Nutzer-Tracking durch “Perma-Cookies” der Provider

SicherheitIhr seid auf Privatsphäre im Internet bedacht, nutzt Cookie-Blocker und Anonymisierungsdienste, um das Nutzertracking zu verhindert? Könnt ihr alles knicken, wenn das, was ich hier thematisiere, um sich greift. Denn dann trackt euch euer Provider per Mobilfunkverbindung, und ihr könnte nichts gegen tun.


Anzeige

Kopf heben und über den Schüsselrand blicken

Für diesen Blog-Beitrag muss ich ein klein wenig ausholen, um die Tragweite ins rechte Licht zu rücken. Ihr erinnert euch an Snowden und den NSA-Skandal? War gestern, zeigt aber, wie wir von den Geheimdiensten ausgespäht werden. Und dass Apple, Google und Microsoft da kräftig mitlesen, was über deren Betriebssysteme geht oder in der Cloud landet, ist irgendwie auch bekannt. Dass im Rahmen die Provider Daten im Rahmen der Vorratsdatenspeicherung für eine gewisse Zeit protokollieren – auch bekannt. Aber irgendwo ist da das Bundesverfassungsgericht immer vor gewesen, um gewisse Schranken aufzuzeigen.

In Ami-Land hat das Bundesverfassungsgericht aber wenig zu sagen. Da machen die Firmen einfach mal und sagen hinterher möglicherweise "haben wir nicht gewusst" – und wenn sie richtig festgenagelt werden, kommt möglicherweise mal ein "sorry". Muss uns nicht interessieren? Pustekuchen – wir stehen am Vorabend der Abschlüsse von Freihandelsabkommen wie CETA und TTIP. Die sind zwar stark durch Bürgerinitiativen unter Beschuss, weil der Ausverkauf der bürgerlichen und Verbraucherrechte droht. Geheimverhandlungen, mauern, lügen, das ist die Strategie der Politik, um die Abkommen durchzuboxen. Finanziell bringt TTIP im optimistischsten Fall 0,0034% Wachstum pro Jahr innerhalb der EU (Zahl der EU-Kommission).

Hindert die CDU/CSU-Fraktion des deutschen Bundestages nicht daran, sich zu erblöden, und ein vom Steuerzahler finanziertes Video zu erstellen, welches für TTIP wirbt (ich hatte es die Nacht schon in meinem Google+-Profil mit einer entsprechenden Ansage geteilt). Da fällt mir nur ein "dümmer gehts (n)immer" ein. So viel zur Einordnung – mit TTIP kommt das, was Sprint in USA treibt, möglicherweise auch bald zu uns.

Sprint schlachte Privatsphäre durch "Perma-Cookies"

Samstag hatte ich gerade den Artikel Apple SIM doch vom Provider mit SIM-Lock belegbar? im Blog, der die Macht der US-Provider demonstriert. Apple führt eine Apple-SIM ein, die umprogrammierbar ist. Providerwechsel wäre dann quasi auf Knopfdruck, ohne SIM-Wechsel, möglich. Aber AT&T setzt da mal schnell ein SIM-Lock drauf und das Fass ist zu. Im dümmsten Fall kannst Du dein iPad nicht mehr mit einem anderen Provider nutzen, wenn es bei AT&T aktiviert wurde …

AppleSIM(Quelle: Twitter)

Bleiben in den USA noch Sprint und der Ableger der deutschen Telekom, T-Mobile als Alternativen. Gleicht dem Ansatz, den Teufel mit Belzebub auszutreiben, wie ich gerade feststelle.

In diesem Artikel berichtet Wired.com, dass Sprint sogenannte Perma-Cookies in die Datenströme seiner Mobilfunkkunden einbaut. Konkret wird bei Sprint-Mobilfunkkunden seit zwei Jahren in jegliche Mobilkommunikation ein Unique Identifier Header (UIDH), in Form einer ca. 50 Zeichen langen Textnachricht, mit eingebaut. An Hand der UIDH lässt sich der Kunde innerhalb der Datenströme jederzeit identifizieren. Besucht der Benutzer eine Webseite, braucht nur der UIDH ausgelesen zu werden, und man weiß, wer da vorbei surft. Cookies sind damit obsolet. Und weil Sprint in den USA 123 Millionen Kunden hat, wird ein Großteil der Amerikaner auf diese Weise getrackt. Weckt natürlich Begehrlichkeiten bei anderen Firmen – speziell bei der Werbeindustrie (und natürlich beim Staatsschutz).

Aktivisten der Electronic Frontier Foundation fordern nun Verizon, zu denen der Anbieter Sprint gehört, diese UIDH aus dem Mobilfunk-Datenstrom zu entfernen. Denn dadurch wird jeglicher Versuch, Privatsphäre im Netz zu erreichen, von vorneherein unterbunden. Initiativen wie "do not track" sind da lediglich Feigenblatt und technisch reine Makulatur. Laut Verizon gibt es übrigens "keine Möglichkeit", diesen UIDH abzuknipsen – aber man versichert treuherzig, dass man keine "Benutzerprofile anlegt". Da kannst Du dem Hund auch die Wurst auf den Teller hinstellen, und wenn das Teil weg ist, schaut der dich treuherzig "ich hab nix gemacht" an.


Anzeige

Und nun schließt sich der Kreis, den ich eingangs angerissen habe. Über Browser-Fingerprinting gibt es eine weitere Technologie, um Surfer zu identifizieren. Und die Schlapphüte haben eh ihre Finger in der Kommunikation.

Der Sprint-Ansatz war nie geheim, trotzdem hat es 2 Jahre gedauert, bis es jemand aufgefallen ist. Ob ähnliche Ansätze von anderen Providern gefahren werden und was in Deutschland oder der EU im Geheimen abgeht, weiß ich nicht inzwischen. 

Update: Willkommen im Club …

Eigentlich hätte ich es mir denken können – auch hier läuft es ähnlich. Kennet White hat eine kleine Testseite aufgesetzt, über die man bekannte Unique Identifier Beacons von AT&T, Verizon, Sprint, Bell Canada & Vodacom anzeigen lassen kann. Gut, diese Firmen sind hier (noch) nicht aktiv. Aber ich habe mal einen Test gemacht – mein Nexus 4 unter Android gebootet und bin über eine Netzclub-SIM-Karte (O2-Netz) online gegangen. Hier ist die Anzeige der Testseite für dieses O2-Netz:

Es wird zwar kein Identifikationsstring (wie bei Verizon) mitgereicht. Aber ich werde mit der IP-Nummer, die mir vom Provider zugewiesen wird, im Netz herumgereicht. Und wie sieht es bei euch aus? Kommentare sind willkommen – vielleicht bekommen wir so einen Überblick, was in Deutschland diesbezüglich abgeht. Update: Bei heise.de gibt es hier noch einen Artikel, wo darauf hingewiesen wird, dass Verizon die Nutzerdaten an Werbenetzwerke verkauft.

Aktionen sind jetzt gefragt

Ich bin mir sicher, wenn da nicht deutlich Stopp gerufen und politischer Druck gemacht wird, kommt die Überwachung durch die Hintertür auch hier. Mit TTIP und dem Investitionsschutz hat man von US-Firmen dann auch endlich das Druckmittel, um so was auch hier durchzusetzen. Ich versuche hier im Blog möglichst wenig parteipolitisch aktiv zu sein (ist nicht mein Ding). Aber aus dem hier skizzierten Blickwinkel: wenn euch das Thema nicht gänzlich am Arsch vorbei geht, teilt die Infos und macht ebenfalls Druck – speziell auf die CDU/CSU-Fraktion – sonst bleibt uns in ein paar Jahren nur noch "Rechner ausschalten und die Köpfe zusammenstecken", wenn man mal was kommunizieren möchte, was im vertrauten Kreis bleiben soll. Ironie der Geschichte: Dieser Zustand endete vor fast genau 25 in der dagewesenen DDR – und kommt jetzt durch die Hintertür über technische Maßnahmen mit aller Macht zurück.

Update: Auch ganz net


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Nutzer-Tracking durch “Perma-Cookies” der Provider

  1. Günter Born sagt:

    Kleiner Nachtrag zum obigen Artikel. Bei heise.de gibt es aktuell diesen Artikel, der ausführt, dass die vom US-Mobilfunkanbieter Verizon verwendeten Super-Cookies bei der Werbeindustrie "sehr beliebt" seien.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.