Ratgeber zum Schutz digitaler Identitäten und von Firmengeheimnissen

"Ich habe ja nichts zu verbergen". Dass dieser Satz ebenso falsch wie töricht ist, gilt in einer Demokratie eigentlich als selbstverständlich. Die Wirtschaft sorgt sich sowieso, Wettbewerbern nichts über die eigenen Pläne zu verraten. Da reicht oft schon zu wissen, wer mit wem überhaupt kommuniziert, um Konkurrenten zuvorzukommen. Auch im Privatleben ist der sparsame Umgang mit persönlichen Angaben selbstverständlich - kaum jemand erzählt Wildfremden ungefragt seine Lebensgeschichte und wenn doch, interessiert diese das Gegenüber meist nicht.

In der vernetzten Welt ist die Lage anders. Nie war es so einfach wie heute, sich Informationen über Menschen, Firmen und Behörden in der Nachbarschaft oder am Ende der Welt zu verschaffen. Sind die Einzelinformationen noch meist wertlos, führt deren Korrelation (siehe Artikel auf Seite 36) zu einem viel genaueren Abbild als der Untersuchte vermutet. Wie weit die Datenkorrelation gehen kann, zeigt auch der für Internetwerbung gedachte Phorm-Dienst [1]. Über sein Open Internet Exchange will er - angeblich pseudonymisierte - Daten über das Verhalten der Internet-User sammeln und verwerten.

Ins Gesamtbild passt, dass soziale Netzwerke ihren Mitgliedern intime Details aus dem Privatleben entlocken, Blogger fröhlich Firmeninterna ausplaudern, Suchmaschinen sich merken, wer wann was gesucht hat, und selbst demokratische Staaten hemmungslos ihrer Datensammelwut nachgehen, unter wechselnden argumentativen Deckmäntelchen (siehe Seiten 25, 26 und 88). Bei der automatischen Kfz-Kennzeichenerfassung und -auswertung hat jüngst das Bundesverfassungsgericht immerhin die Hürden erhöht, gänzlich verboten hat es diese Überwachungstechnik freilich nicht. Ähnlich ist die Lage beim Überwachen der Telekommunikations.

Doch es muss gar nicht der Staat sein, der erfahren will, welcher seiner Bürger gerade was treibt. Die Mobilfunkbetreiber wissen sehr genau, wer wann wo sein Handy einschaltet. Location-based Services geben diese Informationen gar an Dritte weiter, die den wissensdurstigen Vieltelefonierer zum nächsten Museum lotsen oder ihm helfen ein verlorenes oder geklautes GSM-Gerät wiederzufinden. Leider sind damit auch detailreiche Bewegunsprofile erstellbar. Ähnlich die kommende Gesundheitskarte, die medizinische Details speichert. Die Liste ließe sich beliebig fortsetzen, zum Beispiel mit fehlerhaft programmierten Online-Applikationen (siehe Kasten "Daten der ADAC-Mitglieder ausspähbar").

Wer dem schleichenden Verlust seiner Privatsphäre und den allgegenwärtigen Datenlecks im Unternehmen entgegenwirken will, darf nicht allein auf Politik und Großkonzerne schimpfen. Auch helfen einzelne Anonymisierungsprodukte wenig, die nur punktuell Löcher stopfen. Viel wichtiger ist eine systematische Analyse aller Kommunikationsbeziehungen und weiterer IT-Datenlecks, auf die jeder Einzelne direkten Einfluss hat.

Daten der ADAC-Mitglieder ausspähbar

Bei Recherchen fanden Redakteure des Linux-Magazins in den Sicherheitsmechanismen der ADAC-Webseite [6] eine Lücke, die es Dritten erlaubt, die Daten eines Mitglieds auszulesen. Wenn er eine ADAC-Karte in seinen Besitz gebracht hat oder auch nur die darauf aufgedruckten Daten (also Name, Mitgliedsnummer und Beitrittsjahr) kennt, kann ein Angreifer beim größten Automobilclub Deutschlands ganz einfach das Passwort des betreffenden Onlinezugangs ändern. Die Funktion »Passwort vergessen?« (Abbildung 1) sieht nämlich keine Überprüfung der Identität des Surfers vor, zum Beispiel über eine E-Mail-Adresse. Nach Eingabe des neuen Kennworts ist der Angreifer sofort als »Online« angemeldet und kann die im Menüpunkt »Mein ADAC« gespeicherten Daten wie Anschrift und Telefonnummer des ADAC-Mitglieds abrufen und ändern. Hat der Karteninhaber keine E-Mail-Adresse hinterlegt, dann erfährt er nicht einmal im Nachhinein von diesen Aktivitäten. Die Lücke erhält dadurch eine sehr praktische Brisanz, weil jeder Eingeloggte im ADAC-Onlineshop Waren bestellen kann und an die hinterlegte Adresse geliefert bekommt. Abbildung 1: Wer die Daten auf der ADAC-Karte kennt, kann sich einloggen, das Passwort ändern, die Daten ändern und im Onlineshop bestellen. Um eine Stellungnahme gebeten, antworte der stellvertretende Leiter für externe Kommunikation, Roman Breindl: "Wir kennen das Problem, betrachten es aber nicht als gravierend. Schon die Tatsache, dass von den über 16 Millionen ADAC-Mitgliedern jedes Jahr maximal vier Hinweise darauf bei uns eingehen, zeigt uns, dass das Problem übersichtlich ist. Adressen- oder Bankdaten finden Sie ja heute auch auf jedem Briefkopf."

Selbstauskunft

Wer Dienste im Internet anbietet, kommt an vielen Stellen nicht umhin, seine Identität preiszugeben. Die Provider wollen wissen, wem sie einen Webserver, eine Domain oder einen IP-Adressenblock verkaufen. Per Whois-Dienst publizieren sie diese Angaben. Das ist für Techniker auch sinnvoll, um bei einem Fehler auf der Gegenseite zu wissen, wen sie wie kontaktieren müssen. Auch bei Angriffen hilft es, einen Ansprechpartner im Quell-Netz zu finden.

Whois verrät zu jeder DNS-Domäne den Betreiber des Nameservers, den Eigentümer, technische und administrative Ansprechpartner sowie den Zonen-Admin mit Name, Anschrift und teils Telefonnummer. Bei IP-Adressenblöcken sind die herausgebende Instanz sowie die Betreiber aufgeführt. Über Telefonbücher und Geo-IP-Dienste lassen sich den Namen und Anschriften jederzeit weitere Daten zuordnen, etwa zu welcher Region eine IP-Adresse gehört [1].

Systembedingt stecken in X.509-Zertifikaten eines gesicherten Online-Angebots der Firmenname mit Land, Bundesland und Ort. Mehr noch verrät die eigene Webseite - hierzu ist der Betreiber dank Impressumspflicht verdonnert. Die Vorratsdatenspeicherung sorgt künftig dafür, dass sogar bei Dial-in-Verbindungen eine Zuordnung zur Person möglich wird, wenngleich diese Information den Behörden vorbehalten bleibt.

Gedächtnisstütze

Weiter reichende Infos zu einer Domäne liefert der Dienstleister Domaintools [2]. Er verknüpft Whois-Daten von DNS-Name und IP-Adresse mit einem Suchindex, zeigt ähnliche Sites und verrät unter anderem, welche weiteren Domänen derselben Person gehören und welche Sites ein Server zusätzlich ausliefert.

Dass einmal veröffentlichte Daten nie wieder zum Geheimnis werden, ist im Grunde selbstverständlich. Niemand weiß, wer die Daten lokal gespeichert hat und was er damit künftig anstellt. Dieses Schicksal droht neben peinlichen und darum beliebten Jux-Videos auf Youtube aber auch jeder gewöhnlichen Webseite: Die Zeitmaschine des Webarchivs [3] fördert zutage, mit welchen Visionen eine Firmenseite vor zwei Jahren prahlte oder was deren Marketingchef in seiner Jugend alles auf seine Webpräsenz stellte.

Das Internetarchiv respektiert zwar Angaben einer »robots.txt« [4], es gibt aber technisch kein Mittel gegen Spider und Roboter, die sich über solche Vorgaben hinwegsetzen. Bleibt nur, schon beim Publizieren an die Zukunft zu denken und vermeintliche lustige, witzige oder anderweitig kritische Daten nicht ins Internet zu stellen.