Privatsphäre im Internet: So bleibt man unerkannt

Anonymität im Internet teilt sich in zwei große Felder auf: zum einen in freiwillig preisgegebene Daten und zum anderen in Informationen, die meist ohne Wissen des Surfers automatisch erfasst werden. Um die erste Kategorie muss sich jeder selbst kümmern. Wer auf Webseiten persönliche Daten, etwa Name, E-Mail-Adresse und Kreditkartennummer eingibt, sollte sich dessen bewusst sein und zumindest auf aktive Verschlüsselung achten.

Die Verschlüsselung dient dazu, sicherzustellen, dass übertragene Daten nur vom Sender und Empfänger gelesen werden können und beispielsweise nicht vom Provider oder Arbeitgeber.

Bei der HTTPS-Kommunikation über SSL ist grundsätzlich eine Man-In-The-Middle-Attacke möglich. Arbeitgeber und Internetprovider können – aus Eigeninitiative oder auf Anweisung einer Behörde – einen transparenten Proxy betreiben, der sich als SSL-Server ausgibt.

Dies wird durch Zertifikate für SSL-Server im Internet unterbunden. Sie stellen sicher, dass sich niemand auf der Verbindungsstrecke dazwischenschaltet. Ein Blick auf das Zertifikat, wie in Bild 1, schadet nichts.

Um zu überprüfen, ob sich jemand "eingeklinkt" hat, geht man am besten auf die SSL-Website eines großen Anbieters, beispielsweise Ebay. Kleinere Anbieter verwenden wegen der hohen Kosten oft keine Zertifikate von den quasi-offiziellen Anbietern, etwa RSA oder Verisign, siehe Bild 2. Der Browser muss ein Verisign-Class-3-Zertifikat anzeigen, das auf Signin.ebay.de ausgestellt ist. Ansonsten kann man von einem Lauschangriff ausgehen.

Vor allem am Arbeitsplatz ist darauf zu achten, dass ein grüner Balken im Internet-Explorer allein nicht ausreicht. Auf Firmen-Rechnern können vom Administrator weitere Trusted-Root-Zertifikate installiert sein. Kommt das Zertifikat nicht von Verisign, so ist das ein sicherer Hinweis darauf, dass der Arbeitgeber eine gewisse Lidl-Mentalität an den Tag legt.

Hinsichtlich Daten, die automatisch und weitgehend unsichtbar gesammelt werden, muss man stärkere Geschütze auffahren, um wirklich anonym zu werden. Zum einen muss die IP-Adresse verschleiert werden, zum anderen empfiehlt sich die Abwehr von Cookies.

Die meisten Browser bieten eine Einstellung an, die Cookies nur auf Nachfrage akzeptiert. Mehr Kontrolle über Cookies erhält man für Firefox durch die Erweiterung Cookie-Button. Nach der Installation kann man über ein kleines Keks-Symbol der aktuellen Seite das Platzieren von Cookies gestatten oder verbieten.

Generelle Firefox-Einstellungen werden damit allerdings nicht überschrieben. Hat man dort eine Seite für Cookies gesperrt, hilft auch der Cookie-Button nicht weiter. Wer bestimmte Cookies akzeptieren und dauerhaft behalten möchte, findet mit dem Cookie-Culler den richtigen Begleiter für Firefox. So lassen sich die "verräterischen Kekse" selektiv schützen oder löschen.

Noch maßgeblicher für die Identifikation ist die eigene IP-Adresse. Wer nichts zur Verschleierung der Adresse unternimmt, ist identifizierbar, wenn der Provider die Einwahldaten herausgibt.

Nach der einstweiligen Anordnung des Bundesverfassungsgerichtes vom 19. März 2008 dürfen die Einwahldaten nur bei Verdachte auf schwere Straftaten an die Ermittlungsbehörden gegeben werden. Gespeichert werden sie jedoch immer sechs Monate. Eine Hauptverhandlung wird es erst Ende 2008 geben. Somit besteht hohe Rechtsunsicherheit.

Man kann geteilter Meinung darüber sein, ob das tägliche News-Lesen bei ZDNet.de oder eine Bestellung bei Amazon so schützenswert ist, dass man gleich Schritte zur Verschleierung der IP-Adresse ergreifen muss. Allerdings sollte es grundsätzlich möglich sein, anonym zu surfen. Ob und wann man davon Gebrauch macht, muss dem Nutzer überlassen bleiben.