Anne Roth arbeitet als Researcher für Tactical Technology Collective und beschäftigt sich unter anderem mit Netzpolitik und Informationssicherheit. In diesem Interview sie spricht über die größten Gefahren für Nutzer im Internet, die Lage der Datensicherheit in Deutschland und weltweit und über das Ausspähen durch Geheimdienste und Unternehmen. Den zweiten Teil mit konkreten Tipps zu mehr Datensicherheit lesen Sie hier.
Was sind die größten Sicherheitslücken im Internet?
Das lässt sich schlecht allgemein beantworten. Die Risiken sind für Angehörige von Firmen oder Behörden andere als für Menschen, die das Internet eher ‘für den Hausgebrauch’ verwenden. Ein großes Problem sind Zugangsdaten, die unverschlüsselt übertragen werden – sowohl für E-Mail als auch für alle Arten von Online-Plattformen. Wenn die Übertragung der Daten nicht mit SSL verschlüsselt wird (erkennbar daran, dass am Anfang der Internet-Adresse https:// anstatt http:// steht), können sie z.B. in einem offenen WLAN sehr einfach mitgelesen werden.
Insbesondere Windows-Nutzer sehen sich mit einer Schwemme von Viren und Malware (Schadsoftware) konfrontiert, die aufgrund der weiten Verbreitung dieses Betriebssystems besonders auf sie fokussiert ist. Diese nutzen oft bekannte Sicherheitsschwächen in Windows oder installierter Standardsoftware und Browser-Plugins aus, um auf dem Computer tätig werden zu können. Es ist deshalb wichtig, die aktuellste Software einzusetzen und unbedingt zu updaten. Möglich ist das natürlich nur, wenn die Hersteller solche Updates zeitnah nach Bekanntwerden von Sicherheitslücken zur Verfügung stellen. In vielen Fällen ist dies leider nicht der Fall. Anwender können sich aber durch Beschränkung auf nur die notwendige Software (Sparsamkeit bei Browser-Plugins und -Add-Ons) sowie durch Installation einer Personal Firewall und eines Virenscanners schützen.
Wer und wie kann die Nutzer ausspähen?
Ein Interesse, Informationen über Internet-Nutzer und -Nutzerinnen zu sammeln, haben vor allem einerseits Behörden und andererseits Unternehmen. Dabei unterscheiden sich natürlich sowohl Motive als auch Methodik. Geheimdienste sammeln Informationen zu Internetnutzern und -nutzung, und wie sich jetzt zeigt offenbar nicht nur zur Abwehr von terroristischen Anschlägen, sondern auch mit dem Ansatz des Tauschhandels mit den Geheimdiensten anderer Staaten, die nicht unbedingt immer in der Lage sind, den gesamten weltweiten Internetverkehr selbst zu überwachen. Der Ansatz der Geheimdienste ist offenbar “Full Take”: man nimmt so viel wie man eben kriegen kann. Wie die Veröffentlichungen von Edward Snowden und anderen Whistleblowern zeigen, greifen Geheimdienste dabei auf für sie eingerichtete Schnittstellen bei oft weltweit tätigen Unternehmen und darüber hinaus auf Interkontinental-Internetleitungen sebst zu.
Unternehmen sammeln Daten über Benutzer primär zu Profilbildung und zum Handeln mit solchen Daten. Ein Profil ist dabei umso wertvoller, je mehr Informationen bekannt sind und je aktueller sie sind. Profile werden z.B. von der Werbeindustrie zur individuelleren Ansprache, durchaus aber auch von der Finanz- und Versicherungsbranche verwendet, um Vorhersagen zu treffen und besser einschätzen zu können, wie teuer sie ihre Leistungen an den Endkunden verkaufen sollten. Übrigens verkaufen auch die Meldebehörden Daten – das ist vielen gar nicht bekannt.
Ein Problem solcher Datenpools ist, dass die Begehrlichkeiten wachsen, sobald sie existieren: oft wird der vorher festgelegte Verwendungszweck später erweitert, ohne dass das denen, deren Daten enthalten sind, überhaupt bekannt wird. Deswegen empfiehlt es sich, eher zurückhaltend mit Aufforderungen umzugehen, die eigene Adresse, das Geburtsdatum oder gar Daten der eigenen Kinder weiterzugeben, etwa bei Preisausschreiben.
In Deutschland wird weiterhin diskutiert, ob es eine Vorratsdatenspeicherung von Verbindungsdaten geben sollte: das ist dasselbe wie die Sammlung von Metadaten, die im Kontext von Prism gerade heftig diskutiert wird. Aus diesen Daten lassen sich detaillierte Bewegungsprofile erstellen sowie auch Netzwerke abbilden: wer kennt wen, wer telefoniert viel wann und mit wem – und mit wem nicht. Das ursprüngliche Ziel war auch hier Terrorismusbekämpfung, aber auch hier gibt es großes Interesse, die Zugriffsmöglichkeiten deutlich zu erweitern.
Woher weiß ich überhaupt, ob ich überwacht werde – von Konzernen, Cyberkriminellen oder auch Geheimdiensten?
Ob ich von Behörden überwacht werde, ist in der Regel nicht erkennbar. In Deutschland gibt es die Möglichkeit, bei den verschiedenen Diensten wie Verfassungsschutz, BND etc. Anfragen zu stellen – ob die dann wahrheitsgemäß beantwortet werden, lässt sich schlecht sagen. Polizeien müssen theoretisch alle überwachten Personen im Nachhinein von der Überwachung informieren. Das passiert aber nicht immer. Ausländische Geheimdienste wie der NSA geben darüber an nicht-US-Bürger keine Auskunft.
Dass viele Konzerne, die im Internet Geld verdienen, Interesse an unseren Daten haben, habe ich bereits beschrieben. Die Firmen selbst würden das wahrscheinlich nicht als Überwachung beschreiben. Als Grundregel lässt sich sagen: wenn ich einen Service nicht bezahle, dann zahle ich auf andere Weise, nämlich mit meinen Daten. Dann bin ich nicht Kundin, sondern Produkt.
Bei allen Angeboten im Netz, die mich nichts kosten, sollte ich also lieber zweimal darüber nachdenken, wie wichtig sie mir tatsächlich sind, denn wirklich kostenlos sind sie nicht. Die Website https://selbstauskunft.net hilft dabei, das im Bundesdatenschutzgesetz verbriefte Recht auf Selbstauskunft umzusetzen und bei Firmen anzufragen, welche Daten sie über uns gespeichert haben.
Herauszufinden, ob es darüber hinaus tatsächlich zielgerichtete Überwachungsmaßnahmen gegen mich, meine Firma oder meine Familie gibt, erfordert sowohl erhebliches technisches Verständnis als auch die Kenntnis der Vorgehensweisen der “Angreifer”.
Die Firewall kann bspw. verraten, falls Überwachungsmalware auf dem Computer installiert ist und nicht erwünschte Internetverbindungen, aber auch das ist für die meisten Userinnen und User schwer erkennbar.
Unternehmen wie Google, Apple und Amazon leben davon, dass Nutzerdaten gesammelt, ausgewertet und miteinander verknüpft werden. Was soll ich tun, wenn ich nicht mehr will, dass meine Daten von den Großkonzernen gesammelt und genutzt werden?
Die einfache wie unbequeme Antwort ist: wenn ich nicht möchte, dass meine Daten gesammelt werden, sollte ich die entsprechenden Angebote nicht nutzen. Wenn ich nicht vollständig darauf verzichten will, lohnt es sich auf jeden Fall, sich die Zeit zu nehmen, die Datenschutzeinstellungen zu nutzen: oft lässt sich damit die Nutzung der Daten zumindest etwas einschränken. Allerdings hilft das etwa bei Facebook nur dagegen, dass Dritte meine Daten einsehen. Facebook selber hat immer uneingeschränkten Zugriff.
Die freiwillige Aufgabe der Privatsphäre (Amazon, Facebook etc.) funktioniert immer anreizgetrieben – wir geben etwas von uns preis und bekommen im Gegenzug einen kleinen Zusatznutzen: passende Werbung, passendere Suchergebnisse, passende Nachrichten. Das ist nur möglich, weil wir erlaubt haben, dass unsere Interessen gespeichert werden.
Die Aussicht, auf den gewohnten Komfort zu verzichten, wird vielleicht einfacher wenn wir uns klarmachen, dass es nicht nur ein Entweder/Oder gibt. Ich kann viele kleine Schritte gehen, um mich der Datensammelei zu entziehen: verschiedene Mailadressen für verschiedene Zwecke verwenden, verschieden Pseudonyme für verschieden Services verwenden, ich kann unterschiedliche Browser benutzen und über Add-Ons individuell einstellen, von welchen Unternehmen ich Werbung akzeptiere und von welchen nicht. Dafür gibt es inzwischen leicht verständliche Kontext-Menüs – die von uns dafür empfohlenen Add-Ons finden sich im Shadow Tracers Kit. Der erste Reiter ‘Explore My Traces’ hilft dabei zu verstehen, was andere über uns wissen (können), der zweite, ‘Resize My Shadow’ hält Add-Ons und Programme bereit, die verhindern, dass wir mehr Daten weitergeben als uns lieb ist.
MediaKar 
Posted on July 20, 2013
0