Digital Thoughts @m_goldbeck.

In meinen letzten Beiträgen habe ich viel über Privatsphäre, Big Data und Transparenz geschrieben. In diesem Beitrag versuche ich die drei Bereich zusammenzuführen - aus unabhängigen Konstrukten sollen konkrete Ableitungen und Beispiele resultieren: Werkzeuge für die eigene online Anonymität. Nötig wird diese Art der digitalen Selbstverteidigung aufgrund der Begebenheit, dass immer mehr online Dienste massenhaft personenbezogen Daten speichern und zu werbezwecken weiterverarbeiten - sogar, wenn User Technologien nutzen, um den Anbietern mitzuteilen, dass sie nicht verfolgt werden wollen [Q1].

In der Studie “An analysis of tools for online anonymity” aus dem Jahr 2015, schreiben Stephanie Winkler und Sherali Zeadelly über mögliche Erklärungen, warum es nur eine langsame Entwicklung und Übernahme von online Anonymisierungstechnologien gibt. Ich habe diese Studie gewählt, da ich mich schon lange für die Thematik “Anonymisierung im Internet” interessiere und bereits verschiedenste Lösungen getestet habe. Als eine der neuesten Veröffentlichungen in diesem Bereich, sollten neue Einblicke enthalten sein.

An analysis of tools for online anonymity

Winkler und Zeadelly starten mit einer wichtigen Aussage: “... tracking the Web activities of individuals and storing the data has become pervasive in society with the increase of data mining and the lack of protection consumers have against these practices”. Sind die Daten von Nutzern erst gesammelt, hat dieser nicht mehr die Kontrolle darüber, wie diese Daten genutzt werden, wer dazu Zugang hat oder wie lange die Daten existieren. Daten an sich sind weniger gefährlich; sobald diese aber aus dem Kontext genommen werden, können sie potenziell belastend wirkend. Eine Lösung, aus diesem Problem auszubrechen, ist zu versuchen, online anonym zu bleiben. Die Autoren definieren Anonymität als die Abwesenheit von Identität. Sie heben aber hervor, dass die Definition von “online Anonymität” unter Experten umstritten ist.

“Online Anonymität” wird in 3 Ebenen unterschieden:

• Visual anonymity: kann eine Person gesehen werden, wenn sie online interagiert?

• Disassociation with real and online identities: nutzt eine Person ein Pseudonym oder Usernamen, anstatt des echten Namens um online zu kommunizieren?

• Lack of identifiability: können Personen voneinander unterschieden werden, wenn diese online interagieren?

Diese drei Ebenen der online Anonymität manifestieren aus der Sicht der Informatik keine “wahre” Anonymität - denn auch wenn kein Benutzername angegeben ist, kann die Kommunikation aufgrund der eindeutigen IP-Adresse einer Person zugewiesen werden. Daher definieren die Autoren “Anonymität” als mangelnde Identifizierung durch andere Internetnutzer und die Unfähigkeit, Informationen an eine “Offline Identität” zu verbinden [Q2].

Es gibt verschiedenste Gründe, warum Individuen online anonym bleiben wollen. Eines der wesentlichsten Argumente gegen online Anonymität ist, dass Nutzer wegen Anonymität für ihr Handeln nicht haftbar gemacht werden können [Q3] - und daher als Stütze kriminellen Handelns wirkt. Es gibt aber auch Argumente für online Anonymität: Anonymität gibt Whistleblowern eine Möglichkeit sensible Informationen sicher auszutauschen [Q4], marginalisierten Gruppen die Möglichkeit politisch zu diskutieren und die Förderung von Meldungen krimineller Handlungen.

Technologien für online Anonymität

1. Anonymous remailers
   “Anonymous remailers” sind eine Möglichkeit E-Mails zu versenden, ohne die Identität des Versenders preiszugeben. Sie sind eine breite Kategorie von Anonymisierungstechnologie, mit unterschiedlichsten Funktionsweisen, aber gleichem Resultat. Es gibt 3 Typen von Remailer, gestaffelt nach Sicherheitsstufe. Typ 1, Typ 2 und Typ 3.
   
   
   Bild 1: Winkler S., Zeadally, S. (2015)
   
   

2. Rewebber
   “Rewebber” ist eine Technologie zur Anonymisierung des Web-Surfverhaltens. Um Anonymität zu gewährleisten, nutzen Rewebber HTTP Proxy-Server, der alle potenziellen Identifikationsinformationen entfernt - z.B. die IP Adresse.
   
   
   Bild 2: Winkler S., Zeadally, S. (2015)
   
   

3. Onion routing
   Onion routing ist eine Methode, die Anonymität in verschiedensten Kontexten gewährleisten kann. Diese Routing-Methode verschlüsselt den Pfad einer Nachricht vom Absender zum Empfänger, so, dass die Nachricht nicht zum Absender rückgeführt werden kann. Die primäre Technologie, die diese Methode zur Anonymisierung des Surfverhaltens nutzt, ist der Onion Router - besser bekannt als Tor.
   
   
   Bild 3: Winkler S., Zeadally, S. (2015)
   
   
   3.1 Garlic routing
   Garlic routing ist eine Erweiterung von Onion routing. Diese Technik leitet die Nachrichten auch durch mehrere Knoten mit Ebenen von Verschlüsselung, mit der Erweiterung, dass mehr als nur eine Nachricht in der innersten Verschlüsselungsebene transportiert werden kann [Q4]. Daher gibt es im Unterschied zu Tor einen Pfad zurück, dass diese Technologie ideal für anonyme Zwei-Weg Kommunikation macht. das “Invisible Internet Projekt” (I2P) nutzt primär diese relativ neue Methode zur Anonymisierung des eigenen Surfverhaltens.
   
   
   Bild 4: Winkler S., Zeadally, S. (2015)

Evaluierung von Anonymisierungstechnologien

Jede dieser Technologien hat seine eigenen Stärken und Schwächen - abhängig davon, nach welchen Eigenschaften der Nutzer sucht. Die vorgestellten Technologien werden von Winkler und Zeadally anhand der folgenden Kriterien evaluiert:

• “Level of protection”: keine Technologie kann vollständige Sicherheit gewährleisten, jedoch gibt es unterschiedliche Sicherheitsstufen: Hoch, Mittel und Niedrig. “Level of protection” einer Technologie beschreibt daher wie sicher diese Technologie gegen Cyber-Bedrohungen und Cyber-Angriffe ist.
  
  

• “User-friendliness”: sagt aus, wie leicht eine Technologie effiktiv zu nutzen ist. Es wird zwischen Leicht, Moderat und Schwer unterschieden.
  
  

• “Latency”: beschreibt, wie lange der Download des Inhalts einer Website dauert [Q5]. Die Studie unterscheidet in hohe und niedrige Latenz, wobe vom Nutzeri eine niedrige Latenz einer hohen bevorzugt wird.
  
  

• “Monetary Cost”: wieviel Geld ausgegeben werden muss, um Zugang sowie Implementierung der Technologien zu bekommen. Manche sind frei zugänglich, manche müssen bezahlt werden.
  
  

• “Versatility”: wieviele Funktionen die Technologie für den Nutzer ausführen kann. Es wird in hohe Versabilität und niedrige Versabilität unterschieden.
  
  

• “Need for additional security precautions”: welche weiteren Vorkehrungen getroffen werden müssen, damit Anonymität gewährleistet werden kann. Einige Technologien verlangen, dass der User sein Nutzerverhalten abändert - weniger von sich preis gibt zum Beispiel.

Bild 5: Winkler S., Zeadally, S. (2015)

Die Autoren halten fest, dass es bereits vor der breiten öffentlichen Verbreitung des Internets Entwicklungen im Bereich von Anonymisierungstechnologie gab. Obwohl diese Technologien das Internet seit den 1980er Jahren begleiten, gibt es nur wenige Anwendungen, deren Entwicklung so weit fortgeschritten ist, dass dise von einer breiten Masse genutzt werden können. Laut Winkler und Zeadally kommen viele akademische Ansätze nicht über eine theoretische Phase hinaus. Auch verlieren manche Technologien, die hier vorgestellt wurden, deren Bedeutung - z.B. werden Remailer nicht mehr als praktisch erachtet. Die Autoren geben für diese Entwicklung drei Gründe an: Economy, User-friendliness und Web integration.

• Economics: Ein Grund für die geringe Anzahl an Anonymisierungstechnologie könnten laut den Autoren die Kosten für die Entwicklung solcher Technologie sein. Die Entwicklung hat nicht nur einmalige Kosten, sondern es muss auch in die Weiterentwicklung und in den allgemeinen Betrieb investiert werden. Viele Nutzer wollen für die Nutzung nicht bezahlen [Q6]. Abhilfe dabei könnte eine Entscheidung zu Open Source sein - doch hat man einmal diesen Weg eingeschlagen, kann daraus nur schwer Gewinn erwirtschaftet werden.
  
  

• User-friendliness: Die Autoren beschrieben die Benutzerfreundlichkeit aller Anonymisierungstechnologien als kompliziert. Nach der Installation der jeweiligen Software müssen User oftmals auch noch Einstellungen am Computer abändern sowie deren Nutzungsgewohnheiten anpassen - eine One-Click Lösung gibt es nicht.
  
  

• Web integration: Neben der Usability gibt es noch ein weiteres Problem: viele Websiten haben Barrieren für den Einsatz von Anonymisierungstechnologie, womit den Nutzern ein Riegel vorgeschoben wird. Als Beispiel wird Facebook Authentifikationsmechanismus genannt. Bei diesem gleicht Facebook die bisher genutzten IP-Adressen des jeweiligen Nutzers mit der aktuelle IP-Adresse ab, um unauthorisierte Nutzung festzustellen. Da Tor-Nutzer aber andere IP-Adressen zugewiesen bekommen, müssen Nutzer anhand verschiedenster Muster deren Identität bestätigen.

Abschließend halten Stephanie Winkler und Sherali Zeadelly fest, dass Internet-Anonymität und Privatsphäre in den letzten Jahren wichtiger geworden ist - primär wegen erhöhter staatlicher und privatwirtschaftlicher Überwachung. Umso besser Internet-Technologien weiterentwickelt werden, desto weiter entwickeln sich auch Überwachungsmöglichkeiten im Netz. Obwohl sich die Aufmerksamkeit rund um Internet-Überwachung signifikant erhöht hat, hat sich die Entwicklung von Anonymitätstechnologie verlangsamt. Laut den Autoren sollte den Nutzern offenstehen, mit wem und wie sie ihre Informationen teilen - wenn diese überhaupt geteilt werden.

Kritik am vorliegenden Text

Ich habe diesen Artikel primär aufgrund der spannenden Thematik sowie dessen Aktualität (September 2015) gelesen und zusammengefasst. Die Autoren Stephanie Winkler und Sherali Zeadelly zeichnen darin knapp und auf den Punkt gebracht eine aktuelle Analyse des Bereichs Anonymisierungstechnologie und geben somit vor allem Neueinsteigern die Chance, in diesem Bereich Fuß zu fassen.

Leider hat dieser Text auch einige “Schönheitsfehler”. Ein wesentliches Problem bei der Evaluierung der vorgestellten Anonymisierungstechnologien liegt in der Unterschiedlichkeit dieser Tools. Sie bedienen sich nicht nur unterschiedlicher technologischer Ansätze, sondern folgen auch anderen Zweckmäßigkeiten; woraus resultiert, dass diese Tools nur schwer miteinander vergleichbar sind. Fernab der schweren Vergleichbarkeit wurden die Technologien anhand verschiedenster Merkmale untersucht. Diese Merkmale wurden aber nicht z.B. anhand einer Matrix verglichen, sondern Einschätzungen gegenübergestellt - wodurch die genaue Zuteilung nicht nachvollziehbar ist. Manche Aussagen wirken “schwammig” (“While a complete guarantee of online anonymity is not possible with today’s technology, it is possible to remain anonymous online.”) und die Gegenüberstellung von Anonymität und Privatsphäre widersprüchlich. Auch wurden meiner Meinung nach aktuelle Entwicklungen zu wenig berücksichtigt, z.B. das Projekt “Let’s encrypt”, dass gratis SSL Zertifikate zur Verfügung stellt, bzw. verschiedenste Initiativen, die nach neuen Formen der Anonymisierung forschen.

[Q0] Winkler S., Zeadally, S. (2015),"An analysis of tools for online anonymity", International Journal of Pervasive Computing and Communications, Vol. 11 Iss 4 pp. 436 - 453, Verfügbar auf: http://www.emeraldinsight.com/doi/abs/10.1108/IJPCC-08-2015-0030

[Q1] Mayer, J. (2011), “Tracking the trackers: early results”, available at: http://cyberlaw.stanford.edu/ blog/2011/07/tracking-trackers-early-results, Zuletzt aufgerufen am 09.11.2015.

[Q2] Morio, H. and Buchholz, C. (2009), “How anonymous are you online? Examining online social behaviors from a cross-cultural perspective”, AI & Society, Vol. 23 No. 2, pp. 297-307.

[Q3] Craig, S.R. (2004), “Bene ts and drawbacks of anonymous online communication: legal challenges 451 and communicative recommendations”, Free Speech Yearbook, Vol. 41 No. 1, pp. 127-141.

[Q4] Ehlert, M. (2011), “I2p usability vs tor usability a bandwidth and latency comparison”, Seminar conducted at Humboldt University of Berlin, Berlin, available at: http:// userpage.fu-berlin.de/ semu/docs/2011_seminar_ehlert_i2p.pdf, Zuletzt aufgerufen am 09.11.2015).

[Q5] Fabian, B., Goertz, F., Kunz, S., Müller, S. and Nitzsche, M. (2010), “Privately waiting-A usability analysis of the tor anonymity network”, 16th Americas Conference on Information Systems, AMCIS 2010, Berlin, 12-15 August, pp. 63-75.

[Q6] Acquisti, A., Dingledine, R. and Syverson, P. (2003), “On the economics of anonymity”, 7th International Conference on Financial Cryptography, Guadeloupe, 27-30 January, pp. 84-102.

Hallo Michael.

Dein Beitrag passt gut zum Beitrag von Irene, auch Sie hat einige Tools zum Schutz der eigenen Anonymität betrachtet.

Interessant finde ich die Unterschiede: Nach Ihrem Artikel war ich eigentlich der Meinung das es relativ viele Tools zur Anonymisierung gibt, dein Artikel behauptet aber genau das Gegenteil, nämlich das es nur wenige Tools gibt deren Entwicklung weit fortgeschritten ist. Hier müsste wahrscheinlich genau definiert werden wo "viel" beginnt um diese Frage zu klären.

Auch werden deine 4 vorgestellten Anwendungen als eher userfreundlich eingestuft, beim anderen Artikel hatte man eher den Eindruck dass die Anwendungen aufgrund der falsch voreingestellten Default-Einstellungen nicht ganz trivial zu bedienen sind. Auch hier liegt es wahrscheinlich im Auge des Betrachters bzw. hängt es von dessen Vorkenntnissen ab, ob die Tools leicht zu bedienen sind oder nicht.

Schau dir doch auch meinen Beitrag zur Netzneutralität an, wenn du Interesse hast.

Danke für die interessante Auflistung der Tools zum Schutz der Anonymität im Netz. Eventuell interessiert dich diese Artikelserie aus der ZEIT zum Thema "Mein digitaler Schutzschild". Beispielsweise werden die folgenden Themen behandelt:

• Installation von Ubuntu, um Viren und Trojanern keine Chance zu geben
• Installation des Tor Browser Bundles zur anonymen Internetnutzung
• Einrichten eines Virtual Private Networks als Alternative zu Tor
• Einrichten eines anonymen E-Mail-Kontos mit Tor und Hushmail
• Verschlüsselung von E-Mails in Thunderbird mit Enigmail
• Verschlüsseln und Verstecken von Daten auf der Festplatte mit TrueCryp

In meinem Artikel habe ich mich mit dem Zusatz zur genannten Artikelserie "Mit sensiblen Daten über die Grenze und zurück" beschäftigt.

Sehr intererssanter Beitrag! Eine Thematik, die definitiv immer noch brisant ist und so sieht die Electronic Frontier Foundation das Thema DNT noch lange nicht als veraltet an. So hat sie schon 2014 ein Addon vorgestellt, welches vor kurzem aus der Betaphase gehoben wurde. Ein Artikel dazu findet man hier.