33C3 – CCC-Kongress in Hamburg: Big Brother, ganz privat

Beim 33C3 geht es um kommerzielle Überwachung, das Tracking. Dagegen kommt selbst der Einfallsreichtum der Hacker_innen nicht an.

Menschen mit Papptellern vor dem Gesicht

Fußballfans protestieren gegen polizeiliche Gesichtserkennung im Stadion Foto: dpa

HAMBURG taz | Was kann man aus 100.000 Spiegel-Online-Artikeln erfahren? Vielleicht, dass Politik, Sport und Panorama den Großteil aller Texte auf der Seite ausmachen? Vielleicht, dass es nachts weniger Artikel gibt als tagsüber? Vielleicht, dass es bei vielen Texten über Frankreicht auch um Islamismus geht? Aber wie wäre es damit: Man kann erfahren, wer mit wem gerne zusammenarbeitet, wer wann in den Urlaub fährt. Man kann sogar darauf schließen, wer vielleicht gemeinsam Urlaub macht.

„Ich habe diese Artikel seit 2014 gevorratsdatenspeichert“, sagt der Informatiker David Kriesel und grinst. Seit 2014 hat er regelmäßig alle Artikel von Spiegel Online abgespeichert. In seinem Vortrag „Spiegelmining“ führt er vor, welche Informationen aus vielen Daten herausgelesen werden können – aus Daten, die wie Zeitungsartikel, einfach aufrufbar im Netz stehen. „Was wir gerade gesehen haben ist Informationsgewinnung über interne Firmeninformationen und höchstpersönliche Lebensbereiche“, fasst Kriesel ernst zusammen.

Wenn schon nur die veröffentlichten Artikel einer Nachrichtenseite so viel verraten, wieviel verraten dann Facebook- und Twitter-Profile? Und was verraten Daten, die nicht einmal absichtlich öffentlich gemacht wurden, sondern heimlich von Websites oder Smartphones protokolliert wurden? Zahlreiche Vorträge beim CCC-Kongress in Hamburg drehen sich ums Tracking, um kommerzielle Überwachung. Wenn ein Großteil des Lebens im Netz stattfindet, kann durch die Auswertung der Aktivitäten im Netz auch auf das echte Leben geschlossen werden.

Die Journalistin Svea Eckert hat dieses Jahr versucht herauszufinden, welche Daten über Internetnutzer_innen gespeichert werden. Gegenüber Trackingfirmen gab sie sich als israelische Consultingfrau aus und bat um kostenlose Testpakete für deren Datenbanken. Das Ergebnis war schockierend: Zwei Wochen hatte sie Zugang zu einer kontinuierlich aktualisierten Datenbank, in der 3 Millionen Deutsche Nutzer_innen durchs Netz verfolgt wurden. Detailliert wird jede einzelne Website aufgeführt: Welches Automodell hat eine Person gesucht, welche Krankheiten gegoogelt, welche Seiten auf der elektronischen Steuererklärung abgerufen.

Politikerdaten leicht abrufbar

In vielen Fällen konnte aus diesen Seiten bereits die echte Identität abgerufen werden. Dort gab ein Polizist seine E-Mail-Adresse bei Google-Translate ein, mehrere Seiten wie Xing oder Twitter lassen in den URLs Rückschlüsse auf die Identität einer Person zu (Xing hat das Problem behoben, Twitter nicht). Für alle anderen, jedoch, ist die Entanonymisierung nicht schwierig. Welche Links hat eine Person innerhalb eines Zeitraums öffentlich auf Twitter gepostet? Ein Abgleich mit der Datenbank zeigt das richtige Profil auf und für die zweifelsfreie Identifizierung können schon fünf Websites ausreichen. Und wer kein Twitterprofil hat? Wer weiß, welche Bank jemand benutzt, welche Mailadresse, welche Nachrichtenseite hat schnell die nötige Zahl an Websites zusammen.

In der Datenbank fanden Eckert und Dewes beispielsweise auch die Daten mehrere Politiker_innen. Valerie Wilms zum Beispiel, eine Grünen Politikerin, die in einem kurzen Video im Vortrag vorkommt und „Scheiße!“ ruft. Sie hatte ein Medikament für Hörsturz gesucht und ihre Steuererklärung online abgegeben: Man sieht zwar nicht was genau, wohl aber welche Steuervordrucke sie abgerufen hat, kann also schließen, welche Steuern sie angeben würde.

Eckert hat die Daten einer Firma erhalten, im Netz gibt es aber Tausende solcher Unternehmen. In mehreren Vorträgen wird die dicht bedruckte Grafik eines Marketing-Bloggers angezeigt, auf der rund 3.500 Logos von Tracking-Firmen zu sehen sind. Und wie sammeln sie? Viel passiert direkt im Netz, mit Cookies auf Websites oder mit Browser-Zusatzprogrammen oder kostenlosen mobilen Apps, die Nutzer_innen sich direkt herunterladen. Anderswo verkaufen Telekommunikations-Unternehmen ihre Datenbanken – oder machen selbst einfach Firmen auf, die Nutzer_innenprofile herstellen und verkaufen.

Gesichtserkennung zum Abgewöhnen

Die Daten werden wiederum verwendet um komplexe Rückschlüsse über Nutzer_innen abzuleiten. Wolfie Christl, ein österreichischer Aktivist, stellt in seinem Vortrag, die vielen Möglichkeiten vor. Manche Firmen erstellen Persönlichkeitsprofile, andere leiten aus dem sozialen Netz einer Person ihre Kreditwürdigkeit ab, andere wiederum berechnen wie profitabel es sein werde, einer Person einen bestimmte medizinische Behandlung vorzuschlagen.

Wieviel Information aus wie wenig abgeleitet werden kann, beschreibt Adam Harvey in seinem Vortrag über Videoüberwachung eindrücklich: Bereits in einem 6x7-Pixel-Bild sei für einen Computer ein Gesicht eindeutig erkennbar. Auf einem 16x12-Pixel-Bild könnten Computer bereits Aktivitäten identifizieren. Je höher aufgelöst, desto besser das Ergebnis. Und wie hochaufgelöst sind Bilder heutzutage? Und wieviele Informationen hinterlassen Internetnutzer_innen?

Für die Hackerszene, sonst einfallsreich im Vorgehen gegen Überwachung, sind viele von den Vorträgen ernüchternd. Was könne man dagegen tun, dass diese Daten gesammelt und die Rückschlüsse gezogen werden? Wenig, sagt Andreas Dewes. Wenn jemand bereits über 5 Websites identifizierbar sei, könne man sich kaum verstecken: „Manchen Werbetreibenden reicht es vielleicht, wenn ein Nutzer mit einer Wahrscheinlichkeit von 10 Prozent identifiziert wurde.“ Wer das Tracking per Cookies und Zusatzprogramme abschalte, sei immer noch über IP-Adresse und Gerät erkennbar, die viel schwerer zu ändern seien.

Adam Harvey dagegen arbeitet an Kleidungsstücken, die Computer verwirren. Wer sein Gesicht mit Schminke oder Frisur ausreichend verfremde, könne die Gesichtserkennungssoftware abschütteln. Er hat eine „Anti-Drohnen-Burka“ entwickelt, ein Umhang der die Tragenden für Infrarot-Kameras unsichtbar macht – also auch für die Wärmesuchraketen von Militärdrohnen und arbeitet jetzt an Tüchern, die mit schematischen Gesichtern übersät sind und ein entsprechendes Programm tausende Male anschlagen lassen. Muss man sich wirklich so schützen? Harvey zeigt ein Bild von vor 100 Jahren in New York: „Damals haben fast alle noch Hüte getragen, heute nicht mehr. In 100 Jahren wird sich unser Aussehen ähnlich verändern. Vielleicht werden wir uns so anziehen, um unsere Privatsphäre zu maximieren.“

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.