BSI-Studie: Es gibt keine Anonymität im Internet

Wer telefoniert oder im Internet surft, hinterlässt eine breite Spur aus Informationsbrocken. Dazu zählen zwar fast nie Inhalte von Telefonaten oder E-Mails. Einzelne Schritte durch die digitalen Netze werden aber dennoch an vielen Stellen aufgezeichnet - "meistens aus technischen Gründen, im Internet zunehmend aber auch, um gezielt Profile von Nutzern zu speichern", stellt Harald Kelter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn fest.

Kelter ist Autor einer Studie [Link entfernt] , die sich mit der Anonymität der Nutzer von Telefon und Internet auseinander setzt. Darin kommt der Diplom-Ingenieur zu dem Schluss, dass die erhobenen Daten "ein den Menschen in seinen täglichen Gewohnheiten recht genau beschreibendes Bild abgeben" können. Von totaler Anonymität sind durchschnittliche Telefonierer und Internetnutzer demnach ziemlich weit entfernt.

Schon wer sich per Modem oder ISDN-Karte ins Internet einwählt, hinterlässt Spuren. "Wir protokollieren die Daten, die wir zur Berechnung brauchen", sagt Michael Schlechtriem, Sprecher des Internetproviders T-Online. Das Unternehmen mit Sitz in Darmstadt speichert damit neben dem Benutzernamen die Einwahlzeit, Surfdauer und Tarifart. "Diese Daten werden gemäß den Datenschutzbestimmungen 80 Tage lang aufbewahrt", sagt Schlechtriem. Andere Internet-Provider, die nicht wie T-Online oder AOL Nutzerkennungen vergeben, speichern stattdessen die Telefonnummer.

Während diese Daten für eine korrekte Rechnung nötig sind, gibt es andere Mechanismen, mit denen möglichst viel über einzelne Nutzer herausgefunden werden soll. Dazu zählen auch Abhörzugänge für die Strafverfolgungsbehörden, wie sie die im Oktober 2001 vom Bundeskabinett verabschiedete Telekommunikationsüberwachungsverordnung (TKÜV) Providern mit eigenem Breitbandnetz vorschreibt. Damit können Internetnutzer gezielt überwacht werden - einen richterlichen Beschluss auf Grundlage des Telekommunikationsgesetzes (TKG) vorausgesetzt.

Der einzelne Nutzer kann jedoch auch ohne aufwendige Überwachungsaktion ausspioniert werden. "Aus datenschutzrechtlicher Sicht sind vor allem Cookies zu kritisieren, weil sie erlauben, das Verhalten von Internetnutzern aufzuzeichnen", sagt Kelter. Cookies - kleine Dateien, die auf der Festplatte gespeichert werden -, machten den heimischen PC von außen wiedererkennbar. Missbrauch sei denkbar, wenn damit ein virtuelles "Bewegungsprofil" des Nutzers erstellt werde. Dazu ließen sich unter anderem Werbebanner verwenden.

"Ein probates Mittel dagegen ist, Cookies abzuschalten", sagt Michael Dickopf, Sprecher des BSI. Seine Behörde warnt auch vor so genannten Web-Bugs: Hierbei handelt es sich um kleine, nahezu unsichtbare Bilder, die in eine Seite eingebettet und wie Cookies nur von bestimmten Servern ausgesendet werden. Gegen sie könne man sich mit Bordmitteln nur schützen, indem man auf das Betrachten von Bildern beim Browsen komplett verzichte, sagt Dickkopf.

Hilfreich seien deshalb Zusatzprogramme, die die kleinen Bilder herausfiltern. Wie sinnvoll das sein kann, zeigt die Tatsache, dass Web-Bugs sogar in E-Mails eingebunden werden. "Damit kann man ausspionieren, wann eine bestimmte E-Mail gelesen wird", sagt Dickopf. Aus dem mit Web-Bugs und Cookies erzeugten Bewegungsprofil allein kann normalerweise niemand auf die Identität des Surfers schließen. Allerdings stellt die BSI-Studie fest, dass in den USA verschiedene Firmen daran arbeiten, Surfdaten mit Namen und Adressen der Internetnutzer zu verbinden. Im Ergebnis entstünden sehr genaue Datensätze, in denen die Vorlieben und Abneigungen einzelner Bürger gespeichert sind.

"Solche Daten sind Geld wert, die werden gehandelt", heißt es beim Bonner Bundesdatenschutzbeauftragten. Dessen Sprecher Peter Büttgen rät Internetnutzern aus diesem Grund, beim Surfen auf die so genannte "Privacy policy" zu achten. Diese Hinweise sollten auf Homepages stehen und erklären, wie die Inhalteanbieter mit den Daten der Nutzer umgehen. "Die Nutzer sollen selbst bestimmen, welche Daten sie von sich Preis geben und welche nicht", sagt Büttgen.

Zu den sensiblen Daten gehört nicht nur das Surf-Verhalten, sondern auch die eigene Telefonnummer. Viele Kunden der Telefongesellschaften legen deshalb ausdrücklich fest, dass ihre Nummer nicht an andere Teilnehmer übertragen wird. Auf deren Telefondisplay erscheint dann "unbekannte Rufnummer". Harald Kelter erklärt in der BSI-Studie, wie dieser Wunsch auch umgangen werden kann. So besäßen Polizei und Feuerwehr spezielle Telefonanschlüsse, bei denen alle Rufnummern immer angezeigt werden.

Während das Telekommunikationsgesetz diesen Behörden die erzwungene Rufnummernanzeige ausdrücklich erlaubt, könnten jedoch auch private Call-Center von der Technik profitieren. Bei Versandhäusern etwa erschienen dann zusammen mit den Anrufen die Kundendaten auf dem Bildschirm. "Das ist nicht zulässig", sagt Datenschützer Büttgen. Gleichwohl sei schwer zu erkennen, ob der Datenschutz verletzt wurde. Telefon- und Internetnutzern, die genau wissen wollen, welche Daten von ihnen gespeichert sind, rät er deshalb, ihr Recht auf informationelle Selbstbestimmung wahrzunehmen: "Jeder hat ein umfassendes Auskunftsrecht gegenüber der Stelle, von der er annimmt, dass sie personenbezogene Daten von ihm hat."