Wie anonym sind Internet-Nutzer wirklich?

Seite 1 von 1
neuester Beitrag: 16.09.02 00:02
eröffnet am: 16.09.02 00:00 von: Happy End Anzahl Beiträge: 2
neuester Beitrag: 16.09.02 00:02 von: Mützenmach. Leser gesamt: 338
davon Heute: 1
bewertet mit 0 Sternen

16.09.02 00:00

95441 Postings, 7402 Tage Happy EndWie anonym sind Internet-Nutzer wirklich?

Das Netz der Netze eignet sich für alle Geschäfte - auch für illegale. Viele Tauschbörsianer etwa begehen regelmäßig Urheberrechtsverstöße. Sie halten ihre Aktivitäten für Kavaliersdelikte und sind sich sicher, dass sie in der Masse von Internet-Nutzern unentdeckt bleiben. Dabei lassen sich ihre Bewegungen oft präzise nachvollziehen.

?Durch einen oder mehrere Hinweise ist die T-Online International AG darauf aufmerksam geworden, dass Sie möglicherweise gegen das Urheberrecht verstoßen haben könnten.? Mit solchen E-Mails schockte T-Online jüngst P2P-Tauschbörsianer, die stets darauf spekulieren, dass ihre illegalen Angebote in der Masse von Datensaugern nicht auffallen. Denkste: Urheberrechtsschützer durchforsten längst automatisiert Kazaa, eDonkey und Co. Finden sie Urheberrechtsverstöße, geben sie die Anbieter-IP-Adresse sowie den genauen Zeitpunkt an den Zugangs-Provider weiter, der die Adresse vergibt. Einige Provider wie T-Online ermitteln die zur IP-Adresse gehörigen User und verpassen ihnen per E-Mail einen Schuss vor den Bug.

Der Fall zeigt: Parallel zur Zunahme der Nutzer-Anzahl werden auch die technischen Möglichkeiten der individuellen Beobachtung im Internet immer weiterentwickelt. Doch die Mehrzahl der Nutzer handelt nach dem Grundsatz: ?Hier falle ich doch sowieso nicht auf.? Dabei hinterlassen sie meist unwissentlich Spuren, welche sogar ein recht genaues Bild der Person und ihrer Vorlieben abgeben, sobald jemand die Idee und die Möglichkeit hat, die Datenfragmente zusammenzufügen.

Ohren auf

Beobachter gibt es viele. Der eigene Zugangs-Provider weiß, wann man mit welcher IP-Adresse online ist. Mit der pro Sitzung zugewiesenen Nummer weisen sich sämtliche Programme auf dem heimischen Rechner im weltweiten Netz aus, um Daten aus dem Internet beziehen zu können. Pro Online-Sitzung verteilt der Surfer auf diese Weise seine Visitenkarte vielfach an Website-Betreiber, aber ebenso auch an E-Mail-Empfänger, Chat-Partner oder Newsgroup-Leser. Mittels Cookies und JavaScript ist es gar möglich, auch bei wechselnden IP-Adressen Nutzer wiederzuerkennen und ein wertvolles Profil von ihnen zu erstellen. Wie leicht es für jeden Interessierten möglich ist, solcherlei Datenspuren zu verfolgen, beschreibt der Artikel auf Seite 128.

Auch wer glaubt, mit gängigen Tricks Verfolger abzuhängen, irrt meist. So lautet eine verbreitete Mär, dass es genüge, einen Account beim Freemailer GMX mit falschen Personendaten anzulegen, um anonym mailen zu können. ?Natürlich gibt es solche Accounts bei uns?, bestätigt GMX-Sprecherin Marion Schanzer gegenüber c't mit einigem Bedauern. Dennoch könne man die IP-Adresse eines jeden Absenders, egal ob er sich am Web-Front-End oder per POP einloggt, notfalls zurückverfolgen - GMX speichert jeden Zugriff inklusive IP-Adresse ?über 80 Tage lang? und kann diese Daten auf einen richterlichen Beschluss hin anfragenden Ermittlungsbeamten übergeben.

Gegner eines umfassenden Datenschutzes, beispielsweise die Strafermittler, halten es für richtig, wenn Provider umfassend Daten über ihre Kunden speichern. ?Wer nichts zu verbergen hat, braucht sich nicht zu verstecken?, argumentieren sie. Allenfalls über eine Pseudo-Anonymität, bei der man personenbezogene Daten zwar gegenüber Dritten, nicht aber gegenüber dem Staat verbergen kann, lassen sie mit sich reden. Das aber geht den Datenschutzbeauftragten nicht weit genug: Sie fordern eine Kommunikation im Internet, die sich jeder Kontrolle entzieht - die totale Anonymität.

Recht auf Anonymität?

Ein Grundrecht auf Anonymität im Internet ist zwischen Juristen und diversen Interessengruppen höchst umstritten. Datenschutzbeauftragte sehen seine Grundlage in verschiedenen Artikeln des Grundgesetzes sowie in den einschlägigen Datenschutzvorschriften. Das Bundesverfassungsgericht hat bereits 1983 mit dem Aufsehen erregenden Volkszählungsurteil das Recht auf informationelle Selbstbestimmung bekräftigt. Danach kann jeder grundsätzlich selbst darüber entscheiden, ob und wie er personenbezogene Daten preisgibt.

Seit 1997 regelt das Teledienstedatenschutzgesetz (TDDSG) für das Internet eindeutig, dass ?Diensteanbieter dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen haben, soweit dies technisch möglich und zumutbar ist?. Daher besteht nach derzeitiger Rechtslage eindeutig keine Verpflichtung, sich bei der Reise durch das Netz gegenüber den Betreibern von Websites zu identifizieren.

Geschieht dies, so hat es freiwillig zu erfolgen und der Nutzer ist über die Speicherung seiner Daten aufzuklären. Er bleibt Herr seiner Daten und kann mit ihnen nach eigenem Willen verfahren, insbesondere auch Auskunft über die von ihm gesammelten Informationen fordern. Viele Marketingmaßnahmen wie Preisausschreiben oder Rabattsysteme verfolgen aus diesem Grund vor allem den Zweck, ohne die lästigen Schranken des Datenschutzes personenbezogene Daten zu sammeln, um Profile bilden zu können. Hier erteilt der Nutzer nämlich - scheinbar nebenbei - in den Teilnahmebedingungen die Zustimmung zum Gebrauch seiner Daten.

Anders verhält es sich dagegen in dem Rechtsverhältnis zwischen Kunden und Provider. Der Zugangs-Provider darf grundsätzlich die persönlichen Daten verlangen, die er benötigt, um den Internet-Zugang zu realisieren und abzurechnen. Dazu gehören vor allem allgemeine Kundendaten wie Anschrift und Kontoverbindung. Erfolgt die Abrechnung des Service über Zeiteinheiten, so darf der Provider auch die dafür notwendigen Daten speichern. Sämtliche sonstigen, für diesen Zweck nicht oder nicht mehr notwendigen Informationen müssen jedoch unmittelbar nach dem Ende der Nutzung gelöscht werden. Für Abrechnungsdaten gilt dabei die Maximalfrist von sechs Monaten. Umgekehrt dürfen aufgrund des allgemeinen datenschutzrechtlichen Grundsatzes der Datensparsamkeit aber keine Informationen über die Nutzung von Flatrates gespeichert werden, da diese für eine Abrechnung eben gerade nicht relevant sind. Gleiches gilt für Internet-By-Call-Verbindungen, die über die Telefonrechnung der Netzbetreiber abgerechnet werden.

T-Online im Visier

Das führt zurück zum eingangs erwähnten T-Online-Fall: Ausgerechnet der größte deutsche Zugangs-Provider bewahrt sämtliche so genannte ?Nutzungsdaten? der Kunden nach eigenen Angaben 80 Tage lang auf - auch die der Nutzer einer T-DSL-Flatrate. Aus diesem Grund haben die Datenschützer T-Online längst im Visier. Seit Anfang dieses Jahres versucht das Regierungspräsidium Darmstadt als zuständige Aufsichtsbehörde, T-Online dazu zu bewegen, sich datenschutzkonform zu verhalten. Zunächst hatte die Telekom-Tochter in einer 30-seitigen Erklärung dargelegt, dass sie unbedingt jede zugewiesene IP-Adresse mitspeichern müsse. ?T-Online hat keine andere Möglichkeit nachzuweisen, dass eine Leistung gegenüber dem Kunden erbracht worden ist?, beteuert Firmensprecher Michael Schlechtriem stets.

Bisher seien gerade mal zwei Beschwerden wegen des eventuellen Datenschutz-Verstoßes eingegangen, konstatiert der für T-Online zuständige Beamte Ralf Menger vom Regierungspräsidium Darmstadt. ?Da macht leider die Presse sogar noch mehr Druck als die direkt betroffenen Flatrate-Nutzer von T-Online?, beschreibt er im Gespräch mit c't die Situation. Wären mehr Anfragen eingegangen, so hätte das Thema eine höhere Priorität. Im Oktober will Menger möglichst im Einvernehmen mit seinen Kollegen aus den anderen Bundesländern entscheiden, ob er gegen T-Online vorgehen wird. ?Da läuft gerade ein aufwendiger interner Diskussionsprozess. Das Thema brennt, weil ein Verfahren gegen T-Online Signalwirkung hätte?, erklärte er. Denkbar, dass auf die Darmstädter Telekom-Tochter satte Bußgeldzahlungen von täglich bis zu 50 000 Euro zukommen, wenn sie die möglicherweise anstehenden Weisungen der Datenschutzbehörde nicht befolgen wird. Für Datenschutzexperten wie den Rechtsananwalt Stefan Jaeger ist die Sachlage eindeutig: ?T-Online handelt hier rechtswidrig.?

Provider-Anonymität

Dass es auch anders geht, beweist eine Reihe von Providern, die c't diesbezüglich befragt hat. Der Hamburger Internet-By-Call-Provider Freenet speichert die Daten immerhin nur vier Wochen lang - obschon er als Internet-By-Call-Anbieter eigentlich auch das nicht dürfte. Der Frankfurter Telekommunikationsanbieter Arcor speichert gar nicht, welchem DSL-Flatrate-Nutzer er welche IP-Adresse zuweist. Und der Kölner Flatrate-Anbieter QSC löscht angefallene Nutzungsdaten einen Tag nach Trennung der jeweiligen Verbindung. Nur bei fest vergebenen IP-Adressen, die QSC vornehmlich an Geschäftskunden vergibt, lässt sich hinterher noch nachvollziehen, wer mit der angefrag-ten IP-Adresse unterwegs war. QSC beruft sich dabei auf genau jenen Paragrafen 6 TDDSG, der T-Online jetzt zu schaffen macht.

Im Klartext heißt das: Einige Provider ermöglichen ihren Kunden, absolut anonym im Internet zu agieren. Nachdem die Verbindung gekappt ist, lässt sich hier technisch nicht mehr ermitteln, welche Websites die Kunden studiert, welche Chats sie besucht oder welche Dateien sie getauscht haben. Sowohl für die Surfer als auch für die Kämpfer für einen weit reichenden Datenschutz ist das der Idealzustand - für Strafverfolger allerdings der Albtraum: Die extrem freiheitsbetonte Gesetzeslage sei Schuld daran, wenn das Internet zum Tummelplatz für Kriminelle aller Couleur werde, stöhnen sie.

Ermittler-Albträume

In der Tat bricht die Ermittlungskette zusammen, wenn der Access-Provider wie verlangt alle Daten löscht: Da finden die Beamten bei E-Mail-Providern mühsam heraus, von welcher IP-Adresse aus eine E-Mail abgeschickt wurde, oder sie erfahren per richterlicher Anordnung vom Web-Hoster, wer eine Site mit strafrechtlich relevanten Inhalten ins WWW gestellt hat - kurz vor dem Ziel läuft die Ermittlung dennoch ins Leere, weil die so gesammelten Adressen beim Zugangs-Provider keine Rückschlüsse auf eine bestimmte Person zulassen. Und Anfragen von Behörden gibt es viele bei den Zugangs-Providern: Freenet etwa gibt etwa 80-mal pro Monat Daten an Ermittlungsbehörden weiter, allerdings bei momentan 3,2 Millionen Verbindungen pro Haushalt und Monat, wie Sprecherin Elke Rüther betont. QSC beantwortet die rund 40 Anfragen pro Monat von Ermittlern meist mit der lapidaren Aussage: keine Daten vorhanden.

Da kann bei den Beamten schon mal Frust aufkommen. Helmut Ujen, Leiter der IT-Abteilung des für Internet-Ermittlungen zuständigen Fachbereichs KI26-TeSIT des Bundeskriminalamts (BKA): ?Zurzeit gibt es Fälle, bei denen wir ziemlich nahe an einem mutmaßlichen Anbieter von hartem kinderpornographischem Material dran waren, und dann konnte uns der Provider trotz richterlichem Beschluss keine Daten liefern.? Er könne allerdings keinen Zusammenhang zwischen dem Abrechnungsmodell des Anbieters und dessen Datenhaltung feststellen. Eines jedoch steht für ihn fest: ?Zeit- und Volumen-unabhängige Pauschaltarife bedeuten für uns bei der gegenwärtigen Gesetzeslage ein echtes Problem.?

Dabei haben die Strafverfolger ohnehin schon damit zu kämpfen, dass deutsche Nutzer, die es darauf anlegen, anonym zu bleiben, immer öfter über offene Proxy-Server zum Beispiel im fernen Osten surfen und ihre E-Mails versenden. Stoßen die Ermittler auf diese Methode, so müssen sie meist zeitaufwendig um Rechtshilfe bei den ausländischen Behörden ersuchen. Nach Angaben von Ujen lässt sich hier keine Kategorisierung von Staaten erstellen, in denen Logfiles besonders kurz aufbewahrt werden oder Ersuchen nicht fruchten: ?Beim gleichen Staat kann das mal sehr lange dauern, dann wieder sehr schnell gehen.?

Ein internationales Abkommen ermöglicht es den Ermittlungsbehörden neuerdings immerhin, bei den G8 und rund einem Dutzend weiterer Staaten eine so genannte ?Preservation Order? zu stellen, wenn der mutmaßliche Täter über einen Server agiert hat, der dort beheimatet ist. In diesem Fall muss der entsprechende ausländische Provider die Logfiles bei Kenntnisnahme ?einfrieren? und herausrücken, sobald das Rechtshilfeersuchen gestellt ist.

JAPsende Strafverfolger

Doch alle Zugriffsmöglichkeiten versagen, wenn Nutzer einen der frei zugänglichen Anonymisierungsdienste anwenden, die es unmöglich machen, anhand von IP-Adressen den entsprechenden E-Mail-Absender oder Surfer zu ermitteln. Ein solcher Dienst namens JAP ist aus dem AN.ON-Projekt der TU Dresden hervorgegangen (siehe Artikel in c't 19/2002 auf S. 132). Das Bundeswirtschaftsministerium unterstützt AN.ON zum Verdruss der Strafverfolgungsbehörden sogar mit insgesamt 500 000 Euro über drei Jahre. Der schleswig-holsteinische Datenschutzbeauftragte Dr. Helmut Bäumler hat maßgeblich zur Entstehung von AN.ON beigetragen und ist sich sicher, dass es das Recht jedes Bürgers sei, das Web absolut anonym zu nutzen: ?Wir stellen hier exemplarisch einen Teledienst, der datenschutzkonform ist. Damit erledigen wir das, was die Provider entgegen der gesetzlichen Verpflichtungen versäumen.?

Bäumler spürt ?mit Schrecken?, dass ihm der Wind seit den Terroranschlägen am 11. September des vergangenen Jahres heftig ins Gesicht bläst. Zunächst kam mit der novellierten Telekommunikations-Überwachungsverordnung (TKÜV) auch eine deutliche Ausweitung der Behördenbefugnisse bei der Überwachung von Telefongesprächen und öffentlichen Plätzen. Am 31. Mai hat der Bundesrat auf Antrag von Bayern und Thüringen einen Gesetzentwurf verabschiedet, der jeden Zugangs-Provider dazu verpflichten würde, sämtliche Nutzungsdaten aller Kunden für mindestens sechs Monate vorzuhalten (?Vorratsdatenspeicherung?).

Geheimdienst liest mit

Der Passus wurde nachträglich in den so genannten Gesetzentwurf ?zur Verbesserung der Ermittlungsmaßnahmen wegen des Verdachts sexuellen Missbrauchs von Kindern und der Vollstreckung freiheitsentziehender Sanktionen? eingefügt. Auf richterlichen Beschluss sollen dann nicht mehr nur die Strafverfolgungsbehörden, sondern auch der Verfassungsschutz, der Bundesnachrichtendienst, der Militärische Abschirmdienst sowie das Zollkriminalamt Zugang zu den gespeicherten Daten bekommen. Damit wäre es für Kunden deutscher Provider nicht mehr möglich, sich anonym im Internet aufzuhalten. Ins Visier würden schon im Vorfeld alle Nutzer, nicht nur potenzielle Täter kommen. ?Wir müssten AN.ON dicht machen, denn dann wären wir ja illegal?, klagt der Koordinator des JAP-Projekts, Dr. Hannes Federrath, gegenüber c't.

Der Kieler Rechtswissenschaftler Professor Albert von Mutius schließt eine Verfassungsklage nicht aus, sofern die Speicherung von Verbindungsdaten auf Vorrat gesetzlich vorgeschrieben würde. ?Die verfassungsrechtliche Abwehr wird aber schwierig?, erklärte er. In Frage käme eine Normenkontrollklage. Nach einer eher ablehnenden Stellungnahme der Bundesregierung ist das Gesetzesprojekt vorerst auf Eis gelegt, dürfte aber nach der Bundestagswahl am 22. September wieder auf die Tagesordnung kommen - je nach Wahlausgang.

Die Tendenz in Europa geht eindeutig hin zu einer verstärkten Kontrolle des Internet. Gesetze zur Vorratsdatenspeicherung sind in England, Frankreich und Österreich jüngst auf den Weg gebracht worden. Und auch die Europäische Union selbst will stärker zupacken: Ein Vorschlag der dänischen EU-Ratspräsidentschaft, der jüngst im Internet kursierte, sieht vor, dass Provider Kommunikationsdaten und E-Mails sogar für ein ganzes Jahr auf Vorrat speichern sollen. Mitte September soll es ein erstes Treffen der entsprechenden Arbeitsgruppe geben.

http://www.heise.de/ct/02/19/124/  

16.09.02 00:02

7089 Postings, 6945 Tage MützenmacherHe Alder, les lieber meine Email ;-)

   Antwort einfügen - nach oben