http://www.faz.net/-gy9-xv68

Digitaler Radiergummi : Was im Netz steht, bleibt

  • -Aktualisiert am

Bild: F.A.Z.-Greser&Lenz

Internet-Inhalte sollten ein Verfallsdatum haben. Ein alter Wunsch, neu formuliert von der Politik. Wieder einmal wird die automatische Löschung „überholter Datensätze“ versprochen. Doch die Technik ist nicht ausreichend sicher gegen Missbrauch.

          Schutzsysteme, mit denen persönliche Daten im Internet nach Überschreiten eines Verfallsdatums nicht mehr zugänglich sein sollen, sind nicht neu. Seit fünf Jahren werden solche Mechanismen in regelmäßiger Folge vorgestellt. Alle beruhen letztlich auf der Verschlüsselung von Daten. So auch das von Michael Backes an der Universität des Saarlands entwickelte Verfahren, das Verbraucherministerin Ilse Aigner nun vorgestellt hat. „Das ist eine Art digitaler Radiergummi“, lobt die Ministerin und sieht sogar Vermarktungschancen in aller Welt dafür.

          Fotos, Videos und andere persönliche Informationen werden dabei verschlüsselt. Und nur die verschlüsselte Datei wird auf den Webserver zum Beispiel eines sozialen Netzwerkes eingestellt, also gespeichert. Der zu dieser Datei gehörige Schlüssel wird auf einem separaten Server hinterlegt. Will sich nun ein Internetsurfer ein Bild oder auch andere persönliche Daten anschauen, die auf diese Weise geschützt sind, dann müssen Bild oder Text entschlüsselt werden.

          Dafür ist eine kleine Erweiterungssoftware des Browsers zuständig, die ursprünglich für den Firefox entwickelt wurde. „Der Browser mit dem X-Pire genannten Plugin erkennt, dass das Bild geschützt ist, und fragt den dazugehörigen Schlüssel an, der auf einem Schlüsselserver gespeichert ist“, erläutert Entwickler Backes die Funktionsweise der Software. Ist das Verfallsdatum noch nicht überschritten, erhält der Browser den ungefähr 300 Bit langen Schlüssel, um die Datei unverschlüsselt anzeigen zu können.

          Roboter wollen Daten einsammeln

          Damit die Datenroboter von Suchmaschinen nicht einfach die verschlüsselten Dateien und die dazugehörigen Schlüssel automatisch einsammeln, beide Bestandteile des Schutzsystems auf einem Server des Suchmaschinenbetreibers speichern und auf diese Weise sicherstellen, dass die verschlüsselte Datei auch nach Überschreiten des Verfallsdatums im Klartext angezeigt werden kann, haben Backes und sein Team eine zusätzliche Sicherheitsabfrage eingebaut. Bevor der Internet-Surfer das gewünschte Bild anschauen kann, muss er noch die Frage beantworten, was er auf einem eingeblendeten Prüfbild sieht, oder muss eine dort gestellte Aufgabe lösen.

          Mit diesen „Captcha-Tests“ genannten Sicherheitsabfragen soll garantiert werden, dass am anderen Ende der Leitung wirklich ein Mensch sitzt, der das angeforderte Bild anschauen will, und diese Anfrage eben nicht von einer Suchmaschine stammt. „Captchas sind kleine Puzzles, die ein Mensch gut lösen kann, eine Maschine hingegen nicht“, begründet Michael Backes die zusätzlich eingebaute Hürde. Der Internetsurfer muss dann beispielsweise verschwommene Buchstaben eintippen, die Frage beantworten, wie viele rote Striche er auf dem angezeigten Prüfbild sieht, oder er muss 134 mit 36 multiplizieren.

          „Solche Captcha-Tests lassen sich leicht aushebeln“, bemängelt der Berliner Internetexperte Kristian Köhntopp und erläutert: „Dort wird eine Variante von Recaptcha verwendet. Das ist ein Standardverfahren, das von Suchrobotern leicht umgangen werden kann.“ Schlagzeilen machte eine Gruppe von Adresshändlern, die im Herbst 2009 eine Software gegen das soziale Netzwerk Schüler VZ einsetzten, um die Captcha-Sicherheitsabfrage zu umgehen. Seitdem zählt es zu den Standardverfahren, Captcha-Grafiken mit einer Sicherheitsabfrage auf einen Analyseserver herunterzuladen. Eine Software für die Mustererkennung zerlegt dann die Captcha-Grafik in ihre einzelnen Zahlen, Buchstaben oder Grafiksymbole und gleicht Zeichen für Zeichen und Symbol für Symbol die heruntergeladenen Captcha-Elemente mit einer Captcha-Zeichendatenbank ab. So wird das Captcha mit der Sicherheitsabfrage dann erkannt und der Suchroboter mit der korrekten Antwort aus der Captcha-Datenbank des Analyse-Servers versorgt. Der Suchroboter speist die Zeichenkette mit der korrekten Antwort dann in das dafür vorgesehene Eingabefeld der Sicherheitsabfrage ein, erhält eine Freigabe und kann anschließend die Daten, auf die er programmiert wurde, einsammeln. Und so kann auch die Captcha-Abfrage des Schutzsystems für ein Verfallsdatum persönlicher Daten im Internet überlistet werden.

          Weitere Themen

          Samsung stellt faltbares Smartphone vor Video-Seite öffnen

          „Foldables“ : Samsung stellt faltbares Smartphone vor

          Mit seinem „Infinity Flex“ geht Samsung ins Rennen um die „Foldables“. Nutzer sollen das Gerät hunderttausende Male auf- und zuklappen können, ohne dass es kaputt geht. In den kommenden Monaten will der Konzern die Massenfertigung starten.

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.