piwik no script img

taz zahl ich

33C3 – CCC-Kongress in HamburgBig Brother, ganz privat

Beim 33C3 geht es um kommerzielle Überwachung, das Tracking. Dagegen kommt selbst der Einfallsreichtum der Hacker_innen nicht an.

Menschen mit Papptellern vor dem Gesicht
Fußballfans protestieren gegen polizeiliche Gesichtserkennung im Stadion Foto: dpa
Lalon Sander
Von Lalon Sander

Hamburg taz | Was kann man aus 100.000 Spiegel-Online-Artikeln erfahren? Vielleicht, dass Politik, Sport und Panorama den Großteil aller Texte auf der Seite ausmachen? Vielleicht, dass es nachts weniger Artikel gibt als tagsüber? Vielleicht, dass es bei vielen Texten über Frankreicht auch um Islamismus geht? Aber wie wäre es damit: Man kann erfahren, wer mit wem gerne zusammenarbeitet, wer wann in den Urlaub fährt. Man kann sogar darauf schließen, wer vielleicht gemeinsam Urlaub macht.

„Ich habe diese Artikel seit 2014 gevorratsdatenspeichert“, sagt der Informatiker David Kriesel und grinst. Seit 2014 hat er regelmäßig alle Artikel von Spiegel Online abgespeichert. In seinem Vortrag „Spiegelmining“ führt er vor, welche Informationen aus vielen Daten herausgelesen werden können – aus Daten, die wie Zeitungsartikel, einfach aufrufbar im Netz stehen. „Was wir gerade gesehen haben ist Informationsgewinnung über interne Firmeninformationen und höchstpersönliche Lebensbereiche“, fasst Kriesel ernst zusammen.

Wenn schon nur die veröffentlichten Artikel einer Nachrichtenseite so viel verraten, wieviel verraten dann Facebook- und Twitter-Profile? Und was verraten Daten, die nicht einmal absichtlich öffentlich gemacht wurden, sondern heimlich von Websites oder Smartphones protokolliert wurden? Zahlreiche Vorträge beim CCC-Kongress in Hamburg drehen sich ums Tracking, um kommerzielle Überwachung. Wenn ein Großteil des Lebens im Netz stattfindet, kann durch die Auswertung der Aktivitäten im Netz auch auf das echte Leben geschlossen werden.

Die Journalistin Svea Eckert hat dieses Jahr versucht herauszufinden, welche Daten über Internetnutzer_innen gespeichert werden. Gegenüber Trackingfirmen gab sie sich als israelische Consultingfrau aus und bat um kostenlose Testpakete für deren Datenbanken. Das Ergebnis war schockierend: Zwei Wochen hatte sie Zugang zu einer kontinuierlich aktualisierten Datenbank, in der 3 Millionen Deutsche Nutzer_innen durchs Netz verfolgt wurden. Detailliert wird jede einzelne Website aufgeführt: Welches Automodell hat eine Person gesucht, welche Krankheiten gegoogelt, welche Seiten auf der elektronischen Steuererklärung abgerufen.

Politikerdaten leicht abrufbar

In vielen Fällen konnte aus diesen Seiten bereits die echte Identität abgerufen werden. Dort gab ein Polizist seine E-Mail-Adresse bei Google-Translate ein, mehrere Seiten wie Xing oder Twitter lassen in den URLs Rückschlüsse auf die Identität einer Person zu (Xing hat das Problem behoben, Twitter nicht). Für alle anderen, jedoch, ist die Entanonymisierung nicht schwierig. Welche Links hat eine Person innerhalb eines Zeitraums öffentlich auf Twitter gepostet? Ein Abgleich mit der Datenbank zeigt das richtige Profil auf und für die zweifelsfreie Identifizierung können schon fünf Websites ausreichen. Und wer kein Twitterprofil hat? Wer weiß, welche Bank jemand benutzt, welche Mailadresse, welche Nachrichtenseite hat schnell die nötige Zahl an Websites zusammen.

In der Datenbank fanden Eckert und Dewes beispielsweise auch die Daten mehrere Politiker_innen. Valerie Wilms zum Beispiel, eine Grünen Politikerin, die in einem kurzen Video im Vortrag vorkommt und „Scheiße!“ ruft. Sie hatte ein Medikament für Hörsturz gesucht und ihre Steuererklärung online abgegeben: Man sieht zwar nicht was genau, wohl aber welche Steuervordrucke sie abgerufen hat, kann also schließen, welche Steuern sie angeben würde.

Eckert hat die Daten einer Firma erhalten, im Netz gibt es aber Tausende solcher Unternehmen. In mehreren Vorträgen wird die dicht bedruckte Grafik eines Marketing-Bloggers angezeigt, auf der rund 3.500 Logos von Tracking-Firmen zu sehen sind. Und wie sammeln sie? Viel passiert direkt im Netz, mit Cookies auf Websites oder mit Browser-Zusatzprogrammen oder kostenlosen mobilen Apps, die Nutzer_innen sich direkt herunterladen. Anderswo verkaufen Telekommunikations-Unternehmen ihre Datenbanken – oder machen selbst einfach Firmen auf, die Nutzer_innenprofile herstellen und verkaufen.

Gesichtserkennung zum Abgewöhnen

Die Daten werden wiederum verwendet um komplexe Rückschlüsse über Nutzer_innen abzuleiten. Wolfie Christl, ein österreichischer Aktivist, stellt in seinem Vortrag, die vielen Möglichkeiten vor. Manche Firmen erstellen Persönlichkeitsprofile, andere leiten aus dem sozialen Netz einer Person ihre Kreditwürdigkeit ab, andere wiederum berechnen wie profitabel es sein werde, einer Person einen bestimmte medizinische Behandlung vorzuschlagen.

Wieviel Information aus wie wenig abgeleitet werden kann, beschreibt Adam Harvey in seinem Vortrag über Videoüberwachung eindrücklich: Bereits in einem 6x7-Pixel-Bild sei für einen Computer ein Gesicht eindeutig erkennbar. Auf einem 16x12-Pixel-Bild könnten Computer bereits Aktivitäten identifizieren. Je höher aufgelöst, desto besser das Ergebnis. Und wie hochaufgelöst sind Bilder heutzutage? Und wieviele Informationen hinterlassen Internetnutzer_innen?

Für die Hackerszene, sonst einfallsreich im Vorgehen gegen Überwachung, sind viele von den Vorträgen ernüchternd. Was könne man dagegen tun, dass diese Daten gesammelt und die Rückschlüsse gezogen werden? Wenig, sagt Andreas Dewes. Wenn jemand bereits über 5 Websites identifizierbar sei, könne man sich kaum verstecken: „Manchen Werbetreibenden reicht es vielleicht, wenn ein Nutzer mit einer Wahrscheinlichkeit von 10 Prozent identifiziert wurde.“ Wer das Tracking per Cookies und Zusatzprogramme abschalte, sei immer noch über IP-Adresse und Gerät erkennbar, die viel schwerer zu ändern seien.

Adam Harvey dagegen arbeitet an Kleidungsstücken, die Computer verwirren. Wer sein Gesicht mit Schminke oder Frisur ausreichend verfremde, könne die Gesichtserkennungssoftware abschütteln. Er hat eine „Anti-Drohnen-Burka“ entwickelt, ein Umhang der die Tragenden für Infrarot-Kameras unsichtbar macht – also auch für die Wärmesuchraketen von Militärdrohnen und arbeitet jetzt an Tüchern, die mit schematischen Gesichtern übersät sind und ein entsprechendes Programm tausende Male anschlagen lassen. Muss man sich wirklich so schützen? Harvey zeigt ein Bild von vor 100 Jahren in New York: „Damals haben fast alle noch Hüte getragen, heute nicht mehr. In 100 Jahren wird sich unser Aussehen ähnlich verändern. Vielleicht werden wir uns so anziehen, um unsere Privatsphäre zu maximieren.“

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #CCC-Kongress #Überwachung #Chaos Computer Club #Tracking
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Patrick Breyer sitzt im Gerichtssaal den Richtern gegenüber

Kein Urteil zu IP-Adressen-Speicherung

Meine IP gehört mir

Website-Betreiber speichern die IP-Adressen von Nutzern. Ob das deren Grundrechte verletzt, will der Bundesgerichtshof nicht entscheiden.
Von Christian Rath
Drei Paare küssen sich vor einem Supermarktregal.

Neues Smartphone-Gadget

Nicht mit Zunge

Ein neues Zubehör für Handys soll Paaren in einer Fernbeziehung das intime Leben erleichtern und digitales Küssen ermöglichen.
Von Nora Belghaus
Jacob Appelbaum auf einer Demo 2014

CCC-Kongress in Hamburg

Ach, reden wir nicht drüber

Auf dem Kongress treffen sich Hackerstars. Nicht dabei: Jacob Appelbaum. Seit den Missbrauchsvorwürfen gegen ihn herrscht Schweigen.
Von Meike Laaff

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
Jetzt bestellen

3 Kommentare

 / 
  • 8G
    85198 (Profil gelöscht)

    Brauchen wir etwa doch Social Bots, damit sie für uns ein Hintergrundrauschen erzeugen, indem sie willkürlich im Internet surfen, Fake-Bilder posten, Kommentare verfassen, Emails und SMS schreiben, Leute anrufen und Gespräche für uns führen?

    Anonymisierungsnetzwerke sind ja auch nicht so toll, außer man hat kein Problem damit, dass als Kollateralschaden manche sich auf diesem Wege auch einen Auftragskiller anheuern oder eine Sexsklavin kaufen etc.

  • 3G
    33523 (Profil gelöscht)

    Ja das ist schon alles ziemlich gruselig. Grade was private Firmen so alles machen können. Diese Firmen können im Gegensatz zum Staat nur äußerst schwer kontrolliert werden und wenn es keine deutschen Firmen sind dann müssen sie sich noch nicht mal an deutsches Recht halten. Das ist eines der größten Probleme im Internet. Nicht nur für den Staat, sondern auch für den Bürger. Grade der "Jugendschutz" birgt da enormes Potential zur Rechtsunsicherheit. Was in den USA erlaubt ist muss hier noch lange nicht erlaubt sein. Aber wer macht sich vor dem Besuch ausländischer Webseiten ernsthaft Gedanken um sowas? Niemand!

     

    Die Hacker-Szene mag ich ansich sehr gerne. Es wäre übertrieben zu behaupten ich sei ein Mitglied dieser Szene, bin vielmehr am Rande mal in Kontakt mit diesen Menschen, habe aber beruflich mit IT-Sicherheit zu tun. Das haben durchaus auch viele Hacker. Und da muss ich leider sagen das es eine gewisse Doppelzüngigkeit gibt.

    Wenn man in ein Unternehmen geht und dieses IT-Sicherheitstechnisch aufrüsten soll dann wird i.d.R. erstmal ein mehr oder minder fixes Prozedere durchlaufen um zu Prüfen welche Mechanismen da sind und welche fehlen. Ein recht praktischer und technischer Leitfaden sind die Critical Security Controls, kurz CIS. Das ist eine Liste von 20 Kontrollmechanismen die man in Firmen implementieren soll, um eine solide Grundlage zu schaffen.

    Wenn man diese Liste einem deutschen Datenschutzbeauftragten oder dem Betriebsrat in die Hand drückt bekommt der Kreislaufprobleme und Schnappatmung.

     

    Nun kann man natürlich sagen: Okay aber dein Arbeitgeber kann dich nicht in den Knast stecken und das ist auch korrekt. Aber es ist doch oftmals etwas sehr verwunderlich, wie Menschen die beruflich durch Überwachung Sicherheit schaffen diese von Seiten des Staats gänzlich ablehnen. Was in Unternehmen überwacht wird geht weit über das hinaus was von der Voratsdatenspeicherung betroffen ist.

  • C

    Also nennen wir in Zukunft den Alu-hut „Anti-Drohnen-Burka“ und geben zu dass wir in brauchen.

    Die Zeiten in denen wir leben sind schon etwas heruntergekommen und absurd möchte ich meinen.

meistkommentiert

1

Krieg in der Ukraine

Kein Frieden mit Putin

2

Umgang mit der AfD

Sollen wir AfD-Stimmen im Blatt wiedergeben?

3

Utøya-Attentäter vor Gericht

Breivik beantragt Entlassung

4

Böllerverbot für Mensch und Tier

Verbände gegen KrachZischBumm

5

Warnung vor „bestimmten Quartieren“

Eine alarmistische Debatte in Berlin

6

Entlassene grüne Ministerin Nonnemacher

„Die Eskalation zeichnete sich ab“