Die Grenzen der digitalen Selbstverteidigung

Tags: Digitale Selbstverteidigung, Web-Tracking, IP-Tracking
Last update: Oct 2020

Kleine Literaturübersicht

Es gibt viele gute Gründe im Zeitalter der globalen Informationssammlung unser Grundrecht auf informationelle Selbstbestimmung wahrzunehmen. Jeder, der sich hierzu schon mal seine Gedanken gemacht hat, ist sicherlich auf die eine oder andere Literatur gestoßen. Der sicherheitsbewusste Leser findet auf dem Markt eine relativ übersichtliche Anzahl an Titeln (chronologisch sortiert):

• „Mich kriegt ihr nicht“ von Steffan Heuer und Pernille Tranberg (aktuell 4. Auflage von 2019, ISBN 978-3867743211)
• „Permanent Record“ von Edward Snowden (2019, ISBN 978-3103974829
• „Sie kennen dich! Sie haben dich! Sie steuern dich!“ von Markus Morgenroth (2016, ISBN 978-3426788189)
• „Sie wissen alles“ von Yvonne Hofstetter (2016, ISBN 978-3328100324)
• „Die globale Überwachung“ von Glenn Greenwald et al. (2015, ISBN 978-3426786918)

Das Buch „Mich kriegt ihr nicht“ lautet im Untertitel „Gebrauchsanweisung zur digitalen Selbstverteidigung“ und ist eine relativ pragmatische Heranführung des Lesers an die Thematik. Nach kurzer Vorrede über den Sinn der digitalen Selbstverteidigung werden einige typische Szenarien aus dem alltäglichen Leben herausgegriffen und die Relevanz bzgl. der Privatheit beleuchtet. Im späteren Verlauf ist es gespickt mit konkreten Handlungsempfehlungen und ist daher für mich eine ziemlich gute Übersicht darüber was schützenswert ist und welche Methoden man selbst anwenden kann, um die digitale Verfolgung zu erschweren.

Die Umsetzung und Nutzung der in dem Buch genannten Tipps und Tricks (im Buch „Verteidigungsstufen“ genannt) ist eine gute Ausgangsbasis, um die eigene Kommunikation, Privatheit und Identität zu schützen. Etwas komplizierter und vor allem prekärer wird die Sache, wenn von privatwirtschaftlichen Unternehmen ohne Wissen der Internet-Nutzer, Profile über diese Benutzer erstellen werden.

Datensammlung ist Realität

Dass die Sammlung von Daten nicht nur reine Spekulation, sondern Realität ist, belegen ein paar investigative Beispiele:

Titel: „How Facbook Tracks you on Android“ von Frederike Kaltheuner & Christopher Weatherhead (Dec 2018)
Link: https://media.ccc.de/v/35c3-9941-how_facebook_tracks_you_on_android/
Beschreibung: Viele Applikationsentwickler verwenden zur Verringerung des Entwicklungsaufwands die Facebook SDK. Auch wenn der Nutzer keinen Facebook-Account besitzt und sich demzufolge in einer Applikation nicht mit seinem Facebook-Account einloggt, so sendet viele Applikationen, die die Facebook DSK verwenden fleißig Daten an Server von Facebook. Hierzu gehören auch Bezeichner, die sehr eindeutig aussehen.

Titel: „An In-Depth Look Into All The Ways Google Tracks You in 2019“ von Novak Bozovic (Jul 2019)
Link: https://medium.com/swlh/an-in-depth-look-into-all-the-ways-google-tracks-you-in-2019-b158acf05b29
Beschreibung: Abgesehen von den offensichtlichen Quellen für die Datensammlung durch Nutzung der vielfältigen und natürlich auch nützlichen Google-Dienste gibt es diverse Kooperationen zwischen Google und anderen Unternehmen, die die Zusammenführung und Analyse der Datentöpfe zum Ziel haben. Das heißt zum einen, dass es schwer ist konkret um die Sammlung durch Google herumzukommen und zum anderen, dass das Google nicht das einzige Unternehmen ist, welches um den monetarisierbaren Wert von Daten weiß. Gekrönt wird der Beitrag durch ein Video, welches die Wertigkeit des digitalen Abbildes eines jeden Nutzers darstellt. Durch das ziemlich lückenlose digitale Profiling von Personen sind hohe Erwartungen geknüpft: Es wird angestrebt das Verhalten von Nutzern mit hoher Präzision vorherzusagen. Etwas weitergedacht ist dies die Grundlage dafür, dass die Verhaltensbeeinflussung erst möglich wird. Nur wenn ich eine Person hinreichend genau kenne, weiß ich an welchen Punkten er empfänglich bzw. beeinflussbar ist oder sein könnte.

Umfassendes digitales Tracking

Vor diesen beiden Artikeln hätte man noch auf die Idee kommen können, dass es reichen würde aktiv auf Facebook etc. zu verzichten. Spätestens jetzt sehen wir jedoch, dass es damit nicht getan ist. Da dieses Profiling ohne das Wissen der Nutzer geschieht und im Hintergrund geschieht, nennt man dies Shadow-Tracking – also das Tracking im Verborgenen. Um die Methoden von diesem Shadow-Tracking zu verstehen, hilft es sich zu vergegenwärtigen welche Möglichkeiten des Trackings es generell gibt:

• IP-Adresse: Hier wird die Zuordnung zu einem Benutzer mittels IP-Adresse hergestellt. Jeder Nutzer, welcher sich im Internet bewegt, hinterlässt bei jeder Kommunikationsverbindung mit anderen Servern eine IP-Adresse. Ob dies unterschiedliche Applikationen, Betriebssysteme, Mobilgeräte etc. sind spielt hierbei keine Rolle. Jede solche sog. HTTP-Verbindung hinterlässt diese IP-Spuren in der gesamten Infrastruktur des Internet.
  Interaktive-Elemente: Eine Nachverfolgung ist auch dadurch möglich, dass kleine grafische Elemente in Mails nachgeladen oder Verbindungsversuche von genutzten Mobiltelefon-Apps initiiert werden. In diesen Fällen werden Elemente von fremden Servern nachgeladen oder Server nur zur Kontrolle kontaktiert. Da die kontaktierten Server dann die IP-Adresse des Nutzers kennen, ist dies als eine Sonderform des vorangegangenen IP-Trackings zu werten.
• Cookie: Eine andere Möglichkeit der Nachverfolgung ersteht durch die Speicherung und Auswertung von kleinen Textdateien durch den Browser auf dem Computer. Mehrere besuchte Websites können beispielsweise bei deinem Besuch ein und das gleiche sog. Cookie nutzen und Informationen in ihm speichern und auslesen. Dadurch können Informationen auf Servern aggregiert werden, auch wenn man die eigenen Cookies jedes mal vorbildlich löscht.
• Web-Analytics: Es ist ebenfalls möglich durch den geschickten Einsatz von Programmschnipseln in der Programmiersprache JavaScript die Bewegung des Nutzers auf einer Website in Gänze nachzuverfolgen. Wenn mehrere Websites hintereinander die gleichen Werkzeuge zur Messung der Browser-Sitzungen verwendet werden, dann ergibt dies an genau der Stelle wo all diese Informationen zusammenlaufen, ein lückenloses Tracking-Profil des Benutzers.

Die Grenzen der Selbstverteidigung

Aus Sicht der Privatsphäre wäre es ein erstrebenswertes Ziel das Tracking durch die eben genannten Punkte auf irgendeine Weise zu unterbinden. Das Problem hierbei ist jedoch, dass sich zwar Cookies und Web-Analytics dadurch verhindert lassen, dass man die Technologien Cookie-Speicherung und JavaScript im Browser gänzlich unterbietet, aber dass dies nicht für das IP-Tracking gilt. Die Ursache hierfür liegt in der initialen Struktur wie das Internet entwickelt wurde. Das Internet wurde nie mit dem Fokus der Sicherheit und Privatsphäre aus der Taufe gehoben: Jeder klassische Verbindungsaufbau beim Surfen im Internet findet vereinfacht dargestellt so statt, dass es einen Browser gibt, welcher Informationen von einem anderen Computer/Server holen möchte und deshalb immer ein (einigermaßen) direkter Verbindungsaufbau zwischen zwei Computern stattfinden muss. Der technisch versierte Nutzer nennt dies eine sog. TCP-Verbindung.