Illustration: Motherboard | Laura Hausmann

Hacker erklärt, wie ihr wirklich anonym im Internet surft

Der Privatmodus im Browser ist alles, nur nicht privat. Ein Sicherheitsforscher erklärt, wie ihr wirklich durchs Netz kommt, ohne Spuren zu hinterlassen.

|
14 Februar 2018, 11:20am

Illustration: Motherboard | Laura Hausmann

Die Deutschen gruseln sich vor Big Data: Auf Facebook verschweigen Martins ihren Nachnamen und nennen sich "Mar Tin", um Mark Zuckerberg zu täuschen. Die Deutschen löschen Cookies und verschlüsseln ihre Mails häufiger als Menschen in den europäischen Nachbarländern. Das sagten sie zumindest in einer repräsentativen Infratest-Umfrage. Trotzdem wissen nur die Wenigsten, wie sie wirklich anonym durchs Netz kommen.

Matthias Marx ist einer von ihnen. Marx hat in der elften Klasse den Administrator-Account des Schulcomputers gehackt. Später suchte er auf Hacking Challenges Sicherheitslücken und fand sie auch: etwa bei einem Projekt für smarte Schulranzen in Wolfsburg.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Marx ist mittlerweile 29 Jahre alt und forscht in der Arbeitsgruppe "Security and Privacy" an der Universität Hamburg. Gemeinsam mit Kollegen aus Dresden entwickelt er schnelle und bequeme Anonymisierungs-Software.

Wir haben ihn gefragt, worauf man beim anonymen Surfen achten sollte.

Matthias Marx hackt seit Schultagen und will Anonymisierungssoftware zugänglicher machen – und schneller | Bild: Matthias Marx

Jetzt mal ehrlich: Surfst du immer anonym?

Kommt ganz drauf an. Wenn ich unterwegs bin und offene WLANs nutze, schalte ich oft ein VPN oder Tor ein, damit der WLAN-Anbieter nicht so viel über mein Surfverhalten lernt. Bei der Arbeit oder zu Hause bin ich häufig nicht anonym unterwegs.

Welche Daten gibt man preis, wenn man ohne Schutz surft?

Wenn ich eine Website einfach so besuche, kontaktiere ich sie direkt. Sie erfährt über meine IP-Adresse, wo ich ungefähr herkomme. Sie bekommt Informationen darüber, welchen Browser ich benutze, wie groß mein Bildschirm ist, welche Schriftarten ich installiert habe und so weiter.

Das klingt langweilig, aber mit dieser Datenfülle kann man mich und meinen Rechner identifizieren. Wenn mein Rechner regelmäßig an bestimmten Orten ins Internet geht, kann man ein Bewegungsprofil erstellen: Ich wohne dort, arbeite dort, Dienstag Fitnessstudio, Freitag Stammkneipe. Dazu benutzen viele Seiten Tracking-Dienste und haben Plug-ins von Facebook oder anderen Sozialen Netzwerken. Das erleichtert es, Bewegungsmuster mit Identitäten zu verknüpfen.

Wie kann mir das konkret schaden?

In autoritären Regime könnte der Geheimdienst nachvollziehen, wer wann von wo im Internet die Regierung kritisiert. Anonymität ist dort eine Frage von Leben und Tod. Aber Konsequenzen drohen auch hier: Wenn Versicherungen alles über mich wissen, wird mein Tarif vielleicht teurer. Die Werbeindustrie analysiert mein Surfverhalten und überschüttet mich mit maßgeschneiderter Reklame.

Grafik: Motherboard

Die Daten, die über mich gesammelt werden, können in die falschen Hände geraten. Daraus könnte jemand meine Krankheiten, sexuellen Vorlieben oder Affären ableiten und mich erpressen. Ich glaube zudem, dass für eine Demokratie wichtig ist, dass man seine Meinung auch anonym äußern kann, ohne Repressalien zu fürchten.

Jetzt gibt es verschiedene Dienste, die mit Anonymität im Netz werben. Populär ist z.B. Ghostery, ein kleines Mini-Programm für den Browser, ein Add-On, das Tracker blockt. Mozilla bietet mit einem speziellen Browser, Firefox Klar, etwas ähnliches an. Kann man mit solchen Programmen unerkannt surfen?

Diese Add-ons oder Plug-ins blocken Cookies, eine Art Erkennungsmarke im Netz, und Tracking-Dienste. So kann der Browser keine Chronik anlegen. Das ist sinnvoll. Die Dienste schützen aber nur oberflächlich. Meine IP verschleiern sie nicht. Das heißt, mein ungefährer Standort und meine Browser-Daten werden trotzdem an die Website übertragen.

Eine Stufe komplexer sind VPN-Dienste. Teilweise kosten die ein paar Euro im Monat, versprechen dafür aber, dass sie meinen Standort verschleiern. Machen die mich jetzt anonym?

Wenn ich einen Virtual-Private-Network-Dienst nutze, wird ein Rechner zwischen mich und die Website geschaltet. Er ruft die Website mit seiner IP für mich an. So kann ich Streaming-Dienste nutzen, die auf bestimmte Länder beschränkt sind: Mit einem VPN könnte ich etwa ein Abo bei US-Pay-TV HBO abschließen und Game of Thrones schauen, oder Spiele in der Champions League schauen, die nur die österreichische ORF-Mediathek überträgt und nicht das deutsche ZDF. Anbieter wie Netflix versuchen deshalb, bekannte VPNs für ihre Dienste zu blockieren.

Wenn es um Anonymisierung geht, hat VPN aber eine Schwachstelle: Ich muss dem Anbieter vertrauen, dass er keinen Unfug mit meinen Daten anstellt. Es gibt Fälle, in den VPN-Anbieter nicht nur Werbung, sondern sogar Malware in die besuchten Webseiten eingefügt haben. Vielleicht hat der Dienst auch ein Interesse daran, meine Daten direkt zu verkaufen oder arbeitet mit Behörden zusammen. Dann bin ich ausgeliefert, falls ich mehr mache, als nur eine Serie zu schauen.

Wie vermeidet man diese Risiken?

Ich schalte mehrere Computer hintereinander und gebe jedem dieser Computer nur einen Teil meiner Anfrage. Rückschlüsse auf meine Identität sind dann nur möglich, wenn sich alle beteiligten Rechner zusammentun und diese Anfrage aufwendig entschlüsseln und zusammensetzen.

Das Tor-Netzwerk nutzt dieses Prinzip und bietet einen guten Schutz für meine Identität - wenn mich nicht gerade die NSA ausspäht. Zusätzlich verschlüsselt es die Daten und wechselt alle zehn Minuten die drei zwischengeschalteten Computer. Wenn ich ganz klassisch anonym im Internet surfen möchte, ist das die beste Wahl.

Weniger als 1% der deutschen Internetnutzer nutzte zwischen 2012 und 2013 Tor. In vielen anderen Ländern sieht es ähnlich aus | Grafik: University of Oxford

Die deutschen Sicherheitsbehörden entwickeln seit letztem Jahr den Staatstrojaner: eine Software, mit der sie Smartphones und Rechner überwachen können. Schützt mich Tor davor?

Wenn der sogenannte Staatstrojaner einmal auf dem Rechner ist, schneidet er alles mit. Er greift zu, bevor meine Daten verschlüsselt und übertragen werden. Ein Trojaner kommt über eine Datei auf den Rechner, zum Beispiel, wenn ich auf einen seltsamen E-Mail-Anhang klicke. Oder er kommt durch eine Sicherheitslücke im System. Daran ändert Tor nichts.

Ist Tor idiotensicher?

Tor klingt komplizierter als es ist. Ich kann den Tor-Browser einfach herunterladen und installieren. Der Tor-Browser sieht so aus wie Firefox und ich kann ihn genauso benutzen.

Kann ich dabei eigentlich was falsch machen und mich doch noch verraten?

Das ist möglich. Tor anonymisiert die IP-Adresse, die meinen Standort offenlegt. Aber andere Details verraten ebenfalls viel über meine Identität: installierte Schriftarten, Browsertyp- und Fenstergröße. Der Tor-Browser weist mich deshalb darauf hin, dass ich das Fenster nicht auf Vollbild ziehen soll – und daran sollte ich mich halten.

Außerdem sollte ich nicht mit meinem Facebook- oder Google-Account eingeloggt sein, wenn ich anonym mit Tor surfen will - selbst wenn ich einen Fake-Account nutze. Der Dienst verknüpft mein Surfverhalten einfach mit der IP-Adresse und den Browserdaten, von denen ich normalerweise eingeloggt bin. Daraus kann er dann Rückschlüsse auf meinen groben Standort und meine Identität ziehen.


Auf dem Chaos Communication Congress sprechen die Forscher der TU Dresden über ihre Anonymisierungs-Software


Ich sollte auch keine Seiten besuchen, die nicht mit dem Protokoll "https" verschlüsselt sind. Sonst kann das letzte Glied in der Rechnerkette des Tor-Netzwerks meinen Datenverkehr mitlesen. Darauf sollte ich übrigens auch achten, wenn ich ohne Tor surfe. Dabei helfen Browser-Erweiterungen.

Wenn ich wirklich anonym bleiben will, sollte ich keine PDF-, Word- oder andere Dokumente von Webseiten herunterladen und öffnen. Der Download passiert oft außerhalb des Tor-Browsers über die jeweiligen Programme, zum Beispiel Word oder den Acrobat-Reader. Die greifen auf das Dokument zu und geben meine eigentliche IP-Adresse preis.

Gibt es eigentlich eine Alternative zu Tor?

Wenn ich mehrere Knoten haben will, die mich wirklich sicher anonymisieren, dann lande ich zurzeit unweigerlich beim Tor-Browser. Er ist Moment fast alternativlos.

Wieso nutzen so wenige Menschen Tor?

Viele wissen nicht Bescheid, dass sie so viele Daten hinterlassen. Andere wissen zwar Bescheid, halten Tor aber für Raketenwissenschaft und lassen die Finger davon. Wieder anderen ist der Tor-Browser nicht komfortabel genug, denn er bremst mich beim Surfen aus. Das hat technologische Gründe. Um die Daten bauen sich mehrere Schichten Verschlüsselung auf, das heißt, ich muss größere Mengen verschicken und die Übertragungsrate ist oft schwach: Zwei Megabite pro Sekunde sind eher Spitzen- als Durchschnittswerte.

Damit kann ich keine HD-Videos anschauen oder muss lange buffern, das kann nervig sein. Für normales Surfen sollte es aber reichen. Manche Webseiten sperren Zugriffe von Servern aus dem Tor-Netzwerk. Zum Beispiel kann ich nicht bei Wikipedia editieren.

Und wenn ich schnell und anonym surfen will?

Daran forschen wir gerade. Wir wollen ein Verfahren entwickeln, dass der Nutzer bei seinem Internetprovider aktivieren kann, wenn er sich ins Internet einwählt: Ein Schalter, der dann für alle Anwendungen gilt. Dieses Verfahren bietet einen einfachen Schutz gegen Tracking. Wir befinden uns in Gesprächen mit mehreren größeren ISP-Anbietern.

Außerdem entwickeln wir ein Anonymisierungsverfahren, das ähnlich wie Tor funktioniert. Aber die Daten werden schneller übertragen, weil nur leistungsstarke und geprüfte Rechner Teil des Netzwerks werden können. Das soll es dann auch für Smartphones und Tablets geben.

Folgt Martin auf Twitter.