Wie Tracker Google-Suchanfragen öffentlich machen

Gestern habe per Twitter auf das Problem hingewiesen, dass Tracker sensible Daten veröffentlichen. Ich möchte hier kurz das Problem umreißen und zeigen, wie man es in den Griff bekommen kann. Ich verdanke viele Überlegungen hilfreichen Kommentaren, für die ich mich bedanken möchte.

privacy-violations

Auf dem Bild von Private Internet Access sieht man, welche Daten verbunden werden: Timestamps (Zeitpunkte), IP-Adressen und Google-Suchanfragen. Die Tracker – konkret ist ExtremeTracking gemeint – sammeln diese Daten im Auftrag von Seitenbetreibern: Wenn ich gerne wissen möchte, wer meine Seite mit welchen welchen Suchanfragen findet, können mir Tracker dabei helfen (auch Google bietet diese Dienstleistung an).

Die Suchanfragen im Beispielbild sind alle problematisch; sie weisen auf Suizidversuche, Kinderpornografie, Übergewicht, Magersucht, Softwarepiraterie etc. Die Tracker vermitteln diese Informationen nicht nur an Betreiber von Seiten (denen man das Recht ja zusprechen könnte, zu wissen, wie die Seite gefunden wird), sondern sie veröffentlichen diese Informationen auch (und verkaufen sie). Man kann sich hier live ansehen, wie so eine Seite aussieht. Eine Liste mit Tracking-Diensten findet sich hier. Wichtig ist anzumerken: Unsere Suchanfragen werden nicht komplett veröffentlicht, sondern nur, wenn sie uns auf Seiten geführt haben, die Suchanfragen tracken.

Was heißt das konkret? Wie ich gestern in Bezug auf den Gedanken der digitalen Selbstverteidigung festgehalten habe, wissen wir oft nicht, dass Daten gespeichert werden und wir wissen auch nicht, welche Daten hinzugekauft werden. Facebook könnte z.B. zu den schon vorhandenen Daten via unsere IP-Adresse noch Google-Suchanfragen dazukaufen etc. So könnten digitale Profile erstellt werden, in den viele eigentlich verstückelte Informationen zusammengefügt werden.

Allerdings surfen wenige Menschen mit statischen IP-Adressen. Es ist unklar, wer hinter den IP-Adressen steckt. Sie werden von Internet Service Providern meist dynamisch vergeben; um herauszufinden, an wen, braucht es eine Aufforderung von einer offiziellen Stelle.

Was kann man tun?

  1. Statt Google die Suchmaschine DuckDuckGo verwenden, die Tracking verhinder – vgl. http://donttrack.us/
    Wer Google vermisst, kann die Suchanfrage mit dem !g command versehen und via DDG Google durchsuchen. [danke für den Hinweis in den Kommentaren]
  2. Die Referer kontrollieren (also Seiten nicht informieren, woher man gekommen ist), geht am einfachsten per Browser-Extension: Chrome / Firefox
  3. Eine Browsererweiterung installieren, etwas Privacyfix, Collusion, DoNotTrackMe oder Ghostery.
  4. Seine IP-Adresse mit einem VPN-Zugang verstecken, z.B. mit HideMyAss oder Tor, hier gibt es eine Übersicht mit Providern.

Weitere Tipps finden sich im Kapitel 13. von »Mich kriegt ihr nicht« oder englisch hier.

Wie eine Person gehackt werden kann und was man dagegen tun kann

Mat Honan ist Journalist bei Wired – einem Fachmagazin für digitale Entwicklungen und Technologie. Er ist, da darf man sicher sein, kein naiver Nutzer von Technologie. Seine Nutzung des Internets gleicht der vieler Menschen, die regelmäßig online sind: Er kaufte Bücher bei Amazon, hatte einen iTunes-Account, nutze das Mailprogramm von Google, war auf Twitter aktiv und speicherte viele seiner Daten in der so genannten Cloud – also auf einem Server, der übers Internet zugänglich ist.

Mat Honans Konten wurden alle gehackt, wie er selber schreibt – mit folgenden Konsequenzen:

  1. Sein Google-Konto wurde komplett gelöscht.
  2. Auf seinem Twitter-Konto wurden rassistische und homophobe Meldungen verbreitet.
  3. Sein Computer und sein iPhone wurden restlos gelöscht (Verlust von wichtigen Daten, u.a. allen Bilder seiner Tochter)

(1) Wie konnte das geschehen?

Die Hacker betrieben einen recht großen Aufwand und nutzen Schwächen im Sicherheitssystem. Anfällig waren Amazon und Apple, die beide Informationen an die Hacker herausgaben, die taten, als wären sie Honan, der sich nicht mehr in seine Konten einloggen konnte. Mit den jeweiligen Informationen war es möglich, auf beide Konten zuzugreifen. Das Apple-Konto war die Backup-Mailadresse für das Google-Konto und darüber konnten die Hacker Zugriff auf Google erlangen und damit auf Twitter zugreifen – das eigentlich Ziel: Sie sollten Honan öffentlich in Schwierigkeiten bringen.

Mit dem Apple-Zugriff kann man, wenn das eingerichtet ist, Computer und iPhones löschen – weil man das möglicherweise machen möchte, wenn die Geräte gestohlen werden.

(Diese Darstellung ist sehr knapp und vereinfacht – wenn jemand was Genaueres wissen möchte, bei Wired nachlesen oder in den Kommentaren nachfragen.)

(2) Kann das jeder und jedem passieren? 

Grundsätzlich schon. Wie gesagt: Der Aufwand muss sich lohnen. Hacker nehmen sich nicht 40 Stunden Zeit, um die Konton einer uninteressanten Person zu hacken. Aber falls sich was gewinnen lässt, ist niemand sicher.

(3) Das kann man dagegen tun

Apple und Amazon sind anfällig – man kann die Konten kaum besser schützen. Zudem ist es für dieses Problem irrelevant, wie gut die Passwörter sind – die wurden nicht geknackt, sondern umgangen. Was hilft ist, sind folgende Möglichkeiten, die nicht immer praktikabel sind:

  1. Email quasi jede Minute zu checken, dann würde man sehen, wenn Email mit temporären Zugangscodes eintreffen, die man selber nicht angefordert hat.
  2. Der Schutz von Google ist im Moment einer der besten im Netz – aber nur, wenn die sogenannten »2-Step-Verification« oder »Bestätigung in zwei Schritten« eingeschaltet ist: Dann erhält man jeweils eine SMS, mit der man sich dann definitiv einloggen kann. Niemand, der nicht das Mobiltelefon besitzt, kann sich ins Konto einloggen. Das Einschalten geht recht einfach, aber das Einrichten auf verschiedenen mobilen Geräten ist äußerst mühsam, finde ich.
  3. Die Konten nicht miteinander verbinden, d.h. als Backup-Email-Adresse nie eine aus einem anderen wichtigen Konto angeben (weil man sonst zwei Konten mit einem hacken kann).
  4. Alle Daten nicht nur in der Cloud, sondern auch auf Harddisk mit einem Backup speichern.

Für weitere Hinweise in den Kommentaren bin ich dankbar.