es ist echt erschreckend wie “gut” Google & Co zwischenzeitlich darin ist Werbung auf Webseiten zu platzieren. Ich habe heute morgen nach einem neuen Badezimmerschrank gesucht und war daher mit Hilfe von Google auf einigen Webseiten unterwegs und habe mir deren Angebote angeschaut. Jetzt (fünf Stunden danach) wollte ich etwas für C# nachlesen und bin dabei auf folgende Webseite gekommen:

Das wirklich erschreckende an dieser Seite ist dabei die dort auftauchende Werbung. Bei den angezeigten Shops und Produkten handelt es sich um Produkte die ich genau in diesen Shops auch angeschaut habe. Da hat meine Suchmaschine wohl sehr schnell “gelernt” und meine IP mit den Suchworten verküpft… Ok, die Suchmaschine hat übersehen, dass ich bereits fündig geworden bin und schon bestellt habe .

Ich hatte das Vergnügen in den letzten Tagen auf der IT-Defense sein zu dürfen. Einer der Vorträge handelte dabei auch von dem Tool “Maltego”. Dieses Tool macht es jedem Benutzer sehr einfach Informationen über Personen etc. zu sammeln und zu verknüpfen. Es werden dabei sehr viele Quellen aus dem Internet verbunden bzw. durchsucht. Dazu gehören u. a. Whois, google, Facebook, PGP.

Um das ganze etwas anschaulicher zu machen hier mal ein paar Bildschrimdrucke:

Nach kurzer Zeit findet Maltego nachfolgende Daten zu meiner Domain. Darunter diverse (zum Glück alte) eMail Adressen von mir:

Man könnte jetzt einzelne Elemente noch weiter “tranformieren” (in der Sprache von Maltego) und somit weitere Daten über mich und mein Umfeld herausfinden. Bei Personen die etwas leichtfertiger mit ihren persönlichen Daten umgehen kann man hier umfangreiche Profile erstellen und auch sehr viele Informationen über Freunde und deren Verbindungen herausfinden. Bei einigen Bürgern aus den USA kann man sogar die Social Security Number finden.

Noch ein paar Worte zur Technik und den Kosten. Die Anwendung basiert auf einer Client Server Infrastruktur wobei der Server beim Hersteller des Tools steht. Alle Suchen werden dabei über die Server des Herstellers geleitet (dieser hat auch die API’s zu Facebook etc). Der Hersteller zeichnet dabei auch einzelne Daten dieser Suche auf (!!!) dokumentiert jedoch auf seiner Webseite genau was das ist. Es gibt zwei Versionen eine kostenlose Community Version (für den privaten Gebrauch) und eine kostenpflichtige Version. Diese kostet im ersten Jahr 650 USD und in den Folgejahren 320 USD.

Steckbrief

Anwendungsname: Matelco
URL: http://www.paterva.com
Lizenz: Community / Commercial

Huch, heise.de ist ja heute mal voll mit lesenswerten Meldungen. Dieses Mal habe ich etwas zum Thema Überwachung gefunden.

Bei solchen Meldungen stellen sich bei mir alle Nackenhaare und mein glauben an die Menschheit (oder zumindest an unserer Politiker) wird ein ganzes Stück kleiner.

Zuerst Mal rein technisch betrachtet:

Ich betreibe ja ein paar recht große Webseiten und kenne daher auch die Logfiles dieser Seiten und weiß durchaus wie groß diese werden. Nehmen wir also mal an, dass die in dem Artikel beschriebenen BlackBoxen ganz einfach nur die gleichen Daten aufzeichnen sollen wie das auch ein normales Webserver-log tut. Da kommt mir direkt die Frage des Speicherplatzes. Bei der Anzahl der Server in UK (in Deutschland wären es wohl noch ein paar mehr…) und der Anzahl der weltweiten Nutzer dieser Server dürften wir hier pro Tag von mehreren TB sprechen. Nicht nur, dass man wohl täglich neue Platten mit LKW’s in das zu errichtende Datencenter schieben müßte – nein, man müßte wohl auch noch ein paar richtig Dicke Leitungen zu den Providern legen um diese Daten auch von den BlackBoxen abziehen zu können.

Gut aber nehmen wir mal an, dass die Herren und Damen das schon durchgerechnet haben und eine Lösung gefunden haben die Datenmengen irgendwie speichern zu können – wie wollen Sie diese Auswerten bzw. auswertbar machen? Alles in ne riesige Datenbank? Welche Datenbank soll diese Menge vernünftig halten und bearbeiten können – und selbst wenn ein Hersteller eine mega coole neue Technik entwickelt um genau das machen zu können, was soll dann mit den Daten dort geschehen? Irgendjemand muß diese ja auch noch irgendwie verknüpfen bzw. in eine Form bringen, dass man diese nach Mustern, Stichworten oder was auch immer durchsuchen kann.

Also ich habe schon Probleme ein vernünftiges Tool zu finden welches die Webserverlogs von den MCSEboard.de Seiten vernünftig auswertet – daher glaube ich nicht, dass das Projekt erfolgreich sein wird.

So und dann noch die Datenschutz Brille

Also mal angenommen die bekommen alle technischen Hürden überwunden und haben ein schickes Tool mit dem alle Mails und alle WebserverLogs ausgewertet werden können. Damit bekommt der Anwender dieses Tools im Extremfall ein vollständiges Bild von jedem vernetzen Bürger innerhalb und z. T. ausserhalb von UK. Unter diesen Bürgern sind vermutlich 99,9 % vollständig unschuldig zu absolut gläsernen Bürgern mutiert von denen der Staat alles weiß. Er kennt das Lieblingsforum, die Lieblingsblogs, die bevorzugten WebShops, alle Freunde und die Themen über die man am liebsten Mailt etc. einfach alles was digital an Daten vorhanden ist… Meiner Meinung nach ist das genau das was die demokratischen Staaten immer an der DDR, Russland, China oder sonst einem nicht demokratischen Land verurteilt haben – die totale Überwachung unschuldiger Bürger.

Dazu kommt noch, dass Bundes- und Landesbehörden innerhalb der IT nicht unbedingt den Ruf haben sehr gut mit Ihren Daten umzugehen. Man hört es in letzer Zeit auch immer öfter (insbesondere in UK), dass Festplatten und Laptops in Zügen liegen geblieben sind oder einfach verschwiden. Jemandem, der so schlampig mit Daten umgeht sollte man meiner Meinung nach kein System an die Hand geben mit dem so Umfangreiche persönliche Daten gespeichert würden wie in dem Backend System der Blackboxen.

Verschlüsselung

… und es gibt noch ein Problem an der ganzen Sache, was geschieht mit verschlüsselten Daten? Die meisten Terrorgruppen dürften zwischenzeitlich so clever sein und ihre Laptops und vor allem ihre Kommunikation zu verschlüsseln – und davon wird man sie vermutlich auch nicht abbringen können selbst wenn ein Land (ja, das gibt es) das verschlüsseln von Daten per Gesetzt untersagen sollte. Auch Regierungen können sich  nicht über mathematische Gesetzte hinweg setzen (auch wenn das einige Politiker zu glauben scheinen). Das entschlüsseln von mit aktuellen Algorithmen verschlüsselte Dateien dauert i. d. R. Jahrzehnte und zwar pro Schlüssel!

Hi,

ich habe gerade einen interessanten Artikel zum Thema Datenschutz und Google Analytics auf heise.de gelesen:

(…) Nach Einschätzung des Verbandes könnten Webseiten-Betreiber beispielsweise das von Datenschützern zuletzt kritisierte Google Analytics rechtlich unbedenklich nutzen, sofern ein entsprechender Datenschutzhinweis auf der Webseite angebracht sei. (…)

Manchmal würde es sich wohl tatsächlich lohnen die AGB’s etwas genauer zu lesen. Google bietet hier nämlich sogar eine entsprechende Vorlage an, die man auf seiner Webseite zu dem Thema plazieren kann. Ich für meinen Teil habe die Formulierung direkt übernommen und bin nun stolzer Besitzer einen Datenschutzvereinbarung auf meiner Webseite