Anonymität im Internet gibt es nicht – eine Tatsache, die nicht jedem Internetnutzer klar ist. Denn Überwachung geschieht nicht nur vermehrt im realen Leben, sondern auch in der virtuellen Welt. Meist unbemerkt hinterlässt jeder Surfvorgang Spuren im Netz, welche erfasst und ausgelesen werden können. Wie dies technisch funktioniert, sowie weitere Fragen rund um das Thema „Tracking“, beantwortet Adrian Schneider in folgendem Interview. Adrian ist Programmierer und Technikexperte von Telemedicus.
Anja: Viele werden „Tracking“ nicht kennen, können sich unter dem Namen nichts genaues vorstellen, bzw. wissen nicht einmal, dass es existiert. Kannst du erklären, was der Begriff „Tracking“ ausdrücken soll?
Adrian: „Tracking“ ist die Verfolgung eines Users auf einer Internetseite. Dabei geht es um detaillierte Statistiken, mit denen der Seiteninhaber nachvollziehen kann, welcher Benutzer seiner Internetseite was und wann getan hat.
Das Ganze kann auf zwei Ebenen stattfinden. Die erste Ebene betrifft die eigene Website. Anhand einer Statistik kann man zum Beispiel sehen, dass der gleiche Nutzer einmal um acht und einmal um zehn Uhr die Website abgerufen hat.
„Tracking“ auf der zweiten Ebene funktioniert seitenübergreifend. Interessant ist das etwa im Zusammenhang mit dem Werbeanbieter DoubleClick, der gerade von Google gekauft wurde. Man vermutet, dass auf jeder Internetseite, auf der Werbung von DoubleClick angezeigt wird, DoubleClick seitenübergreifend Nutzerprofile über seine Werbebanner erstellen kann. Die Werbebanner können von Double Click nämlich selbst abgerufen werden.
Man kann also theoretisch (auf der zweiten Ebene), über das halbe Internet nachvollziehen, wie ein User von der einer zur anderen Seite gekommen ist.
Anja: Welche Daten kann man mithilfe des Trackings erfassen?
Adrian: Wesentliche Daten, die man dadurch erfahren kann sind die IP-Adresse, der Browser, die Bildschirm-Auflösung, die Uhrzeit der Nutzung und der Referer (damit gemeint ist eine Seite, von der aus zur „getrackten“ Seite verwiesen wurde).
Über die IP-Adresse ist es wiederum möglich, genauere Daten über den User herauszufinden: zum Beispiel lässt sich ablesen, aus welchem Staat der User kommt. Spezielle Datenbanken können auch feststellen in welchem Bundesland der Server steht, oder sogar in welcher Stadt.
Anja: Wie kann man anhand einer IP-Adresse genaue Daten ablesen?
Adrian: IP-Adressen bestehen aus 4 Zahlenblöcken, wobei jede Zahl zwischen 0-255 liegt. Bei normalen Internet-Providern erhält man in der Regel bei jedem Einwählen eine neue IP-Adresse – dynamische IP-Adresse genannt. Diese IP-Adressen bewegen sich immer in einem bestimmten Bereich. Zum Beispiel hat die Telekom einen festen IP-Adressen-Block, der nur ihr gehört. War also ein User auf der Seite, der seinen Internetzugang über die Telekom bezieht, so lässt sich dies feststellen.
Anja: Wenn man also über eine IP-Adresse genauere Informationen wissen möchte, wo kann man suchen?
Adrian: Es gibt Datenbanken, die den Internet-Provider und weitere Informationen herausfinden können. Kostenpflichtige Datenbanken enthalten auch etwas genauere Daten, beispielsweise aus welchem Bundesland diese IP-Adresse kommt. Manchmal kann man sogar erfahren aus welcher Stadt eine IP-Adresse stammt, wobei diese Daten eher unzuverlässig sind. Eine solche Datenbank stellt zum Beispiel Maxmind bereit. Das funktioniert im Übrigen so ähnlich wie das „Who-is?“ bei Domains. (Bei der DENIC kann man über eine „Who-Is?-Datenbank“ herausfinden, wer Inhaber einer Domain ist.)
Interessantere Daten erhält man aber bei solchen Nutzern, die über eine statische IP-Adresse verfügen. Die IP-Adresse ist statisch, weil sie sich nicht verändert. Dem User, meist ein Unternehmen, gehört also eine eigene IP-Adresse. Über den Who-is?-Eintrag ist es daher möglich, genau zu sehen, wem die IP-Adresse gehört.
Anja: Eine statische IP-Adresse kann einen User demnach ziemlich genau identifizieren?
Adrian: Ja. Das extremste Beispiel habe ich erlebt, als ich über eine IP-Adresse ganz genau erkennen konnte, dass ein Professor unserer Uni die Homepage besucht hat. Eine IP-Adresse kann nämlich auch einen Host-Namen tragen, welcher einer Domain ähnlich sehen kann. In diesem Fall war der Host-Name mit dem Namen des Professors bezeichnet, auch die Universität und das Institut waren im Namen enthalten.
Anja: Wie werden IP-Adressen denn technisch erfasst?
Adrian: Üblicherweise erfasst der Webserver automatisch selbst eine Statistik. Er legt Logfiles an, anhand derer man überprüfen kann, welche Zugriffe über den Webserver erfolgt sind.
Anja: Kannst du einige Programme nennen, mit denen Tracking möglich ist?
Adrian: Es gibt kostenlose und kostenpflichtige Tracking-Programme: Bekannt sind z.B. die Programme Webalizer oder AWStats, die Logfiles auswerten. Es gibt auch externe Anbieter, wie z.B. Google Analytics, die Daten über eine Website erfassen. Das funktioniert normalerweise über ein eingebundenes Javaskript.
Ein weiterer großer Tracker ist Etracker.
Anja: Du sprichst den Datenschutz an. Kannst du einen Überblick über die datenschutzrechtlichen Probleme geben?
Adrian: Das Kernproblem ist die Frage, ob die IP-Adresse ein personenbezogenes Datum ist und damit das Datenschutzrecht beachtet werden muss. Ein personenbezogenes Datum ist immer dann gegeben, wenn eine Person mithilfe des Datums bestimmbar ist.
Das oben erwähnte Beispiel mit dem Professor macht deutlich, dass anhand einer IP-Adresse durchaus eine Person individuell identifiziert werden kann. In diesem Fall haben wir tatsächlich ein personenbezogenes Datum, das vor allem auch mit anderen Daten, wie der Zeit der Homepage-Nutzung etc., in Zusammenhang gebracht werden kann.
Ich habe vorhin erzählt, dass es beim Tracking auf der zweiten Ebene möglich ist, seitenübergreifend und internetweit Surfen zu beobachten. Dies ist natürlich eine Spur problematischer, weil ganz andere Daten erhoben und ein wesentlich umfangreicheres Nutzerverhalten erfasst werden kann.
Anja: Erfährt der „Getrackte“ etwas von der Erfassung?
Adrian: Nein, in aller Regel erfährt der User nichts davon. Allerdings gelten die Regeln des Telemediengesetzes, wonach der User zu Beginn der Nutzung über die Art und Weise der Datenerhebung, Verarbeitung und Speicherung zu informieren ist. Problem bei dieser Vorschrift ist die Formulierung „zu Beginn des Nutzungsvorgangs“. Wörtlich genommen bedeutete das, dass vor jede Anzeige einer Internetseite, ein Datenschutzhinweis vorgeschaltet werden müsste. Dies ist in der Praxis umzusetzen ist utopisch.
Anja: Das heißt, eine Datenschutzerklärung auf einer eigens dafür vorgesehenen Seite ist ausreichend?
Adrian: Ich gehe davon aus, dass die Rechtsprechung ähnliche Maßstäbe wie für die Impressumspflicht gelten lassen wird. Danach müsste die Datenschutzerklärung über maximal zwei Mausklicke zu erreichen sein.
Als Tracking-Verwender kann man jedoch im Vorhinein datenschutzrechtlichen Problemen entgehen, indem nur Teile der IP-Adresse gespeichert werden. Wenn man davon ausgeht, dass gewisse IP-Adressen als personenbezogene Daten anzusehen sind, müssen konsequenterweise alle IP-Adressen als personenbezogene Daten behandelt werden und sind damit auch datenschutzrechtlich relevant. Speichert oder erfasst man aber nicht die vollständige IP-Adresse, so ist eine eindeutige Identifizierung des Users nicht möglich und es liegt kein personenbezogenes Datum vor. Datenschutzrechtliche Vorschriften müssen dann nicht beachtet werden.
Anja: Aber bisher gibt es dazu noch keine Rechtsprechung.
Adrian: Nein, bisher nicht.
Anja: Kann eigentlich nur der Inhaber der Homepage seine Seite „tracken“, oder ist das auch für jeden anderen möglich?
Adrian: Grundsätzlich kann man Tracking nur auf der eigenen Homepage durchführen. In der Regel hat nämlich nur der Webmaster Zugriff auf die eigene Webseite.
Anja: Gibt es eine Möglichkeit für den Internet-Nutzer sich anonym zu machen?
Adrian: Eine Möglichkeit besteht darin, einen so genannten Proxyserver zu verwenden.
Der Proxyserver lädt für den User eine von ihm gewünschte Seite runter, weshalb das Trackingprogramm nur die IP-Adresse des Proxyservers anzeigt, nicht aber die IP-Adresse des Users. Bestimmte Proxyserver können auch noch andere Informationen, wie beispielsweise den Referer oder den Browser, verschleiern. Als Student der Uni Münster kann man sich zum Beispiel über das VPN der Uni einwählen. Daraufhin erscheint im Trackingprogramm als User der Proxyserver der Uni Münster.
Anja: Danke für das Interview.
Wer an darüber hinausgehenden Informationen zu diesem Thema interessiert ist, kann sich auf der Homepage von „Sicherheit-Online“ umschauen. Dort finden sich speziell zum Verschleiern von IP-Adresse und sonstigen Spuren im Netz weitere Hinweise.