Privacy-Handbuch E-Book

Inhaltsverzeichnis

1 Scroogled

2 Angriffe auf die Privatsphäre

2.1 Big Data – Kunde ist der, der bezahlt

2.1.1 Google

2.1.2 Weitere Datensammler

2.2 Techniken der Datensammler

2.3 Tendenzen auf dem Gebiet des Tracking

2.4 Crypto War 3.0

2.5 Fake-News-Debatte

2.5.1 Der Kampf gegen Fake News

2.5.2 Fake-News-Beispiele

2.6 Geotagging

2.7 Kommunikationsanalyse

2.8 Überwachungen im Internet

2.9 Terrorismus und der Ausbau der Überwachung

2.10 Ich habe doch nichts zu verbergen!

3 Digitales Aikido

3.1 Nachdenken

3.2 Ein Beispiel

3.3 Schattenseiten der Anonymität

3.4 Wirkungsvoller Einsatz von Kryptografie

4 Spurenarm surfen mit Firefox

4.1 Mozilla Firefox installieren

4.2 Datenschutzfreundliche Schnellkonfiguration

4.3 Datensparsame Suchmaschinen

4.3.1 Suchmaschinen in Firefox hinzufügen

4.3.2 Defaultsuchmaschine konfigurieren

4.3.3 Vorschläge bei Eingabe einer URL reduzieren

4.4 Cookies und EverCookies

4.5 Surf-Container

4.6 Werbung, HTML-Wanzen und Social Media

4.6.1 Tracking Protection in Firefox

4.6.2 uBlock Origin für Firefox

4.7 iFrames

4.8 Browser-Fingerprinting

4.8.1 Browser-Fingerprinting mit JavaScript

4.8.2 Browser-Fingerprinting via CSS

4.8.3 Hardware-Fingerprinting

4.9 URL-Parameter

4.10 Zugriff auf lokale URLs blockieren

4.11 Referer

4.12 Installierte Schriftarten verstecken

4.13 Browsercache und Surf-Chronik

4.14 Risiko Plugins

4.14.1 Media-Plug-ins für Video und Audio

4.14.2 Anzeige von PDF-Dokumenten

4.15 JavaScript (Sicherheit)

4.16 HTTPS-Verschlüsselung erzwingen und härten

4.16.1 Anzeige der HTTPS-Verschlüsselung

4.16.2 Vertrauenswürdigkeit von HTTPS

4.16.3 SSL-Zertifikate via OCSP validieren

4.16.4 Tracking via TLS-Session

4.16.5 Tracking via HTTP Strict Transport Security

4.16.6 Tracking-Risiko durch seltsame Auswahl der SSL/TLS-Cipher

4.17 WebRTC mit Firefox

4.18 DNS-over-HTTPS mit Firefox

4.19 Firefox Activity-Stream

4.20 Sonstige Maßnahmen

4.21 Der Unsinn vom Spoofen der User-Agent-Kennung

4.22 Firefox-Profile

4.23 Zusammenfassung der Einstellungen

4.24 Snakeoil für Firefox (Überflüssiges)

4.24.1 Do-Not-Track ist am Lobbyismus gescheitert

4.24.2 Private Browsing Mode

4.24.3 Web of Trust (WOT)

4.24.4 Google Analytics Opt-Out

5 Surfen mit dem Mullvad Browser

5.1 Installation

5.2 Anpassung der Konfiguration

6 Spurenarm surfen mit Librewolf

6.1 Installation

6.2 Anpassungen der Konfiguration

7 Passwörter und Zwei-Faktor-Authentifizierung

7.1 Hinweise für Passwörter

7.1.1 Firefox build-in Passwortspeicher

7.1.2 Passwortspeicher

7.2 Zwei-Faktor-Authentifizierung

7.3 Phishing-Angriffe

8 Bezahlen im Netz

8.1 Bargeld

8.2 Bitcoin

9 E-Mail-Kommunikation

9.1 E-Mail-Provider

9.2 Proton Mail und Tutanota

9.3 E-Mail-Aliases und temporäre Adressen

9.4 Mozilla Thunderbird

9.4.1 Begriffserklärungen: SMTP, POP3, IMAP, STARTTLS

9.4.2 Konfiguration des Assistenten zur Account-Erstellung

9.4.3 E-Mail-Account einrichten

9.4.4 Lesen von E-Mails

9.4.5 Sichere Konfiguration als E-Mail-Client

9.4.6 Sichere Optionen für TLS-Verschlüsselung

9.4.7 Datenverluste vermeiden

9.4.8 Wörterbücher installieren

9.4.9 RSS-Feeds

9.4.10 Große Dateien verschicken

9.4.11 Thunderbird Add-ons

9.5 Private Note

10 E-Mails verschlüsseln

10.1 E-Mails verschlüsseln mit Thunderbird

10.1.1 Eigenen OpenPGP-Schlüssel erstellen oder importieren

10.1.2 Eigenen OpenPGP-Schlüssel mit GnuPG verwenden

10.1.3 Den eigenen öffentlichen Schlüssel verteilen

10.1.4 Fremde Schlüssel importieren

10.1.5 Fremde Schlüssel akzeptieren bzw. verifizieren

10.2 Gedanken zum Browser-Add-on Mailvelope

10.2.1 Mailvelope mit GnuPG nutzen

10.2.2 Mailvelope und Autocrypt

10.3 Einige Ergänzungen zum Thema GnuPG

10.3.1 Gedanken zur Auswahl und Stärke von Schlüsseln

10.3.2 GnuPG-Smartcards nutzen

10.3.3 Autocrypt

10.3.4 Verschlüsselung in Webformularen

10.3.5 OpenPGP-Verschlüsselung für Kontaktformulare

10.3.6 OpenPGP Keyserver

10.3.7 Web des Vertrauens (WoT)

10.4 Verschlüsselte Dokumente per E-Mail senden

11 Instant Messaging und Telefonie

11.1 Instant Messaging

11.1.1 Messenger Threema

11.1.2 Messenger Signal App

11.1.3 Messenger Telegram

11.1.4 Messenger basierend auf [matrix]

11.1.5 Chatten mit Jabber/XMPP

11.1.6 Messenger Wire

11.1.7 Einige weitere Messenger (unvollständig)

11.2 Verschlüsselte Telefonie

11.2.1 SRTP/ZRTP-Verschlüsselung

11.2.2 Verschlüsselt chatten und telefonieren mit qTox

11.2.3 Skype???

11.3 Videokonferenzen

12 Anonymisierungsdienste

12.1 Gedanken zur Anonymität

12.2 Was können Anonymisierungsdienste wie Tor?

12.3 Tor Onion Router

12.3.1 Security Notes

12.3.2 Anonym Surfen mit dem TorBrowserBundle

12.3.3 Tor Onion Router für Android Smartphones

12.3.4 OnionBrowser für iPhones

12.3.5 Sicherheitskonzept für hohe Ansprüche

12.3.6 Whonix-Tor-VMs

12.3.7 Anonyme E-Mail-Accounts

12.3.8 Anonym Bloggen

12.3.9 Anonymes Instant-Messaging

12.3.10 Dateien anonym tauschen via Tor

12.3.11 Tor-Onion-Services

12.3.12 Anti-Zensur-Features von Tor Onion Router

12.3.13 Tor-Bad-Exit-Nodes

12.4 Finger weg von unseriösen Angeboten

13 Virtual Private Networks (VPNs)

13.1 VPN Dienste als Billig-Anonymisierer

13.2 Empfehlenswerte VPN-Provider

13.3 VPNs für kleine Firmen oder für das Heimnetz

13.3.1 DynDNS-Adresse einrichten

13.3.2 WireGuard VPN mit Speedport Smart 3/4 Routern

13.3.3 Fritz!VPN mit der Fritz!Box

13.4 IPsec/IKEv2 VPN Client mit Windows 10

13.5 Verschiedene VPN Lösungen für Linux

13.5.1 OpenVPN mit Linux

13.5.2 Wireguard mit Linux

13.5.3 IPsec/IKEv2 mit Linux

13.5.4 Firewall Kill-Switch-Konfiguration für VPNs mit UFW

13.6 Das VPN Exploitation Team der NSA

14 Domain Name Service (DNS)

14.1 DNSSEC-Validierung

14.2 Verschlüsselung des DNS-Datenverkehrs

14.3 Vertrauenswürdige DNS-Server

14.4 Unzensierte DNS-Server von vertrauenswürdigen VPN-Providern

14.5 DNS-Server der Big-Player der IT-Branche

14.6 Konfiguration der DNS-Server

15 Daten verteilen

15.1 Wenige Dateien verteilen (an Bekannte und zwischen den eigenen Geräten)

15.2 Private, eigene Cloud

15.3 Cloudserver von Dritten (also die sogenannte Klaut)

16 Daten verschlüsseln

16.1 Konzepte der vorgestellten Tools

16.2 Gedanken zur Passphrase

16.3 Dokumente verschlüsselt speichern

16.4 Quick and Dirty mit GnuPG

16.5 BitLocker für Windows

16.6 dm-crypt/LUKS für Linux

16.6.1 Linux-System komplett verschlüsseln

16.6.2 Für Genießer in der Konsole mit cryptsetup

16.6.3 Hardware-Token verwenden (FIDO2, Nitrokeys, Yubikeys)

16.6.4 LUKS-Nuke – hinterhältige Datenzerstörung

16.7 zuluCrypt für Linux

16.8 Backups verschlüsseln

16.8.1 Schnell mal auf eine externe SSD-Festplatte

16.8.2 Online-Backups in der Cloud

17 Daten löschen

17.1 Dateien in den Papierkorb werfen

17.2 Dateien sicher löschen (Festplatten)

17.3 Dateireste nachträglich beseitigen

17.4 Dateien sicher löschen (SSDs)

17.5 Gesamten Datenträger säubern (Festplatten)

17.6 Gesamten Datenträger säubern (SSDs)

17.7 Tools zum Löschen von SSDs im BIOS von Laptops

17.8 Datenträger zerstören

18 Daten anonymisieren

18.1 Fotos und Bilddateien anonymisieren

18.2 PDF-Dokumente säubern

18.3 MS Office Dokumente säubern

19 Daten verstecken

19.1 Allgemeine Hinweise

19.2 steghide

19.3 stegdetect

20 Betriebssysteme

20.1 Microsoft Windows

20.1.1 Windows datenschutzfreundlich konfigurieren

20.1.2 Telemetrie in Windows 10

20.1.3 Virescanner sind Snakeoil

20.2 Apple MacOS

20.3 Linux-Distributionen

20.3.1 Linux-taugliche Hardware

20.3.2 Boot-Medium für die Linux Installation oder Live-DVD erstellen

20.4 NetBSD und OpenBSD

20.5 Risiko USB, Firewire und Thunderbolt

20.6 Linux Firewall konfigurieren

20.6.1 Uncomplicated Firewall (UFW)

20.6.2 RHEL/Fedora firewalld

20.6.3 QubesOS Firewall

20.7 WLAN Privacy Leaks

20.7.1 MAC-Adresse faken (Windows 10)

20.7.2 MAC-Adresse faken (Linux)

21 Smartphones

21.1 Datensammlungen der Smartphone-Hersteller

21.2 Datenschutzfreundliche Alternativen für Android

21.3 Datensammlungen mit Smartphone Apps

21.4 Überwachung

21.5 Aktivierung als Abhörwanze

21.6 WLAN und Bluetooth ausschalten, wenn nicht genutzt

21.7 Push Services oder Polling nutzen

21.8 Tracking blockieren

21.9 Zugriff auf Standortdaten einschränken

21.10 Browser Konfiguration

21.11 Fake-Handy-Nummern

21.12 Kill-Switch und Frontdoor

21.13 Angriffe mit (Staats-) Trojanern erschweren

21.14 Juice-Jacking-Angriffe

21.15 IMSI-Catcher

21.16 Das Hidden OS im Smartphone

21.17 Smartphones löschen

Kapitel 1Scroogled

Greg landete abends um acht auf dem internationalen Flughafen von San Francisco, doch bis er in der Schlange am Zoll ganz vorn ankam, war es nach Mitternacht. Er war der ersten Klasse nussbraun, unrasiert und drahtig entstiegen, nachdem er einen Monat am Strand von Cabo verbracht hatte, um drei Tage pro Woche zu tauchen und sich in der übrigen Zeit mit der Verführung französischer Studentinnen zu beschäftigen. Vor vier Wochen hatte er die Stadt als hängeschultriges, kullerbäuchiges Wrack verlassen. Nun war er ein bronzener Gott, der bewundernde Blicke der Stewardessen vorn in der Kabine auf sich zog.

Vier Stunden später war in der Schlange am Zoll aus dem Gott wieder ein Mensch geworden. Sein Elan war ermattet, Schweiß rann ihm bis hinunter zum Po, und Schultern und Nacken waren so verspannt, dass sein Rücken sich anfühlte wie ein Tennisschläger. Sein iPod-Akku hatte schon längst den Geist aufgegeben, sodass ihm keine andere Ablenkung blieb, als dem Gespräch des Pärchens mittleren Alters vor ihm zu lauschen.

„Die Wunder moderner Technik“, sagte die Frau mit Blick auf ein Schild in seiner Nähe: Einwanderung – mit Unterstützung von Google.

„Ich dachte, das sollte erst nächsten Monat losgehen?“ Der Mann setzte seinen Riesen-Sombrero immer wieder auf und ab.

Googeln an der Grenze – Allmächtiger. Greg hatte sich vor sechs Monaten von Google verabschiedet, nachdem er seine Aktienoptionen zu Barem gemacht hatte, um sich eine Auszeit zu gönnen, die dann allerdings nicht so befriedigend geworden war wie erhofft. Denn während der ersten fünf Monate hatte er kaum etwas anderes getan, als die Rechner seiner Freunde zu reparieren, tagsüber vorm Fernseher zu sitzen und zehn Pfund zuzunehmen –, was wohl darauf zurückzuführen gewesen war, dass er nun daheim herumgesessen war statt im Googleplex mit seinem gut ausgestatteten 24-Stunden-Fitnessclub.

Klar, er hätte es kommen sehen müssen. Die US-Regierung hatte 15 Milliarden Dollar daran verschwendet, Besucher an der Grenze zu fotografieren und ihre Fingerabdrücke zu nehmen –, und man hatte nicht einen einzigen Terroristen geschnappt. Augenscheinlich war die öffentliche Hand nicht in der Lage, richtig zu suchen.

Der DHS-Beamte hatte tiefe Ringe unter den Augen und blinzelte auf seinen Monitor, während er die Tastatur mit seinen Wurstfingern traktierte. Kein Wunder, dass es vier Stunden dauerte, aus dem verdammten Flughafen rauszukommen.

„n Abend“, sagte Greg und reichte dem Mann seinen schwitzigen Pass. Der Mann grunzte etwas und wischte ihn ab, dann starrte er auf den Bildschirm und tippte. Eine Menge. Ein kleiner Rest getrockneten Essens klebte ihm im Mundwinkel, und er bearbeitete ihn mit seiner Zunge.

„Möchten Sie mir was über Juni 1998 erzählen?“

Greg blickte vom Abflugplan hoch. „Pardon?“

„Sie haben am 17. Juni 1998 eine Nachricht auf alt.burningman über Ihre Absicht geschrieben, ein Festival zu besuchen. Und da fragten Sie: Sind Psychopilze wirklich so eine schlechte Idee?“

Der Interviewer im zweiten Befragungsraum war ein älterer Mann, nur Haut und Knochen, als sei er aus Holz geschnitzt. Seine Fragen gingen sehr viel tiefer als Psychopilze.

„Berichten Sie von Ihren Hobbys. Befassen Sie sich mit Raketenmodellen?“

„Womit?“

„Mit Raketenmodellen.“

„Nein“, sagte Greg, „überhaupt nicht“. Er ahnte, worauf das hinauslief.

Der Mann machte eine Notiz und klickte ein paarmal. „Ich frage nur, weil bei Ihren Suchanfragen und Ihrer Google-Mail ne Menge Werbung für Raketenzubehör auftaucht.“

Greg schluckte. „Sie blättern durch meine Suchanfragen und Mails?“ Er hatte nun seit einem Monat keine Tastatur mehr angefasst, aber er wusste: Was er in die Suchleiste eintippte, war wahrscheinlich aussagekräftiger als alles, was er seinem Psychiater erzählte.

„Sir, bleiben Sie bitte ruhig. Nein, ich schaue Ihre Suchanfragen nicht an“, sagte der Mann mit einem gespielten Seufzer. „Das wäre verfassungswidrig. Wir sehen nur, welche Anzeigen erscheinen, wenn Sie Ihre Mails lesen oder etwas suchen. Ich habe eine Broschüre, die das erklärt. Sie bekommen sie, sobald wir hier durch sind.“

„Aber die Anzeigen bedeuten nichts“, platzte Greg heraus. „Ich bekomme Anzeigen für Ann-Coulter-Klingeltöne, sooft ich eine Mail von meinem Freund in Coulter, Iowa, erhalte!“

Der Mann nickte. „Ich verstehe, Sir. Und genau deshalb spreche ich jetzt hier mit Ihnen. Können Sie sich erklären, weshalb bei Ihnen so häufig Modellraketen-Werbung erscheint?“

Greg grübelte. „Okay, probieren wir es mal. Suchen Sie nach coffee fanatics.“ Er war in der Gruppe mal ziemlich aktiv gewesen und hatte beim Aufbau der Website ihres Kaffee-des-Monats-Abodienstes geholfen. Die Bohnenmischung zum Start des Angebots hieß „Turbinen-Treibstoff“. Das plus „Start“, und schon würde Google ein paar Modellraketen-Anzeigen einblenden.

Die Sache schien gerade ausgestanden zu sein, als der geschnitzte Mann die Halloween-Fotos entdeckte – tief vergraben auf der dritten Seite der Suchergebnisse für Greg Lupinski.

„Es war eine Golfkriegs-Themenparty im Castro“, sagte er.

„Und Sie sind verkleidet als . . .?“

„Selbstmordattentäter“, erwiderte er kläglich. Das Wort nur auszusprechen, verursachte ihm Übelkeit.

„Kommen Sie mit, Mr. Lupinski“, sagte der Mann.

Als er endlich gehen durfte, war es nach drei Uhr. Seine Koffer standen verloren am Gepäckkarussell. Er nahm sie und sah, dass sie geöffnet und nachlässig wieder geschlossen worden waren; hier und da lugten Kleidungsstücke heraus.

Daheim stellte er fest, dass all seine pseudopräkolumbianischen Statuen zerbrochen worden waren und dass mitten auf seinem brandneuen weißen mexikanischen Baumwollhemd ein ominöser Stiefelabdruck prangte. Seine Kleidung roch nun nicht mehr nach Mexiko – sie roch nach Flughafen.

An Schlaf war jetzt nicht mehr zu denken, er musste über die Sache reden. Es gab nur eine einzige Person, die all das begreifen würde. Zum Glück war sie normalerweise um diese Zeit noch wach.

Maya war zwei Jahre nach Greg zu Google gekommen. Sie war es, die ihn überzeugt hatte, nach dem Einlösen der Optionen nach Mexiko zu gehen: Wohin auch immer, hatte sie gesagt, solange er nur seinem Dasein einen Neustart verpasste.

Maya hatte zwei riesige schokobraune Labradore und eine überaus geduldige Freundin, Laurie, die mit allem einverstanden war, solange es nicht bedeutete, dass sie selbst morgens um sechs von 350 Pfund sabbernder Caniden durch Dolores Park geschleift wurde.

Maya griff nach ihrem Tränengas, als Greg auf sie zugelaufen kam; dann blickte sie ihn erstaunt an und breitete ihre Arme aus, während sie die Leinen fallen ließ und mit dem Schuh festhielt. „Wo ist der Rest von dir? Mann, siehst du heiß aus!“

Er erwiderte die Umarmung, plötzlich seines Aromas nach einer Nacht invasiven Googelns bewusst. „Maya“, sagte er, „was weißt du über Google und das DHS?“

Seine Frage ließ sie erstarren. Einer der Hunde begann zu jaulen. Sie blickte sich um, nickte dann hoch in Richtung der Tennisplätze. „Auf dem Laternenmast – nicht hinschauen“, sagte sie. „Da ist einer unserer lokalen Funknetz-Hotspots. Weitwinkel-Webcam. Guck in die andere Richtung, während du sprichst.“

Letztlich war es für Google gar nicht teuer gewesen, die Stadt mit Webcams zu überziehen – vor allem, wenn man bedachte, welche Möglichkeiten es bot, Menschen die passende Werbung zu ihrem jeweiligen Aufenthaltsort liefern zu können. Greg hatte seinerzeit kaum Notiz davon genommen, als die Kameras auf all den Hotspots ihren öffentlichen Betrieb aufgenommen hatten; es hatte einen Tag lang Aufruhr in der Blogosphäre gegeben, während die Leute mit dem neuen Allesseher zu spielen begonnen und an diverse Rotlichtviertel herangezoomt hatten, doch nach einer Weile war die Aufregung abgeebbt.

Greg kam sich albern vor, er murmelte: „Du machst Witze.“

„Komm mit“, erwiderte sie, nicht ohne sich dabei vom Laternenpfahl abzuwenden.

Die Hunde waren nicht einverstanden damit, den Spaziergang abzukürzen, und taten ihren Unmut in der Küche kund, wo Maya Kaffee zubereitete.

„Wir haben einen Kompromiss mit dem DHS ausgehandelt“, sagte sie und griff nach der Milch. „Sie haben sich damit einverstanden erklärt, nicht mehr unsere Suchprotokolle zu durchwühlen, und wir lassen sie im Gegenzug sehen, welcher Nutzer welche Anzeigen zu sehen bekommt.“

Greg fühlte sich elend. „Warum? Sag nicht, dass Yahoo es schon vorher gemacht hat . . . “

„N-nein. Doch, ja, sicher, Yahoo war schon dabei. Aber das war nicht der Grund für Google, mitzumachen. Du weißt doch, die Republikaner hassen Google. Wir sind größtenteils als Demokraten registriert, also tun wir unser Bestes, mit ihnen Frieden zu schließen, bevor sie anfangen, sich auf uns einzuschießen. Es geht ja auch nicht um P.I.I.“ – persönlich identifizierende Information, der toxische Smog der Informationsära – „sondern bloß um Metadaten. Also ist es bloß ein bisschen böse.“

„Warum dann all die Heimlichtuerei?“

Maya seufzte und umarmte den Labrador, dessen gewaltiger Kopf auf ihrem Knie ruhte. „Die Schlapphüte sind wie Läuse – die sind überall. Tauchen sogar in unseren Konferenzen auf, als wären wir in irgendeinem Sowjet-Ministerium. Und dann die Sicherheitseinstufungen – das spaltet uns in zwei Lager: solche mit Bescheinigung und solche ohne. Jeder von uns weiß, wer keine Freigabe hat, aber niemand weiß, warum. Ich bin als sicher eingestuft – zum Glück fällt man als Lesbe nicht mehr gleich automatisch durch. Keine sichere Person würde sich herablassen, mit jemandem essen zu gehen, der keine Freigabe hat.“

Greg fühlte sich sehr müde. „Na, da kann ich von Glück reden, dass ich lebend aus dem Flughafen herausgekommen bin. Mit Pech wäre ich jetzt eine Vermisstenmeldung, was?“

Maya blickte ihn nachdenklich an. Er wartete auf eine Antwort.

„Was ist denn?“

„Ich werde dir jetzt was erzählen, aber du darfst es niemals weitergeben, o.k.?“

„Ähm, du bist nicht zufällig in einer terroristischen Vereinigung?“

„Wenn es so einfach wäre . . . Die Sache ist die: Was das DHS am Flughafen treibt, ist eine Art Vorsortierung, die es den Schlapphüten erlaubt, ihre Suchkriterien enger zu fassen. Sobald du an der Grenze ins zweite Zimmerchen gebeten wirst, bist du eine Person von Interesse – und dann haben sie dich im Griff. Sie suchen über Webcams nach deinem Gesicht und Gang, lesen deine Mail, überwachen deine Suchanfragen.“

„Sagtest du nicht, die Gerichte würden das nicht erlauben?“

„Sie erlauben es nicht, jedermann undifferenziert auf blauen Dunst zu googeln. Aber sobald du im System bist, wird das eine selektive Suche. Alles legal. Und wenn sie dich erst mal googeln, finden sie garantiert irgendwas. Deine gesamten Daten werden auf verdächtige Muster abgegrast, und aus jeder Abweichung von der statistischen Norm drehen sie dir einen Strick.“

Greg fühlte Übelkeit in sich aufsteigen. „Wie zum Teufel konnte das passieren? Google war ein guter Ort. Tu nichts Böses, war da nicht was?“ Das war das Firmenmotto, und für Greg war es ein Hauptgrund dafür gewesen, seinen Stanford-Abschluss in Computerwissenschaften direkten Wegs nach Mountain View zu tragen.

Mayas Erwiderung war ein raues Lachen. „Tu nichts Böses? Ach komm, Greg. Unsere Lobbyistengruppe ist dieselbe Horde von Kryptofaschisten, die Kerry die Swift-Boat-Nummer anhängen wollte. Wir haben schon längst angefangen, vom Bösen zu naschen.“

Sie schwiegen eine Minute lang.

„Es ging in China los“, sagte sie schließlich. „Als wir unsere Server aufs Festland brachten, unterstellten wir sie damit chinesischem Recht.“

Greg seufzte. Er wusste nur zu gut um Googles Einfluss: Sooft man eine Webseite mit Google Ads besuchte, Google Maps oder Google Mail benutzte – ja sogar, wenn man nur Mail an einen Gmail-Nutzer sendete –, wurden diese Daten von der Firma penibel gesammelt. Neuerdings hatte Google sogar begonnen, die Suchseite auf Basis solcher Daten für die einzelnen Nutzer zu personalisieren. Dies hatte sich als revolutionäres Marketingwerkzeug erwiesen. Eine autoritäre Regierung würde damit andere Dinge anfangen wollen.

„Sie benutzten uns dazu, Profile von Menschen anzulegen“, fuhr sie fort. „Wenn sie jemanden einbuchten wollten, kamen sie zu uns und fanden einen Vorwand dafür. Schließlich gibt es kaum eine Aktivität im Internet, die in China nicht illegal ist.“

Greg schüttelte den Kopf. „Und warum mussten die Server in China stehen?“

„Die Regierung sagte, sie würde uns sonst blocken. Und Yahoo war schon da.“ Sie schnitten beide Grimassen. Irgendwann hatten die Google-Mitarbeiter eine Obsession für Yahoo entwickelt und sich mehr darum gekümmert, was die Konkurrenz trieb, als darum, wie es um das eigene Unternehmen stand. „Also taten wir es – obwohl viele von uns es nicht für eine gute Idee hielten.“

Maya schlürfte ihren Kaffee und senkte die Stimme. Einer ihrer Hunde schnupperte unablässig unter Gregs Stuhl.

„Die Chinesen forderten uns praktisch sofort auf, unsere Suchergebnisse zu zensieren“, sagte Maya. „Google kooperierte. Mit einer ziemlich bizarren Begründung: Wir tun nichts Böses, sondern wir geben den Kunden Zugriff auf eine bessere Suchmaschine! Denn wenn wir ihnen Suchergebnisse präsentierten, die sie nicht aufrufen können, würde sie das doch nur frustrieren – das wäre ein mieses Nutzererlebnis.“

„Und jetzt?“ Greg schubste einen Hund beiseite. Maya wirkte gekränkt.

„Jetzt bist du eine Person von Interesse, Greg. Du wirst googlebelauert. Du lebst jetzt ein Leben, in dem dir permanent jemand über die Schulter blickt. Denk an die Firmen-Mission: Die Information der Welt organisieren. Alles. Lass fünf Jahre ins Land gehen, und wir wissen, wie viele Haufen in der Schüssel waren, bevor du sie gespült hast. Nimm dazu die automatisierte Verdächtigung von jedem, der Übereinstimmungen mit dem statistischen Bild eines Schurken aufweist, und du bist . . . “

„. . . verraten und vergoogelt.“

„Voll und ganz“, nickte sie.

Maya brachte beide Labradors zum Schlafzimmer. Eine gedämpfte Diskussion mit ihrer Freundin war zu hören, dann kam sie allein zurück.

„Ich kann die Sache in Ordnung bringen“, presste sie flüsternd hervor. „Als die Chinesen mit den Verhaftungen anfingen, machten ein paar Kollegen und ich es zu unserem 20-Prozent-Projekt, ihnen in die Suppe zu spucken.“ (Eine von Googles unternehmerischen Innovationen war die Regel, dass alle Angestellten 20 Prozent ihrer Arbeitszeit in anspruchsvolle Projekte nach eigenem Gusto zu investieren hatten.) „Wir nennen es den Googleputzer. Er greift tief in die Datenbanken ein und normalisiert dich statistisch. Deine Suchanfragen, Gmail-Histogramme, Surfmuster. Alles. Greg, ich kann dich googleputzen. Eine andere Möglichkeit hast du nicht.“

„Ich will nicht, dass du meinetwegen Ärger bekommst.“

Sie schüttelte den Kopf. „Ich bin ohnehin schon geliefert. Jeder Tag, seit ich das verdammte Ding programmiert habe, ist geschenkte Zeit. Ich warte bloß noch drauf, dass jemand dem DHS meinen Background steckt, und dann . . . tja, ich weiß auch nicht. Was auch immer sie mit Menschen wie mir machen in ihrem Krieg gegen abstrakte Begriffe.“

Greg dachte an den Flughafen, an die Durchsuchung, an sein Hemd mit dem Stiefelabdruck.

„Tu es“, sagte er.

Der Googleputzer wirkte Wunder. Greg erkannte es daran, welche Anzeigen am Rand seiner Suchseiten erschienen, Anzeigen, die offensichtlich für jemand anderen gedacht waren. Fakten zum Intelligent Design, Abschluss im Online-Seminar, ein terrorfreies Morgen, Pornografieblocker, die homosexuelle Agenda, billige Toby-Keith-Tickets. Es war offensichtlich, dass Googles neue personalisierte Suche ihn für einen völlig anderen hielt: einen gottesfürchtigen Rechten mit einer Schwäche für Cowboy-Musik.

Nun gut, das sollte ihm recht sein.

Dann klickte er sein Adressbuch an und stellte fest, dass die Hälfte seiner Kontakte fehlte. Sein Gmail-Posteingang war wie von Termiten ausgehöhlt, sein Orkut-Profil normalisiert. Sein Kalender, Familienfotos, Lesezeichen: alles leer. Bis zu diesem Moment war ihm nicht klar gewesen, wie viel seiner selbst ins Web migriert war und seinen Platz in Googles Serverfarmen gefunden hatte – seine gesamte Online-Identität. Maya hatte ihn auf Hochglanz poliert; er war jetzt Der Unsichtbare.

Greg tippte schläfrig auf die Tastatur seines Laptops neben dem Bett und erweckte den Monitor zum Leben. Er blinzelte die Uhr in der Toolbar an. 4:13 Uhr morgens! Allmächtiger, wer hämmerte denn um diese Zeit gegen seine Tür?

Er rief mit nuscheliger Stimme „Komm ja schon“ und schlüpfte in Morgenmantel und Pantoffeln. Dann schlurfte er den Flur entlang und knipste unterwegs die Lichter an. Durch den Türspion blickte ihm düster Maya entgegen.

Er entfernte Kette und Riegel und öffnete die Tür. Maya huschte an ihm vorbei, gefolgt von den Hunden und ihrer Freundin. Sie war schweißüberströmt, ihr normalerweise gekämmtes Haar hing strähnig in die Stirn. Sie rieb sich die rot geränderten Augen.

„Pack deine Sachen“, stieß sie heiser hervor.

„Was?“

Sie packte ihn bei den Schultern. „Mach schon“, sagte sie.

„Wohin willst . . . “

„Mexiko wahrscheinlich. Weiß noch nicht. Nun pack schon, verdammt.“ Sie drängte sich an ihm vorbei ins Schlafzimmer und begann, Schubladen zu öffnen.

„Maya“, sagte er scharf, „ich gehe nirgendwohin, solange du mir nicht sagst, was los ist.“

Sie starrte ihn an und wischte ihre Haare aus dem Gesicht. „Der Googleputzer lebt. Nachdem ich dich gesäubert hatte, habe ich ihn runtergefahren und bin verschwunden. Zu riskant, ihn noch weiter zu benutzen. Aber er schickt mir Mailprotokolle, sooft er läuft. Und jemand hat ihn sechs Mal verwendet, um drei verschiedene Benutzerkonten zu schrubben – und die gehören zufällig alle Mitgliedern des Senats-Wirtschaftskomitees, die vor Neuwahlen stehen.“

„Googler frisieren die Profile von Senatoren?“

„Keine Google-Leute. Das kommt von außerhalb; die IP-Blöcke sind in D.C. registriert. Und alle IPs werden von Gmail-Nutzern verwendet. Rate mal, wem diese Konten gehören.“

„Du schnüffelst in Gmail-Konten?“

„Hm, ja. Ich habe durch ihre E-Mails geschaut. Jeder macht das mal, und mit weitaus übleren Motiven als ich. Aber stell dir vor, all diese Aktivität geht von unserer Lobbyistenfirma aus. Machen nur ihren Job, dienen den Interessen des Unternehmens.“

Greg fühlte das Blut in seinen Schläfen pulsieren. „Wir sollten es jemandem erzählen.“

„Das bringt nichts. Die wissen alles über uns. Sehen jede Suchanfrage, jede Mail, jedes Mal, wenn uns die Webcams erfassen. Wer zu unserem sozialen Netzwerk gehört . ..Wusstest du das? Wenn du 15 Orkut-Freunde hast, ist es statistisch gesehen sicher, dass du höchstens drei Schritte entfernt bist von jemandem, der schon mal Geld für terroristische Zwecke gespendet hat. Denk an den Flughafen – das war erst der Anfang für dich.“

„Maya“, sagte Greg, der nun seine Fassung wiedergewann, „übertreibst du es nicht mit Mexiko? Du könntest doch kündigen, und wir ziehen ein Start-up auf. Aber das ist doch bescheuert.“

„Sie kamen heute zu Besuch“, entgegnete sie. „Zwei politische Beamte vom DHS. Blieben stundenlang und stellten eine Menge verdammt harter Fragen.“

„Über den Googleputzer?“

„Über meine Freunde und Familie. Meine Such-Geschichte. Meine persönliche Geschichte.“

„Jesus.“

„Das war eine Botschaft für mich. Die beobachten mich – jeden Klick, jede Suche. Zeit zu verschwinden, jedenfalls aus ihrer Reichweite.“

„In Mexiko gibt es auch eine Google-Niederlassung.“

„Wir müssen jetzt los“, beharrte sie.

„Laurie, was hältst du davon?“, fragte Greg.

Laurie stupste die Hunde zwischen die Schultern. „Meine Eltern sind?65 aus Ostdeutschland weggegangen. Sie haben mir immer von der Stasi erzählt. Die Geheimpolizei hat alles über dich in deiner Akte gesammelt: ob du vaterlandsfeindliche Witze erzählst, all so?n Zeug. Ob sie es nun wollten oder nicht, Google hat inzwischen das Gleiche aufgezogen.“

„Greg, kommst du nun?“

Er blickte die Hunde an und schüttelte den Kopf. „Ich habe ein paar Pesos übrig“, sagte er. „Nehmt sie mit. Und passt auf euch auf, ja?“

Maya zog ein Gesicht, als wolle sie ihm eine runterhauen. Dann entspannte sie sich und umarmte ihn heftig.

„Pass du auf dich auf“, flüsterte sie ihm ins Ohr.

Eine Woche später kamen sie zu ihm. Nach Hause, mitten in der Nacht, genau wie er es sich vorgestellt hatte. Es war kurz nach zwei Uhr morgens, als zwei Männer vor seiner Tür standen.

Einer blieb schweigend dort stehen. Der andere war ein Lächler, klein und faltig, mit einem Fleck auf dem einen Mantelrevers und einer amerikanischen Flagge auf dem anderen. „Greg Lupinski, es besteht der begründete Verdacht, dass Sie gegen das Gesetz über Computerbetrug und -missbrauch verstoßen haben“, sagte er, ohne sich vorzustellen. „Insbesondere, dass Sie Bereiche autorisierten Zugangs überschritten und sich dadurch Informationen verschafft haben. Zehn Jahre für Ersttäter. Außerdem gilt das, was Sie und Ihre Freundin mit Ihren Google-Daten gemacht haben, als schweres Verbrechen. Und was dann noch in der Verhandlung zutage kommen wird . . . angefangen mit all den Dingen, um die Sie Ihr Profil bereinigt haben.“

Greg hatte diese Szene eine Woche lang im Geist durchgespielt, und er hatte sich allerlei mutige Dinge zurechtgelegt, die er hatte sagen wollen. Es war eine willkommene Beschäftigung gewesen, während er auf Mayas Anruf gewartet hatte. Der Anruf war nie gekommen.

„Ich möchte einen Anwalt sprechen“, war alles, was er herausbrachte.

„Das können Sie tun“, sagte der kleine Mann. „Aber vielleicht können wir zu einer besseren Einigung kommen.“

Greg fand seine Stimme wieder. „Darf ich mal Ihre Marke sehen?“

Das Basset-Gesicht des Mannes hellte sich kurz auf, als er ein amüsiertes Glucksen unterdrückte. „Kumpel, ich bin kein Bulle“, entgegnete er. „Ich bin Berater. Google beschäftigt mich – meine Firma vertritt ihre Interessen in Washington –, um Beziehungen aufzubauen. Selbstverständlich würden wir niemals die Polizei hinzuziehen, ohne zuerst mit Ihnen zu sprechen. Genau genommen möchte ich Ihnen ein Angebot unterbreiten.“

Greg wandte sich der Kaffeemaschine zu und entsorgte den alten Filter.

„Ich gehe zur Presse“, sagte er.

Der Mann nickte, als ob er darüber nachdenken müsse. „Na klar. Sie gehen eines Morgens zum Chronicle und breiten alles aus. Dort sucht man nach einer Quelle, die Ihre Story stützt; man wird aber keine finden. Und wenn sie danach suchen, werden wir sie finden. Also lassen Sie mich doch erst mal ausreden, Kumpel. Ich bin im Win-Win-Geschäft, und ich bin sehr gut darin.“

Er pausierte. „Sie haben da übrigens hervorragende Bohnen, aber wollen Sie sie nicht erst eine Weile wässern? Dann sind sie nicht mehr so bitter, und die Öle kommen besser zur Geltung. Reichen Sie mir mal ein Sieb?“

Greg beobachtete den Mann dabei, wie er schweigend seinen Mantel auszog und über den Küchenstuhl hängte, die Manschetten öffnete, die Ärmel sorgfältig hochrollte und eine billige Digitaluhr in die Tasche steckte. Er kippte die Bohnen aus der Mühle in Gregs Sieb und wässerte sie in der Spüle.

Er war ein wenig untersetzt und sehr bleich, mit all der sozialen Anmut eines Elektroingenieurs. Wie ein echter Googler auf seine Art, besessen von Kleinigkeiten. Mit Kaffeemühlen kannte er sich also auch aus.

„Wir stellen ein Team für Haus 49 zusammen .. . “

„Es gibt kein Haus 49“, sagte Greg automatisch.

„Schon klar“, entgegnete der andere mit verkniffenem Lächeln. „Es gibt kein Haus 49. Aber wir bauen ein Team auf, das den Googleputzer überarbeiten soll. Mayas Code ist nicht sonderlich schlank und steckt voller Fehler. Wir brauchen ein Upgrade. Sie wären der Richtige; und was Sie wissen, würde keine Rolle spielen, wenn Sie wieder an Bord sind.“

„Unglaublich“, sagte Greg spöttisch. „Wenn Sie denken, dass ich Ihnen helfe, im Austausch für Gefälligkeiten politische Kandidaten anzuschwärzen, sind Sie noch wahnsinniger, als ich dachte.“

„Greg“, sagte der Mann, „niemand wird angeschwärzt. Wir machen nur ein paar Dinge sauber. Für ausgewählte Leute. Sie verstehen mich doch? Genauer betrachtet gibt jedes Google-Profil Anlass zur Sorge. Und genaue Betrachtung ist der Tagesbefehl in der Politik. Eine Bewerbung um ein Amt ist wie eine öffentliche Darmspiegelung.“ Er befüllte die Kaffeemaschine und drückte mit vor Konzentration verzerrtem Gesicht den Kolben nieder. Greg holte zwei Kaffeetassen (Google-Becher natürlich) und reichte sie weiter.

„Wir tun für unsere Freunde das Gleiche, was Maya für Sie getan hat. Nur ein wenig aufräumen. Nur ihre Privatsphäre schützen – mehr nicht.“

Greg nippte am Kaffee. „Was geschieht mit den Kandidaten, die Sie nicht putzen?“

„Na ja“, sagte Gregs Gegenüber mit dünnem Grinsen, „tja, Sie haben Recht, für die wird es ein bisschen schwierig.“ Er kramte in der Innentasche seines Mantels und zog einige gefaltete Blätter Papier hervor, strich sie glatt und legte sie auf den Tisch. „Hier ist einer der Guten, der unsere Hilfe braucht.“ Es war das ausgedruckte Suchprotokoll eines Kandidaten, dessen Kampagne Greg während der letzten drei Wahlen unterstützt hatte.

„Der Typ kommt also nach einem brutalen Wahlkampf-Tag voller Klinkenputzen ins Hotel, fährt den Laptop hoch und tippt knackige Ärsche in die Suchleiste. Ist doch kein Drama, oder? Wir sehen es so: Wenn man wegen so was einen guten Mann daran hindert, weiterhin seinem Land zu dienen, wäre das schlichtweg unamerikanisch.“

Greg nickte langsam.

„Sie werden ihm also helfen?“, fragte der Mann.

„Ja.“

„Gut. Da wäre dann noch was: Sie müssen uns helfen, Maya zu finden. Sie hat überhaupt nicht verstanden, worum es uns geht, und jetzt scheint sie sich verdrückt zu haben. Wenn sie uns bloß mal zuhört, kommt sie bestimmt wieder rum.“

Er betrachtete das Suchprofil des Kandidaten.

„Denke ich auch“, erwiderte Greg.

Der neue Kongress benötigte elf Tage, um das Gesetz zur Sicherung und Erfassung von Amerikas Kommunikation und Hypertext zu verabschieden. Es erlaubte dem DHS und der NSA, bis zu 80 Prozent der Aufklärungs- und Analysearbeit an Fremdfirmen auszulagern. Theoretisch wurden die Aufträge über offene Bietverfahren vergeben, aber in den sicheren Mauern von Googles Haus 49 zweifelte niemand daran, wer den Zuschlag erhalten würde. Wenn Google 15 Milliarden Dollar für ein Programm ausgegeben hätte, Übeltäter an den Grenzen abzufangen, dann hätte es sie garantiert erwischt – Regierungen sind einfach nicht in der Lage, richtig zu suchen.

Am Morgen darauf betrachtete Greg sich prüfend im Rasierspiegel (das Wachpersonal mochte keine Hacker-Stoppelbärte und hatte auch keine Hemmungen, das deutlich zu sagen), als ihm klar wurde, dass heute sein erster Arbeitstag als De-facto-Agent der US-Regierung begann. Wie schlimm mochte es werden? Und war es nicht besser, dass Google die Sache machte, als irgendein ungeschickter DHS-Schreibtischtäter?

Als er am Googleplex zwischen all den Hybridautos und überquellenden Fahrradständern parkte, hatte er sich selbst überzeugt. Während er sich noch fragte, welche Sorte Bio-Fruchtshake er heute in der Kantine bestellen würde, verweigerte seine Codekarte den Zugang zu Haus 49. Die rote LED blinkte immer nur blöde vor sich hin, wenn er seine Karte durchzog. In jedem anderen Gebäude würde immer mal jemand raus- und wieder reinkommen, dem man sich anschließen könnte. Aber die Googler in 49 kamen höchstens zum Essen raus, und manchmal nicht einmal dann.

Ziehen, ziehen, ziehen. Plötzlich hörte er eine Stimme neben sich.

„Greg, kann ich Sie bitte sprechen?“

Der verschrumpelte Mann legte einen Arm um seine Schulter, und Greg atmete den Duft seines Zitrus-Rasierwassers ein. So hatte sein Tauchlehrer in Baja geduftet, wenn sie abends durch die Kneipen gezogen waren. Greg konnte sich nicht an seinen Namen erinnern: Juan Carlos? Juan Luis?

Der Mann hielt seine Schulter fest im Griff, lotste ihn weg von der Tür, über den tadellos getrimmten Rasen und vorbei am Kräutergarten vor der Küche. „Wir geben Ihnen ein paar Tage frei“, sagte er.

Greg durchschoss eine Panikattacke. „Warum?“ Hatte er irgendetwas falsch gemacht? Würden sie ihn einbuchten?

„Es ist wegen Maya.“ Der Mann drehte ihn zu sich und begegnete ihm mit einem Blick endloser Tiefe. „Sie hat sich umgebracht. In Guatemala. Es tut mir Leid, Greg.“

Greg spürte, wie der Boden unter seinen Füßen verschwand und wie er meilenweit emporgezogen wurde. In einer Google-Earth-Ansicht des Googleplex sah er sich und den verschrumpelten Mann als Punktepaar, zwei Pixel, winzig und belanglos. Er wünschte, er könnte sich die Haare ausreißen, auf die Knie fallen und weinen.

Von weit, weit weg hörte er sich sagen: „Ich brauche keine Auszeit. Ich bin okay.“

Von weit, weit weg hörte er den verschrumpelten Mann darauf bestehen.

Die Diskussion dauerte eine ganze Weile, dann gingen die beiden Pixel in Haus 49 hinein, und die Tür schloss sich hinter ihnen.

Ich danke dem Autor Cory Doctorow und dem Übersetzer Christian Wöhrl dafür, dass sie den Text unter einer Creative-Commons-Lizenz zur Nutzung durch Dritte bereitstellen.

Kapitel 2Angriffe auf die Privatsphäre

Im realen Leben ist Anonymität die tagtäglich erlebte Erfahrung. Wir gehen eine Straße entlang, kaufen eine Zeitung, ohne uns ausweisen zu müssen, beim Lesen der Zeitung schaut uns niemand zu. Das Aufgeben von Anonymität (z. B. mit Rabattkarten) ist eine aktive Entscheidung.

Im Internet ist es umgekehrt. Von jedem Nutzer werden Profile erstellt. Webseitenbetreiber sammeln Informationen (Surfverhalten, E-Mail-Adressen), um mit dem Verkauf der gesammelten Daten ihr Angebot zu finanzieren. Betreiber von Werbe-Servern nutzen die Möglichkeiten, das Surfverhalten Webseiten-übergreifend zu erfassen.

Verglichen mit dem Beispiel Zeitunglesen läuft es auf dem Datenhighway so, dass uns Zeitungen in großer Zahl kostenlos aufgedrängt werden. Beim Lesen schaut uns ständig jemand über die Schulter, um unser Interessen- und Persönlichkeitsprofil für die Einblendung passender Werbung zu analysieren oder um es zu verkaufen (z. B. an zukünftige Arbeitgeber). Außerdem werden unsere Kontakte zu Freunden ausgewertet, Kommunikation wird gescannt, Geheimdienste sammeln kompromittierendes Material usw.

Abbildung 2.1: Möglichkeiten zur Überwachung im WWW

Neben den Big-Data-Firmen werden auch staatliche Maßnahmen zur Überwachung immer weiter ausgebaut und müssen von Internet-Providern unterstützt werden. Nicht immer sind die vorgesehenen Maßnahmen rechtlich unbedenklich.

Eine zukünftige Regierung könnte eine technische Infrastruktur erben, die für Zwecke der Überwachung bestens geeignet ist. Sie kann Bewegungen der politischen Gegner, jede finanzielle Transaktion, jede Kommunikation, jede einzelne E-Mail, jedes Telefongespräch überwachen. Alle Mitteilungen könnten gefiltert und gescannt, automatisch zugeordnet und protokolliert werden. Es ist an der Zeit, dass die Kryptografie von uns allen genutzt wird. P. Zimmermann (Entwickler von PGP, ZRTP und Blackphone)

Das hier zur Verfügung gestellte Privacy Handbuch wendet sich primär an private Nutzer, die sich etwas tiefer mit dem Thema befassen wollen. Eine Erweiterung auf Firmen würde einerseits den Themenumfang endlos ausdehnen und anderseits können Firmen professionelle IT Fachleute einstellen, die die nötige Kompetenz mitbringen und im Rahmen von Weiterbildungen entwickeln.

2.1 Big Data – Kunde ist der, der bezahlt

Viele Nutzer dieser Dienste sehen sich in der Rolle von Kunden. Das ist falsch. Kunde ist der, der bezahlt. Kommerzielle Unternehmen (insbesondere börsennotierte Unternehmen) optimieren ihre Webangebote, um den zahlenden Kunden zu gefallen und den Gewinn zu maximieren. Die vielen Freibier-Nutzer sind bestenfalls glückliche Hamster im Laufrad, die die verkaufte Ware produzieren.

2.1.1 Google

Das Beispiel Google wurde aufgrund der Bekanntheit gewählt. Auch andere Firmen gehören zu den Big Data Companies und versuchen, mit ähnlichen Geschäftsmodellen Gewinne zu erzielen. Im Gegensatz zu Facebook, Twitter usw. verkauft Google die gesammelten Informationen über Nutzer nicht an Dritte, sondern verwendet sie intern für die Optimierung der Werbung. Nur an die NSA werden nach Informationen des Whistleblowers W. Binney zukünftig Daten weitergegeben.

Wirtschaftliche Zahlen

Google hat einen jährlichen Umsatz von 37 Mrd. Dollar, der ca. 9,4 Mrd. Dollar Gewinn abwirft. 90% des Umsatzes erzielt Google mit personalisierter Werbung. Die Infrastruktur kostet ca. 2 Mrd. Dollar jährlich. (Stand: 2011) Im Jahr 2017 betrug der Umsatz fast 80 Mrd. Dollar.

Google Web Search

Googles Websuche ist in Deutschland die Nummer Eins. 89% der Suchanfragen gehen direkt an google.de. Mit den Diensten wie Ixquick, Metager2 oder Web.de, die indirekt Anfragen an Google weiterleiten, beantwortet der Primus ca. 95% der deutschen Suchanfragen (2008).

Laut Einschätzung der Electronic Frontier Foundation werden alle Suchanfragen protokolliert und die meisten durch Cookies, IP-Adressen und Informationen von Google-Accounts einzelnen Nutzern zugeordnet.

In den Datenschutzbestimmungen von Google kann man nachlesen, dass diese Informationen (in anonymisierter Form) auch an Dritte weitergegeben werden. Eine Einwilligung der Nutzer in die Datenweitergabe liegt nach Ansicht der Verantwortlichen vor, da mit der Nutzung des Dienstes auch die AGBs akzeptiert wurden. Sie sind schließlich auf der Website öffentlich einsehbar.

Nicht nur die Daten der Nutzer werden analysiert. Jede Suchanfrage und die Reaktionen auf die angezeigten Ergebnisse werden protokolliert und ausgewertet.

Google Flu Trends zeigte, wie gut diese Analyse der Suchanfragen arbeitet. Anhand der Such-Protokolle wird eine Ausbreitung der Grippe um 1–2 Wochen schneller erkannt, als es bisher dem U.S. Center for Disease Control and Prevention möglich war.

Die mathematischen Grundlagen für diese Analysen wurden im Rahmen der Bewertung von Googles 20 %-Projekten entwickelt. Bis 2008 konnten Entwickler bei Google 20% ihrer Arbeitszeit für eigene Ideen verwenden. Interessante Ansätze aus diesem Umfeld gingen als Beta-Version online (z. B. Orkut). Die Reaktionen der Surfer auf diese Angebote wurde genau beobachtet. Projekte wurden wieder abgeschaltet, wenn sie die harten Erfolgskriterien nicht erfüllten (z. B. Google Video).

Inzwischen hat Google die 20%-Klausel abgeschafft. Die Kreativität der eigenen Mitarbeiter ist nicht mehr notwendig und zu teuer. Diese Änderung der Firmenpolitik wird von einer Fluktuation des Personals begleitet. 30% des kreativen Stammpersonals von 2000 haben der Firma inzwischen den Rücken zugekehrt (Stand 2008).

Die entwickelten Bewertungsverfahren werden zur Beobachtung der Trends im Web eingesetzt. Der Primus unter den Suchmaschinen ist damit in der Lage, erfolgversprechende Ideen und Angebote schneller als andere Mitbewerber zu erkennen und darauf zu reagieren. Die Ideen werden nicht mehr selbst entwickelt, sondern aufgekauft und in das Imperium integriert. Seit 2004 wurden 60 Firmen übernommen, welche zuvor die Basis für die meisten aktuellen Angebote von Google entwickelt hatten: YouTube, Google Docs, Google Maps, Google Earth, Google Analytics, Picasa, SketchUp, die Blogger-Plattformen u. v.m.

Das weitere Wachstum des Imperiums scheint langfristig gesichert.

Zu spät hat die Konkurrenz erkannt, welches enorme Potenzial die Auswertung von Suchanfragen darstellt. Mit dem Börsengang 2004 musste Google seine Geheimniskrämerei etwas lockern und für die Börsenaufsicht Geschäftsdaten veröffentlichen. Microsoft hat daraufhin Milliarden Dollar in MSN Live Search, Bing versenkt und Amazon, ein weiterer Global-Player imWeb, der verniedlichend als Online-Buchhändler bezeichnet wird, versuchte mit A9, auch eine Suchmaschine zu etablieren.

Adsense, DoubleClick, Analytics & Co.

Werbung ist die Haupteinnahmequelle von Google. Im dritten Quartal 2010 erwirtschaftete Google 7,3 Milliarden Dollar und damit 97% der Einnahmen aus Werbung. Zielgenaue Werbung basierend auf umfassenden Informationen über Surfer bringt wesentlich höhere Einkünfte als einfache Bannerschaltung. Deshalb sammeln Werbetreibende im Netz umfangreiche Daten über Surfer. Es wird beispielsweise verfolgt, welche Webseiten ein Surfer besucht, und daraus ein Interessenprofil abgeleitet. Die Browser werden mit geeigneten Mitteln markiert (Cookies u. Ä.), um Nutzer leichter wiederzuerkennen.

Inzwischen lehnen 84% der Internetnutzer dieses Behavioral Tracking ab. Von den Unternehmen im Internet wird es aber stetig ausgebaut. Google ist auf diesem Gebiet führend und wird dabei (unwissentlich?) von vielen Website-Betreibern unterstützt.

97% der TOP100-Websites und ca. 80% der deutschsprachigen Webangebote sind mit verschiedenen Elementen von Google für die Einblendung kontextsensitiver Werbung und Traffic-Analyse infiziert.1 Jeder Aufruf einer derart präparierten Website wird bei Google registriert, ausgewertet und einem Surfer zugeordnet. Neben kommerziellen Verkaufswebsites, Informationsangeboten professioneller Journalisten und Online-Redaktionen gehören die Websites politischer Parteien genauso dazu wie unabhängige Blogger auf den Plattformen blogger.com und blogspot.com sowie private Websites, die sich über ein paar Groschen aus dem Adsense-Werbeprogramm freuen.

Untragbar wird diese Datenspionage, wenn politische Parteien wie die CSU ihre Spender überwachen lassen. Die CSU bietet ausschließlich die Möglichkeit, via Paypal zu spenden. Die Daten stehen damit inklusive Wohnanschrift und Kontonummer einem amerikanischen Großunternehmen zur Verfügung. Außerdem lässt die CSU ihre Spender mit Google-Analytics beobachten. Der Datenkrake erhält damit eindeutige Informationen über politische Anschauungen. Diese Details können im Informationskrieg wichtig sein.

Damit kennt das Imperium nicht nur den Inhalt der Websites, die vom Google-Bot für den Index der Suchmaschine abgeklappert wurden. Auch Traffic und Besucher der meisten Websites sind bekannt. Diese Daten werden Werbetreibenden anonymisiert zur Verfügung gestellt.

Abbildung 2.2: Ad-Planner-Besucherstatistik (Beispiel)

Die Grafik in Abb. 2.2 zur Besucherstatistik wurde vom Google Ad-Planner für eine (hier nicht genannte) Website erstellt. Man erkennt, dass der überwiegende Anteil der Besucher männlich und zwischen 35 und 44 Jahren alt ist. Die Informationen zu Bildung und Haushaltseinkommen müssen im Vergleich zu allgemeinen Statistiken der Bevölkerung bewertet werden, was hier mal entfällt.

Wie kommt das Imperium zu diesen Daten? Es gibt so gut wie keine Möglichkeit, diese Daten irgendwo einzugeben. Google fragt NICHT nach diesen Daten, sie werden in erster Linie aus der Analyse des Surf- und Suchverhaltens gewonnen. Zusätzlich kauft Google bei Marktforschungsunternehmen große Mengen an Informationen, die in die Kalkulation einfließen.

Wenn jemand mit dem iPhone auf der Website von BMW die Preise von Neuwagen studiert, kann Google diese Person einer Einkommensgruppe zuordnen. Wird der Surfer später beim Besuch von Spiegel-Online durch Einblendung von Werbung wiedererkannt, kommt ein entsprechender Vermerk in die Datenbank. Außerdem kann die Werbung passend zu seinen Interessen und Finanzen präsentiert werden. Die Realität ist natürlich etwas komplexer.

Mit dem im April 2010 eingeführtem Retargeting geht Google noch weiter. Mit Hilfe spezieller Cookies werden detaillierte Informationen über Surfer gesammelt. Die Informationen sollen sehr genau sein, bis hin zu Bekleidungsgrößen, für die man sich in einem Webshop interessiert hat. Die gesammelten Informationen sollen die Basis für punktgenaue Werbung bieten. Beispielsweise soll nach dem Besuch eines Webshops für Bekleidung ohne Kaufabschluss permanent alternative Werbung zu diesem Thema eingeblendet werden.

Google Attribution

Der Dienst Google Attribution wurde im Frühjahr 2017 gestartet. Mit diesem Dienst möchte Google Werbetreibenden Informationen liefern, wie sich personalisierte Online-Werbekampagnen auf Einkäufe in der realen Welt auswirken.

Basis für diese Auswertung sind neben den Daten aus dem Surfverhalten usw. auch Daten aus der realen Welt. Die 2014 eingeführte Ladenbesuchsmessung wird genutzt und Informationen aus Kreditkartenzahlungen werden einbezogen.

Die

Ladenbesuchsmessung

basiert auf der genauen Lokalisierung von Android-Smartphones und liefert Informationen, welche Geschäfte der Besitzer eines Smartphones besucht.

Durch Partnerschaften hat Google in den USA Zugriff auf 70% der Kreditkartenzahlungen. Für Europa sind ähnliche Partnerschaften in Vorbereitung.

Außerdem wird viel Voodoo Magic (KI) für die Auswertung genutzt.

Google hat errechnet, dass Kunden beim Besuch eines Geschäftes in der realen Welt mit 25% höherer Wahrscheinlichkeit etwas kaufen und 10 % mehr ausgeben, wenn sie zuvor Online-Werbung zu dessen Angebot gesehen haben.

Google Mail, Talk, News usw. und Google+ (personalisierte Dienste)

Mit einem einheitlichem Google-Konto können verschiedene personalisierte Angebote genutzt werden. (Google Mail, News, Talk, Calendar, Alert, YouTube, Börsennachrichten usw.)

Bei der Anmeldung ist das Imperium weniger wissbegierig als vergleichbare kommerzielle Anbieter. Vor- und Nachname, Login-Name und Passwort reichen aus. Es ist nicht unbedingt nötig, seinen realen Namen anzugeben. Auch ein Pseudonym wird akzeptiert. Die Accounts ermöglichen es, aus dem Surf- und Suchverhalten, den zusammengestellten Nachrichtenquellen, dem Inhalt der E-Mails usw. ein Profil zu erstellen. Die unsichere Zuordnung über Cookies, IP-Adressen und andere Merkmale ist nicht nötig. Außerdem dienen die Dienste als Flächen für personalisierte und gut bezahlte Werbung.

Patente aus dem Umfeld von Google Mail zeigen, dass dabei nicht nur Profile über die Inhaber der Accounts erstellt werden, sondern auch die Kommunikationspartner unter die Lupe genommen werden. Wer an einen Google-Mail-Account eine E-Mail sendet, landet in der Falle des Datenkraken.

Die Einrichtung eines Google-Accounts ermöglicht es aber auch, gezielt die gesammelten Daten in gewissem Umfang zu beeinflussen. Man kann Einträge aus der Such- und Surf-Historie löschen u. Ä. (Besser ist es sicher, die Einträge von vornherein zu vermeiden.)

Smartphones und Android

2005 hat Google die Firma Android Inc. für 50 Mio. Dollar gekauft und sucht mit dem Smartphone-Betriebssystem Android auf dem Markt der mobilen Kommunikation ähnliche Erfolge wie im Web.

Bei der Nutzung von Android-Smartphones sollen alle E-Mails über Google Mail laufen, Termine mit dem Google Calendar abgeglichen werden, die Kontaktdaten sollen bei Google landen usw. Die Standortdaten werden ständig an Google übertragen, um sogenannte Mehrwertdienste bereitzustellen (genau wie das iPhone die Standortdaten an Apple sendet). Smartphones sind als Lifestyle-Gadget getarnte Tracking-Devices.

Wir wissen, wo du bist. Wir wissen, wo du warst. Wir können mehr oder weniger wissen, was du gerade denkst. (Google-Chef Eric Schmidt, 2010)

Mozilla Firefox

Google ist der Hauptsponsor der Firefox-Entwickler. Seit 2012 zahlt Google jährlich 300 Mio. Dollar an die Mozilla Foundation, um die voreingestellte Standardsuchmaschine in diesem Browser zu sein. Das ist natürlich in erster Linie ein Angriff auf Microsoft. Die Entwickler von Firefox kommen ihrem Daten sammelnden Hauptsponsor jedoch in vielen Punkten deutlich entgegen:

Die Default-Startseite ermöglicht es Google, ein langlebiges Cookie im First-Party-Context zu setzen und den Browser damit praktisch zu personalisieren. Die standardmäßig aktive Richtlinie für Cookies ermöglicht es Google exklusiv, auch als Drittseite das Surfverhalten zu verfolgen, da mit dem Start ein Cookie vorhanden ist.

Sollte die Startseite modifiziert worden sein, erfolgt die „Personalisierung“ des Browsers wenige Minuten später durch Aktualisierung der Phishing-Datenbank.

Diese „Personalisierung“ ermöglicht es Google, den Nutzer auf allen Webseiten zu erkennen, die mit Werbeanzeigen aus dem Imperium oder Google-Analytics verschmutzt sind. Im deutschsprachigen Web hat sich diese Verschmutzung auf 4/5 der relevanten Webseiten ausgebreitet.

(Trotzdem ist Mozilla Firefox ein guter Browser. Mit wenigen Anpassungen und Erweiterungen von unabhängigen Entwicklern kann man ihm die Macken austreiben und spurenarm durchs Web surfen.)

Google DNS

Mit dem DNS-Service versucht Google, die Digital Natives zu erreichen. Der Service spricht Nerds an, die in der Lage sind, Cookies zu blockieren, Werbung auszublenden und die natürlich einen DNS-Server konfigurieren können.

Google verspricht, dass die DNS-Server unter den IP-Adressen 8.8.8.8 und 8.8.4.4 nicht kompromittiert oder zensiert werden, und bemüht sich erfolgreich um schnelle DNS-Antworten. Die Google-Server sind etwa 1/10 bis 1/100 Sekunden schneller als andere unzensierte DNS-Server.

Natürlich werden alle Anfragen gespeichert und ausgewertet. Ziel ist es, die von erfahrenen Nutzern besuchten Websites zu erfassen und in das Monitoring des Web besser einzubeziehen. Positiv an dieser Initiative ist, dass es sich kaum jemand leisten kann, die Wirtschaftsmacht Google zu blockieren. Damit wird auch die Sperrung alternativer DNS-Server, wie es in Deutschland im Rahmen der Einführung der Zensur geplant war, etwas erschwert.

Kooperation mit Geheimdiensten (NSA, CIA)

Es wäre verwunderlich, wenn die gesammelten Datenbestände nicht das Interesse der Geheimdienste wecken würden. Das EPIC bemühte sich jahrelang auf Basis des Freedom of Information Act, Licht in diese Kooperation zu bringen. Die Anfragen wurden nicht beantwortet.2

Erst durch die von Snowden/Greenwald veröffentlichten Dokumente wurde mehr bekannt. Google ist seit 2009 einer der ersten PRISM-Partner der NSA. Das bedeutet, dass der US-Geheimdienst vollen Zugriff auf die Daten der Nutzer hat. Von allen auf der Folie genannten PRISM-Firmen wurden über-spezifische Dementis veröffentlicht, dass sie nie von einemProgrammmit demNamen PRISM gehört hätten und demzufolge nicht wissentlich mit der NSA im Rahmen von PRISM kooperieren würden. Rajesh De, Leiter der Rechtsabteilung der NSA, dementierte die Dementis3 und stellte klar, dass die Internetfirmen zwar den intern verwendetet Namen PRISM nicht kannten, dass die Datensammlung aber mit voller Kenntnis und Unterstützung der Unternehmen erfolgte.

Abbildung 2.3: NSA-Folie zu den PRISM-Partnern

Das Dementi von Google ist außerdem aufgrund der Informationen des Whistleblowers W. Binney unglaubwürdig. W. Binney war 30 Jahre in führenden Positionen der NSA tätig und veröffentlichte 2012, dass Google Kopien des gesamten E-Mail-Verkehrs von GMail und sämtliche Suchanfragen dem neuen Datacenter der NSA in Bluffdale zur Verfügung stellen wird:

It will store all Google search queries, e-mail and fax traffic.

Wenn Googles Verwaltungsratschef Eric Schmidt auf der SXSW-Konferenz 2014 behauptet, durch Einführung der SSL-Verschlüsselung zwischen Datacentern seien die Daten der Google-Nutzer jetzt vor der NSA sicher4, dann kann man dies als PR-Gag abtun. Google ist aufgrund geltender Gesetze zur Kooperation mit den weitreichenden Späh-Programmen der NSA verpflichtet.

Außerdem kooperiert Google mit der CIA bei der Auswertung der Datenbestände im Rahmen des Projekts Future of Web Monitoring, um Trends zu erkennen und für die Geheimdienste der USA zu erschließen.

Kooperation mit Behörden

Auf Anfrage stellt Google den Behörden der Länder die angeforderten Daten zur Verfügung. Dabei agiert Google auf Grundlage der nationalen Gesetze. Bei daten-speicherung.de findet man Zahlen zur Kooperationswilligkeit des Imperiums. Durchschnittlich beantwortet Google Anfragen mit folgender Häufigkeit:

3mal täglich von deutschen Stellen,

20mal täglich von US-amerikanischen Stellen,

6mal täglich von britischen Stellen.

In den drei Jahren von 2009–2012 haben sich die Auskünfte von Google an staatliche Behörden und Geheimdienste verdoppelt, wie die Grafik in Abb. 2.4 der EFF.org zeigt.

Abbildung 2.4: Steigerung der Auskünfte von Google an Behörden

Die (virtuelle) Welt ist eine „Google“ – oder?

Die vernetzten Rechenzentren von Google bilden den mit Abstand größten Supercomputer der Welt. Dieser Superrechner taucht in keiner TOP500-Liste auf. Es gibt kaum Daten, da das Imperium sich bemüht, diese Informationen geheim zu halten. Die Datenzentren werden von (selbstständigen?) Gesellschaften wie Exaflop LLC betrieben.

Neugierige Journalisten, Blogger und Technologieanalysten tragen laufend neues Material über diese Maschine zusammen. In den Materialsammlungen findet man 12 bedeutende Anlagen in den USA und 5 in Europa, die als wesentliche Knotenpunkte des Datenuniversums eingeschätzt werden. Weitere kleinere Rechenzentren stehen in Dublin, Paris, Mailand, Berlin, München Frankfurt und Zürich. In Council Bluffs (USA), Thailand, Malaysia und Litauen werden neue Rechenzentren gebaut, die dem Imperium zuzurechnen sind. Das größte aktuelle Bauprojekt vermuten Journalisten in Indien (2008).

Experten schätzen, dass ca. 1 Mio. PCs in den Rechenzentren für Google laufen (Stand 2007). Alle drei Monate kommen etwa 100.000 weitere PCs hinzu. Es werden billige Standard-Komponenten verwendet, die zu Clustern zusammengefasst und global mit dem Google File System (GFS) vernetzt werden. Das GFS gewährleistet dreifache Redundanz bei der Datenspeicherung.

Die Kosten für diese Infrastruktur belaufen sich auf mehr als 2 Milliarden Dollar jährlich (2007).

Die Videos von YouTube sollen für 10% des gesamten Traffics im Internet verantwortlich sein. Über den Anteil aller Dienste des Imperiums am Internet-Traffic kann man nur spekulieren.

Google dominiert unser (virtuelles) Leben.

Dabei geht es nicht um ein paar Cookies, sondern um eine riesige Maschinerie.

2.1.2 Weitere Datensammler

Die Datensammler (Facebook, Amazon, Twitter, TikTok, Onlineshops usw.) verkaufen Informationen über Nutzer an Datenhändler (z. B. Acxiom, KaiBlue, RapLeaf u. a.), welche die Daten anreichern, zusammenfassen und umfassende Profile den eigentlichen Endnutzern wie Kreditkartenfirmen, Personalabteilungen großer Unternehmen und Marketingabteilungen von Microsoft bis Blockbuster verkaufen.

Facebook, Twitter, TikTok... hat E. Snowden sehr schön beschrieben:

Businesses that make money by collecting and selling detailed records of private lives were once described as surveillance companies. Their rebranding as social media is the most successful deception since the Department of War became the Department of Defense.

Es ist nicht nur die Datensammlung, die mich von Jahrmarkt der Eitelkeiten auf den Sozialen Medien fernhält, sondern auch der Lärm der Großen Clowns (m/w/d), die nur ihre Selbstdarstellungsshow präsentieren wollen (immer auf der Jagd nach Likes) und der Hass in den giftigen Bissen der surrenden Fliegen, die sich für die Guten halten und mit Eifer ihre religiöse Ideologie verbreiten. Und mein Arm taugt nicht als Fliegenwedel.

Das ist kein Phänomen des Internetzeitalters. F. Nitzsche hat es schon in dem Buch Also sprach Zarathustra im Kapitel 14Von den Fliegen des Marktes anschaulich beschrieben.

Acxiom konnte bereits 2001, noch bevor Facebook als Datenquelle zur Verfügung stand, auf umfangreiche Datenbestände verweisen. Als das FBI die Namen der angeblichen 9/1-Attentäter veröffentlichte (von denen noch heute einige quicklebendig sind), lieferte Acxiom mehr Daten zu diesen Personen, als alle Geheimdienste zusammen – inklusive früherer und aktueller Adressen, Namen der Mitbewohner usw. Das war der Beginn einer Zusammenarbeit. Im Rahmen der Zusammenarbeit mit FBI und CIA führten die Daten von Acxiom mehrfach zu Anklagen und Abschiebungen.

Acxiom protzt damit, präzise Daten über 96% der amerikanischen Bevölkerung zu haben. In Deutschland bietet Acxiom Daten zu 44 Mio. aktiven Konsumenten an. Jeder Datensatz hat 1.500 Datenpunkte. Die Konsumenten werden in 14 Hauptgruppen unterteilt, z. B. Alleinerziehend & statusarm, gut situierter Midlife-Single oder Goldener Ruhestand & aktiv usw. Diese Hauptgruppen werden nach Lifestyle-Aktivitäten (z. B. Garten, Haustiere, Sport, Mode, Diät usw.), Konsumverhalten, Milieuzuordnung (z. B. intellektuell, statusorientiertbürgerlich, traditionelles Arbeitermilieu, hedonistisch, konsummaterialistisch usw.) in bis zu 214 Untergruppen unterteilt.

Sie können sich Acxiom wie eine automatisierte Fabrik vorstellen, wobei das Produkt, das wir herstellen, Daten sind. (Aussage eines Technikers von Acxiom)

Oracle ist eine ehemalige IT-Firma. Früher wurde Software entwickelt und neuerdings wird das Sammeln und Verknüpfen von Daten als profitabler Geschäftszweig entdeckt. Oracle wirbt mit folgenden Datenbeständen:

3 Milliarden Verbraucherprofile aus 700 Millionen täglichen Social-Media-Nachrichten, Daten über die Nutzung von 15 Millionen Webseiten und Einkäufe bei 1.500 Händlern.

Das Tracking des Surfverhaltens wird mit der Auswertung des tagtäglichen Social-Media-Gedöhns und den Einkäufen in Online-Shops kombiniert.

BlueKai ist seit 2014 eine Tochterfirma von Oracle. Ein Datenleck im Juni 2020 zeigte, wie gigantisch und detailliert die Datenbestände von BlueKai sind. Die personenbezogenen Datensätze enthalten folgende Angaben:

realen Namen, genutzte E-Mail-Adressen, Telefonnummern und Kreditkarten;

Historie von Online- und Offline-Einkäufen;

Historie des Surfverhaltens im Internet.

In den Datensätzen konnte beispielsweise nachvollzogen werden, dass ein namentlich bekannter Deutscher für 10 Euro auf einer Webseite für E-Sports-Wetten ein Angebot mit einer Prepaid-Kreditkarte platziert hatte. Auch die E-Mail-Adressen und Telefonnummern des Deutschen waren in der Datenbank zu finden.

Gemäß Eigenwerbung kann BlueKai 1,2% des Internet-Traffics beobachten, inklusive der Besucher bekannter Porno-Webseiten. Daten von Offline-Einkäufen werden von Firmen gekauft, die als Payment-Prozessoren Kreditkarten-Transaktionen abwickeln.

Match Group monopolisiert den Online-Datingmarkt. Zur Match Group gehören die Dating-Portale Tinder, OkCupid, Plenty of Fish, Meetic, LoveScout24, OurTimes, Pairs, Meetic, Match, Twoo, Neu.de und weitere Partnerportale. In den Datenschutzerklärungen der Portale kann man nachlesen, dass die sensiblen Persönlichkeitsdaten der Nutzer innerhalb der Match Group zwischen Portalen ausgetauscht werden.

Ein Beispiel: Laut der Datenschutz-Policy von Tinder5 werden folgende Daten gesammelt:

Informationen, die der Nutzer selbst angibt über Name, Ort, Alter, Geschlecht, sexuelle Vorlieben, Fotos, Videos usw.;

Informationen über die Nutzung des Dienstes wie Login/Logout-Zeitpunkt, Suchanfragen, Klicks auf interne Seiten und auf Werbung, Kontakte und die Interaktionen mit den Kontakten, versendete und empfangene Nachrichten usw.;

Informationen über verwendete Geräte (Hardware, Software, IP-Adressen, individuelle Geräte-IDs wie IMEI/UDID oder MAC-Adressen, gerätespezifische Werbe-IDs wie AAID von Google oder IDFA von Apple, Informationen zur Mobilfunkverbindung wie Dienstanbieter und Signalstärke sowie Information der Gerätesensoren wie Beschleunigungssensor, Kompass oder Gyroskope)

Daten zu Geolocation werden via GPS, Bluetooth, oder WiFi-Verbindungen ermittelt, die Ermittlung der Geolocation kann auch im Hintergrund erfolgen, wenn man die Dienste von Tinder nicht nutzt.

Falls man

Do Not Track

(DNT) im Browser aktiviert hat, wird es ignoriert.

Wir teilen Ihre Daten mit anderen Unternehmen der Match Group. [. . . ] Die Unterstützung kann technische Verarbeitungsvorgänge wie Datenhosting und - wartung, Kundenbetreuung, Marketing und gezielte Werbung [. . . ] umfassen. Wir dürfen Ihre Daten auch an Partner weitergeben, die uns bei der Verbreitung und Vermarktung unserer Dienste unterstützen.

Das ist ein Freibrief, um sehr private Details an beliebige Dritte zu verkaufen.

Big Data Scoring aus Estland bewertet die Kreditwürdigkeit von Personen im Auftrag von Banken und anderen Kreditgebern sowie für Kunden aus der Immobilienbranche anhand der Facebook-Profile und der Aktivitäten bei anderen Social-Media-Sites. Das Ergebnis der Bewertung ist eine Zahl von 0 bis 10.

AtData sammelt die Informationen anhand von E-Mail-Adressen. Jeder kann auf der Website eine Liste von E-Mail-Adressen hochladen, bezahlen und nach Zahlungseingang die Daten abrufen. Ein kleiner Auszug aus der Preisliste soll den Wert persönlicher Informationen zeigen:

Alter, Geschlecht und Ort: 1 Cent pro E-Mail-Adresse

Haushaltseinkommen: 1 Cent pro E-Mail-Adresse

Ehestand: 1 Cent pro E-Mail-Adresse

vorhandene Kinder: 1 Cent pro E-Mail-Adresse

Wert des bewohnten Hauses: 1 Cent pro E-Mail-Adresse

Relation von Krediten zum Vermögen: 1 Cent pro E-Mail-Adresse

vorhandene Kreditkarten: 1 Cent pro E-Mail-Adresse

Fahrzeuge im Haushalt: 1 Cent pro E-Mail-Adresse

Smartphone Nutzung: 1 Cent pro E-Mail-Adresse

Beruf und Ausbildung: 2 Cent pro E-Mail-Adresse

Tätigkeit als Blogger: 1 Cent pro E-Mail-Adresse

wohltätige Spenden: 1 Cent pro E-Mail-Adresse

Präferenzen für hochwertige Marken: 1 Cent pro E-Mail-Adresse

Präferenzen für Bücher, Zeitschriften: 1 Cent pro E-Mail-Adresse

. . .

Present-Service Ullrich GmbH hat sich auf die Erkennung von Schwangerschaften und Geburten spezialisiert. Von den jährlich 650.000 Geburten in Deutschland kann die Present-Service Ullrich GmbH nach eigenen Angaben 50% erkennen und ist der Marktführer in Deutschland (Stand: 2014). Die Daten werden zusammen mit Informationen über die finanzielle Situation der Eltern für das Direktmarketing genutzt und verkauft.

Für das Direktmarketing nutzt die Firma 10.000 aktive Partner im Gesundheitswesen (Frauenärzte, Hebammen, Krankenschwestern) und verspricht den Kunden:

Ihre Werbebotschaft wird durch den Frauenarzt, die Hebammen bei der Geburtsvorbereitung oder Krankenschwestern bei der Geburt übergeben. Sie erzielen Customer-Touchpoints in einmalig glaubwürdiger Szenerie. So wird ihre Marke von Anfang an Teil der Familie.

2.2 Techniken der Datensammler

Viele Dienste im Web nutzen die Möglichkeiten, das Surfverhalten und unsere private Kommunikation zu verfolgen, zu analysieren und die gesammelten Daten zu versilbern. Die dabei entstehenden Nutzerprofile sind inzwischen sehr aussagekräftig. Es können das Einkommen, Alter, politische Orientierung, Zufriedenheit mit dem Job, Wahrscheinlichkeit einer Kreditrückzahlung, erotische Liebesbeziehungen und sexuelle Vorlieben, Schwangerschaften u. a.m. eingeschätzt werden. Ein Online-Versand von Brautkleidern möchte bspw. gezielt Frauen im Alter von 24-30 Jahren ansprechen, die verlobt sind. Ein Anbieter von hochwertiger Babyausstattung möchte gezielt finanziell gut situierte Schwangere ansprechen. Das und vieles mehr ist heute schon möglich.

Es geht aber längst nicht nur um die Einblendung von Werbung. Sarah Downey warnt 6 vor wachsenden realen Schäden durch das Online-Tracking. Die gesammelten Informationen können den Abschluss von Versicherungen und Arbeitsverträgen beeinflussen oder sie können zur Preisdiskriminierung genutzt werden. Ganz einfaches Beispiel: das US-Reiseportal Orbitz bietet z. B. Surfern mit MacOS Hotelzimmer an, die 20–30 Dollar teurer sind als die Zimmer, die Windows-Nutzern angeboten werden.7

Techniken zum Tracking des Surfverhaltens

Das Surfverhalten liefert die meisten Informationen über unsere Vorlieben. Dabei werden folgende Techniken eingesetzt:

Cookies sind noch immer das am häufigsten eingesetzte Mittel, um Browser zu markieren und das Surfverhalten zu verfolgen.

Blockieren der Cookies von Drittseiten schützt nur teilweise vor dem Tracking mit Cookies. Die Datensammler haben Methoden entwickelt, um Tracking-Cookies als First-Party-Content zu platzieren.8 Empirische Studien zeigen, dass es 160 Trackingdienste gibt, die mehr als 40% des Surfverhaltens verfolgen können, wenn das Setzen von Cookies für Drittseiten möglich ist. Wenn man Cookies von Drittseiten verbietet, dann können immer noch 44 Trackingdienste mehr als 40% des Surfverhaltens verfolgen. Dazu zählen:

Google Analytics,

Chartbeat.com

oder

AudienceScience.com

schreiben die Tracking-Cookies mit JavaScript als First-Party-Content.

WebTrekk nutzt DNS-Aliases, um eigene Server als Subdomain der aufgerufenen Webseite zu deklarieren und sich First-Party-Status zu erschleichen.

Yahoo! Web Analytics protzt damit, dass sie ebenfalls ihre Tracking-Cookies als First-Party-Content einsetzen können.

Mit diesen First-Party-Cookies wird das Surfverhalten innerhalb einer Website beobachtet. Zusätzlich werden weitere Methoden wie Browser-Fingerprinting eingesetzt, die eine Verknüpfung der gesammelten Daten über mehrere Webseiten hinweg ermöglichen.

Google hat im Nov. 2023 angekündigt, die Unterstützung für Drittseitencookies bis Ende 2024 aus dem Browser Chrome zu entfernen. Damit wird sich die Trackingbranche endgültig umstellen müssen und es werden dann auch die letzten Cookies von Drittseiten verschwinden.9

IP-Adresse wird wieder bedeutsamer für das Tracking, da aufgrund der Cookiekalypse das Tracking mit Cooies immer schwieriger wird. Allerdings wird nicht einfach die IP-Adresse verwendet, die insbesondere bei Smartphones ständig wechselt, sobald man die Komfortzone des heimischen WLANs verlässt. Statt dessen besteht das Ziel, anhand der IP-Adresse ein Gerät oder zumindest einen Haushalt zu identifzieren. Um die Funktionsweise zu verschleiern, nennt man es in der Fachsprache oft Netzwerk-Cookies.

Das Verfahren funktioniert folgendermaßen:

Wenn ein Surfer eine verseuchte Webseite besucht, sendet der Webserver die IP-Adresse und die aufgerufene Webseite zu einer Marketingplatform.

Die Marketingplatform ermittelt den Telekommunikationsprovider und schickt die IP dorthin.

Der Telekommunikationsprovider weiß, welchem Smartphone (SIM Karte) oder welchem Haushalt (Router) diese IP-Adresse aktuell zugeteilt ist und liefert eine pseudonyme ID zurück, die für diese SIM Karte oder den Router konstant bleibt, auch wenn die IP-Adresse wechselt.

Die Marketingplatform ermittelt aus dem gesammelten Surfverhalten für diese pseudonyme ID die passende Werbung für die Zielperson oder Personengruppe (Haushalt).

Der Webserver baut diese individualisierte Werbung in die ausgelieferte Webseite ein.

Die angezeigte Werbung könnte man mit uBlock Origin oder ähnlichen Werbeblockern blockieren, aber das Tracking verhindert man damit nicht.

Die erste Marketingplattform dieser Art (Klartext: ein großer, europäischer Trackingprovider) heißt Utiq SA/NV und soll Webservern die Auslieferung von individualisierter Werbung auf Basis einer pseudonymen ID ermöglichen, die aus dem Mobilfunkvertrag des Kunden abgeleitet wird. Utiq SA/NV versucht in erster Linie, Smartphones zu tracken - aber das muss nicht so bleiben.

Im Juni 2023 hat Utiq SA/NV erste Ergebnisse dieser neuen Trackingmethode vorgestellt. Das Tracking anhand der IP-Adresse in Kooperation mit Telcos kann 4x mehr Surfer verfolgen als es mit Third-Party-Cookies möglich ist und ist um 25% besser als Tracking mit First-Party Cookies.

HTML-Wanzen