Monthly Archive:: November 2016

Daten- und Informantenschutz

Die Zwei-Browser-Lösung gegen Datentracking

Dass riesige Datensammlungen von Millionen Internetnutzern gesammelt werden, ist nichts neues. Aber der Fall um das WOT-Plugin, den der NDR heute aufgedeckt hat (Nackt im Netz), zeigt, wie schnell man die angeblich anonymen Daten realen Personen zuordnen kann – auch Kollege Dirk von Gehlen wurde in der Datensammlung enttarnt (Video). Die Tipps, die seit zwei – Jahren – dazu – kursieren und auch jetzt wieder im NDR-Beitrag verlinkt sind, halte ich aber für wenig brauchbar. Es gibt zwei große Richtungen, die ich aus unterschiedlichen Gründen kritisiere:

  1. Grundsätzlich problematisch finde ich alle Arten von Tipps, die Sicherheit nur vortäuschen. Nicht immer müssen böse Absichten dahinterstehen, wie beim oben genannten WOT-Plugin oder beim ebenfalls als Datensammler enttarnten Ghostery. Auch gut gemeinte Anti-Cookie-Plugins bringen am Ende genauso wenig wie mühsame Browser-Konfigurationen: denn sie helfen nicht gegen die neuen Identifikationsmethoden wie z.B. Browser-Fingerprinting. Und die Plugins, die wirklich helfen (z.B. Noscript), machen Websites unbenutzbar. Google sammelt die Daten auch so, z.B. über nahezu ubiquitär eingebettete Webinhalte (Fonts, Tracking-Pixels, Google-Plus-Buttons, Youtube-Einbindungen) oder die firmeneigenen DNS-Server. Also: Gebt diesen Kampf auf. Ein alltagstauglicher Browser ist eindeutig und die History landet bei irgendwem in der Datenbank!
  2. Datenschutz-Experten (z.B. Mike Kuketz ) empfehlen oft Tools wie TOR. Das stimmt, das Tool ist sehr wirksam beim Schutz vor Geheimdiensten, vor allem in Verbindung mit gehärteten Betriebssystemen wie Tails oder Whonix – und Datentracking schafft man sich damit natürlich auch vom Hals. Aber für die tägliche Surf-Praxis sind diese mehrfach umgeleiteten Verbindungen viel zu langsam. Das sind komplexe Tools, die investigative Journalisten, Aktivisten oder Whistleblower brauchen, aber nicht jedermann für den täglichen Einsatz. Nicht zuletzt deshalb, weil man mit TOR auch einiges falsch machen kann – vor allem Logins ohne SSL.
    Nachtrag: Mike Kuketz hat per Email bei mir nochmal für die Verwendung vom TOR-Browser-Bundle geworben, weil es nach wie vor das sicherste Paket für Anonymität ist, weil dann niemand meiner IP die Seitenaufrufe zuordnen kann (bei meiner Lösung können das wahlweise Zenmate, der VPN-Dienst oder der Provider).  Ich gebe ihm da wirklich Recht – es ist die sicherere Lösung, weil weniger Vertrauen notwendig ist. Probiert es also nach seiner Anleitung aus und seht, ob ihr mit der etwas langsameren Geschwindigkeit und den stellenweise als Hackerschutz auftauchenden Captchas im Alltag klarkommt. Das TOR-Browser-Bundle könnte man auch problemlos als Erweiterung meiner Methode verwenden: Jeder Seitenaufruf, den man im Tor-Browser macht, landet definitiv nicht in einem verwertbaren Profil von Datentrackern.

Das Zwei-Browser-Konzept

Die bessere Lösung ist meiner Meinung nach, sich wirkungsvoll darum zu kümmern, dass die entkommenen Daten nicht mehr mit mir verknüpft werden können. Ich trenne meine tägliche Browsernutzung streng in einen Klarnamen-Teil und einen Pseudo-/Anonymen-Teil. Die Seiten rufe ich entsprechend nur im jeweiligen Browser auf.

Klarnamen-Browser Pseudonymer Browser
Facebook Web-Recherche
Twitter Wikipedia
E-Banking Nachrichten
Online-Bestellungen Forenbeiträge
Emails Abhol-Bestellungen
Dropbox Wegwerf-Accounts

Der Startpunkt: einen zweiten Browser seiner Wahl installieren. Nach einer kurzen Eingewöhnungsphase arbeitet es sich mit den zwei Browsern sehr angenehm und man weiß genau, in welchem Programm man welche Seiten aufruft. Schritt für Schritt kann man versuchen, Pseudonyme anzulegen, wo man vorher noch mit echtem Namen angemeldet war, um die Pseudonymität zu erhöhen. Mein Wikipedia-Engagement findet z.B. auch nicht mehr mit Klarnamen statt und Bücher bestelle ich nicht bei Amazon, sondern lasse sie mir mit über eine Fantasie-Email in die Buchhandlung ums Eck zur Abholung liefern.

Damit habe ich eine gigantische tägliche Datenmenge von meiner Person abgekoppelt, die sehr viel über mich und mein Leben aussagen würde. Datensammler haben diese Abruf-Daten, können sie aber keiner konkreten Person zuordnen.

Die zweite IP-Adresse

zwei_browser_systemFür den Arbeitsplatz in einer größeren Firma reicht der zweite Browser vielleicht schon, weil die zwei sichtbaren Nutzerprofile in einer Menge von hunderten anderen Mitarbeitern nicht mehr vernünftig zusammengeführt und vermarktet werden können. Privatanwender sollten den zweiten Browser aber zusätzlich umleiten, damit die Daten mit dem normalen Browser nicht als „gemeinsamer Haushalt“ bei den Datenhändlern auftauchen. Für die geänderte IP-Adresse des neuen Browsers gibt es zwei Lösungswege:

 

Einfachste Lösung: Zenmate

zenmateNicht optimal, weil man eben wieder nicht weiß, was der Anbieter von dem Plugin für Daten abgreift. Ein unrühmliches Beispiel ist z.B. die eingebaute VPN-Lösung von Opera: Der Anbieter behält sich den Verkauf der Datensammlung an Dritte in der Privacy Policy vor. Eine Ausnahme möchte ich aber doch empfehlen: Zenmate hat seinen Firmensitz in Berlin (unterliegt also dem etwas strengeren deutschen Datenschutz) und garantiert in der Datenschutzerklärung, dass keine Daten an Dritte weitergegeben werden. Da das Plugin durch den kostenpflichtigen Premium-Dienst auch ein solides Finanzierungsmodell hat, halte ich das für eine zulässige Lösung des Problems. Aber Sicherheit ist eben immer eine Vertrauensfrage.  Mike Kuketz weist zu Recht darauf hin, dass auch das WOT-Plugin mehr Daten gesammelt hat, als in der Datenschutzerklärung angegeben war. Nach der Installation des Plugins kann der Browser wahlweise über einen Server in Deutschland, USA, Rumänien oder Hongkong umgeleitet werden.

Die hausgemachte Lösung für Nerds: Socks-Proxy

14598542508_962e584ef5_oBei mir seit zwei Jahren im Einsatz: Ein SSH-Tunnel über Socks. Das kommt für alle in Frage, die zu ihrem Webserver oder zu ihrer Firma einen SSH-Zugang haben. Mit Putty (unter Windows) oder noch einfacher unter Linux mit ssh -N starte ich vor dem Surfen eine SSH-Verbindung mit Portumleitung. Diesen Port trage ich dann in meinem Browser ein. Ist nichts für normale User – deswegen gehe ich nicht ausführlicher darauf ein. Hier gibt’s ein Tutorial, wie das genau geht: Instant SOCKS Proxy over SSH.

Die Fall-Back-Lösung: VPN-Server und eine IP-Adresse

Wenn beide Lösungen nicht in Frage kommen (z.B. weil man keine Plugins installieren will), kann man sich mit einem VPN-Tunnel behelfen, der den Datenverkehr der zwei Browser zumindest in einem großen Topf mit anderen Nutzern untergehen lässt. Das Problem mit VPN ist nämlich: Man kann diese Technik ohne Plugins wie oben vorgestellt nicht auf Browser beschränken (oder nur mit extrem mühsamen Systemtricks). Das bedeutet: Mit einem VPN bekommt normalerweise das ganze System eine andere IP-Adresse, beide Browser haben also wieder die gleiche IP. Der einzige Unterschied besteht dann darin, dass ich meine IP nun mit vielen anderen Personen teile und in diesem Chaos hoffentlich die Daten meiner zwei Browser nicht mehr von Firmen zusammengeführt werden können. Ich nutze seit zwei Jahren den Open-Source-Client OpenVPN und den deutschen Anbieter Shellfire. Das kostet ein paar Euro im Monat. Wie man das genau einrichtet, wird meist von den Anbietern detailliert beschrieben, hier z.B. die Anleitungen von Shellfire. Nach der Einrichtung hat man ein kleines Programm im Tray, das automatisch beim Start oder auch manuell den Rechner über das VPN umleitet.

Welche Daten soll man nun umleiten?

Die Frage, die sich zum Schluss stellt: Soll man nun seinen Klarnamen im normalen oder im umgeleiteten Browser verwenden? Sicherer und wirksamer ist es auf alle Fälle, die empfindlichen Klarnamen-Logins über die Original-IP zu leiten und den Großteil der Webnutzung im großen Datentopf von Zenmate oder einem Socks-Proxy verschwinden zu lassen. Ich habe es trotzdem andersherum gemacht: Einfach, weil ich meine tägliche multimediale Datennutzung nicht verlangsamen wollte. Das heißt: Meine Klarnamennutzung wird umgeleitet, meine normale IP nehme ich für die ano-/pseudonyme Massennutzung.

Nachtrag: Bei dieser Frage sollte man natürlich berücksichtigen, welche der eigenen Mobilgeräte oder Computer noch mit Klarnamen über die gleiche IP hinausgehen. Wenn man seine Klarnamen-Nutzung umleitet, sollte man natürlich nicht das heimische Wlan wieder mit seinem Klarnamen-Handy „enttarnen“. Dann besser die pseudonyme Nutzung umleiten und die eigene IP für die Klarnamen-Nutzung mit Computer und Handy verwenden.

Mobilgeräte

Diese Lösung auf Mobilgeräte zu übertragen ist nur begrenzt möglich – zunächst sollte man sich überlegen, wieviele Daten allein über die Apps bereits an Werbenetzwerke und große Anbieter wie Google oder Apple fließen und ob sich daher der Schutz des Browsers lohnt. Für eine App ist es meist kein Problem, eindeutige Daten des Handys abzufragen.

Ist man mit Apps bereits sehr vorsichtig oder nutzt man fast nur den Browser, dann macht es durchaus Sinn, zwei Mobilbrowser und die oben beschriebene VPN-Lösung einzusetzen. Den VPN-Anbieter kann man natürlich fürs Handy genauso nutzen. Andere Optionen gibt es nicht – mir ist kein Mobilbrowser bekannt, den man einzeln umleiten kann.

Eine radikale Lösung ist es natürlich, die Datennutzung auf zwei Mobilgeräte und zwei SIM-Karten aufzuteilen. So mache ich es seit zwei Jahren. Das anonym genutzte Handy habe ich dabei zusätzlich googlefrei eingerichtet. Mike Kuketz hat ein großartiges und umfangreiches Tutorial dazu verfasst: Your phone Your data – Android ohne Google?! Teil1

Weitere Grundbedingungen

Die Zwei-Browser-Methode hilft nicht gegen Flash-Cookies, da diese in einem gemeinsamen Verzeichnis abgelegt werden. Flash sollte also höchstens für einen der beiden Browser installiert sein. Bei Umleitungsmethoden (Socks, Zenmate, VPN) sollte außerdem Web-RTC im umgeleiteten Browser deaktiviert sein. Denn sonst kann die ursprüngliche System-IP von jeder Website abgefragt werden. Und schließlich sollte man sich generell ein paar Gedanken zur Sicherheit des Systems machen: Plugins und Apps auf Vertraulichkeit kontrollieren, Java und Flash deinstallieren, Open-Source bevorzugen, regelmäßig Updates einspielen, vorsichtig beim Öffnen von Anhängen sein.

Nachtrag: heise.de hat noch auf einen Punkt hingewiesen, der für die Perfektionierung der Methode notwendig ist: Beim Übertragen von Links vom einem in den anderen Browser sollte man keine Session-IDs mitkopieren (das, was manchmal hinten an URLs dranhängt: example.com/seite.php?34535&id=blabla12345). Das würde zumindest bei manueller Auswertung der Datensammlung Hinweise auf eine Zusammengehörigkeit der Profile liefern.

Noch ein Wort zu Proxy-Diensten

Nicht besonders sinnvoll sind normale Proxy-Dienste. Viele sind nicht wirklich anonym, sondern geben die eigentliche IP-Adresse mit durch. Auf keinen Fall sollte man kostenlose Proxys aus dem Internet verwenden. Sie sind nicht selten Fallen, mit denen Nutzerdaten gesammelt werden sollen.

Was die Methode nicht kann

Alle Angaben sind Empfehlungen zum Schutz vor legal operierenden Datensammlern. Meine Maßnahmen schützen weder vor Strafverfolgung, noch vor Hackern oder vor Geheimdiensten. Umleitungen per VPN oder Zenmate können bei Speicherung der Verbindungsdaten durch berechtigte Behörden enttarnt werden. Auch ausländische Geheimdienste mit Zugriff auf Verbindungknoten können getunnelte Verbindungen über die Analyse von Datenstrom-Mustern durchaus zuordnen.

Politische Lösungen

Der Elefant, der bei diesem Thema im Raum steht: Warum sollen eigentlich die einzelnen Bürger soviel Aufwand betreiben, um ihre Grundrechte zu sichern? Die Politik sollte weiterhin daran arbeiten, dass es gar nicht erst zu solchen Skandalen kommt. Darüber hinaus sollte man erwägen, Pseudonymität im Internet stärker zu fördern. Speziell gegen Datentracking wäre es eine große Hilfe, wenn alle Internetanbieter dazu verpflichtet wären, ihren Nutzern einen anonymen Proxy anzubieten, der IP-Adressen nicht durchreicht. Dann wäre die Zwei-Browser-Lösung nämlich mit einem einfachen Eintrag in der Proxy-Liste erledigt. Auch andere Dienstleistungen wie Onlinebezahlung könnte man mit Pseudonymen erledigen, wenn die Gesetze das zulassen würden. Strafverfolgung wäre davon überhaupt nicht betroffen.

Weiterführendes

Matthias Eberl: Informantenschutz nach Snowden. In: Marlis Prinzig: Die Daten erzählen. (Journalismus-Atelier). Voraussichtlich 2017.

Das Seminar Informantenschutz für Journalisten (hier die Kursbeschreibung 2016) gibt’s voraussichtlich wieder im Februar 2017, näheres demnächst auf meiner Kursseite.