Willkommen! Kalender Umfrage Forum Hotel Postkarten Psychotest Radio Lyrik Galerie Texte Games Psychokram Tageszeitung Friends Jens Jukebox Suche Info Linx Quiz Reportagen Spass! The dark Site
Jens Datenschutz
 ...Big Brother is watching you...
aktuell
interaktiv
kreativ
divers
privat
technisch

Datenschutz und Anonymität im Internet
Das Internet sieht auf den ersten Blick ziemlich anonym aus. Das ist auch gut so, wer möchte schon eine totale Überwachung? Auf der anderen Seite birgt die Anonymität auch Risiken, so können sich beispielsweise rechtsextreme Gruppen relativ gefahrlos über das Internet organisieren. Aber ganz so anonym, wie man meinen könnte, ist das Netz gar nicht. Leider hört man auch viel Unsinn über dieses Thema, manchmal wird von einem totalen Überwachungsapparat geredet, manchmal von grenzenloser Anonymität. Ich finde, es ist wichtig, bescheid zu wissen, wenn man mit einer Sache konfrontiert ist, daher habe ich hier einige Fakten aufgelistet, teilweise mit meiner Wertung versehen. Wichtig finde ich es aber auch, sich anhand der Fakten selbst ein Bild zu machen.

Die IP-Adresse
Jeder Surfer (oder vielmehr sein Rechner) bekommt, wenn er eine Verbindung ins Internet aufbaut, eine sogenannte IP-Adresse zugewiesen, eine Nummer, die aus vier Zahlen jeweils zwischen 0 und 255 besteht, also beispielsweise 123.23.23.0 (es gibt mehr als 4 Milliarden verschiedene solcher Nummern). Die IP-Adresse ändert sich im Regelfall jedesmal, wenn man eine neue Verbindung ins Internet aufbaut, sodaß nicht verfolgt werden kann, was ein bestimmter Surfer auf einer Seite zuvor alles schon "getan" hat, wenn seine IP aus irgendeinem Grund einmal bekannt werden sollte.

Was verrät die IP über den Surfer?
Anhand der IP kann man relativ einfach herausfinden, welchen Provider ein Surfer nutzt und von welchem Land aus er surft. Dazu braucht man entweder eine Liste von IPs (wobei die ersten paar Ziffern genügen, alle deutschen T-Online-Surfer erhalten nämlich z.B. eine Adresse, die mit 62.165 oder ähnlichem beginnt), oder man wertet die IP zu einer URL aus (z.B. mittels DOS-Befehl "PING").

Wozu die IP?
Die IP braucht jeder ans Internet verbundene Rechner, damit die angefragten Internetseiten bei ihm ankommen (so wie ein Mensch eine Adresse benötigt, um Post zu erhalten). Die IP fälschen zu wollen, macht genauso wenig Sinn, wie bei einem Versandhaus bei der Bestellung die falsche Adresse anzugeben. Der Server auf der anderen Seite hat übrigens auch eine (in aller Regel feste) IP. Rechner im WWW werden ausschließlich über ihre IP gefunden, nicht über ihre URL. Wenn man also beispielsweise www.pegtop.de in einen Browser eingibt, dann fragt dieser zuerst einen DNS (Domain Name Server), der ebenfalls eine feste IP besitzt, welche IP zur eingegebenen URL gehört.

Gezielte Werbung
Vielleicht hast Du Dich schon einmal gewundert, daß auf internationalen Suchmaschinen oder anderen großen Seiten, deutsche Werbung angezeigt wird, obwohl die Seite englischsprachig ist. Das ist kein Zufall. Internetwerbeagenturen machen sich die IP des Surfers zunutze (oder seine Browserkennung - siehe unten) und schalten gezielt Werbung in seiner Muttersprache.

Proxy-Server
Wenn man nicht direkt im Internet surft, sondern über einen Proxy-Server, so wird die eigene IP-Adresse durch den Server verändert. Man könnte sagen, der Proxy-Server surft nun im Internet, und man selbst auf dem Proxy-Server. Dies hat den Vorteil, daß schon auf dem Proxy-Server vorhandene Daten unter Umständen schneller ankommen, den Nachteil, daß bestimmte Seiten mit sehr aktuellem Inhalt (beispielsweise Chats) langsamer werden, weil sich all Informationen durch den Proxy-Server zwängen müssen (erfahrungsgemäß kommt es auch vor, daß bestimmte Seiten gar nicht mehr funktionieren). Und es hat den Vor- und Nachteil (je nachdem wie man es sieht), daß der angesurfte Zielserver nicht die wirkliche eigene IP-Adresse erfährt (wobei es keinen so großen Unterschied macht, wenn man keine feste IP-Adresse besitzt, ob sie nun einmal durch den Provider geändert wird oder zweimal durch Provider und Proxy-Server, der oftmals auch vom eigenen Provider betrieben wird).

Cookies
Ein Cookie ist eine kleine Ansammlung von Daten, die eine Internetseite auf Deinem PC abspeichern kann, und worauf diese Seite wieder zugreifen kann, wenn Du sie erneut ansurfst. Cookies können praktisch sein, es gibt z.B. Gästebücher, die beim zweiten Besuch anhand des zuvor gespeicherten Cookies Eingabefelder wie "Name" automatisch ausfüllen. Zurecht sind Cookies aber nicht ganz unumstritten. Mithilfe von Cookies kann z.B. eine langfristige Statistik über das Verhalten (angesurfte Seiten, evtl. Eingaben) jedes einzelnen Besuchers einer Webseite erstellt werden. Vor allem gibt es die Möglichkeit, was ohne Cookies nicht ohne weiteres funktioniert, einen Surfer "wiederzuerkennen". Sollte dann irgendwann noch der Name des Surfers bekannt werden, ist es möglich, diese gesammelten Daten an den Betreiber der Seite zu übermitteln, sodaß dieser nicht nur allgemeine Statistiken sammeln, sondern auch eine echte Besucherkartei anlegen kann.

Wie kann man sich gegen Cookies wehren?
Unter den Sicherheitseinstellungen Deines Browsers kannst Du Dir anzeigen lassen, ob eine Seite Cookies verwendet (Warnmeldung / Eingabeaufforderung) und diese dann im Einzelfall zulassen oder nicht (standardmäßig sind Cookies leider ohne Warnmeldung aktiviert). Du kannst Cookies auch ganz deaktivieren, wer möglichst anonym bleiben möchte, sollte dies tun. Es gibt allerdings einige Seiten, die sich weigern, ohne Cookies zu funktionieren, ich persönlich versuche, solche Seiten zu umgehen, falls es unbedingt sein muß, kann man die Cookies ja kurzfristig wieder aktivieren.

Noch gezieltere Werbung
Wenn Du z.B. in Suchmaschinen bestimmte Begriffe eingibst, wird meist gleich eine Werbung eingeblendet, die zum jeweiligen Thema paßt. Wenn der Begriff noch als Cookie gespeichert wird, kann das nächste Mal, wenn Du die Seite ansurfst, gleich wieder eine Werbung zu Deinem mutmaßlichen Interessensgebiet angezeigt werden.

Logfiles
Auf jedem Server werden eine ganze Reihe an Informationen über den Surfer in einem Logfile gesammelt. Dies dient vor allem statistischen Zwecken, kann aber unter Umständen auch mißbraucht werden. Allgemein gilt: Je mehr Aufrufe eine Internetseite hat, desto anonymer ist der einzelne Surfer (wobei ausgefeilte Mechanismen diese Anonymität wieder kompensieren können). Im anderen Extrem könnte man genau nachvollziehen, was jemand sich genau auf der Seite angeschaut hat (evtl. auch seine Eingaben), wenn er der einzige Besucher an einem Tag ist (trotzdem bleibt er natürlich in gewisser Weise anonym, es sei denn, er trägt sich z.B. mit seinem Namen in ein Gästebuch ein.

Welche Informationen werden in den Logfiles gesammelt?
Grob gesagt, "alle die man kriegen kann", die also beim HTTP (Hypertext Transfer Protocol) vom Browser mitgeschickt werden. Ein Beispiel aus dem Logfile meines Servers:

 62.104.220.70  Die IP-Adresse muß vom Browser an den Server geschickt werden, damit dieser weiß, wohin die angeforderte Seite oder Grafik etc. denn geschickt werden soll.

 -  Ein "normaler" User identifiziert sich mit einem Bindestrich, beim normalen Surfen im WWW wird man in aller Regel diese Bindestriche auf den Servern hinterlassen. Es gibt paßwortgeschützte Bereiche auf manchen Servern, wenn ein solcher (nach Eingabe von Benutzername und Passwort) betreten wird, protokolliert der Server den Benutzernamen.

 [31/Jul/2000:23:48:55 +0200]  Datum und Uhrzeit der Anfrage werden exakt festgehalten, unter Umständen kann hieraus auch ermittelt werden, wie lange sich jemand eine Seite angesehen hat (durch Vergleich mit der Uhrzeit der nächsten Anfrage an den Server mit gleicher IP). "+0200"steht für die Zeitzone, auf die der Server eingestellt ist, hier sind es also 2 Stunden Unterschied zur Weltzeit UTC, mein Server ist demnach auf MESZ (Mitteleuropäische Sommerzeit) gestellt.

 "GET /jens/images/comic03.gif HTTP/1.0"  Aha, hier wollte jemand die niedliche Comicgrafik, die auf meiner Willkommensseite zu sehen ist, haben. Neben GET gibt es z.B. noch POST, wenn Daten an ein Serverscript (Gästebuch etc.) geschickt werden sollen.

 200  Der Statuscode 200 steht für eine fehlerfreie Anfrage. Wichtige andere Codes sind 404 (nicht gefunden), 403 (Zugriff verweigert) und 304 (auch fehlerfrei, aber mit Zusatzinformation, daß sich die angeforderte Datei nicht verändert hat seit dem letzten Aufruf, der Browser hat sie noch im Cache. Woher weiß der Server das? Der Browser hat bei der Anfrage einen Prüfcode gesendet, den der Server auswertet. In so einem Fall muß die Datei nicht erneut übertragen werden, die Seite baut sich schneller auf)

 2406  Die Anzahl der übermittelten Bytes, Statistikprogramme können so leicht das gesamte Transfervolumen berechnen

 "http://www.pegtop.de/jens/welcome.htm"  Der Surfer kommt von meiner Willkommensseite, das ist nicht weiter verwunderlich, es sei denn, ich (oder jemand anders, was weniger nett wäre) hätte die Grafik z.B. in ein fremdes Gästebuch eingesetzt, von wo aus sie angezeigt wird. Theoretisch kann man beliebige Dateien sperren, wenn sie nicht von einer bestimmten Seite aus angefordert werden. Beim Versenden von Postkarten wird übrigens tatsächlich geprüft, ob der Absender direkt von meinem Postkartenservice kommt, das dient dazu, daß niemand meinen Mailserver zum Versenden von SPAM benutzt. Meistens ist aber auch diese Information nur für die Statistik wichtig, es ist ja schließlich interessant, welche Webseiten Links zu mir gesetzt haben.

 "Mozilla/4.6 [de] (Win98; I)"  Bei der Anfrage wurde die deutsche Version von Netscape 4.6 benutzt, zusammen mit Windows 98. Außer zu statistischen Zwecken (aha, Microsoft hat 60% Marktanteile) kann dies nützlich sein, um verschiedenen Browsern verschiedene Seiten zu schicken.

So viel?
Man kann sich jetzt natürlich streiten, ob das viel oder wenig ist, was da gespeichert wird. Prinzipiell ist es wohl nicht besonders schlimm, daß sich der Browser immer genau zu erkennen gibt. Schlimm wird es erst dann, wenn die IP einem Namen zugeordnet werden kann, vor allem eben deshalb, weil dadurch festgestellt werden kann, was ein Surfer alles angesehen hat, und zwar nicht ein anonymer, sondern eine wirkliche Person.

Werbung via Email
Auch Email-Adressen werden fleißig gesammelt, kein Wunder, Adressen generell haben einen hohen (materiellen!) Wert bekommen, in unserer Gesellschaft, die immer mehr auf Diestleistungen ausgerichtet ist. Zwielichtige Firmen verkaufen Mail-Adressen, andere schicken Millionen von Werbemails, SPAM genannt, an potentielle Kunden, die oft angesichts dieser Email-Flut zurecht genervt sind.

Wie sicher ist meine EMail-Adresse?
Glücklicherweise kann die eigene Email-Adresse nicht ohne weiteres ermittelt werden, wenn man sich eine Internetseite einfach nur anschaut. Es gibt zwar Seiten, die einen vom Gegenteil überzeugen wollen, indem sie frech die eigene Email-Adresse anzeigen, aber das wird durch einen Trick erreicht: Der Browser wird per JavaScript aufgefordert, die Email anzuzeigen, das heißt jedoch nicht, daß sie dadurch automatisch auch übers Netz übertragen wird, normalerweise bleibt sie schön brav auf dem eigenen Monitor (so ählich wie bei dem Link file:///c:/). Allerdings habe ich auch hier von Sicherheitslücken gehört, die ich momentan weder bestätigen noch dementieren kann.

Weitergabe der EMail-Adresse
Manchmal ist es aber notwendig, die eigene Mail-Adresse bekanntzugeben, wenn man beispielsweise einen Newsletter bestellen möchte. Niemand kann garantieren, daß die eingegebene Adresse nicht an Dritte weitergegeben wird, im Zweifelsfall würde ich meine Mail-Adresse nur an vertrauenswürdige Organisationen geben (der heise-Verlag z.B. unterstützt eine Kampagne gegen SPAM, außerdem hat er als Verleger Europa's größter Computerzeitschrift einen Ruf zu verlieren, hier ist anzunehmen, daß die Mail-Adresse dort in sicheren Händen ist).

Falsche Mail-Adresse?
Manchmal, z.B. beim Downloaden von Software, muß man eine Email-Adresse eingeben, für etwas, das eigentlich auch ohne Email funktionieren müßte. Selbstverständlich ist es nicht in jedem Fall sinnvoll, seine richtige Mail-Adresse anzugeben. Aber die Angabe von falschen Adressen kann unschuldige Dritte treffen, die zufällig diese Adresse besitzen (auch hans@mustermann.de kann es geben, der arme Kerl!). Besser ist hier die Angabe einer eigenen existierenden Mail-Adresse, die man aber nur für solche Zwecke eingerichtet hat, und die man nie abzurufen braucht.

Eigene Domain
Spätestens, wenn man sich eine eigene Top-Level-Domain (also sowas wie www.meinname.de) zugelegt hat, ist es mit der Anonymität im Internet endgültig aus. Die deutsche Vergabestelle für Internetadressen DENIC (DEutsches Network Information Center) unterhält eine öffentliche Datenbank mit den Anschriften der Domaininhaber (allerdings kann man meines Wissens keine komplette Liste anfordern, sondern nur gezielt Informationen zu einer bestimmten Domain ausgeben lassen). Unter www.denic.de oder www.nic.de kann man nicht nur prüfen, welche Domainnamen noch frei sind (besser als bei den zahlreichen Testboxen diverser Webhoster, man weiß nie, wer am anderen Ende mitliest, und den Namen vielleicht wegschnappt), dort kann man auch Details zum Eigentümer existierender Domains herausfinden. Sobald Du also Deine URL z.B. in ein Gästebuch eingibst, sind automatisch auch Dein Name und Deine Anschrift bekannt, vorausgesetzt, es handelt sich um Deine eigene Domain.

Auf der sicheren Seite
Manche "sicheren Seiten" verwenden das HTTPS Protokoll (erkennbar an https:// anstelle von http://, außerdem wird man in der Regel vom Browser darauf aufmerksam gemacht), sie senden und empfangen Informationen verschlüsselt. Ich möchte an dieser Stelle nur kurz darauf hinweisen, daß auf diese Weise vertrauliche Informationen kaum von Dritten gelesen werden können, die beispielsweise an Knotenpunkten im Internet sitzen (was sowieso nicht so sein sollte), daß diese Daten aber immer noch, wenn es dumm läuft, ungeschützt auf dem empfangenden Server liegen können, oder der vermeidlich vertrauenserweckende Empfänger diese auch weitergeben kann (was wir mal nicht hoffen wollen). Es gibt nur eine Handvoll Firmen, zu den bekanntesten zählt VeriSign, die von den Browserherstellern Sicherheitszertifikate (die eine bestimmte Zeit lang gültig sind) in großer Zahl kaufen, um diese an kleinere Organisationen weiterzuverscherbeln. Von verschiedenen Seiten wird dies heftig kritisiert, der Chaos Computer Club hat beispielsweise eine Aktion in Leben gerufen, die jedermann ein verschlüsseltes Protokoll zusichern soll.

Mein Server
Wenn Du näheres zum Datenschutz bei mir wissen willst, kannst Du bei den FAQs nachlesen, ich wurde nämlich schon häufiger gefragt, ob ich denn wissen kann, wer was bei den Umfragen angekreuzt hat. Nein, ich weiß es nicht. Aber diese Frage hat mich unter anderm dazu bewogen, diesen Text zu schreiben. Ich finde, jeder Surfer sollte wenigstens ansatzweise wissen, wie die Dinge sich verhalten.

Noch Fragen?
Wenn Du weitere Fragen zu sicherheitsrelevanten Themen im Internet hast, oder auch einfach nur Begriffe erklärt bekommen möchtest, alles weiß ich nicht, aber Du kannst es ja mal mit einer Mail an mich versuchen... jens@pegtop.de
zurück


Vielwisserei lehrt nicht,
Vernunft zu haben.
(Heraklit)
nach oben