Sicherheit und Anonymität im Internet E-Book

1. Auflage April 2020 Copyright © 2020 bei Kopp Verlag, Bertha-Benz-Straße 10, D-72108 Rottenburg Alle Rechte vorbehalten Lektorat: Swantje Christow Umschlaggestaltung: Stefanie Huber Satz und Layout: opus verum, München ISBN E-Book 978-3-86445-751-7 eBook-Produktion: GGP Media GmbH, Pößneck

Gerne senden wir Ihnen unser Verlagsverzeichnis Kopp Verlag Bertha-Benz-Straße 10 D-72108 Rottenburg E-Mail: [email protected] Tel.: (07472) 98 06-10 Fax: (07472) 98 06-11Unser Buchprogramm finden Sie auch im Internet unter:www.kopp-verlag.de

Widmung

Widmung und Danksagungen

Für Andrea, meine Buddy for Life.

Ich danke Dir für drei Jahrzehnte Geduld und Liebe und zwei wundervolle neue Menschen

Danke an Uli Grasberger für Input und Feedback.

Vorwort

Sicherheit und Anonymität im Internet beschäftigen im Prinzip jeden, der digital im Netz unterwegs ist. Nicht zuletzt wird das Thema immer wieder von den Medien aufgegriffen. Als ich vor 6 Jahren das erste Buch zu diesem Thema im Kopp Verlag veröffentlichte, gingen die meisten Gefahren scheinbar noch von Abzockern und Betrügern aus, die einem mit betrügerischen Websites oder E-Mails Geld aus der Tasche locken wollten.

Im Laufe der Jahre wurde es immer klarer: Hier spielen ganz andere Kaliber mit. Totalitäre Staaten setzen gezielt modernste Technik ein, um Falschinformationen zu verbreiten, die Bürger auszuspionieren und unter Kontrolle zu halten. Soziale Medien werden dafür verwendet, sozialen Druck auf Menschen auszuüben. Und auch in der Demokratie: Internetgiganten spinnen um Sie als Benutzer gezielt feinmaschige Netze, um mit Ihren Daten Geld zu verdienen.

Wenn man es mal mit klassischer IT-Terminologie beschreibt, geht es um eine Sache: Datensicherheit.

Hinter diesem sperrigen Begriff steht das Grundrecht, zu bestimmen, was mit Ihren Daten passiert – oder eben auch nicht. Spätestens seit der Einführung des Datenschutzgesetzes auf EU-Ebene dürfte es eindeutig sein: Ihre digitale Privatsphäre und Sicherheit sind in Gefahr. Immer.

Sie werden sich vielleicht fragen, wie sehr Sie das betrifft, sind Sie doch – vermutlich – weder eine Persönlichkeit des öffentlichen Lebens noch ein Geheimagent, der im Schatten bleiben muss.

Ein beliebter Satz bei Benutzern ist: »Ach, ich habe doch nichts zu verbergen, warum sollte ich dann alles doppelt und dreifach absichern?«

Das ist das Hauptproblem. Haben die Menschen vor vielen Jahren noch gegen vergleichsweise harmlose Volkszählungen protestiert – bei der ziemlich wenige Daten erhoben werden sollten –, so sieht das heute anders aus.

Internetnutzer, egal ob am Smartphone oder am PC, geben ständig freiwillig Informationen über sich preis, die eigentlich niemanden etwas angehen.

Diese Daten werden gnadenlos ausgebeutet. Sie suchen im Internet nach dem schnellsten Weg zu einem guten Restaurant? Im Internet bekommen Sie sicher die richtige Information. Der Anbieter weiß dann allerdings auch, dass Sie gerne vegetarisch oder griechisch essen. Bei der nächsten Suche wird Ihnen dieselbe Suchmaschine eventuell nicht mehr den guten vegetarischen Griechen um die Ecke empfehlen, sondern ein anderes Restaurant, das dafür bezahlt, empfohlen zu werden.

Somit hat eine harmlose Aktion einen negativen Effekt auf Sie als Kunden – und das gilt auf jeder Ebene.

Es liegt mir fern, Panik zu verbreiten oder Verschwörungstheorien zu entwickeln. Denken Sie einfach nur daran: Ihre Daten gehören Ihnen und keinen Datenkraken im Internet.

Wie jedes andere Buch kann auch dieses es nicht jedem recht machen. Zu unterschiedlich ist der Wissensstand unter den Lesern, speziell bei diesem komplexen Thema. Ich habe versucht, wo immer möglich, das Thema ein wenig aufzulockern, denn ich möchte Sie nicht belehren, sondern beraten!

Wenn Ihnen dieses Buch aber auch nur ein wenig hilft, sicherer und anonymer im Internet unterwegs zu sein, dann hat es sich schon gelohnt!

Thorsten Petrowski, Brüssel im Januar 2020

Der Reiseführer durch das Buch

Das Internet– und speziell das Surfen darin – ist wie eine Reise. Es gibt interessante Ziele, aber auch eine gefährliche Brandung, die es zu vermeiden gilt. Daher ist dieses Buch wie ein Reiseführer in verschiedene Ziele eingeteilt. Genauso wie einen Reiseführer müssen Sie es auch nicht von Anfang bis Ende lesen. Vielleicht haben Sie manche »Orte« schon besucht? Oder sind an anderen besonders interessiert? Daher biete ich Ihnen hier zunächst eine Orientierungshilfe.

Folgen Sie mir:

Ziel 1: Land und Leute – Hintergründe und Wissenswertes

Wissen Sie, was eine IP-Adresse ist? Kennen Sie Ransomware? Würden Sie gerne wissen, was Fingerprinting ist und warum ein Benutzerkonto durchaus nicht immer harmlos ist? Dann empfehle ich einen Besuch dieses Ziels!

Ziel 2: Die digitale Stadt von Datata – klassische Sicherheitsmaßnahmen

Ein klassisches Ziel. Was ist ein Virenscanner? Wobei hilft eine Firewall? Wie gehe ich sicher mit Kennwörtern um, und wie kann ich Kennwörter professionell organisieren? Würden Sie diese Erinnerungen gerne auffrischen? Ziel 2 wartet auf Sie!

Ziel 3: Das Postamt von Cyberville – E-Mail

Nicht nur im Urlaub verschickt man digitale Post. Erfahren Sie, wie man sicherer mit mehreren E-Mail-Konten arbeitet, potenzielle Spammails analysiert und elektronische Post effektiv archiviert.

Ziel 4: Die Wellen von Matrixx – Websites

Beim Surfen auf den Wellen des Internets gilt es, vorsichtig zu sein. Wissen Sie, wie man erkennt, ob eine Website sicher ist? Kennen Sie die kleinen Sicherheitsstolpersteine im täglichen Internetgebrauch? Noch nicht? Dann empfehle ich einen Besuch bei Ziel 4.

Ziel 5: Das Gefängnis von Datatraz – Systeme sicher machen

Der digitale Aktivurlaub! Erfahren Sie, wie Sie Ihr Netzwerk, Ihren Computer und vor allem die gängigen Internetbrowser sicherer machen. Zusätzlich finden Sie Tipps zu Back-up und Wiederherstellung von Daten.

Ziel 6: Der Strand der Datenkraken – Datensammler

Die Datensammler à la Google und Facebook kennen Sie bestimmt. In diesem Teil des Buches zeige ich Ihnen vielleicht bisher eher unbekannte Seiten dieser gefährlichen Tiere – und auch, wie man sie zähmt.

Ziel 7: Trauminsel Browsia – alternative Ansätze

Das Internet ganz ohne Gefahren – einfach drauflossurfen, entspannt auf Websites herumlungern, als ob es kein Morgen gäbe. Alternative Ansätze, wie man das realisieren kann, finden Sie an diesem Traumziel – von Proxyservern über VPN bis hin zu Tor & Tails.

Ziel 8: Willkommen in Smombieville – Smartphone-Sicherheit

An jedem Ort anzutreffen: die Smartphone-Nutzer. Sicher gehören auch Sie dazu. Besitzen Sie ein Android-Smartphone? Wissen Sie, dass es eine Alternative zum Google Play Store gibt? Haben Sie schon mal eine Website auf dem Smartphone »gewrappt« als Alternative zur speicherfressenden App? Noch nicht? Dann werfen Sie einen Blick auf Ziel 8.

Ziel 9: Abstecher nach Future City – andere Risiken

Die Welt dreht sich immer schneller. An Reiseziel 9 finden Sie Hinweise und Anregungen zu Themen, die immer wichtiger werden – von bereits alltäglichen Aktivitäten wie Onlinebanking bis zu digitalen Assistenten.

Ziel 10: Die Bibliothek von Kompendia – Referenz

Die Landkarte zum Nachschlagen. Kompakt: nützliche Websites, Programme, Add-ins und Begriffe.

Ziel 1:

Land und Leute – Hintergründe und Wissenswertes

So fangen auch viele Reiseführer an – mit einem kleinen Hintergrund über Land und Leute, Wissenswertem und Geschichtlichem. Genau das passiert auch hier. Wenn Sie etwas bereits kennen, dann machen Sie einfach einen Inselhüpfer zum nächsten Abschnitt.

1 Ein paar Grundlagen vorab

Als Anwender kennen Sie vermutlich schon viele Websites im Internet. Kennen Sie auch die Details dahinter? Lassen Sie uns zunächst einen Blick auf Wissenswertes werfen.

1.1 Die IP-Adresse

Wenn Sie mit einem Gerät – sei es ein Smartphone, Laptop oder klassischer Computer – ins Internet gehen, verbinden Sie sich rein technisch gesehen einfach nur mit einem riesengroßen, weltweiten Computernetzwerk. In diesem Netzwerk müssen Datenpakete hin- und hertransportiert werden, jeder Computer im Netzwerk muss eindeutig identifizierbar sein. Dazu hat man das sogenannte IP, das Internet Protocol, erfunden. Genauer gesagt handelt es sich um die Protokolle der Gruppe TCP/IP (Transport Control Protocol/Internet Protocol). Während IP die Adressierung von Geräten und Daten im Netz übernimmt, ist TCP das eigentliche Transportprotokoll. Mehr muss man darüber eigentlich nicht wissen.

Die früher eingesetzte Variante dieses Protokolls nennt sich IPv4. Grundidee ist dabei, jedes Datenpaket mit einer Adresse zu versehen – wie bei der normalen Briefpost auch. So ähnlich wie man einen Brief mit Empfänger, Straße, Postleitzahl und Land versieht, funktioniert das auch bei IP. Die vollständige Adresse wird dabei in vier Zahlen angegeben, mit Punkten voneinander getrennt. Ein Beispiel:

112.14.38.0

Inzwischen gibt es einen neueren Standard, die Version 6 des IP. Dies wurde nötig, weil immer mehr Geräte mit dem Internet verbunden sind und die Gefahr existiert, nicht mehr genug »freie« IP-Adressen zu haben. De facto werden Sie vermutlich mit dieser Art Adressen vorläufig nicht konfrontiert werden, aber nur damit Sie sich nicht wundern: Eine IPv6-Adresse sieht zum Beispiel so aus:

2012:00e1:124a:0000:1232:0000:1111:0a1a

Datentransport im Internet

Datentransfer im Internet ist komplex. Wenn Sie eine Verbindung mit dem Internet aufbauen, verbindet sich Ihr Computer mit einem weiteren Computer Ihres Internetanbieters. Dieser wiederum leitet über verschiedene Computer Ihre Anfrage an den Zielcomputer weiter. Dasselbe gilt für die Daten, die zu Ihnen zurückkommen. Die Computer, die an dieser Datenkette beteiligt sind, nennt man Server:

1.3 URL

Wenn Sie eine Website aufrufen, geben Sie nicht die eben erwähnte IP-Adresse (zum Beispiel 112.113.014.000), sondern www.beispiel.de ein. Des Rätsels Lösung sind sogenannte Nameserver. Diese Server sind ebenfalls im Internet eingebunden und »übersetzen« die URL, die Sie eintippen, mithilfe einer Datenbank in die entsprechende IP. Wenn zum Beispiel eine Website »physikalisch« auf einen anderen Computer umzieht, ist sie weiterhin noch erreichbar – der Eintrag in der Nameserver-Datenbank wird einfach aktualisiert. Die Abkürzung URL steht für Uniform Resource Locator (»einheitlicher Quellenanzeiger«). Das bedeutet für Sie einfach nur: Egal auf welchem Server die Website im Moment gespeichert ist, unter welcher IP sie abrufbar ist, Sie geben in Ihrem Browser einfach nur die URL ein, den Rest übernehmen die Server im Internet.

1.4 Sicherheit, Protokolle und Ihre Rechte

Die Übertragung der Datenpakete über das TCP/IP-Protokoll ist aber nur ein Teil der Kommunikation. Ihr Computer muss ja auch wissen, was mit den Daten geschehen soll, worum es sich handelt. Dafür gibt es weitere Protokolle, die technisch gesehen »über« dem IP-Protokoll stehen. Als normaler Anwender muss man hier nicht alles kennen. Wichtig sind das FTP(File Transfer Protocol),das die Übertragung von Dateien bewerkstelligt, sowie das HTTP(Hypertext Transfer Protocol),das für die Übertragung von Websites zuständig ist.

Digitale Anlegestelle: die Ports

Wenn Computer im Internet (oder in einem Netzwerk) miteinander kommunizieren, dann benutzen sie dafür sogenannte Ports. Was kompliziert klingt, ist eigentlich nichts weiter als eine Nummernzuordnung, mit deren Hilfe jeder teilnehmende Computer weiß, was mit den Datenpaketen geschehen soll.

HTTP-Daten für Websites werden über den Port 80 übertragen, während Dateiübertragung (also Download/Upload) per FTP über den Port 25 geschieht. Wenn Sie sich die IP-Adresse wie eine Hausnummer vorstellen, dann ist der Port die Abteilung im Haus, an die das Paket geschickt wird.

IP-Aufzeichnung

Ein wichtiges Detail verbirgt sich in den IP-Paketen, die über das Internet transportiert werden: Neben der Empfänger-Adresse wird auch die Absender-IP-Adresse kommuniziert. Wenn Sie sich jetzt wieder ins Gedächtnis rufen, dass jedes Datenpaket die Absender- und Empfänger-IP enthält, erkennen Sie direkt eine mögliche Sicherheitslücke.

Wenn jemand die Datenpakete, die von und zu Ihrem Computer transportiert werden, abfängt, kann er oder sie praktisch »mitlesen«. Normalerweise ist die Wahrscheinlichkeit gering, dass das passiert, aber in einer Situation wird es gefährlich: Wenn Sie eine URL eingeben, um eine Website zu besuchen, werden Datenpakete mit Ihrer IP-Adresse an die besuchte Website verschickt. Eine Website kann diese Pakete auslesen und sich die IP-Adresse merken. Einige Bestandteile der IP-Adresse sind fest vergeben. So sind das Herkunftsland, der Ort des Internetzugangs und auch der Internetprovider über die IP-Adresse auffindbar.

Dynamische IP-Vergabe

Wann immer Sie sich mit Ihrem Computer, Smartphone oder Tablet mit dem Internet verbinden, weist Ihnen das Netzwerk Ihres Internetproviders eine solche IP-Adresse zu. Diese dient dann als Absender- und Empfänger-IP. Diese IP-Vergabe nennt sich dynamische IP-Vergabe. Solange Sie online sind, bleibt Ihnen diese IP-Adresse zugewiesen. Interessant für Sie als Kunden ist aber, was Ihr Internetprovider mit der Information über diese IP-Vergabe macht.

Durch diese Daten Kunde X → Datum/Uhrzeit → zugewiesene IP-Adresse … wird es möglich, genau zu verfolgen, wer wo online war. Sofern die besuchte Website auch Protokoll darüber führt, wer zu Besuch war, lässt sich so eine Zuordnung Besuch → Klarname des Benutzers herstellen.

Normalerweise führt jeder Internetanbieter Protokoll darüber, welcher Kunde wann welche IP-Adresse zugewiesen bekommen hat.

Der § 97 des Telekommunikationsgesetzes (TKG) regelt, dass der Anbieter diese Daten zu Abrechnungszwecken speichern darf, und zwar bis zu 6 Monate lang. Tatsache ist aber inzwischen, dass die Unternehmen das nicht mehr tun. Der Grund sind die Internetflatrates, bei denen man nur noch pauschal für seinen Internetzugang bezahlt, nicht mehr für das Volumen der heruntergeladenen Daten oder die Anzahl der Onlinesitzungen. Als noch einzeln abgerechnet wurde, war es auch im Sinne des Anbieters, die Verbindungsdaten zu speichern. Wenn Sie zum Beispiel bei Erhalt der Rechnung Einspruch einlegten, weil Sie die Rechnung zu hoch fanden, so konnte der Anbieter mit den gespeicherten Verbindungsdaten beweisen, dass Sie wirklich die ausgewiesenen Kosten verursacht haben.

Umgekehrt wurde inzwischen sogar auch ein Schuh daraus: So wurde ein Internetanbieter per Gericht dazu verurteilt, die Daten der Kunden nicht mehr zu speichern. Begründung: Die Voraussetzungen des § 97 TKG seien bei einer Flatrate nicht mehr gegeben, also sei auch die Speicherung der Verbindungsdaten nicht mehr relevant.

Sichere Protokolle: HTTPS/SSL

Bestimmt haben Sie auch schon mal eine Website aufgerufen, bei der sich nach dem Eintippen der Seite die URL von www.website.de nach https://website.de geändert hat. Oder: Vor einem Bezahlvorgang im Internet machte Sie die Website darauf aufmerksam, dass der Vorgang jetzt über SSL fortgesetzt wird. Was genau ist das? Dazu müssen wir noch mal ein wenig in der Internettheorie kramen. Wie schon erklärt, werden alle Daten als kleine IP-Pakete transportiert. Dazu dient das TCP (das Transport Control Protocol), ein Datenübertragungsprogramm, das den Transport regelt. Problematisch wird diese Technik, wenn jemand illegalerweise die Datenpakete abfängt. Mit der richtigen Software könnte man die Datenpakete dann wieder zu Dateien beziehungsweise Daten zusammensetzen. Um dem entgegenzuwirken, wurde eine Sicherung eingebaut: SSL (Secure Sockets Layer) – praktisch ein Sicherheitsprotokoll, das die Übermittlung von IP-Paketen sicherer macht. Inzwischen wurde dies in TLS (Transport Layer Security) umbenannt.

Die Idee bleibt gleich: Bevor Daten zwischen der Website (dem Server) und Ihnen (Ihrem PC) übertragen werden, verständigen sich beide Seiten auf einen Verschlüsselungscode. Alle Datenpakete werden dann verschlüsselt übertragen und auf dem jeweiligen Zielcomputer entschlüsselt. Würde nun jemand einzelne IP-Datenpakete abfangen, könnte er (oder sie) nichts damit anfangen.

Damit wäre also der erste Begriff – SSL – erklärt. Was aber hat es mit HTTPS auf sich? Wenn Sie im Internetbrowser eine Website aufrufen, also eine URL eingeben, wird die Übertragung zu der Website automatisch mit dem Hypertext Transport Protocol (HTTP) durchgeführt. Davon merken Sie nichts. Wenn eine Website in der Lage ist, gesichert – über SSL – mit Ihnen zu kommunizieren, so werden die Daten von der Website verschlüsselt transportiert, statt HTTP wird das HTTPS-Protokoll verwendet.

Die Verwendung von SSL beziehungsweise HTTPS ist immer dann sinnvoll, wenn sensible Daten übertragen werden. Beim Electronic Banking zum Beispiel ist der Einsatz dieser zumindest prinzipiell sichereren Technik nicht mehr wegzudenken.

Auch auf »normalen« Websites wird HTTPS inzwischen sehr häufig eingesetzt. Werden auf einem Server nämlich persönliche Daten wie zum Beispiel Kundenkonten gespeichert, ist eine gesicherte Kommunikation und Speicherung absolut wichtig!

Vorratsdatenspeicherung

Im Zusammenhang mit Computern und dem Internet ist Ihnen sicherlich schon einmal der Begriff »Vorratsdatenspeicherung« untergekommen.

Unter dem Begriff Vorratsdatenspeicherung versteht man die Aufzeichnung personenbezogener Daten durch oder für öffentliche Stellen, ohne dass die Daten aktuell benötigt werden. Dies bedeutet nichts anderes, als dass Daten gespeichert werden, ohne dass sie momentan für einen konkreten Zweck benötigt werden. Damit werden Anbieter von Kommunikationsdienstleistungen wie Mobilfunkfirmen oder auch Internetprovider dazu gezwungen, Protokoll über Verbindungen zu führen. Die Idee dabei ist, im Falle eines Falles bei einer Ermittlung durch entsprechende Dienststellen Zugriff auf alle Kommunikationsvorgänge eines möglichen Tatverdächtigen zu bekommen. Bereits Mitte des Jahres 2000 gab es in Deutschland und anderen europäischen Ländern Initiativen, die forderten, die Vorratsdatenspeicherung in Gesetzen festzuschreiben.

Erster Schritt auf EU-Ebene war die Richtlinie 2006/24/EG (wie die Bezeichnung schon vermuten lässt, aus 2006). EU-Richtlinien müssen dann in nationales Recht umgesetzt werden. Hier begannen die Probleme, da die ersten Versuche letztendlich im Jahr 2010 vom Bundesgerichtshof gekippt wurden. Mit dem Ergebnis, dass die Bundesrepublik Deutschland nun von der EU verklagt wurde, da sie es nicht geschafft hat, die Richtlinie in nationales Recht umzusetzen. Es gab verschiedene neue Anläufe, die Vorratsdatenspeicherung »in Gang« zu setzen, zuletzt für den Juli 2017 – aber letztendlich trat nichts in Kraft. Einer der Gründe sind diverse Verfahren gegen die Speicherung, die immer noch vor Gericht anhängig sind.

Sprich: Zum Augenblick der Drucklegung dieses Buches gibt es praktisch keine Vorratsdatenspeicherung für juristische Zwecke. Wie bereits weiter oben erwähnt, ist sogar § 97 TKG schon in Einzelfällen von Gerichten verneint worden, da er als nicht mehr zeitgemäß gilt.

Ich persönlich finde die Vorratsdatenspeicherung mit den richtigen Randbedingungen absolut akzeptabel. Im September 2010 verschwand ein 10-jähriger Junge in Grefrath. Erst 145 Tage später fand man den Täter. Mit der Vorratsdatenspeicherung hätten die Ermittler abfragen können, welche Handys in der Mobilfunkzelle eingebucht waren, die in der Nähe der Stelle lag, an der der Junge verschwunden war. Das hätte deutlich schneller zum Täter geführt. Der Bundesgerichtshof jedoch hatte zu diesem Zeitpunkt die aktuelle Rechtsprechung zur Vorratsdatenspeicherung bereits gekippt.

GDPR – DSGVO

Dann gibt es natürlich noch die GDPR (General Data Protection Regulation) – zu Deutsch: Datenschutz-Grundverordnung DSGVO. Diese wurde 2016 verabschiedet und mit einer 2-Jahresfrist dann in nationales Recht in den europäischen Mitgliedsländern umgesetzt. Während viele Unternehmen, Vereine und andere Einrichtungen über den zusätzlichen Verwaltungsaufwand stöhnen, bringt sie Ihnen als Onlinenutzer einige erhebliche Verbesserungen.

Sie haben seit der Einführung der DSGVO »verbriefte Rechte«, was den Umgang von anderen mit Ihren privaten Daten angeht. Regeln, die vorher unklar oder von Anbieter zu Anbieter unterschiedlich waren, sind nun fix.

So muss Ihnen jeder Anbieter umfassende Auskunft über die Daten geben, die über Sie gespeichert wurden. Sie können bestimmte Nutzungen Ihrer personenbezogenen Daten verbieten – oder umgekehrt auch die Zustimmung zurückziehen. Möchten Sie, dass bestimmte Daten geändert oder gelöscht werden, ist auch das möglich.

Ein besonders großer Vorteil: Ihre Rechte gelten EU-weit. Wenn Sie also Daten bei einer Website in Irland hinterlegt haben und möchten, dass diese nicht mehr für Marketingzwecke verwendet werden, können Sie das durchsetzen.

Aus Sicht des Verbrauchers bietet das nur Vorteile. Mindestens genauso wichtig ist aber, dass Websites nur so viele Informationen über Sie sammeln, wie Sie möchten!

2 Digitale Sicherheitsfallen – genau beleuchtet

Die Grundlagen wären geklärt. Was aber kann schiefgehen? Was sind die Gefahren und Bedrohungen?

2.1 Harmlose Dateien

Fangen wir erst mal ganz vorne an. Wann immer Sie im Internet unterwegs sind, werden ganz automatisch Dateien auf Ihrem Computer gespeichert.

Wenn Sie eine Seiten-URL eingeben oder anklicken, wird das im sogenannten »Verlauf« vermerkt, einem Protokoll, das der Internetbrowser über alle besuchten Websites anlegt. Je nach Browser wird dieses Verfahren unterschiedlich bezeichnet: Verlauf, Chronik, History … es handelt sich aber immer um dasselbe Prinzip: Die aufgerufene Seite wird mit Datum und Uhrzeit in einer Art digitalem Logbuch »vermerkt«.

Der Verlauf – die Chronik

Die Gefahr: In zwei Situationen ist das gefährlich. Wenn jemand Zugang zu Ihrem Computer erhält, egal ob privat oder beruflich, so kann er prima nachschauen, was Sie wann so im Internet getrieben haben. Selbst wenn Sie ein harmloser Zeitgenosse sind, der nichts zu verbergen hat: Möchten Sie denn, dass andere sehen können, wo Sie im Internet waren?

Noch gefährlicher wird es, wenn Sie sich eine Schadsoftware auf dem Computer einfangen. Diese kann Ihren Verlauf gezielt auslesen und unbemerkt weitermelden. Wenn jemand es dann auf Sie abgesehen hat, kann er gezielt die Websites »angreifen«, die Sie besuchen.

Temporäre Dateien

Wenn Sie eine Seite aufrufen, wird die eigentliche Seite – die HTML-Datei (oder mehrere) – auf Ihren Computer heruntergeladen und als sogenannte temporäre Datei gespeichert. Dasselbe gilt für alle Medien wie Bilder, Sounds oder Videos – sofern diese nicht gestreamt werden.

Das ist grundsätzlich überhaupt nicht tragisch und auch nicht gefährlich. Im Umkehrfall gilt jedoch dasselbe wie für den Browserverlauf. Wenn jemand Ihres Computers habhaft wird, egal ob direkt oder über eine bösartige Software, so lässt sich genau nachvollziehen, was Sie wann im Internet getan haben.

Downloads

Wenn Sie etwas von einer Website herunterladen, werden diese Dateien im Normalfall in einem Download-Ordner gespeichert. In diesem Fall ist der Vorgang natürlich absichtlich, Sie möchten die Dateien ja später verwenden.

Gefährlich ist das Ganze nicht wirklich. Achtgeben sollten Sie aber trotzdem, welche Dateien hier nach dem Ende Ihres Onlinebesuchs verbleiben. Nehmen wir an, Sie haben ein neues Konto eröffnet, und die Bank schickt Ihnen wichtige Informationen zur Benutzung des Onlinebankings. Diese Datei haben Sie dann als PDF heruntergeladen. So weit, so gut. Wenn aber jemand Unbefugtes Zugang zu Ihrem Computer hat, kann er oder sie diese Informationen, die ja eigentlich für Sie gedacht waren, abgreifen.

2.2 Web-Analytics

Anbieter von Websites speichern, wer ihre Seiten besucht und was er (oder sie) dort macht. Das ist speziell in einem vernetzten System sinnvoll, wo bei einem erneuten Besuch – oder dem Besuch einer »verwandten« Website – zielgerichtet Werbung angezeigt werden kann. Technisch funktioniert das unter anderem über Cookies (dazu weiter hinten in diesem Kapitel mehr). Marktführer in diesem Bereich ist – es wird Sie nicht überraschen – Google. Nimmt ein Websitebetreiber zum Beispiel die Dienste von Google Analytics in Anspruch, erhält er Informationen wie Herkunft, Nutzerverhalten und Sprache des Benutzers. Die Gefahr? Sie werden Anbietern im Internet gegenüber »gläsern«. Der beste Schutz dagegen ist, die Analytics-Funktion auf Websites zwangsweise zu deaktivieren – siehe Kapitel 8.4 »Google«.

2.3 Benutzerkonten

Praktisch alle kommerziellen Websites, vom Onlineforum für Katzenfreunde bis zum Reiseveranstalter, bieten Ihnen an, ein Kundenkonto anzulegen. Damit können Sie dann bequem immer wieder auf der Seite genau das finden, was Sie suchen. Bei Versendern können Sie Ihre Bestellungen nachverfolgen, und in Onlineforen sehen Sie, wer zu Ihren Lieblingsthemen Neues geschrieben hat. Diese Kundenkonten sind technisch gesehen erst mal nichts anderes als ein Datensatz auf dem Server des Anbieters, der Ihre privaten Daten enthält.

Neben Ihrem Benutzernamen wird – je nachdem, wie umfassend die Registrierung ist – eine kleinere oder größere Menge an Daten gespeichert. Gängig sind hier mindestens Ihre E-Mail-Adresse und Ihr echter Name.

Das ist insoweit erst mal weder gefährlich noch verwerflich. Das Problem liegt aber in der Nutzung der Daten und der Verknüpfung mit anderen Daten. Nehmen wir einmal an, Sie registrieren sich auf einer sogenannten »Special Interest Website«. Das ist zum Beispiel ein Onlineforum, das sich einem Hobby widmet. Im Rahmen Ihrer Besuche auf der Website werden dann die von Ihnen geschriebenen und angesehenen Beiträge vermerkt.

Bestenfalls hat der Betreiber dieser Website also einen Datensatz über Sie mit einigen grundlegenden Informationen plus den Hinweisen dazu, was Sie in seinem Special-Interest-Bereich interessiert.

Solche Anbieter können diese Datensätze weitergeben, um damit zum Beispiel den Betrieb dieser Website zu finanzieren.

Sie als Anwender haben wenig Einfluss darauf, wie sicher oder unsicher Ihre Daten auf dem Server des Anbieters gelagert werden. Es gibt Websites, die einen hohen Aufwand betreiben und die Daten umfassend verschlüsseln – andere tun das nicht.

Und an dieser Stelle liegt dann auch das Gefahrenpotenzial. Hier kommen jetzt die Bösen ins Spiel: Hacker könnten die Website durchaus »knacken« und die von den Benutzern hinterlegten Datensätze stehlen.

Was können Sie dagegen tun?

Geben Sie solchen »Benutzerkonten« nur die Informationen, die wirklich nötig sind. Auch wenn es vielleicht verlockend ist, sich im Profil eines Forums umfassend zu präsentieren, nötig ist es nicht. Es spricht auch nichts dagegen, mit mehreren E-Mail-Konten zu arbeiten (siehe Kapitel 4.3 »Sichere E-Mails«), um damit mehr Optionen zu haben.

2.4 (Tracking-)Cookies und andere Verfahren

Nehmen wir an, Sie besuchen eine Website öfter. Speziell wenn man sich auf der Seite registrieren musste, ist es lästig, jedes Mal seine Zugangskennung und sein Passwort einzugeben. Hier helfen Cookies – zu Deutsch »Kekse« – weiter. Cookies sind kleine Dateien, die beim ersten Besuch einer Website auf Ihrem Computer angelegt werden. Diese Dateien sind oft nur einige Zeichen groß und somit auch für den weiteren Betrieb nicht störend. Wenn Sie die Website dann ein weiteres Mal besuchen, kann die Website »nachschauen«, ob Sie schon einmal dort waren. Wie von Geisterhand sind Sie automatisch auf der Seite angemeldet, oder der Warenkorb der noch nicht ausgeführten Bestellung erscheint auf Ihrem Bildschirm. Diese Art der Cookies nennt man authentication cookies (Authentifizierungs-Cookies). Eigentlich eine gute Idee. Aber: Wie so oft wird eine gute Idee für nervige Werbung ausgebeutet. So existieren ganze Gruppen von Anbietern mit diversen Websites, die sich einen bestimmten Cookie »teilen«. Dabei wird ein Cookie als ein Verzeichnis Ihrer Internetaktivitäten angelegt. Wann immer Sie eine Website besuchen, die zu dieser »Gruppe« gehört, wird Ihr Tracking-Cookie um neue Informationen ergänzt. Jede Website dieser Tracking-Cookie-Gruppe kann den Cookie auslesen.

Ein Beispiel: Sie besuchen die Website SEITE1. XY – mit Kochrezepten. Diese legt auf Ihrem Computer einen Tracking-Cookie an, in dem »Hans Müller hat am 2.2.2020 die Website SEITE1. XY besucht« gespeichert wird. Nun besuchen Sie zudem die Website SEITE2. XY, die sich mit Haustieren beschäftigt. Wieder wird diese Information hinterlegt. Danach besuchen Sie eine Chat-Website für Singles. Pling! Wieder wird die Information gesichert. Dazu kommt noch, dass jeder Besuch auf den verschiedenen Seiten vermerkt wird, der Cookie wird also mit Informationen darüber »gefüttert«, wann und wie oft Sie welche Website besucht haben. Am Ende könnte jede Website dieser Tracking-Cookie-Kooperation den Cookie auslesen und so feststellen: »Hans Müller ist Single, hat einen Hund und kocht gerne«. Das sind optimale Informationen, um Sie bei dem nächsten Besuch einer der dazugehörenden Websites mit speziell auf Sie zugeschnittener Werbung – »Sie sind Single mit Hund und kochen gerne? Kaufen Sie …« – zu erfreuen. Nicht böse, aber nervig! Und es kann noch schlimmer kommen. Sind Sie auf einer dieser Websites mit Ihrer E-Mail-Adresse oder weiteren persönlichen Daten registriert, werden auch diese munter im Internet verteilt, verkauft und für Werbezwecke verwendet.

Sollten Sie zum Beispiel bestimmte Seiten – nennen wir sie Erwachsenen-Websites – häufig besuchen, wird dies unter Umständen auch in Tracking-Cookies gespeichert. Wundern Sie sich dann nicht, wenn Ihr E-Mail-Account vor »Einladungen« bestimmter »Damen« überquillt oder man Ihnen zu verstehen gibt, dass Sie für wenig Geld Medikamente zur Erhöhung Ihrer sexuellen Leistungskraft im Ausland erwerben können …

So vermeiden Sie diese Falle

Verhindern Sie per Browser-Einstellung, dass Tracking-Cookies gespeichert werden (siehe Kapitel 3.3 »Tracking-Selbsttest« und 6 »Konkret: Browser sicherer machen«).

2.5 Fingerprinting – digitale Fingerabdrücke

In den vorherigen Abschnitten haben wir beleuchtet, wie der Besuch von Websites Sicherheitsrisiken durch heruntergeladene Dateien erzeugt – die Cookies sind dabei »am schlimmsten«. Das ist aber noch nicht alles. Das sogenannte Fingerprinting identifiziert Sie als Besucher der Website, ohne Spuren auf Ihrem Computer zu hinterlassen.

Beim »Fingerprinting« – zu Deutsch in etwa »einen Fingerabdruck nehmen« – werden Sie genau genommen über die Ausrüstung Ihres PCs identifiziert. Dazu gibt es im Prinzip zwei Ansätze:

Die simple Variante – Browser, Hardware, Einstellungen

Über entsprechende Anfragen kann eine Website einige Informationen über Ihren Computer zusammentragen. Dazu gehören Informationen wie verwendeter Prozessor, Browser, Bildschirmauflösung und Farbtiefe. Zusammen mit aktivierten Plug-ins etc. im Browser lässt sich ein »Informationspaket« über Sie zusammenstellen. All diese Informationen werden nach einer bestimmten Logik einsortiert, daraus wird eine Prüfzahl, ein sogenannter Hash, berechnet. Das ist eine Zahl mit vielen Stellen, sozusagen eine eindeutige Identifikationsnummer für Ihren Computer.

Dabei wird oft zusätzlich mit Cookies gearbeitet. Die Website lädt einen Anfangs-Cookie herunter und berechnet aus der Konfiguration Ihres Geräts den »Hash« – eine Prüfsumme, die sich aus verschiedenen Werten ergibt. Im Cookie wird der Hash dann gespeichert und parallel zum Server der Website zurückgeschickt. So hat Sie der Anbieter der Website auf dem Schirm und kann Sie bei späteren Besuchen jederzeit identifizieren. Das Abschalten der Cookies hilft übrigens nicht viel, da diese Methode auch ohne Cookies funktioniert.

Die raffinierte Variante – Malen nach Zahlen

Die Website, die Sie besuchen, lässt Ihren Internetbrowser »unsichtbar« im Hintergrund ein Bild malen. Klingt blöd, ist aber raffiniert.

Ohne dass Sie es merken, wird eine Funktion Ihres Webbrowsers genutzt, der sogenannte »Canvas«. Das heißt zu Deutsch »Leinwand« – und ist eine Funktion, die in HTML (der Seitenbeschreibungssprache) ab der Version 5 eingeführt wurde. Dabei kann der Programmcode, der von der Website kommt, auf einer digitalen Leinwand zeichnen. Die Idee dabei war, dass eine Website mehr grafische Möglichkeiten hat als früher.

Der beim Canvas-Fingerprinting genutzte Trick besteht darin, dass jeder PC in seiner Konfiguration fast einzigartig ist. Durch unterschiedliche Browser, Schriftarten, Grafikkarten und deren Treiber sieht ein Text, den man per Skript über die HTML-Zeichenfunktion ausgibt, auf fast allen Computern minimal anders aus.

Genau diesen Ansatz verwendet das Canvas-Fingerprinting. Auf einer für den Benutzer unsichtbaren »Leinwand« (dem Canvas) zeichnet ein Skript auf der geöffneten Website einen Text. Dabei werden bestimmte Schriften und Farben verwendet. Die dabei erzeugte »Leinwand« können Sie sich wie eine Bilddatei vorstellen, die im Speicher gehalten wird. Dieses Bild wird dann Punkt für Punkt gelesen und wieder in eine digitale Prüfzahl, den Hash, verwandelt. Und schwupp – gibt es wieder eine Identifikation, die für Ihren Computer einzigartig ist.

Was passiert mit den Fingerprint-Daten?

Nach dem Lesen dieser Erklärung drängen sich Ihnen vermutlich berechtigte Fragen auf wie: Was haben die Anbieter von diesen »Fingerprints«? Wer setzt das überhaupt ein? Und wie werden diese Informationen verwendet? Mit den Fingerprints haben die Anbieter von Internetdiensten eine Möglichkeit, Sie zu identifizieren, vor allem dann, wenn Sie Sicherheitsmaßnahmen getroffen haben, die zum Beispiel den Cookie-Verkehr erheblich einschränken. Man kann Sie ohne großen Aufwand digital wiedererkennen. Verwendet wird das Fingerprinting nicht nur von den »Großen« wie Facebook, Google und Amazon, sondern auch von unbekannteren Anbietern.

Das beinhaltet auch, dass mehrere Anbieter die digitalen Fingerabdrücke teilen und sich dann hinter den Kulissen über sie austauschen können. Wenn Sie zum Beispiel auf der Website eines großen Verlages immer wieder nach Katzenbüchern suchen, könnte dieses Suchverhalten zusammen mit Ihrem Fingerabdruck auf dem Server des Anbieters gespeichert werden. Besuchen Sie dann mehr oder weniger zufällig den digitalen Buchladen eines Versenders, werden Ihnen primär Katzenbücher vorgeschlagen. Eine Ihnen völlig unbekannte Website kann somit bei einem ersten Besuch direkt wissen, dass Sie bereits die eine oder andere entsprechende Website besucht haben. Wenn Sie den Cookie auf Ihrem Computer löschen, hilft das nicht viel. Der Hash/die Prüfzahl wird einfach neu berechnet und mit den Daten des Servers abgeglichen …

Im besten Fall wird der digitale Fingerabdruck zu Werbezwecken genutzt. Man könnte sich aber auch Gemeineres vorstellen, da nur die dahinterliegende Software die Grenzen setzt.

Wenn Sie zum Beispiel häufig hochpreisige Produkte auf einer Website einkaufen, könnte ein Algorithmus dafür sorgen, dass Sie bei späteren Besuchen – auch auf verwandten Seiten – nur hochpreisige Waren angezeigt bekommen. Auch wenn es dieses Mal ein günstiges Mitbringsel für die Schwiegermutter sein sollte.

2.6 Viren/Malware

Nach diesen raffinierten Verfahren geht es nun »zurück zu den Wurzeln« – denn bei all den Bedrohungen heutzutage verliert man schnell den Überblick:

Backdoor

Wie der Name Backdoor (»Hintertür«) schon sagt, sorgen diese Programme dafür, dass ein Zugriff auf Ihren Computer über das Internet möglich wird. Dabei gibt es viele Varianten: Manche Backdoor-Viren öffnen »lediglich« auf jedem befallenen Computer die gleiche Art von Zugriff. Die raffinierten Varianten schicken dem Erzeuger des bösartigen Programms eine Nachricht: »Computer XYZ unter der IP-Adresse xxxxx ist jetzt für den Zugriff offen.« Der Effekt ist letztendlich immer gleich: Unbefugten wird der Zugriff auf Ihren Computer und somit auf alle Dateien und Programme ermöglicht.