HOME

Online-Sicherheit: Suchet - und Ihr werdet gefunden!

Handy-Überwachung, Online-Razzia - wer auf Google & Co. sucht, hinterlässt Spuren. Im "Kampf gegen den Terrorismus" könnten Regierende auf die Informationen zugreifen. Doch welche Daten speichern Suchmaschinen und lassen sich daraus Rückschlüsse auf einzelne Personen ziehen?

Von Rainer Mersmann

Der Gesetzentwurf zur Neufassung des BKA-Gesetzes, der dem Chaos Computer Club (CCC) zugespielt und Ende Juli veröffentlicht wurde, macht es deutlich: Die Möglichkeiten, die dieses Gesetz eröffnet, sind nicht auf die Daten von Telefon-, Internet- und Mobilfunkanbietern oder das Ausspionieren von heimischen Festplatten beschränkt. So heißt es beispielsweise im Paragraph 20m unter Punkt 2 (auf Seite 19): "Unter den Voraussetzungen des Abs. 1 Satz 1 kann das Bundeskriminalamt von denjenigen, die geschäftsmäßig Teledienste erbringen und daran mitwirken, Auskunft über Nutzungsdaten (Paragraph 15 Abs. 1 des Telemediengesetzes) verlangen. Die Auskunft kann auch über zukünftige Nutzungsdaten angeordnet werden." Und in der entsprechenden Begründung dazu (auf Seite 59): "Zu den Unternehmen, die geschäftsmäßig Telemedien erbringen, zählen insbesondere Internetauktionshäuser oder -tauschbörsen, Anbieter von Videos auf Abruf oder Suchmaschinen im Internet. Angesichts der breiten Nutzung des Internets durch Täter des Internationalen Terrorismus können die Nutzungsdaten ... für die Arbeit des BKA von großem Nutzen sein."

Zwar ist Google im Jahr 2006 - ganz im Gegensatz zu Microsoft, Yahoo und AOL - der Aufforderung des US-Justizministeriums, eine zufällige Auswahl der Suchanfragen einer Woche auszulegen, nicht nachgekommen. Aber passiert das BKA-Gesetz in der vorliegenden Fassung den Bundestag, ist auch Google per Gesetz verpflichtet, auf Anordnung des BKA Suchanfragen und andere Nutzerdaten herauszugeben.

Gefährliche Suche nach "Al-Qaida"

Auf die Frage, welche Daten beispielsweise Google, MSN oder Yahoo erfassen und ob sich daraus Rückschlüsse auf die eigene Person ableiten ließen, wissen die wenigsten Internetnutzer eine Antwort. Dass die Suchmaschinen-Betreiber überhaupt Daten speichern, begründen sie vor allem mit der Verbesserung ihres Services und damit, dass sie dem Missbrauch ihrer Dienste vorbeugen wollen. Erfasst wird bei Google & Co. natürlich der eingegebene Suchbegriff im Google Webprotokoll, darüber hinaus die dem Rechner vom Internet-Provider zugewiesene IP-Adresse sowie Datum und Uhrzeit der Suchanfrage. Allein aus diesen vier Angaben - beispielsweise der Suchbegriff: Al-Qaida, IP: 213.39.179.209, Datum: 05.08.2007, Uhrzeit: 23:12:46 - kann das BKA den Provider (in diesem Fall Hansenet) ermitteln und von diesem die Herausgabe der genauen Anschrift des Suchenden verlangen.

Ich weiß, was Du letzten Sommer gesucht hast

Doch aus einem einzelnen Suchbegriff auf die Gesinnung des Internet-Users zu schließen, ist wenig sinnvoll. Erst eine Summierung von Suchbegriffen und anderen Daten ließe eventuell eine Tendenz erkennen. Über Toolbars der Suchmaschinen (die das Surfen und Suchen angenehmer gestalten sollen) und Cookies (kleine Textdateien mit einer eindeutigen Identifikations-Nummer), die von den Suchmaschinen auf den Rechnern der User abgelegt werden, lässt sich ein Rechner eindeutig wieder erkennen - auch wenn die Internet-Verbindung zwischenzeitlich getrennt wurde. Wer die Google Toolbar installiert oder Cookies von Google angenommen hat, kann sich im "Google Webprotokoll" seine Suchanfragen und -ergebnisse aus den letzten Jahre anschauen. Darüber hinaus speichert Google den Browsertyp, mit dem der Surfer unterwegs ist, und die Sprache, Microsoft Live Search erfasst außerdem die Art der Suche: Sucht der Surfer im Internet, sucht er nach Bildern, News oder nach Shopping-Tipps? Erhalten bleiben die Daten bei Google für 18 Monate, bei AOL einen Monat - danach werden sie anonymisiert. Wie lange Microsoft Live Search und Yahoo die Daten behalten, ist nicht bekannt. Die Pläne der kleinen Suchmaschine Ask.com, ihren Usern eine Option zu anonymen Suche anzubieten, werden durch das geplante BKA-Gesetz dann wohl zunichte gemacht - zumindest so lange ihre Server in Deutschland stehen.

AOL User 4417749

Aber auch ohne die Verbindungsdaten des Internet-Providers kann häufig schon - nur aufgrund der Suchanfragen - auf eine bestimmte Person geschlossen werden. Das bewiesen die Journalisten der New York Times, als AOL im Jahr 2006 der Internet-Gemeinde 20 Millionen Suchanfragen zur Verfügung stellte. Sie brauchten nur wenige Tage, bis sie den User 4417749 als Thelma Arnold, eine 62-jährige Witwe aus Lilburn, Georgia/USA, identifizieren konnten.

Wer über die reine Suche hinaus auch andere Dienste der Suchmaschinen nutzt, wie E-Mail, Blogs, Kalender oder Notizbuch, muss zwangsläufig weitere Informationen über sich preisgeben. Bei Microsoft und Yahoo können diese recht umfangreich sein: Name, Alter, Familienstand, Beruf, Anzahl der Kinder... Zwar verwalten alle Suchmaschinen diese Daten getrennt, aber dass eine Verbindung zwischen ihnen hergestellt wird, ist nicht völlig auszuschließen - z.B. durch den Gesetzgeber. Denn im Zusammenführen von Datenbanken ist die Bundesregierung recht großzügig, wie die "Anti-Terror-Datei" zeigt, in die beispielsweise auch die Datenbanken zur "Sammlung von Informationen zum G8-Gipfel in Heiligendamm" oder "Verdacht der Prostitution und Zuhälterei" aufgenommen wurden.

Besuch vom BKA - Nein danke!

Um nicht Gefahr zu laufen, dass nach der Recherche für eine Diplomarbeit zum Thema "Der Einfluss radikaler Islamisten im Mittleren Osten" die Herren vom BKA unsanft an die Tür klopfen, folgende Tipps: Auf die Installation der Toolbars von Suchmaschinen sollte der Surfer verzichten. Zwar vereinfachen sie das Surfen, übermitteln aber auch reichlich user- und rechnerspezifische Daten.

Cookies der Suchmaschinen ablehnen oder nur Sitzungs-Cookies erlauben - Sitzungs-Cookies werden beim Schließen des Webbrowsers gelöscht. Welche Einstellungen dazu vorgenommen werden müssen, ist von Browser zu Browser verschieden. Anleitungen hierzu können in der Hilfe des Browsers und im Internet gefunden werden. Diese Maßnahmen reduzieren zwar die Daten, die Google & Co. speichern können, schützen aber nicht davor, dass Suchbegriffe mit der IP-Adresse des Surfers in Verbindung gebracht werden können. Hier sind Anonymisierungs-Dienste im Ausland wie "youhide.com" hilfreich. Diese Server speichern keine Suchanfrage und aus den Provider-Daten ist nur ersichtlich, dass die Seite von "youhide.com" aufgerufen wurde. Aber vielleicht erscheint das dem BKA ja besonders suspekt. Natürlich können auch alle anderen Diplomanden und normale Surfer diese Tipps beherzigen.