Anonymität im Internet

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Anleitung: Definition fehlt Diesem Artikel fehlt einleitend noch eine klare Definition. Um die Bezeichnung sicher zuordnen zu können, ist der behandelte Sachverhalt begrifflich näher zu bestimmen. – Wozu gehört der Gegenstand inhaltlich? Was sind seine wesentlichen Merkmale? Welche Unterscheidungen setzen ihn kennzeichend ab? – Hilf mit eine geeignete Definition anzugeben! Erläuterung: Details

Das Internet ermöglicht unterschiedlich weitgehende Formen der Anonymität. Eingeschränkt wird diese beispielsweise dadurch, dass bei jeder Kommunikation im Internet eine IP-Adresse mitübertragen wird. Auch durch sorgloses Verhalten hinterlassen Internetbenutzer Spuren, und mit technischen Tricks können viele Informationen über diese gesammelt werden.

Die Verwendung von Nicknames erlaubt eine Pseudonymität im Internet.

Identifikation durch die IP-Adresse[Bearbeiten]

Dieser Abschnitt bedarf einer Überarbeitung: Die aktuelle rechtliche Situation um die Vorratsdatenspeicherung und andere Gesetze wird unzureichend vermittelt. Hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung.

Die IP-Adresse ermöglicht die unterste Ebene der Identifizierung. Sie identifiziert jeden Teilnehmer im Internet, meistens einzelne Rechner. Die Identifizierung der Zielperson erfolgt über den IANA-Eintrag zum Internetzugangsanbieter und über diesen die Feststellung des Internetanschlussbesitzers mit der gesuchten IP-Adresse. Dabei ist für einen privaten Internetteilnehmer nur die Identifizierung des Internetzugangsanbieters einer IP-Adresse möglich. Der Zugangsanbieter kann aber gerichtlich gezwungen werden, eine IP-Adresse in seinem Adressbereich einem Teilnehmer zuzuordnen. Über diesen kann der Sender der über das Internet übertragenen Informationen gefunden werden, sofern nicht besondere Gegenmaßnahmen stattgefunden haben.

Whois-Abfrage der IP-Adresse eines Wikimedia-Servers

Jede IP-Adresse ist auf einen Besitzer registriert, welcher auch jederzeit über den Whois-Dienst erfragt werden kann. Die meisten IP-Nummern sind Internetdienstanbietern (englisch internet service provider, ISP) zugeordnet, seltener festen IP-Nummern-Besitzern. Um einzelne Adressen eines ISPs einem Anschlussinhaber zuzuordnen, ist der ISP zu befragen. Da die ISPs ihre Adressbereiche nach Regionen verteilt vergeben, ist häufig die ungefähre Ortsangabe des Anschlussinhabers anhand der IP-Adresse und der entsprechenden Zuordnungstabellen möglich. Dies gilt aber nicht gleichermaßen für Mobilfunknetze. Als viele ISPs aufgrund von Adressenknappheit die dynamische Adressenvergabe einführten, welche den Anschlüssen bei jedem Verbindungsaufbau eine neue IP-Adresse zuordnete, wurde als Nebeneffekt die Privatsphäre der Anschlussinhaber gestärkt, da andere Internetteilnehmer IP-Adressen nicht mehr zuverlässig denselben Teilnehmern zuordnen konnten. Ein weiteres Verfahren, der Verknappung von IP-Adressen entgegenzuwirken, ist die Splittung über so genannte Ports, sodass mehreren tausend Usern ein und dieselbe IP-Adresse zugewiesen werden kann.

In Deutschland wurde eine Aufzeichnung der Zuordnung zwischen IP-Adresse und Anschlussinhaber erst mit dem „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG“ vorgeschrieben, wobei die neuen Identifizierungsregeln im Telekommunikationsgesetz ein Beiwerk und keine Umsetzung der EU-Richtlinie darstellen. In Deutschland war es vor der deutschen Umsetzung der Vorratsdatenspeicherung eine Entscheidung des Internetzugangsanbieters die Zuordnung zu speichern oder nicht. Die Speicherung wurde von der Deutschen Telekom praktiziert, allerdings meist nicht von kleineren Anbietern. In einem Einzelfall bei einem DSL-Flatrate-Vertrag zwischen Holger Voss und T-Online wurde dem Internetzugangsanbieter vom Bundesgerichtshof sogar die Speicherung der Zuordnung verboten, weil bei einem Pauschaltarif eine Speicherung der Verbindungsdaten für betriebliche Zwecke nicht nötig sei.[1]

Das Bundesverfassungsgericht hat am 2. März 2010 einige Rahmenbedingungen dazu festgelegt. So ist die Zuordnungsabfrage nur bei „begrenzenden Straftaten oder Rechtsgüterkatalogen“, „für die Verfolgung von Straftaten, für die Gefahrenabwehr und die Aufgabenwahrnehmung der Nachrichtendienste auf der Grundlage der allgemeinen fachrechtlichen Eingriffsermächtigungen“ zulässig. Die Abfrage darf auch nur aufgrund eines „Anfangsverdachts oder einer konkreten Gefahr auf einzelfallbezogener Tatsachenbasis“ erfolgen. Ein Richtervorbehalt ist nicht nötig, aber der Betroffene muss benachrichtigt werden. Falls die Abfrage aufgrund einer Ordnungswidrigkeit erfolgt, muss diese besonders gewichtig sein und explizit vom Gesetzgeber im Gesetz aufgezählt werden.[2]

Den zuständigen Behörden ist es in Deutschland erlaubt, die in § 111 TKG genannten Daten (zum Beispiel die Anschrift) von einer Anschlusskennung wie die IP-Adresse für die in § 113 TKG bestimmten Aufgaben (beispielsweise der Verfolgung von Straftaten oder Ordnungswidrigkeiten) zu erfragen.[3][4] Dies schränkt die Anonymität gegenüber dem Staat ein, nicht aber gegenüber anderen Internet-Teilnehmern.

Das Verfassungsgericht hat allerdings gerügt, dass die Bestimmungen im TKG eine Identifizierung von IP-Adressen nicht ausreichend legitimieren. Das Zitiergebot sei nicht beachtet worden, da die „Zuordnung von dynamischen IP-Adressen“ einen Eingriff in Art. 10 Abs. 1 GG darstelle. Ebenfalls solle klar geregelt werden, ob eine Identifizierung von „Adressen, die ein eigenes Gewicht hat,“ möglich sein soll. Für eine Übergangszeit bis spätestens zum 30. Juni 2013 sollen dynamische IP-Adressen aber weiterhin identifizierbar sein. Bis dahin ist der Gesetzgeber aufgerufen die Identifizierbarkeit von IP-Adressen neu zu regeln.[5][6]

Um nun die Zielperson zu ermitteln, wird der Anschlussinhaber meist nicht in einem Gerichtsverfahren befragt, sondern im Durchsuchungs- und Beschlagnahmebeschluss die Mitnahme sämtlicher internetfähiger Geräte angeordnet. Dabei werden vor allem Browsercache, die Cookies, die aufgerufenen Webseiten, eingegebene Suchbegriffe und Formulardaten, aber auch sonstige Daten des Dateisystems, auch schon vermeintlich gelöschte Daten ausgewertet. Zielpersonen, die ihre Festplatte verschlüsselt haben, haben hierbei einen Vorteil, da die Herausgabe eines Passwortes nicht erzwungen werden darf.

Beispiele, bei denen Zielperson und Anschlussinhaber nicht identisch sind, sind Internet-Cafés, Wohngemeinschaften und Familien, aber auch Onion-Router und offene Proxys. Betreiber von deutschen Anonymisierungsdiensten (z. B. Proxys) haben seit Einführung der Vorratsdatenspeicherung (wie auch die Internetzugangsanbieter) zu ihren anonymisierten Anschlusskennungen die bereits genannten Daten zu speichern und den genannten Behörden Auskunft über diese Daten zu erteilen. Damit sind sie den Internetzugangsanbietern gleichgestellt. Bei Wohngemeinschaften und Familien hingegen, welche keine Vorratsdatenspeicherung betreiben müssen, kann die Zielperson nicht immer ermittelt werden.

Die Zuordnung von IP-Adresse zum Internetanschlussinhaber wird auch durch die Internationalität erschwert. Innerhalb der EU ist diese zwar durch Kooperationen möglich, allerdings nicht in allen anderen Ländern. Die Authentizität eines IP-Paketes einer bestimmten IP-Adresse ist derzeit auch nicht sehr sicher. Die Rechtsprechung geht meist davon aus, dass die Betreiber eines Internetteilnetzes Daten nicht manipulieren und richtig routen. Kryptologische Sicherheit mittels beispielsweise IPSec ist nur selten gegeben. Außerdem können auf höheren Protokollebenen andere Personen identifizierbar sein. Beispielsweise kann ein gemeinsames Blog die Autoren der einzelnen Artikel angeben.

Maßnahmen zum Schutz der Anonymität[Bearbeiten]

Anonymizer[Bearbeiten]

Hauptartikel: Anonymizer

Anonymizer werden benutzt, um über eine andere IP-Adresse beim Surfen die Identität zu verbergen. Die häufigste und einfachste Variante sind anonymisierende Proxyserver oder Virtual Private Networks (VPNs).

Betreiber von Proxys können aber Log-Files erstellen, welche Protokolle von IP-Adresse, Zeitpunkt und übertragenen Daten darstellen und welche auf Aufforderung an zuständige Stellen herausgeben werden. Dazu wären sie im Rahmen der Vorratsdatenspeicherung in vielen Ländern verpflichtet. In Deutschland gelten die Vorschriften zur Vorratsdatenspeicherung seit dem Urteil des Bundesverfassungsgerichts am 2. März 2010 als verfassungswidrig und nichtig.

Um trotz solcher Aufzeichnungen Anonymität herstellen zu können, bauen bestimmte Tools Ketten von Proxys auf, zwischen denen der Verkehr verschlüsselt wird. Es wird dabei gehofft, dass mindestens einer dieser Proxys keine Aufzeichnungen macht. Diese Variante verlangsamt die Verbindungen, macht jedoch die Rekonstruktion des ursprünglichen Senders praktisch unmöglich.

Schaltet man mehrere Proxys hintereinander, die die Pakete der ankommenden Datenströme vermischen, so entsteht ein Mix-Netzwerk, wie beispielsweise JonDo.[7]

Eine andere Technik ist das Onion-Routing. Ein Beispiel dafür ist Tor, ein vom Freehaven-Projekt entwickeltes anonymisierendes Overlay-Netzwerk für TCP. Auf TCP basierende Verbindungen, wie Web-Browsing, Instant Messaging, IRC, SSH, E-Mail, P2P, können anonymisiert werden. I2P verwendet das ähnlich funktionierende garlic routing. Von Outproxys abgesehen, verlässt der Datenverkehr nie das I2P-Netzwerk, deshalb sind dort alle Nachrichten Ende-zu-Ende-verschlüsselt. Damit sind netzwerkintern anonymes Ansurfen von anonym gehosteten Websites, anonymer IRC, anonymes Instant Messaging, anonymes Filesharing und anonyme E-Mails möglich. Es werden netzwerkintern alle auf TCP oder UDP basierenden Verbindungen unterstützt.

Vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) werden weitere, zum Teil sogar internationale Projekte vorangetrieben, die Sicherheit und Datenschutz im Internet ermöglichen. P3P kann beispielsweise beim Surfen im Netz helfen, mit Hilfe von Datenschutztechnik zu erkennen, welche personenbezogenen Daten beim Besuch einer Internetseite verarbeitet werden. Darüber hinaus wird auch Forschung zu Anonymität und Pseudonymität betrieben.

E-Mail[Bearbeiten]

Zum Versenden anonymer E-Mails und anonymer Beiträge für Usenet-Foren werden sogenannte Remailer verwendet, die ähnlich eines Anonymizers funktionieren. Diese Server reagieren auf E-Mail ähnlich wie ein HTTP-Proxy auf die Anforderung von Web-Inhalten: Die Nachricht wird vom Remailer weiterversendet, so dass er selbst als Absender agiert. Die momentan im Internet anzutreffenden Server verwenden entweder das Cypherpunk- oder das Mixmaster-Protokoll. Während ersteres einen reinen Weiterleitungsdienst definiert, der durch Verschlüsselungssysteme zusätzlich abgesichert werden muss, nehmen Mixmaster nur verschlüsselte E-Mails in einem ganz bestimmten Format an. Eine Mischform der beiden Remailer-Typen stellen Hybrid-Remailer dar (siehe dazu: Reliable). Aber auch I2P bietet die Möglichkeit des Versendens anonymer E-Mails mit Mail-Programmen oder per Browser.

Anonymes Filesharing[Bearbeiten]

Anonyme Filesharingprogramme bieten die Möglichkeit, über das Internet anonym Daten zu tauschen. Die Anonymität wird in den meisten anonymen Peer-to-Peer-Netzwerken dadurch erreicht, dass die auszutauschenden Daten verschlüsselt werden und die „tauschenden“ Clients keine direkte IP-Verbindung zueinander unterhalten, sondern die Daten anhand von „IDs“ über Proxys (bspw. andere Clients) an den Empfänger weiterleiten. Anonyme Filesharingprogramme sind beispielsweise I2P (mit i2psnark, iMule, I2Phex), Freenet oder GNUnet.

Nutzung von Friend-to-friend-Netzwerken[Bearbeiten]

Hauptartikel: friend-to-friend und Darknet

In Friend-to-friend-Netzwerken (F2F) werden Verbindungen ausschließlich zu geprüften und vertrauten Freunden unterhalten. Dieses trägt enorm zur Anonymität im Internet bei. Die Besonderheit von F2F gegenüber Darknets ist, dass Freunde die IP-Adressen der Freundesfreunde nicht kennen. Nur die vertrauten Freunde selber kennen untereinander ihre IP-Adressen. Somit wird es möglich, eine Datei von Alice über Bob an Carol weiterzuleiten, dabei kennen Alice und Carol die IP-Adresse des jeweils anderen nicht. Zu den bekanntesten Friend-to-friend-Netzwerken zählen RetroShare und GNUnet.

Friend-to-friend-Netzwerke stellen neben der Verwendung von Offshore-Anonymisierungsservern die beste Möglichkeit dar, Anonymität und freie Kommunikation trotz vielfältiger Internetüberwachungsinstrumente herzustellen. Voraussetzung dafür ist allerdings, dass eine Übertragung von verschlüsselten Informationen möglich ist. Es wurden bisher noch keine Friend-to-friend-Netzwerke entwickelt, die in radikalen Überwachungsstaaten, welche jegliche Verschlüsselung verbieten, dieses Verbot durch Steganographie umgehen. Allerdings ist beispielsweise für den Tor-Einsatz in China geplant, dass über HTTP übertragene HTML-Seiten als Tunnel für die Tordaten dienen können. Eine weitere sehr aufwendige und umfassende Möglichkeit zur Sicherung der Internetüberwachung, kann eine auf dem zu überwachenden Computern installierte Software bieten, welche die Verwendung von Friend-to-friend-Netzwerken entdecken, melden und blockieren kann. In China wurde beispielsweise mit „Green Dam“ eine Zensur-Software geplant, welche direkt auf dem Rechner installiert werden muss.[8]

Offshore-Anonymisierungsdienste[Bearbeiten]

Auf sogenannten „Offshore-Servern“, die beispielsweise in den Bahamas, Belize, Malaysia oder Panama stehen, können Internetangebote aufgestellt werden, die anonyme Kommunikation ermöglichen.

Spezielle Usenet-Anbieter[Bearbeiten]

Eine weitere Möglichkeit zum „anonymen“ Veröffentlichen, Herunterladen oder Tauschen von Daten im Internet bieten sogenannte Usenet-Anbieter. Der Zugang zu den Daten wird über die Usenet-Server des Anbieters bereitgestellt, welcher die „Newsgruppen“ anbietet. Für den Anbieter ist die Identität seiner Nutzer durch Zahlungsinformationen und IP-Adresse bekannt. Wenn nun einer ihrer Kunden Daten im Usenet veröffentlichen möchte, wird dies bei manchen Anbietern unter Angabe der E-Mail-Adresse des Anbieters statt des Kunden gemacht, sodass der Kunde anonym bleibt. Der Abruf von Informationen ist genauso anonym wie das Abrufen einer Webseite, da nur der jeweilige Anbieter davon etwas mitbekommt. Derjenige, der die Daten im Usenet veröffentlicht hat, erfährt nicht, wer auf seine Daten zugreift. Der Anbieter ist damit ein Proxy, dem genau wie bei einem Webproxy vertraut werden muss.

Anonyme SIM-Karte[Bearbeiten]

Manche Telekommunikationsanbieter bieten SIM-Karten an, für die keine Identitätsprüfung erforderlich ist oder bei der falsche Angaben nicht überprüft werden. Über diese ist dann auch eine anonyme mobile Internetnutzung möglich. Das Einwahlgerät bekommt für die Internetsitzung eine IP-Adresse vom Mobilfunkbetreiber zugeteilt, über welche das Gerät zurückverfolgt werden kann. Der Mobilfunkbetreiber muss schon alleine aus technischen Gründen die verwendete Mobilfunkzelle vom jedem im Mobilfunknetz eingebuchten Gerät wissen und kann somit die Position des Einwahlgeräts eingrenzen und protokollieren. Es kann aber auch eine genaue Ortung des Geräts durchgeführt werden, die abhängig von verwendetem Messverfahren und Umgebung bis zu wenigen Metern genau sein kann (siehe GSM-Ortung). Außerdem ist zu beachten, dass durch den Austausch der SIM-Karte die Seriennummer IMEI des Einwahlgeräts nicht geändert wird. Diese ist in der Regel eindeutig und wird bei der Einwahl ins Mobilfunknetz übertragen. Sofern die benötigten Daten vorliegen, hat der Mobilfunkbetreiber die Möglichkeit, alle SIM-Karten, die vom gleichen Einwahlgerät verwendet wurden, zu ermitteln. Aus den Daten, die mit den SIM-Karten verknüpft sind, kann dann unter Umständen auf die Identität des Nutzers geschlossen werden.

Internetcafé und WLAN-Zugangspunkte[Bearbeiten]

Auch die Nutzung eines Internetcafés oder offener bzw. mangelhaft gesicherter WLAN-Zugangspunkte bietet die Möglichkeit eines anonymen Internetzugangs, sofern keine Identitätsprüfung durch System oder Betreiber vorgenommen wird. Die IP-Adresse eines Internetcafés oder eines Zugangspunkts lässt sich allerdings genauso zu einem Anschlussinhaber auflösen wie jede andere IP-Adresse auch. Sollte der Nutzer persönliche Daten unverschlüsselt übertragen, können sie gespeichert und später zur Deanonymisierung verwendet werden. Im Internetcafé ist auch die Übertragung von verschlüsselten Daten nicht sicher, da der Betreiber durch z.B. installierte Überwachungssoftware den Bildschirm sowie alle Aktivitäten am Computer sehen und aufzeichnen kann. In WLAN-Netzwerken ist es möglich für den Betreiber sowie Angreifer in Reichweite oder im Netzwerk unverschlüsselten Datenverkehr zwischen dem Zugangspunkt und Gerät aufzuzeichnen und zu manipulieren. Auch kann jeder aktive WLAN-Nutzer in Reichweite geortet werden. Nach der letzten Entscheidung des Amtsgerichts Wuppertal sei derjenige, der unberechtigt ein offenes, fremdes WLAN nutzt unter keinem rechtlichen Gesichtspunkt strafbar.[9]

Techniken zur Identifizierung von Nutzern im Web[Bearbeiten]

Neben der Verwendung der IP-Adresse gibt es noch weitere Möglichkeiten, um Surfer im World Wide Web verfolgen zu können und damit auch Daten über sie speichern zu können.

Abhören[Bearbeiten]

Internetzugangsprovider, Proxybetreiber, Firmen- oder Universitätsnetzwerkbetreiber sowie Tor-Exit-Knoten können den unverschlüsselten Datenverkehr abhören. Aus diesen Daten kann unter Umständen auf die Identität des Benutzers geschlossen werden. Vermeiden kann ein Internetbenutzer dies, indem er einen vertrauenswürdigen Anbieter wählt oder auch Verschlüsselung verwendet.

Tracking-Cookies[Bearbeiten]

Trackingcookies sind ein verbreitetes Mittel, den Besucher einer Webseite zu „markieren“, um ihn später wiedererkennen zu können. Normale Cookies werden zum Beispiel bei praktisch allen Internetangeboten verwendet, bei denen der Besucher sich mit Benutzernamen und Passwort anmelden muss, um einen Nutzer für eine Sitzung identifizieren zu können. Auch Warenkörbe in Online-Shops werden meist mit Cookies realisiert. Tracking-Cookies werden allerdings auch dazu genutzt, das Surfverhalten eines Benutzers über einen längeren Zeitraum, auch ohne explizite Anmeldung durch den Benutzer und über mehrere Webangebote hinweg zu beobachten. Mit Collusion kann diese Nachverfolgung grafisch dargestellt werden. Umstrittene Programme wie Ghostery zeigen diese Tracker an und blockieren diese auf Wunsch.

Technisch gesehen sind Cookies kleine Textblöcke, die der Server an den Browser sendet und später wieder zurückbekommt und benutzen kann. Beim ersten Besuch bekommt der Benutzer ein Cookie mit einer eindeutigen Kennnummer und bei jedem weiteren Seitenaufruf kann der Server den Besucher daran wiedererkennen. Cookies werden entweder dauerhaft oder für einen festgelegten Zeitraum gespeichert. Sie bestehen auf dem Server meist aus der IP-Adresse des Benutzers und einer Zeitangabe, während beim Benutzer die Server-Adresse vom Browser gespeichert wird. Die Cookies können keine ausführbaren Befehle enthalten und stellen deshalb zunächst kein Sicherheitsrisiko dar.

Betreiber verschiedener Webseiten können zusammenarbeiten, um einen Besucher auch über verschiedene Seiten hinweg zu verfolgen. Meldet sich ein Benutzer bei einer Webseite B an und ruft danach eine Webseite A auf, in welche eine Webadresse (URL) der Webseite B eingebettet ist, so kann Webseite B auf die Cookies, welche die Anmeldedaten enthalten, zugreifen und sie dann an Webseite A übermitteln. Eine solche Einbettung einer Webadresse könnte beispielsweise ein Werbebanner oder eine Counter-Grafik sein. Ob die Seite B bei einer Einbettung von einer anderen Website auf die Cookies des Browsers zugreifen kann, ist allerdings abhängig von der Browser-Konfiguration.

Auch durch eine gezielt gesetzte Ausnahme für die Same-Origin-Policy kann eine Webseite A Informationen einer Webseite B abfragen.

Die am 5. Mai 2009 erlassene EU-Richtlinie 2009/136/EG, welche auch EU-Cookie-Richtlinie genannt wird, regelt den Einsatz und die Speicherung von Cookies.[10] Sie wurde aber von vielen Staaten Europas noch nicht umgesetzt oder die Behörden verfolgen Verstöße bewusst nicht.[11][12]

Virtueller Fingerabdruck (Profil)[Bearbeiten]

DNS-Profil[Bearbeiten]

Alle Aufrufe von Webseiten mittels eines URI haben eine DNS-Anfrage zur Folge, die die IP-Adresse des angefragten Servers ermittelt. Verwendet ein Benutzer dazu den ihm von seinem Internet-Service-Provider (ISP) zugewiesenen DNS-Server, so kann dieser alle Anfragen mitlesen. Über die DNS-Anfragen können so Profile der aufgerufenen Webseiten erstellt werden. Der ISP kann aber auch Webseiten zensieren indem er bestimmte Adressen nicht in IP-Adressen auflöst; diese sind dann nicht erreichbar. Anonyme, unzensierte DNS-Namensauflösung ist eine wichtige Voraussetzung für eine effektive Anonymisierung und gegen die Zensur. Anonyme Namensauflösung heißt, einen anonymen, unzensierten DNS-Server zu benutzen um die gewünschte Webadresse zu erreichen.

Browser-Profil[Bearbeiten]

Zahlreiche sogenannte HTTP-Header geben Aufschluss über den benutzten Browsertyp, das Betriebssystem (User Agent), die zuvor besuchte Webseite (Referrer) und die beim Verlassen der Seite aufgerufene nächste Webseite. Der Server braucht nur noch die im Aufruf enthaltenen Daten auszuwerten.

Skripte, die den Browser veranlassen, Daten zu versenden, werden für Fälle eingesetzt, bei denen Cookies regelmäßig gelöscht werden und HTTP-Header allein nicht zur Identifizierung genügen. Es handelt sich in der Regel um JavaScript-Code, der versucht, möglichst viele Informationen vom Browser abzufragen und an den Server zu schicken. Damit können Informationen über die verwendete Bildschirmauflösung, Farbtiefe, installierte Plugins usw. herausgefunden werden.

Die EFF-Anwendung Panopticlick sammelt anonymisierte Daten, um einzuschätzen, wie leicht der Surfer in der Menge erkannt werden kann.[13] Cookies, die verfallen oder ausgeschaltet sein können, oder IP-Adressen, die wechseln können, benötigt der Dienst dazu nicht. Er wertet die HTTP-Anfrage-Header aus, welche aus Browserkennung und akzeptierten MIME-Typen bestehen, sowie, mittels JavaScript, Informationen über installierte Plug-ins, Schriftarten, die Bildschirmgröße und die Zeitzone. Daneben fließen auch noch Daten über Standard- und „Supercookies“ (Flash-Cookies, Web Storage, IE-userData) in das Ranking ein. Dies ermöglicht in vielen Fällen die Erstellung eines eindeutigen virtuellen Fingerabdrucks. Der Informationsgehalt dieses Fingerabdrucks kann durch verschiedene Maßnahmen zwar verringert werden, allerdings sind diese Maßnahmen meist nicht ideal, da sie den Komfort einschränken, wie beispielsweise das Ausschalten von JavaScript.[14]

Werden Standard- und „Supercookies“ kombiniert, so spricht man von sogenannten „Evercookies“, die eine Profilbildung ermöglichen und sich nur schwer für den Benutzer entfernen lassen.

Daher fordern beispielsweise Nutzer des Mozilla Firefox, sowohl den HTTP-Fingerabdruck[15] als auch den JavaScript-Fingerabdruck zu verringern.[16]

Kompromittierung des Systems[Bearbeiten]

Der Nutzer kann deanonymisiert werden, falls Unbefugte Zugriff auf sein System bzw. fremde Systeme, die seine Daten besitzen, erlangen können. Dies kann beispielsweise durch eingeschleuste Schadprogramme bzw. durch Nutzung von Sicherheitslücken und Hintertüren im System erfolgen. Diese können dann zum Aufzeichnen und Übertragen von allen Nutzeraktivitäten und Daten aus allen verfügbaren Quellen verwendet werden. Diese Quellen können unter anderem alle zugängliche Datenträger, Webcams und Microphone umfassen. Behörden haben die Möglichkeit Systeme von Verdächtigen zu kompromittieren um diese im Rahmen einer Online-Durchsuchung zu überwachen. Maßnahmen gegen Kompromittierung werden dem Bereich der Informationssicherheit zugeordnet.

Auswirkungen der anonymisierten Internetnutzung[Bearbeiten]

Vorteile der Offenlegung personenbezogener Daten[Bearbeiten]

Anonymität im Netz ist ein politisch kontroverses Thema, da sie sowohl Vorteile als auch Nachteile mit sich bringt. Es existieren eine Reihe von Anwendungsfällen, in denen sich die Offenlegung personenbezogener Daten positiv auf die Internetnutzung auswirkt.

Hier wären unter anderem folgende zu nennen:

  • Durch personalisierte Werbung reduziert sich die Menge der Werbeeinblendungen mit keinem oder geringem Bezug zum Internetnutzer. Die Auswahl von Werbebotschaften basiert dann auf der Auswertung des Kundenprofils. Anstatt zufälliger Inhalte präsentieren Anbieter nun Angebote, die im Idealfall eine direkte Beziehung zum Nutzer bieten.
  • Durch die Übermittlung des Standortes eines Anwenders (Geotargeting) können z. B. regionale Dienste angeboten oder online Wegbeschreibungen gegeben werden.
  • Durch die Freigabe personenbezogener Daten erhöht sich die Zurechenbarkeit von Aktionen im Web. Zwischen Geschäftspartnern erhöht sich so das Vertrauen und die Abwicklung von Kaufverträgen wird ermöglicht.
  • Im Onlineversandhandel wird durch Bekanntgabe von Namen und Anschrift der Versand überhaupt erst ermöglicht.
  • Urheber können ihr Urheberrecht nicht durchsetzen, falls der Urheberrechtsverletzer anonym ist. Auch Datenschutzverletzungen können bei anonymen Tätern nicht aufgeklärt werden.
  • Strafverfolgungsbehörden haben Schwierigkeiten mit der Aufklärung, wenn bei Straftaten, welche im Internet stattfinden, solche Anonymisierungsdienste genutzt werden. Daher wird von ihrer Seite eine Einschränkung oder auch ein Verbot solcher Dienste gefordert. Gegner dieser Forderung, wie z.B. Sicherheitsexperte Bruce Schneier, argumentieren, dass aufgrund der Funktionsweise des Internets technikversierte Kriminelle immer einen Weg finden werden anonym zu bleiben. Es ist nie eindeutig feststellbar, welche Person für ein bestimmtes Datenpaket verantwortlich ist, da z.B. andere Rechner als Proxy-Server verwendet bzw. missbraucht werden können.[17]

Vorteile der anonymisierten Internetnutzung[Bearbeiten]

Andererseits können Persönlichkeitsprofile intime Daten über den Internetnutzer enthalten, die vielfältige Möglichkeiten zum Missbrauch bieten. Informationen wie beispielsweise soziale Kontakte, politische Einstellung, persönliches Weltbild, Informationen über finanzielle Probleme oder gar Angaben über gesundheitliche Probleme möchte der Anwender möglichst vertraulich halten.

Doch seine Recherchen im Internet können ihn enthüllen. Ohne die möglichen Anonymitätsmaßnahmen, wie z. B. wechselnde IP-Adressen oder verfallende Cookies, können diese Daten einfach über jeden Nutzer gesammelt werden.

Vor allem im E-Commerce gibt es Geschäftsbereiche, in denen der Nutzer von seiner Anonymität im Internet profitiert. Im Gegensatz zum Einzelhandel erfolgt die Interaktion im Internet nicht mit einem realen Menschen sondern mit einem Warensystem. Der Anwender ist somit nicht gezwungen, einen anderen Menschen Einblick in seinen privaten Bereich zu geben, sondern interagiert mit einem elektronischen System. Dieser Faktor wirkt sich zum Beispiel auf folgende Geschäftsbereiche positiv aus:

  • Vertrieb von Erotikartikeln und Internetpornographie
  • Vertrieb von Medikamenten und Verschreibungen über das Internet
  • Beratungsportale bei persönlichen Problemen (z.B. Essstörungen)
  • Beratungsportale bei medizinischen Problemen

Ein bedeutender Vorteil anonymisierter Internetnutzung ist das Umgehen von Inhaltssperren und die Gewährleistung von Meinungsfreiheit, siehe dazu auch den Artikel Zensur im Internet.

Siehe auch[Bearbeiten]

Literatur[Bearbeiten]

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. heise online: BGH bestätigt Urteil zur Löschung von IP-Adressen
  2. Bundesverfassungsgericht: Konkrete Ausgestaltung der Vorratsdatenspeicherung nicht verfassungsgemäß
  3. § 111 TKG: „Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt und dabei Rufnummern oder andere Anschlusskennungen vergibt oder Telekommunikationsanschlüsse für von anderen vergebene Rufnummern oder andere Anschlusskennungen bereitstellt, hat für die Auskunftsverfahren nach den §§ 112 und 113 1. die Rufnummern und anderen Anschlusskennungen, 2. den Namen und die Anschrift des Anschlussinhabers, 3. bei natürlichen Personen deren Geburtsdatum, 4. bei Festnetzanschlüssen auch die Anschrift des Anschlusses, 5. in Fällen, in denen neben einem Mobilfunkanschluss auch ein Mobilfunkendgerät überlassen wird, die Gerätenummer dieses Gerätes sowie 6. das Datum des Vertragsbeginns vor der Freischaltung zu erheben und unverzüglich zu speichern, auch soweit diese Daten für betriebliche Zwecke nicht erforderlich sind;“
  4. § 113 TKG, 1. Absatz: „Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, hat im Einzelfall den zuständigen Stellen auf deren Verlangen unverzüglich Auskünfte über die nach den §§ 95 und 111 erhobenen Daten zu erteilen, soweit dies für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes erforderlich ist.“
  5. Pressemitteilung Nr. 13/2012 vom 24. Februar 2012. bundesverfassungsgericht.de. Abgerufen am 29. April 2012.

    „In Auslegung des § 113 TKG entspricht es verbreiteter, aber umstrittener Praxis, dass auch Auskünfte über den Inhaber einer sogenannten dynamischen Internetprotokolladresse (dynamische IP-Adresse) erteilt werden. Hierbei handelt es sich um die Telekommunikationsnummern, mit denen vor allem Privatpersonen normalerweise im Internet surfen.“

    „Zudem berechtigt § 113 Abs. 1 Satz 1 TKG nicht zu einer Zuordnung von dynamischen IP-Adressen. Für eine Übergangszeit, längstens bis zum 30. Juni 2013, darf die Vorschrift unabhängig von diesen Maßgaben angewendet werden.“

    „Die in den §§ 111 bis 113 TKG angeordnete Speicherung und Auskunftserteilung betrifft lediglich die abstrakte Zuordnung von Telekommunikationsnummern zu bestimmten Anschlussinhabern, die ebenso wie die Zuordnung einer statischen IP-Adresse zu einem Nutzer nicht in den Schutzbereich des Art. 10 GG fällt.“

    „Zum anderen darf die Vorschrift nicht zur Zuordnung von dynamischen IP-Adressen angewendet werden. Dies verbietet sich schon deshalb, weil die Zuordnung von dynamischen IP-Adressen als Eingriff in Art. 10 Abs. 1 GG zu qualifizieren ist. Für solche Eingriffe gilt das Zitiergebot gemäß Art. 19 Abs. 1 Satz 2 GG, wonach der Gesetzgeber das Grundrecht, in das eingegriffen wird, unter Angabe des Artikels nennen muss. Daran fehlt es vorliegend. Im Übrigen ist in § 113 Abs. 1 TKG nicht hinreichend klar geregelt, ob mit ihm auch eine Identifizierung solcher Adressen, die ein eigenes Gewicht hat, erlaubt werden soll.“

    „Einer Übergangsregelung bedarf es aus denselben Gründen auch bezüglich der verfassungsrechtlichen Anforderungen an die Auslegung des § 113 Abs. 1 Satz 1 TKG. Würden diese Anforderungen sofort wirksam, wären in zahlreichen Fällen bis zum Erlass neuer Abrufregelungen des Fachrechts weder Auskünfte zu Telekommunikationsnummern möglich noch könnten dynamische IP-Adressen identifiziert werden.“
  6. heise online: Karlsruhe beschränkt Verwendung von Telekommunikationsdaten (24. Februar 2012)
  7. das JAP Projekt der TU Dresden ermöglicht anonymes Surfen im Internet
  8. China’s Green Dam: The Implications of Government Control Encroaching on the Home PC
  9. „Schwarzsurfen“ in unverschlüsselt betriebenen fremden WLAN-Funknetzwerken ist nicht strafbar – Landgericht Wupptertal, Beschluss vom 19. Oktober 2010, 25 Qs 177/10, kostenlose-urteile.de
  10. EU-Cookie-Richtlinie: Ein Keks sorgt für Aufregung
  11. Weichkeks: Britische Cookie-Eulenspiegeleien
  12. Almost entire EU now violating Brussels cookie privacy law
  13. Panopticlick-Seite der EFF
  14. Is it possible to defend against browser fingerprinting? (englisch) panopticlick.eff.org. Abgerufen am 24. Juli 2011: „Browser fingerprinting is quite a powerful method of tracking users around the Internet. There are some defensive measures that can be taken with existing browsers, but none of them are ideal.“
  15. Bug 572650 “(http-fingerprint) Reduce the amount of data and entropy sent out in HTTP requests” – „(HTTP-Fingerabdruck) Verringere die Menge an Daten und Entropie, welche bei HTTP-Anfragen versendet wird“.
  16. Consider standardizing/normalizing navigator.plugins (browser fingerprinting)
  17. Schneier on Security: Anonymity and the Internet