97 Abs. 3 Telekommunikationsgesetz als auch § 6 Abs. 4 Teledienstedatenschutzgesetz verlangen eine entsprechende Löschung nicht benötigter personenbezogener Daten. Aber selbst über Flatrate-Kunden speichern einige Provider für mehrere Monate entsprechende Logfiles.
Führt man die Daten des Diensteanbieters und des Providers zusammen, sind die Aktionen wieder einem Nutzer eindeutig zuzuordnen. Einige Provider haben sich schon früher durchaus freigiebig hinsichtlich dieser Daten gezeigt, wenn ihnen mit Klage gedroht wurde. Und bei größeren Providern, die gleichzeitig auch Inhalte zum Abruf anbieten, ist es zumindest technisch kein Problem, einen derartigen Abgleich durchzuführen.
Teilweise sind die Nutzer aber auch selber dafür verantwortlich, ob ihre Identität aufgedeckt werden kann. Füllt man ein Webformular wahrheitsgemäß aus, weiß schon einmal der Betreiber dieses Angebots, wer sich im Moment hinter der entsprechenden IP-Adresse verbirgt. Ist er auch etwa Werbepartner zahlreicher anderer Seiten im Netz, kann er zumindest eingeschränkt das weitere Verhalten des Nutzers im Netz verfolgen. Dies gilt erst recht, wenn Cookies eingesetzt werden.
Visitenkarten fürs Kaufhaus
Im Gegensatz zum traditionellen Einkaufsbummel gibt man somit beim Shoppen im Internet stets eine mehr oder weniger gut zuordenbare Visitenkarte beim Betreten ab. Dies widerstrebt dem Recht des Einzelnen auf Anonymität. So schreibt § 4 Abs. 6 Teledienstedatenschutzgesetz eindeutig vor, dass »der Diensteanbieter [...] dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen [habe], soweit dies technisch möglich und zumutbar ist.« Einige Firmen und Organisationen haben dieses Problem erkannt und bieten Anonymisierungsdienste im Internet an. Das Verfahren ist zunächst recht simpel. Statt selber nach außen hin auf Webangebote zuzugreifen, bedient man sich eines Boten. Dieser Zwischenhändler bzw. »Proxy«-Rechner nimmt die Anfrage des Nutzers an und leitet sie an die entsprechende Empfängeradresse weiter. Die Antwort geht dann denselben Weg. Der Empfänger bzw. Diensteanbieter sieht somit nur die IP-Adresse dieses zwischengeschalteten Proxy und kann keine Rückschlüsse auf den sich dahinter befindenden Nutzer ziehen. Der Nachteil dieser Lösung ist jedoch, dass der Nutzer dem Betreiber des Proxys vertrauen muss. Denn dort geht sein sämtlicher Webverkehr durch, inklusive Absender- und Zieladresse. Ein Mitloggen und Analysieren der Daten auf bestimmte Stichworte wäre technisch kein Problem. Etwas weitergehend sind Lösungen, die regelmäßig den eingeschalteten Proxy wechseln. Stehen diese jedoch auch wiederum unter der Kontrolle des Anbieters, hat sich an der Gefahrenlage nichts geändert.
AN.ON macht das TOR auf
Weitergehend sind Lösungen, die mehrere Zwischenhändler hintereinander schalten. Vertreter dieser Lösungen ist zum einen der vom Bundesministerium für Wirtschaft und Arbeit geförderte Dienst AN.ON (vgl. www.anon-online .de), der von den Universitäten Dresden, Regensburg und Berlin in Zusammenarbeit mit dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein betrieben wird. Zum anderen existiert insbesondere in den USA ein System mit dem Namen TOR (vgl. tor.eff.org).
Bei AN.ON wird schon der Webverkehr vom Computer des Nutzers zum ersten Proxy (hier Mix genannt) verschlüsselt. Durch Einsatz entsprechender Verschlüsselungsverfahren ist es möglich, dass dieser erste Mix zwar erfährt, von wo die Daten kommen. Er kann jedoch nicht sehen, wohin die Daten gehen sollen und welchen Inhalt sie haben. Daher schickt er das Paket entsprechend weiter an den zweiten Mix. Dieser weiß nur, dass die Daten vom vorhergehenden Mix kommen und dass er sie an den dritten Mix weiterleiten muss. Erst der letzte Mix in der Kette (»Kaskade« genannt) kann entschlüsseln, an welchen Webdienst er das Paket schicken soll. Er kann aber nicht mehr erkennen, wo es ursprünglich mal herkam. Nur wenn alle Betreiber der Mixe zusammenarbeiten würden, wäre eine Aufdeckung des Nutzers wieder möglich. Daher ist es Bestreben der Betreiber des AN.ON-Dienstes, eine möglichst weite Streuung zu erreichen. Ideal wären Mix-Kaskaden wie New York - Teheran - Kiel oder auch ULD - Amnesty International - Bundeskriminalamt.. Das Risiko des Zusammenwirkens sämtlicher Mix-Betreiber zu Ungunsten des Nutzers wäre zu vernachlässigen, die Anonymität bliebe gewahrt. Und Polizeibeamte dürften ohnehin bei ihren Ermittlungsarbeiten zu den Nutzern das AN.ON-Dienstes zählen.
Werden bei AN.ON bisher vor allem Betreiber geführt, die sich gegenüber den Nutzern identifizieren, kann bei TOR jeder einen entsprechenden Mix (dort »Node« bzw. »Knoten« bezeichnet) betreiben. Der Anwender sucht sich zuvor keine feste Kaskade aus, die er nutzen möchte, sondern das System wählt selbstständig einen Weg durch das Knoten-Gewirr. Dieses wilde System scheint auf den ersten Blick noch sicherer zu sein. Jedoch bringt es auch neue Gefahren mit sich: Es wäre problemlos für größere Organisationen möglich, zahlreiche neue Knoten anzumelden, um so die Wahrscheinlichkeit zu erhöhen, wiederum die Kontrolle über den kompletten Weg der Datenpakete zu erhalten.
Im Einsatz
Die Nutzung beider Systeme ist für den Anwender kostenlos. Zum Betrieb muss man Zusatz-Software installieren: Es empfiehlt sich, die Software JAP zu verwenden, die von dem AN.ON-Dienst zur Verfügung gestellt wird und nicht nur das eigene System, sondern neuerdings auch TOR unterstützt.
Die Software kann kostenlos von der Website www.anon-online.de heruntergeladen werden und ist auf allen gängigen Systemen wie Windows, Mac OS, Linux und Pocket PC lauffähig. Notwendig ist einzig eine aktuelle Java-Version. Der Mac bringt diese meist schon mit. Bei Windows ist eine vorherige Installation notwendig. Die entsprechenden Daten befinden sich in der vollständigen JAP-Installation, so dass dieses keine Mühe machen sollte.
In der Regel sollten nach der Installation keine weiteren Anpassungen notwendig sein. In Ausnahmefällen, wenn vor allem der benutzte Browser nicht erkannt wird und die automatische Konfiguration nicht vollständig läuft, ist einmalig manuell bei den Proxy-Einstellungen als Adresse 127.0.0.1 und als Port 3128 einzutragen. Ab dann wird beim Surfen der Internetverkehr über das JAP-Tool geleitet. Dabei kann der Nutzer stets auswählen, ob er die Anonymisierung einschaltet (»ein«) oder auf herkömmliche Weise (»aus«) surfen will. Weitere Einstellungen sind auch bei ausgeschalteter JAP-Software nicht erforderlich. Nur gestartet sein muss sie. Das Ausschalten bietet sich insbesondere dann an, wenn man eine Anonymisierung nicht benötigt und die volle Geschwindigkeit etwa eines DSL-Zugangs nutzen möchte. Denn eine zumindest leichte Geschwindigkeitseinbuße geht mit der Anonymisierung meist einher. Durch die Gewinnung neuer Betreiber von Mix-Rechnern und damit Verteilung des Internetverkehrs auf mehr Kaskaden kann diese in Zukunft allerdings geringer werden. Eine gewisse Nutzerzahl pro Kaskade (Anonymitätsgruppe) ist jedoch erforderlich, um die Anonymität der Nutzer zu erreichen.
Unter »Server« im JAP-Tool lassen sich die aktuell aktiven Kaskaden anzeigen und auswählen. Und wenn hinter »Eigene anonymisierte Daten:« eine stetig wachsende Zahl zu erkennen ist, kann man sicher sein, dass die Anonymisierung funktioniert. Auf Seiten wie Leader.ru (http://www.leader.ru/secure/who.html) kann die Wirkung der Anonymisierung überprüft werden. Zu beachten ist dabei, dass AN.ON nur die IP-Adresse anonymisiert, nicht jedoch weitere Daten, die der Browser an die Diensteanbieter übermittelt. Dies betrifft Angaben wie etwa Betriebssystem, Browsertyp, oder auch die Angabe über die Internetseite, von der man gerade kommt (Referrer). Dies kann man entweder direkt im Browser einstellen, oder aber mittels zusätzlicher Tools beeinflussen.
Eine weitere neue Funktionalität der JAP-Software ist das »Forwarding«. Hiermit stellt man seinen eigenen Rechner als Zugangspunkt ins Internet für andere zur Verfügung. Dies ist vor allem sinnvoll für Bewohner von totalitären Staaten, wo der Zugang zum Internet reguliert und eingeschränkt wird. Diese können dann über die zusätzlichen Zugangspunkte auf das freie Internet zugreifen. Will man die Forwarding-Funktion aktivieren, sollte man sich allerdings auch Gedanken darüber machen, dass man selber ins Fadenkreuz von Ermittlungen gelangen kann, sollte derjenige, den man so huckepack ins Netz mitgenommen hat, dort Schindluder treiben.
Das TOR-System wird vom JAP-Tool automatisch verwendet, wenn auf Internet-Dienste außerhalb des normalen Surfens (z.B. Peer-to-Peer, FTP) zugegriffen werden soll. Hierzu ist es jedoch erforderlich, nach dem Start des JAP unter »Einstellungen – Dienste – Tor« auf »Liste neu laden« zu klicken, um ein Verzeichnis aktueller Knoten bereit zu haben.
Fazit
Anonymisierer können sicherlich nicht den kompletten Internetverkehr absichern und vor jeglicher Aufdeckung schützen. Der normale Nutzer kann sich jedoch mit ihnen zumindest ein Stück seines Rechts auf Anonymität zurückholen.
Im Ausgangsfall war Frau K eine selbst erstellte, öffentliche »Wunschliste« auf den Seiten des Buchversenders zum Verhängnis geworden, die ihre mutmaßlichen Interessen widerspiegelten. Selbst wenn man nicht solche Informationen öffentlich macht, könnten Beobachter im Netz mit entsprechenden Zugriffsmöglichkeiten das Surfverhalten und damit die Interessen von Internetnutzern detailliert analysieren. Anonymisierer helfen nicht nur bei der Entspannung auf Langstreckenflügen ins Ausland, sondern auch darüber hinaus.
Fact Sheet AN.ON:
Name: AN.ON – Anonymität Online
URL: www.anon-online.de/
Förderung: Bundesministerium für Wirtschaft und Arbeit seit: 2001
Partner: TU Dresden, Universität Regensburg, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, HU Berlin
Weitere Mix-Betreiber: FU Berlin, CCC, Ulmer Akademie für Datenschutz und IT-Sicherheit
Aktuell aktive Mix-Kaskaden: ca. 8
Gleichzeitige Nutzer: ca. 3.000
Datendurchsatz pro Monat: ca. 10 TBytes
Weitere interessante Quellen und Literatur zum Thema:n AN.ON Projektseite des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein: www.datenschutzzentrum.de/anon/
Informationen über TOR: tor.eff.org/
AN.ON und Strafverfolgung: www.anonymitaet.com/bka/
Zur Technik der Mixe: David Chaum: »Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms«. Communications of the ACM, February 1981, Volume 24, Number 2
Hannes Federrath: Das AN.ON-System: Starke Anonymität und Unbeobachtbarkeit im Internet. in: Helmut Bäumler, Albert von Mutius (Hrsg.): Anonymität im Internet – Grundlagen, Methoden und Tools zur Realisierung eines Grundrechts, Verlag Vieweg, 2003, 172
Stefan Köpsell, Hannes Federrath, Marit Hansen: Erfahrungen mit dem Betrieb eines Anonymisierungsdienstes, in: Datenschutz und Datensicherheit (DuD), 27/3 (2003),139
Martin Rost: Zur gesellschaftlichen Funktion von Anonymität – Anonymität im soziologischen Kontext, in: Datenschutz und Datensicherheit (DuD), 27/3 (2003), 155
|
