Jede digitale Identität hat einen Standort

Jede digitale Identität hat auch einen Standort. Der lässt sich mehr oder weniger genau bestimmen. Sehr anschaulich zeigen das Maps wie diese:

Large Visitor Globe

Der Punkt zeigt für völlig Fremde (wie den Server, der diesen Globus erzeugt) natürlich nicht Ihren wirklichen Standort an, sondern den Ihres Providers, aber um Ihnen eine Sprache zuzuordnen, reicht es aus, ebenso, um Ihnen aufgrund Ihrer Nationalität den Zugang zu bestimmten Daten zu verweigern, wie das zum Beispiel bei hulu.com der Fall ist.

Sie sehen also gar nicht “das Web”, Sie sehen “das Web, so wie es Ihrer digitalen Identität gestattet ist”.

Buugle weiß alles – über dich

Quelle:NDR N3 Extra 3

Facebook: Wir wollen Dich doch nur kennenlernen

Nettes Video bei N3 Extra3:

Rufen Sie nicht diese Seite auf (sonst werden Sie ein ganz klein bisschen anspioniert)

Ist natürlich “mostly harmless”, aber sicher nicht jedem bekannt:

So ein Schildchen kann sich jeder auf die Seite pappen, den Code gibt es frei auf danasoft.com.

“Daten bitte hier speichern, wo wir sie besser überwachen können”

Es muss US-Behörden ein leichtes sein, intime Gespräche mitzuschneiden. Anders ist nicht zu erklären, warum sich US-Offizielle gegen den Verkauf von ICQ an ein Nicht-US-Unternehmen aussprechen, mit der Begründung, jeder bekannte Verbrecher sei auf ICQ – und die Verbrechen dort seien schwerer zu ahnden, wenn die Server in Russland stehen.

Eigentlich sollte man sich denken: “Na und?”, denn dass US-Behörden einen Straftäter, der sich über ein elektronisches Medium strafbar gemacht hat, leichter fassen, wenn dieses Medium der eigenen Gerichtsbarkeit unterliegt, das liegt ja eigentlich auf der Hand.

Im Fall von ICQ, dessen Hersteller ursprünglich aus Israel stammt und das seit Ende der 90er zu AOL gehört, liegt der Fall so, dass die Server noch in Israel stehen, was kein Problem war, weil die USA und Israel ja eng verbündet sind – da tauscht man auch mal ein paar Daten aus, hey, es dient ja der guten Sache, siehe Navy CIS (die TV-Serie ;-). Doch die neuen russischen Besitzer von ICQ wollen das ICQ-Hauptquartier wohl umziehen – oder sie könnten es zumindest tun.

Auweh. Russen! Bolschewiken! Commies! Ja, da ist das Bohei plötzlich groß… Zitat ft.com:

“Israel and the US are close allies and in some cases US investigators have gained access to the chat transcripts on ICQ of criminal suspects”

Aha. Soso. Mit anderen Worten: Irgendwelche underfuckten Schlapphüte delektieren sich nächtens an den verschwitzen ICQ-Chats weltweiter Frischverliebter und speichern auf Staatskosten die Festplatten ihrer NSA-Server mit Dirty-Talk-Protokollen voll. Das allein fände ich schon ein bisschen klebrig, indes, es geht natürlich nicht um uns, die friedlichen Bürger, sondern um die schwarzen Schafe in unserer Mitte.

Der moderne Kriminelle chattet nämlich gern, vor allem hier drüben in Old Europe. Zitat ft.com:

“ICQ is [...] according to law enforcement investigators [...] one of the main avenues of communication for criminal groups in eastern Europe”

([...] = Kürzungen durch mich) und

“Every bad guy known to man [is on] ICQ,” one investigator said in an interview.

Wow. Every bad guy known to man. Bei dieser Aussage handelt es sich garantiert um eine überdrehte, wahlweise vom Geld-Gossenblatt FT oder vom interviewten Wichtigtuer. However: Aus diesem Grunde wollen laut diesem Bericht, den Sie allerdings nur lesen können, wenn Sie sich bei ft.com anmelden (und dann ziemlich genervt sind), sowohl DOD als auch Homeland Security nicht wirklich, dass die ICQ-Server nach Russland umziehen.

Das wirft ein interessantes Licht auf Aspekte, die zugespitzt folgende Schatten werfen:

• Chats werden mitgeschnitten, aber sicher nicht nur diese. Internetausdrucker drucken diese dann aus und investigators lesen das Papier dann. Kurz: das digitale Ich unterliegt Begehrlichkeiten. Erst recht, wenn die Server in den USA oder in deren extrem verbündeten Staaten liegen.
• Die USA wollen nicht, dass unsere digitales Ichs woanders liegen als im direkten Einflussbereich der USA, weil dann haben sie keinen optimalen Zugriff mehr drauf.
• Die USA hätten offenbar gern möglichst vollen Zugriff auf alle unsere digitalen Ichs.

Betrachten wir unsere Existenz nicht bloß als analoge, sondern auch als digitale, so könnte man tatsächlich davon sprechen, dass die US uns zwangsweise einbürgern wollen… ach Blödsinn. Lassen wir mal diese Polemik beiseite: Sie wollen zumindest nicht, dass ihre eigenen Landsleute digital ausgebürgert werden. Offenbar setzt sich zumindest dort langsam die Erkenntnis durch, dass unsere digitalen Ichs auch eine digitale Zugehörigkeit haben, die längst keine “Staatszugehörigkeit” mehr ist. (Hierzulande wird das wohl noch dauern.)

Es stellen sich paranoide Fragen:

• Ist es empfehlenswert, seine Daten bei einem US-Unternehmen speichern zu lassen, wo man gerne mal mitgeschnitten & abgehört wird? (Die unsrigen täten es sicher auch gern, stellen sich aber weitgehend blöd an.) Der Gerechtigkeit halber sei hinzugefügt, dass ich noch weniger gern meine Daten bei einem russischen Unternehmen gespeichert wüsste …
• Müssten deutsche Unternehmen gezwungen werden, offen zu legen, wo sie ihre Daten speichern (lassen)? Die Frage stellt sich vor allem mit steigender Bedeutung der Clouds, bei denen Rechenleistung und Speicherkapazität bei Dienstleistern eingekauft werden – gerne auch im Ausland.
• Kann man US-Unternehmen im Medien- oder IT-Bereich noch anders sehen als als “Staatsunternehmen”, die der freien Wirtschaft entzogen sind? Schließlich zeigt sich, dass “feindliche internationale Übernahmen” vor allem im Datenbereich im Sinne der Staatsräson wohl eher nicht erwünscht sind.

Dafür habe ich sogar Verständnis – und ich würde mir gelegentlich auch einen Hauch von Staatsräson nach US-Vorbild in unser Land wünschen. Denn unsere digitale Identität ist real, und sie befindet sich auf Servern in Nationen, deren Rechtsverständnis nicht immer unserem entspricht. Es ist höchste Zeit, sich das klar zu machen. Nur was tun?

Bewegungsprofile: Facebook weiß, was Du letzten Sommer getan hast…

Facebook ist das neue Google, jedenfalls wenn es darum geht, einen Prügelknaben für Datensicherheit zu haben. Doch machen die Jungs wirklich alles falsch? Hmm… Nach meiner Rückkehr aus dem Urlaub meldet Facebook jedenfalls “Bitte überprüfe die kürzlichen Aktivitäten auf Deinem Facebook-Konto” mit Hinweis auf Datum und Ort der letzten Anmeldung. Sieht so aus:

Ausnahmsweise mal eine vorbildliche Sicherheitsfunktion: "Bitte überprüfe die kürzlichen Aktivitäten auf Deinem Facebook-Konto"

Schön: Zu wissen, dass “irgend jemand” versucht hat, sich am / um anzumelden, angeblich aus Italien; der Ort (siehe gelber Einkleber) wurde von FB wahrscheinlich ermittelt über die IP-Adresse (und ist daher fälschbar).
Noch schöner ist: Ich weiß, ich war es selbst. Sinnvoll ist dieses Feature also durchaus, etwa um festzustellen, dass da jemand an Ihrem Konto herum macht. Spätestens dann ist es Zeit für bessere, sichere Passwörter.

Weniger schön: Deutsche Nutzer sind Facebook egal, anders ist die halb deutsche, halb englische GUI nicht zu erklären.

Ziemlich hässlich: Facebook weiß nun auch noch, wann und wo unser Digitales Ich im Urlaub war. Das bedeutet aber auch: Facebook erfasst also offenbar ohnehin schon *immer* unsere Zugangsdaten, weiß also nicht nur wann, sondern auch von wo. Es kann daraus problemlos Sammlung von Daten erstellen, die unsere Bewegungen chronologisch und geolokalisiert aufzeichnen: so entstehen “Bewegungsprofile”. Die Frage ist eigentlich nur noch, ob es ein Geschäftsmodell sein kann, etwa Arbeitgebern die Information zu verkaufen, wann ihre Angestellten online waren.

Wir sind nicht unser WLAN – oder doch?

“Privatpersonen können auf Unterlassung, nicht dagegen auf Schadensersatz in Anspruch genommen werden, wenn ihr nicht ausreichend gesicherter WLAN-Anschluss von unberechtigten Dritten für Urheberrechtsverletzungen im Internet genutzt wird.”

Das hat der zuständige I. Zivilsenat des Bundesgerichtshofs heute entschieden und mitgeteilt. Die Entscheidung finde ich ziemlich bedeutsam in Hinsicht auf das, was sich als unser digitales Ich auch in rechtlicher Hinsicht herauszuschälen beginnt. Der Fall lag vereinfacht gesagt so: Ein Urheber konnte eine Urheberrechtsverletzung offenbar zu einer digitalen Identität zurückverfolgen, dem WLAN-Anschluss einer realen Person. Diese Person war zur fraglichen Zeit in Urlaub, sagt also, sie kann es nicht gewesen sein, folglich muss es jemand anderes gewesen sein, ergo liegt wohl ein Identitätsdiebstahl vor.

Bei WLAN-DSL-Routern besteht das digitale Ich einerseits aus den Einwahldaten beim Provider, denn durch diese kann der Provider einen Teilnehmer eindeutig identifizieren, andererseits aus den Zugangsdaten zum WLAN-Router, denn durch diese kann sich der Nutzer gegenüber seinem Router authentifizieren – deutlich weniger eindeutig. Verbindet man Zeitpunkt der Einwahl mit der IP-Adresse, ergibt sich auch aus externen Daten – etwa der gespeicherten IP-Adresse eines Webzugriffes oder einer Verbindung mit P2P-Netzen – ebenso eindeutig der Teilnehmer. Aber eben nur der Teilnehmer in seiner Manifestation als DSL-Router, nicht jedoch als in seiner Manifestation als Nutzer des WLAN-Routers.

IP-Adressen sind (nicht für jedermann, aber sie sind es) fälschbar, das kommt im BGH-Urteil aber offenbar nicht vor. Dem Gericht ist aber immerhin klar, das eine digitale Identität – gegeben durch die Einwahl – stehlbar ist. Das finde ich ja schon mal fortschrittlich, zu akzeptieren, dass WLAN-Hacking Volkssport ist. Zugleich mahnt das BGH aber an, dass wir selbst für den Schutz unseres digitalen Ichs sorgen sollen. In der Sprache der BGH-Mitteilung:

“Auch privaten Anschlussinhabern obliegt aber eine Pflicht zu prüfen, ob ihr WLAN-Anschluss durch angemessene Sicherungsmaßnahmen vor der Gefahr geschützt ist, von unberechtigten Dritten zur Begehung von Urheberrechtsverletzungen missbraucht zu werden.”

Nun ist prinzipiell gesagt alles irgendwie hackbar, es ist nur eine Frage des Aufwands. Wenn nicht heute, dann morgen. Aber ebenso ist alles schützbar, ebenfalls mit verschiedenem Aufwand. Und das BGH mutet uns hier keineswegs unmögliches zu. Statt dessen heißt es:

“Dem privaten Betreiber eines WLAN-Netzes kann jedoch nicht zugemutet werden, ihre Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden. Ihre Prüfpflicht bezieht sich daher auf die Einhaltung der im Zeitpunkt der Installation des Routers für den privaten Bereich marktüblichen Sicherungen.”

Was aber sind “zum Zeitpunkt der Installation” “marktübliche Sicherungen”?

“Diese Pflicht hatte der Beklagte nach Auffassung des Bundesgerichtshofs verletzt. Er hatte es bei den werkseitigen Standardsicherheitseinstellungen des WLAN-Routers belassen und das Passwort nicht durch ein persönliches, ausreichend langes und sicheres Passwort ersetzt. Ein solcher Passwortschutz war auch für private WLAN-Nutzer bereits im Jahre 2006 üblich und zumutbar. Er lag im vitalen Eigeninteresse aller berechtigten Nutzer und war mit keinen Mehrkosten verbunden.”

Im Klartext: Sein Passwort hätte man auch 2006 schon ändern können, sagte das BGH. Wir haben 2010, also dürften WPA2 und lange, eigene Passwörter sowohl für den Admin-Zugang als auch für den WPA2-Key “üblich und zumutbar” sein. BTW: Hier gibt’s Tipps für ein sicheres WLAN, hier Tipps für sichere Kennwörter.

Fazit: Wir haben ein digitales Ich, ob wir das wollen, oder nicht. Die meisten dürften sich dieser Tatsache nicht bewusst sein, denn es gibt mehr DSL-Nutzer als Poweruser, die ihre Kennwörter selber ändern können. Das BGH glaubt, das unsere Mamis und Omis könnten das schon – ich behaupte: Nein, das können sie nicht, sie haben vierstellige, maximal sechsstellige Passwörter in ihren Shops, meist die Namen ihrer Katzen und Hunde. Egal: Das Recht fordert jedenfalls auch von ihnen schon heute, dass sie sich ihrer digitalen Identität bewusst werden.

Immerhin: Wir sind möglicherweise nicht immer unser WLAN. Aber das BGH möchte, dass wir dafür sorgen, dass wir es sind. Warum eigentlich? Am Ende doch vor allem, um Rechtsverstöße im digitalen Raum leichter verfolgen zu können. Zugleich stellt der Staat – anders bei der realen Identität – keine sichere Infrastruktur zur Verfügung. Diese Diskrepanz halte ich für ein Versäumnis. Das ist, also würde man uns verpflichten, dafür Sorge zu tragen, dass unser Personalausweis fälschungssicher wird, ohne zugleich Ämter zu betreiben, die solche Ausweise ausstellen.

Eine solche Infrastruktur wäre ein enges Korsett – “Trusted Computing”. Sie wäre das Gegenteil von Freiheit im Netz. Doch die gibt es dank BGH nun auch nicht mehr. Eine Kultur freier Netze wurde wirkungsvoll verhindert, wie auch hier beklagt wird. Man muss hier aber auch Abwägung betreiben: Freiheit ja, aber totale Anonymität führt eben auch das Problem mit sich, dass der digitale Raum zu einem völlig rechtsfreien wird.