https://www.faz.net/-gy9-8mob9

Geräteübergreifende Technik : Der Spion, der mich liebt

  • -Aktualisiert am

Bild: dpa

Wer sich ins Internet begibt oder ein Handy benutzt, gibt viel von sich preis. Viele Unternehmen überwachen sogar die Netz-Nutzer. Dazu kommt eine geräteübergreifende Spionagetechnik zum Einsatz.

          4 Min.

          Welche und wie viele Daten ziehen Webserver vom Browser eines Internet-Surfers ab? Das haben Journalisten des Rechercheverbundes Technik und IT-Experten für den Deutschlandfunk nachverfolgt. Standardmäßig ermittelt solche Tracking-Software ein Nutzerprofil aus Daten wie dem installierten Betriebssystem, der Bildschirmauflösung, dem verwendeten Browser mit seinen Zusatzprogrammen sowie den installierten Schriften und Sprachen. Über eindeutige Identitätsnummern, Signaturen und Schlüssel werden nicht nur Rechner und Smartphones wiedererkannt, sondern auch deren Besitzer. Teilweise laufen diese Identifizierungen noch immer über die Facebook-ID. Sie wird aber unwichtiger.

          Stattdessen arbeiten die Datenhändler mit eigener Tracking-Software. Die setzt zum Beispiel einen Cookie auf den Rechner eines Internet-Surfers. Ein Cookie ist zunächst nur eine kleine Textdatei mit Informationen. Der Cookie wird sodann an den Datenhändler geschickt, der einen dazugehörenden eindeutigen Schlüssel berechnet. Dieser Schlüssel wandert nun abermals zum Surfer und wird auf seinem Rechner abgelegt. Im nächsten Schritt erhält der Browser des Surfers die Anweisung, diesen Schlüssel an weitere Webserver anderer Datenhändler weiterzureichen. Das geschieht geräteübergreifend.

          121 sogenannte Get-Befehle

          Um von diesen Daten auf die persönliche Identität eines Internet-Surfers zu schließen, brauchen die Datenhändler entweder die E-Mail-Adresse oder die Telefonnummer des Surfers. Die E-Mail-Adresse ermitteln sie, wenn der Surfer einen seiner Social-Media-Accounts oder das elektronische Postfach im Browser nutzt. Beim Aufruf des Web-Kontos des Autors haben die Experten 121 sogenannter Get-Befehle seines Browsers protokolliert. Drei weitere Befehle haben die Daten der Adresszeile des Browsers ausgewertet, aus der die genaue Mail-Adresse ermittelt werden konnte.

          Die Telefonnummer wird in der Regel über die Nutzung eines Messenger-Dienstes ermittelt. Daneben werden aber auch Einträge auf Social-Media-Plattformen ausgewertet, bei denen die Telefonnummer des Kontoinhabers hinterlegt ist. Sobald der eindeutige Schlüssel mit den realen Identitätsdaten eines Menschen aus Fleisch und Blut verknüpft ist, zeichnet die Erfassungs-Software auf, was der Nutzer im Web treibt, für welche Seiten und Inhalte er sich interessiert und welche Themen ihn gerade beschäftigen. Die Analyse-Software erstellt ein genaues Personenprofil. Damit berechnet wiederum die prädiktive Software die Wahrscheinlichkeit, für welche Produkte er sich interessiert und welche er kaufen wird.

          Die Trutzbox dient in erster Linie der Abwehr

          Die technische Ausstattung für unsere Recherchen war nicht anspruchsvoll. Eine Sicherheitsbox namens Trutzbox, die als Router fungiert, Software, um den Netzverkehr am eigenen Router zu analysieren, und Tools wie ip-ckeck.info, browserspy.dk oder audiofingerprint, um genau zu verfolgen, welche Webserver welche Daten vom Browser anfordern. Die Trutzbox dient in erster Linie der Abwehr von Überwachungsmaßnahmen. Doch mit diesen Abwehrmethoden lässt sich auch herausfinden, von welchen Webservern welche Anfragen an das Gerät des Internet-Nutzers geschickt werden und welche Daten vom Nutzer ausgespäht werden.

          Wer Überwachung abwehren will, muss wissen, wie sie funktioniert. „Die Trutzbox schaut sich an, welche Daten an den Server gehen, und hat eine gewisse Intelligenz, um Daten, die eine Identität verraten, entsprechend zu manipulieren“, erläutert IT-Experte Hermann Sauer aus Eltville, der in seinem Unternehmen Comidio die Trutzbox entwickelt hat. Für unsere Recherchen musste allerdings die Schutzfunktion ausgeschaltet werden, um die Datenabfragen der Überwachungsserver nachverfolgen zu können. Schon beim Aufruf einer Nachrichtenseite konnten so zwischen 120 und 260 Datenabfragen von Internet-Servern dokumentiert werden.

          Sie weisen bis zu 10.000 Programmzeilen auf

          Beim Aufruf von Online-Shops und den Angeboten von Versandhändlern waren es teils über 100 Zugriffe von anderen Internet-Servern auf den Browser des Nutzers. Die dabei eingesetzten Javascripts für die Datenüberwachung sind sehr ausgefeilt. Sie weisen bis zu 10.000 Programmzeilen auf, die unterschiedliche Überwachungsfunktionen ausführen. Diese Versandhändler nutzen ferner die Facebook-ID der Surfer, um herauszubekommen, welche Produkte sich ein Internet-Nutzer wie lange und mit welcher Interessenstiefe anschaut.

          Die F.A.Z. hatte schon im Herbst 2011 genau nachvollzogen, wie über Facebook-Identitätsnummern das persönliche Surf-Verhalten ausgewertet wird. Die Spähtechnik hat sich seitdem nicht wesentlich verändert. Facebook-Mitglieder, die während ihrer Web-Surftour nicht bei diesem sozialen Netzwerk angemeldet sind, geben spätestens beim Klick auf einen Like-Button neben ihrer IP-Adresse und der Web-Adresse auch Datum, Zeit, Browser-Typ und die eindeutige Cookie-Kennung preis. In der Regel reicht aber bereits der Aufruf der Seite.

          Es kommt auf jeden Fall zur Datenübertragung

          Doch kann es hier zu unterschiedlichem Seitenverhalten kommen. Deshalb wollen sich die internationalen Datenhändler von der Facebook-ID unabhängig machen. Das konkrete Seitenverhalten hängt nämlich davon ab, wie die Software mit dem „Gefällt mir“-Button eingebunden ist. In der Regel werden die persönlichen Daten des Surfers beim Aufruf der Website an Facebook übertragen, spätestens beim Klick auf den Button kommt es jedoch auf jeden Fall zur Datenübertragung, welche die Cookie-Kennung mit einschließt. Über diese Cookie-Kennung kann ein Facebook-Mitglied identifiziert werden, wenn es sich zu einem späteren Zeitpunkt beim sozialen Netzwerk anmeldet. Auch Surfer, die nicht Mitglied bei Facebook sind, werden ausgespäht.

          Das musste im Jahr 2011 Facebook-Manager Richard Allan bei einer Anhörung im Innen- und Rechtsausschuss des Kieler Landtags zugeben. Er argumentierte zwar wolkig, aber letztlich unmissverständlich: „Wenn ein Nicht-Facebook-Nutzer eine Seite mit einem Like-Button aufruft, erhalten wir bestimmte Daten über den Besuch inklusive Datum, Zeit, URL und den Browser-Typ.“ Dazu muss nicht einmal der Like-Button angeklickt werden. Diese persönlichen Daten landen auf Facebook-Servern und werden dort weiterverarbeitet.

          Diese Praxis hat zu heftiger Kritik geführt. Zahlreiche Seitenbetreiber haben deshalb den Original-Button von Facebook gegen einen leicht modifizierten Button getauscht, es wird nur noch ein einfacher Link zum Facebook-Button aufgerufen. Zu diesem Zeitpunkt werden noch keine persönlichen Daten an Facebook übertragen. Auf diese Weise ist die Facebook-ID für Datenhändler weniger interessant. An den protokollierten Zugriffen konnten wir ablesen, dass die Zahl der eindeutig identifizierbaren Schlüssel und Signaturen der Datenhändler die Zahl der Facebook-ID bei weitem überschreitet. Die Tracker der Datenhändler sind dabei eng aufeinander abgestimmt.

          So können eindeutige Schlüssel, Identitätsnummern, Browserprofile und ähnliche Daten beziehungsweise Datensammlungen unproblematisch ausgetauscht werden. Das ist die Voraussetzung für eine effiziente Profilverwaltung. Für die Verknüpfung dieser Profildaten mit den persönlichen Identitätsangaben des realen Menschen sind Social-Media-Plattformen unentbehrlich. Dass die Händler stärker auf eigene Identitätsnummern setzen, heißt also nicht, dass sie die Zusammenarbeit mit den Betreibern von Social-Media-Diensten einschränken oder gar einstellen. Die Kooperationsformen von Social-Media-Unternehmen und Datenhändlern ändern sich lediglich. Die Datenschützer schauen diesem Treiben der Datenhändler weitgehend hilflos zu. Ein Großteil der Internet-Nutzer in Deutschland hat diesen Datenerhebungen nämlich durch Klick oder Wisch zugestimmt - allerdings ohne zu wissen, welche Daten im Detail verarbeitet werden und wie eng die Kooperation der Datenhändler ist.

          Weitere Themen

          Liebesgrüße aus Teheran

          Iranische Cyber-Angriffe : Liebesgrüße aus Teheran

          „Verkleidet“ als Journalist oder Google: Die Cyber-Spionage-Gruppe „Charming Kittens“ imitiert öffentliche Personen und fälscht Websites, um Informationen für den iranischen Geheimdienst zu sammeln.

          BMW 2er Grand Coupé Video-Seite öffnen

          Probefahrt : BMW 2er Grand Coupé

          Mit dem neuen 2er Gran Coupé unterfüttert BMW seine 3er-Reihe und erweitert gleichzeitig das Angebot in der kompakten Klasse. Dieser BMW hat Frontantrieb - nur das Topmodell nicht.

          Topmeldungen

          Grüne in Hamburg : Zweiter Platz, erster Verlierer

          Die Grünen legen erheblich zu, verpassen aber schon wieder eine große Chance: in einem zweiten Bundesland eine Regierung anzuführen. Für Robert Habeck und Annalena Baerbock wird es damit nicht leichter, ihren Anspruch auf Platz eins bei der nächsten Bundestagswahl glaubwürdig zu machen.
          Tänzer proben für den hohen Besuch: Agra bereitet sich auf Donald Trump vor.

          Besuch in Indien : Ein Spektakel, wie es Trump und Modi lieben

          Wenn der amerikanische Präsident nach Indien reist, geht es mehr um Bilder fahnenschwenkender Anhänger als um konkrete Vereinbarungen. An die Stelle eines Handelsabkommens dürften die Rüstungsverträge treten.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.