Zurück zur Startseite



Sicherheitsrisiko Internet



Das Abhören einer Datenübertragung im Internet läßt sich prinzipbedingt nicht verhindern: Wer sich an der richtigen Stelle einklinkt, kann ohne weiteres private E-Mails, aber vor allem auch Online-Transaktionen "belauschen". Aber auch die Gefahr sich durch eine Shareware mit einem Virus aus dem Internet zu infizieren.

Mißbrauch von Userdaten beim Surfen
Gefahr von Programmen aus dem Internet






Mißbrauch von Userdaten


Stellen Sie sich folgendes vor: Sie buchen im Internet einen Last-Minute einen Skiurlaub. Zwei Tage später erhalten Sie per E-Mail ein Angebot eines schweitzer Ski-Herstellers zu den neusten, super billigen Snowboards. Weiterhin finden Sie noch eine E-Mail einer Versicherung die Sie und Ihr Auto versichern will. Toll nicht? Und das alles bloß weil Sie Ski fahren wollten.
Nun können diese Angebote vielleicht ganz praktisch sein, aber wenn würden sie nicht nerven, wenn man nach jeder Surftour im Internet einen Haufen Werbemails bekommt?
Sich vor solchen Ausuferungen der Werbewirtschaft zu schützen ist recht schwierig. Ein Problem sind zum Beispiel die durch den Netscape Navigator in der Version 2.0 eingeführten Cookies. Diese "Kekse" werden von einem Webserver oder einer Webpage auf der heimischen Festplatte abgelegt, und können mit beliebigem Material gefüllt sein, z.B. mit den 10 letzten besuchten Webpages oder dem letztem Besuchsdatum. Ein Server kann Cookies aber auch verwenden, um einen Benutzer beim Betreten der Startseite eindeutig zu markieren und seine Zugriffe auf Folgeseiten eindeutig von allen anderen Zugriffen unterscheiden zu können. Auf diese Weise ist ein detailliertes Abrufprofil möglich, das sogar einem Namen zugeordnet werden kann, wenn der Benutzer sich im Rahmen einer Bestellung nur ein einziges Mal identifiziert.
Das solche Cookies durchaus Ihre Berechtigung haben ist offensichtlich, so werden sie etwa für den Einkaufskorb in einer virtuellen Shopping-Mall gebraucht. Das der Mißbrauch von persönlichen Daten bei Cookies nicht ausgeschlossen werden kann ist ebenfalls offensichtlich. Zu empfehlen wäre daher die ab dem Netscape Navigator 3.0 und dem Internet Explorer 3.0 eingebaute Funktion vor einer Annahme von Cookies zu warnen. Der Netscape Communicator 4.0 verfügt sogar über eine Option die die generelle Annahme von Cookies verbietet.
Ein anderes Problem ist die Datenspur die jeder automatisch hinterläßt. Bei jedem Besuch auf einem WWW-Server werden Verbindungs- und Inhaltsdaten zeitweise gespeichert. Abgesehen vom Absender und dem Empfänger der übermittelten Informationen kann oft mit wenig Aufwand bei jedem Rechner entlang des Übertragungsweges oder direkt über die Leitung auf die Verbindungs- und Inhaltsdaten zugegriffen werden.



Die Grafik zeigt schematisch, an welchen Stellen im Netz die Erstellung von Nutzungsprofilen möglich wäre.


Einmal kann mit einem geeigneten Client die Beobachtung des Benutzungsverhaltens direkt auf dem Rechner des Nutzers geschehen. Immernoch in der Diskussion ist z.B. Javascript, welches dazu gebracht werden kann, dem Anbieter von Seiten weitgehende Informationen über die Konfiguration des Rechners und das Rezeptionsverhalten seines Nutzers zu übermitteln.
Weiterhin können Nutzungsprofile beim Provider des Nutzers entstehen. Dieser hat nicht nur Information über die Identität des Anrufers, sondern er kann auch ein Logbuch über sein Abrufverhalten führen. Der Nutzer könnte der Erfassung von Inhaltsdaten hier immerhin entgegenwirken, indem er verschlüsselte Kommunikation betreibt. Verbindungsdaten fallen aber auf jeden Fall an, da der Provider sie zum Betrieb des Cache und zum Teil zur Abrechnung benötigt. Für dieses Problem gibt es also nur administrative Lösungen.
Schließlich kann auch der Betreiber eines Servers Daten über die Abrufer seiner Informationen sammeln. In den meisten Fällen handelt es sich hier um rein statistische Informationen, die keine Schlüsse auf die Identität eines Abrufers zulassen. Mit einigen Kniffen ist hier aber ebenfalls eine Zuordnung zu einem Nutzer möglich.

Identifikation von Benutzern ist auch über das identd-Protokoll möglich. Dieses Protokoll diente ursprünglich dazu, Mißbrauch zu verhindern, indem dem Betreiber eines Servers eine Möglichkeit gegeben wird, die Identität des Abrufers abzufragen. Viele Server verwenden es inzwischen routinemäßig, um Nutzungsprotokolle um Personenidentitäten zu ergänzen. Identd ist jedoch ein optionales Protokoll, und es kommt fast nur auf Mehrbenutzersystemen zum Einsatz. Der Betreiber des Clients hat volle Kontrolle über Art und Umfang der enthüllten Informationen.

Die ungenaueste Methode der Benutzeridentifikation ist schließlich die Nutzung von Browserkenndaten wie z.B. der Name des verwendeten Browserprogrammes und seine Seriennummer, soweit diese bei einem Abruf mit übermittelt werden.


Man kann keine generelle Aussage über die Schutzbedürftigkeit der einzelnen Datenspuren treffen, denn erst zusammengenommen ergeben sie das Nutzungs- oder gar Persönlichkeitsprofil, auf das Netzschnüffler scharf sind. Dies verraten unsere Spuren über uns:
  1. Stammdaten, die unter Umständen auch in Teilnehmerverzeichnissen veröffentlicht werden, gestatten einen Einblick in persönliche Verhältnisse der Benutzer.
  2. Über die Verbindungsdaten kann man das Kommunikationsverhalten eines Teilnehmers analysieren.
  3. Inhaltsdaten persönlicher Nachrichten oder übertragene Informationen im WWW wie z.B. die Kreditkartennummer sollen in der Regel vertraulich gehandhabt werden. Man kann keine generelle Aussage über die Schutzbedürftigkeit der einzelnen Datenspuren treffen, denn erst zusammengenommen ergeben sie das Nutzungs- oder gar Persönlichkeitsprofil, auf das Netzschnüffler scharf sind. Dies verraten unsere Spuren über uns:





Ungeschützt lassen sich diese Datenspuren zum Profil eines Teilnehmers verdichten, für das es viele Interessenten geben kann. Beispielsweise kann durch die Wahl einer Newsgroup oder Ansehen einer WWW-Seite auf Interessen oder auf die politische Anschauung des Nutzers geschlossen werden. Man muß nur einmal mit Suchmaschinen im Web oder in Usenet-Archiven stöbern - es ist überraschend, wieviel man über sich selbst finden kann, von dem man teilweise gar nicht geahnt hat, daß dies irgendwo gespeichert wird.
Solche Informationen sind wertvoll für Marketingabteilungen, die daraufhin gezielt Werbung versenden. Was für den Verbraucher in diesem Fall allenfalls lästig ist, wird kritisch, wenn die analysierte politische Einstellung zu beruflichen Nachteilen führt. Während Marketing-Agenturen hauptsächlich Verbindungsdaten und öffentliche Inhaltsdaten wie News-Artikel aus dem Internet und von Online-Diensten gewinnen, um dem Verbraucher individuell auf ihn zugeschnittene Werbung zu schicken, werten Geheimdienste und Industriespione auch Inhaltsdaten mit privatem Charakter aus, zum Beispiel E-Mails.
Wie die meisten Geheimdienste, die auf Auslandsaufklärung spezialisiert sind, überwacht der Bundesnachrichtendienst (BND) routinemäßig den internationalen Fernmeldeverkehr. So werden Telefonate über Satelliten, Richtfunk oder Kurzwelle (der nichtleitungsgebundene Fernmeldeverkehr) automatisch registriert und - wenn bestimmte verdächtige Wörter vorkommen - aufgezeichnet. Es heißt, daß nicht nur Telefongespräche, sondern auch E-Mails systematisch überwacht werden. Nach Schätzungen von Kryptoexperten werden beinahe 100 % der Auslandsgespräche per Telefon und ein ähnlich hoher Prozentsatz der Mails im Internet und in anderen Online-Diensten vom BND kontrolliert.Man kann keine generelle Aussage über die Schutzbedürftigkeit der einzelnen Datenspuren treffen, denn erst zusammengenommen ergeben sie das Nutzungs- oder gar Persönlichkeitsprofil, auf das Netzschnüffler scharf sind.

Zurück zum Seitenanfang


Gefahr von Programmen aus dem Internet


Wannimmer Sie ein Programm oder Tool aus dem Internet downloaden gehen Sie damit ein gewissen Risiko ein. Einmal ist natürlich die Gefahr eines Viruses gegeben, der die ganze Platte systematisch ausstöbert. Aber auch ein einfaches trojanisches Pferd kann versteckt im Hintergrund nach Passwörter und Codes suchen und Sie dann einer anderen Stelle bei der nächsten Online-Sitzung übermitteln. Gerade in letzter Zeit hat ein Trojaner von sich reden gemacht: Zwei 16 jährige Schüler haben das Sicherheitssystem von T-Online geknackt und blossgestellt.
Deswegen sollte man keine Programme und Tools von unbekannten Server downloaden, sondern nur Programme von 'bekannten' Servern wie tucows oder files.com


Links im WWW.

http://www.c2.org/anon.phtml Mail-Anonymizer
http://www.cs.princeton.edu/sip/ Safe Internet Programming (SIP, Princeton University)
http://www.anonymizer.com WWW-Anonymizer, anonymes Surfen im Internet




© 1996-1999 bei Wiktor Wodecki