Sicherheit und Privatsphäre im Internet:

Privatsphäre im Internet ist ein sehr umstrittenes Thema über das ständig diskutiert wird. Ziemlich hartnäckig hält sich die Vorstellung, dass Menschen das Internet im Verborgenen und somit auch anonym nutzen. Sicherlich ist es so, dass Kommunikationspartner, beispielsweise in Chats, Newsgroups, Communities oder Foren, nicht so ohne weiteres ermittelt werden können. Dennoch ist das Internet keineswegs ein anonymer Raum. Wo und wie du beim Surfen im Internet Spuren hinterlässt und welche Informationen dabei über einem gespeichert werden, möchte ich nun Anhand eines Beispiels verdeutlichen.

Nehmen wir einmal an, wir würden ein Diskussionsforum betreiben und einer unserer User würde dort per Posting eine strafbare Handlung begehen. Dies könnte eine massive Beleidigung, eine Volksverhetzung oder der Aufruf zu einer Straftat sein. Wie können wir nun den Täter ermitteln?
Auf jedem Webserver werden alle Zugriffe in so genannten Logfiles gespeichert. Hier ein fiktives und leicht abgewandeltes Beispiel:

IP Adresse: 217.95.189.170
Datum/Zeit: [28/Nov/2005:11:11:57 +0200]
Befehl: "GET forum/index.html HTTP/1.1"
Referer URL: "http://www.google.at/search?hl=de&q=forum%2C+”Punks in Wien"
Browser: "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

Zunächst einmal erfahren wir Datum und Uhrzeit sowie die IP-Adresse des Aufrufenden. Hinter der IP-Adresse verbirgt sich die Internet Protocol-Adresse, eine eindeutige Nummer, die jeden Computer im Internet identifizierbar macht. Danach folgen noch zwei weitere wichtige Informationen: welche Datei wurde abgerufen (Befehl GET) und über welche Seite kam der Besucher (in unserem Fall über die Google-Suche). Schließlich erfahren wir auch noch etwas über den verwendeten Browser und das Betriebssystem.
Anhand der Informationen können wir nun jeden Dateizugriff des Besuchers auf unserem Webserver nachverfolgen. Wir müssen seine Daten nur aus dem Logfile filtern und auswerten. Dazu gibt es verschiedene Programme, im Zweifel reicht jede Tabellenkalkulation aus.
Nun wissen wir jedoch noch nicht, wer sich konkret hinter der IP-Adresse verbirgt. In aller Regel wird einem Nutzer bei der Einwahl ins Internet eine IP-Adresse dynamisch – das heißt vorübergehend – von seinem Zugangsprovider zur Verfügung gestellt. Alle Anbieter von Internetzugängen verfügen über einen Adressbereich, in dem festgestellt werden kann, über welchen Anbieter der Besucher ins Internet gegangen ist. In unserem Fall handelt es sich um einen Nutzer von T-Online.
Bei den Providern werden die Nutzungsdaten ebenfalls gespeichert – allein schon, um die Internetnutzung mit dem Kunden abrechnen zu können. Es sind dort nur wenige Mausklicks, um festzustellen, welcher User am 28. November 2005 um 11.11 Uhr und 57 Sekunden die IP-Adresse 217.95.189.170 zugewiesen hatte.
Das heißt: Durch die Kopplung von Server-Logfiles und Providerdaten lassen sich die Besucher von Internetseiten ermitteln. Dies gilt nicht bei der Verwendung von zwischengeschalteten Proxy-Servern. Da diese in der Regel jedoch auch „geloggt“ werden, ist die Ermittlung des Users in solchen Fällen zwar aufwändiger, aber nicht unmöglich.
Die Nutzungsdaten dürfen von den Providern nur für einen begrenzten Zeitraum gespeichert werden und zwar so lange, wie dies zur Abrechnung mit den Nutzern notwendig ist. Bei einer Flatrate beispielsweise benötigen die Provider keine Nutzungsdaten zur Abrechnung. Auf der anderen Seite müssen die Daten den Strafverfolgungsbehörden zugänglich gemacht werden, wenn ein entsprechender richterlicher Beschluss vorliegt. Dazu muss man wissen, dass Nutzungsdaten von Providern auch aus Sicherheitsgründen gespeichert werden. So können später zum Beispiel Missbrauchsversuche nachvollzogen werden. Eigentlich sind es dann zwar keine Nutzungsdaten mehr, de facto aber handelt es sich um dieselbe Information. Und für diese Daten gibt es keine Speicherfristen.

Im Grunde ist dies ein Beispiel für ein typisches Spannungsverhältnis: auf der einen Seite der Anspruch des Bürgers auf den Schutz seiner Privatsphäre – auf der anderen Seite die Notwendigkeit des Staates, zu Zwecken der Strafverfolgung in eben diese einzudringen. Fast so ein ähnliches Beispiel wie ich hier gezeigt habe, habe ich im Schulalltag kennen gelernt. Schüler haben während der Unterrichtszeit, unangebrachte Kommentare in einem Forum geposted, der Betreiber des Forums hat natürlich sofort herausgefunden, dass es sich um die IP –Adresse der Schule handelt und hat den Direktor eine schriftliche Ermahnung gesendet. Nun war es Aufgabe des Netzwerkadministrators die betreffenden Schüler ausfindig zu machen und auch das war ohne Probleme möglich.

Nachfolgender Beitrag zeigt genau, wo man Spuren im Internet hinterlässt:



Quelle: Habegger, Bruno(2004) Internet/Privatshäre, Online im Interner, URL:
http://www.pctipp.ch/library/pdf/2004/06/0628_spy.pdf

Nun haben wir schon gesehen wie einfach es ist Personen im Internet wieder zu finden. Der zweite Teil meines Postings, wird sich nun auf Kryptographie und die digitalen Signatur konzentrieren.

Kryptographie
Unter Kryptographie versteht man die Verschlüsselung von Informationen (also Inhalte von Nachrichten für Dritte unzugänglich zu machen), und sich dadurch vor unbefugter Kenntnisnahme abzusichern. Das Gegenstück der Kryptographie ist die Kryptanalyse, hier werden die Verschlüsselungen wieder gebrochen, also die abgesicherten Nachrichten werden unbefugt lesbar gemacht. Der Oberbegriff beider Disziplinen wird als Kryptologie verstanden.

Übersicht zur Kryptologie



(Quelle:http://www.wiwi.uni-bielefeld.de/StatCompSci/lehre/material_spezifisch/statalg00/caesar/)

Die moderne Kryptograhie hat vier Hauptziele:

1. Vertraulichkeit: Nur der gewünschte Empfänger sollte in der Lage sein die Verschlüsselte Nachricht zu lesen.
2. Datenintegrität der Nachricht: Der Empfänger sollte in der Lage sein festzustellen, ob die Nachricht seit ihrer Übertragung verändert wurde.
3. Authentifizierung: Der Empfänger sollte in der Lage sein den Absender eindeutig zu identifizieren können. Des weiteren sollte man überprüfen können , ob die Nachricht tatsächlich von diesem Absender stammt.
4. Verbindlichkeit: Der Absender darf es nicht Möglich sein, zu bestreiten das er die Nachricht gesendet hat.

Wie wendet man nun so eine Kryptographie an?



Quelle:(http://www.oszhdl.be.schule.de/gymnasium/faecher/informatik/krypto/symmetrisch.htm)

Erstmal müssen sich Sender und Empfänger auf ein bestimmtes Verfahren einigen. Dem Verfahren wird ein Schlüssel hinzugefügt, auch auf diesen müssen sich die Beteiligten einigen. Dann kann die Nachricht verschlüsselt an den Empfänger weitergegeben werden.

Digitale Signaturen:
Diese dienen der Sicherstellung von Identitäten im Internet. Eine Digitale Signatur ist eine elektronische Signatur, die mit Hilfe von Verfahren der asymetrischen Kryptographie erstellt wird.
Elektronisch signierte Dokumente bieten Schutz vor Veränderung des Nachrichteninhaltes. Der Empfänger der Nachricht sieht eindeutig, ob das Dokument genau so bei ihm ankommt, wie es beim Absender gesendet wurde. Dies ist also eine Schutzfunktion, die sich gerade bei der Übertragung sensibler Daten wie Verträge, Geldbeträge, technische Daten besonders bewährt hat.

Digitale Signatur bietet elektronisch sichere Lösungen ohne dabei den Datenschutz zu verletztem.
Welche Signaturen gibt es?
Abhängig von der Art der elektronischen Signatur kann durch die Signierung eines Dokuments dessen
- Authentizität (die Nachricht stammt vom Absender), dessen
- Integrität (die Nachricht wurde unterwegs nicht verändert), dessen
- Verschlüsselung (die Nachricht kann nur vom Empfänger gelesen werden) und der
- Unterschriftenersatz (die Beisetzung der elektronischen Signatur ist der eigenhändigen Unterschrift gleichgesetzt) sichergestellt werden. Dabei werden folgende Arten der digitalen Signatur unterschieden:

- Sichere Signatur: Authentizität, Integrität, Verschlüsselung, Unterschriftersatz nach dem Signaturgesetz
- Fortgeschrittene Signatur: Authentizität, Integrität, Verschlüsselung, Hauptanwendung im Bereich der elektronischen Rechnungslegung
- Einfache Signatur: Integrität. Verschlüsselung
- Verwaltungssignatur: Spezialform der Signatur aus dem Bereich des E -Government. Sie ist in bestimmten Bereichen der Sicheren Signatur gleichgestellt, die Anwendung ist zeitlich bis Ende 2007 beschränkt
- Amtssignatur: Signatur nach dem E-Government Gesetz, die ausschließlich von Behörden verwendet wird

Bürgerkarte:
Der Begriff „Bürgerkarte“, steht für die Funktion, Behördenwege elektronisch abzuwickeln. Also handelt es sch hierbei nicht um eine Karte „im eigentlichen Sinn“. Amtswege können mit Chipkarte (z.B. Bankomatkarte) mit aktivierter Digitaler Signatur online abgewickelt werden.

E – Card:
Diese gibt es seit Sommer 2005 und damit bezeichnet man einen elektronischen Krankenscheinersatz der Sozialversicherung, auf der eine optionale Signaturfunktion vorgesehen ist. Die E - Card ist mit einer Verwaltungssignatur ausgerüstet, damit wird künftig die Abwicklung von Online – Behördenwegen möglich sein. Die E - Card ist daher eine Bürgerkarte.

Weitere Quellen:
Habegger, Bruno(2004) Internet/Privatshäre, Online im Interner, URL:
http://www.pctipp.ch/library/pdf/2004/06/0628_spy.pdf

Virtuelles Datenschutzbüro. Online im Internet, URL
http://www.datenschutz.de/

Ins Internet – mit Sicherheit! Online im Internet, URL
http://www.bsi-fuer-buerger.de/

Wikipedia, Kryptografie
http://de.wikipedia.org/wiki/Kryptographie

Kopp, Wolfgang (1998) Rechtsfragen der Kryptographie und der digitalen Signatur
http://www.wolfgang-kopp.de/krypto.html