Anonym surfen im Internet - Möglichkeiten und Probleme ...

Ist es heute möglich, sich im Internet anonym zu bewegen? Welche Mittel stehen zur Verfügung und welche Konsequenzen hat dies möglicherweise? Ein paar Fragen und ein paar Gedanken dazu.

Gelegentlich treten im Internet fragen auf etwa der Art: Wie verstecke ich meine eigene IP? oder Wie kann ich surfen, ohne Spuren zu hinterlassen?. Inzwischen gibt es einige Dienste – Anonymisierdienste die mehr oder weniger umfangreich geschützte Dienste anbieten und somit eine Scheinanonymität vorgaukeln. Der Beitrag von der Universität Heidelberg hat den Untertitel “Computersicherheit für Paranoiker” und hier wird zumindest die offizielle Bewertung sichtbar. Der Internetnutzer, der anonym bleiben möchte, der ist ein Paranoiker. Es kann auch andere Bewertungen geben, etwa dass der Anonyme ein Vandale ist oder ein gewöhnlicher Krimineller.

Es ist im Grunde ganz gleich, ob man nun Angst hat oder ob man “kriminell” werden möchte, ein paar Dinge sollte man schon wissen.

Die getunnelte Internetverbindung als Dienstleistung …

Die übrigens recht spaßig aufgemachte Webseite Ehrensenf beschäftigt sich mit Webangeboten, setzt sich mit diesen kurz auseinander und so hat der Nutzer eben auf kurzweilige Art immer wieder eine Reihe von “neuen Webseiten” mit interessantem Angebot, die er bei Interesse dann aufsuchen kann. Einer dieser Beiträge befasste sich mit einem solchen Anonymisierer – dem Hotspot-Shield. Hier ging es um eine Software, die sich selbst folgendermaßen beschreibt:

Hotspot Shield creates a virtual private network (VPN) between your laptop or iPhone and our Internet gateway. This impenetrable tunnel prevents snoopers and hackers from viewing your email, instant messages, credit card information or anything else you send over the network. Hotspot Shield security application is free to download, employs the latest VPN technology, and is easy to install and use. So go ahead – Get behind the Shield – Try Hotspot Shield today!

Worum geht es? Sie sind beispielsweise in einem Hotel oder einem Internetcafe oder sie haben irgendwo im Ausland einen “unsicheren Zugang” zum Internet und müssten nun eine Überweisung tätigen. An dieser Stelle greift nun dieser Service ein und bietet ihnen Folgendes an.

Sie bauen ausgehend von ihrem eigenen Laptop oder von ihrem eigenen Handy – keinesfalls von einer ihnen fremden Hardware (!) – eine sogenannte VPN-Verbindung zu einem Server auf, der sich in diesem Fall “Hot-Spot-Shield” nennt. Für diese Verbindung benötigen Sie eine Software, die Sie herunterladen müssen und dann eben einen Vertrag mit diesem Serviceanbieter.

Dass Sie eine Software benötigen ist nur in diesem Fall so. Sie können jeden Browser einstellen einen Proxy zu nutzen, ohne dass man zusätzliche Software installieren muss.

VPN steht für “Virtuelles privates Netzwerk” und ist ein Begriff, der technologisch alles Mögliche enthalten kann also auf vielerlei Arten realisierbar ist. Eine solche Verbindung muss keinesfalls verschlüsselt sein. Es gibt auch unverschlüsselte VPN-Netzwerke. Der Begriff VPN sagt also überhaupt nichts aus über die Sicherheit, die zu Grunde liegt.

Diese Verbindung wird nun weiter geleitet an Ihre Bank oder – wenn Sie E-Mail-Konten abrufen wollen – an ihren Provider. Sie haben dann eine Situation – Ihr Handy <-> Hot-Spot-Shield <-> Ihre Bank oder Ihr Provider.

Solch eine Situation nennt man “Man in the Middle” und die Man in the middle Angriffe sind eines der gefährlichsten Angriffe im Internet überhaupt. Auf diese Art und Weise sind schon einige Konten geräumt worden.

Gehen wir nun von einem ehrlichen und erstgemeinten Service bei Hot-Spot-Shield aus, wobei ich betonen muss, dass es keinen Grund gibt, zu einer andersartigen Annahme. Gehen wir also von einem solchen ernsthaften Service aus, dann müssten wir unterscheiden zwischen einem “Man in the middle”-Service (gutartig) und einer “Man in the middle”-Angriff(bösartig).

Nun schlüpfen Sie einmal in die Haut eines Angreifers und überlegen, wo Sie einen potenziellen Angriff starten würden. Meine Antwort ist: Man greift den Server an. Mit dem Server hat er gleichzeitig sehr viele Opfer und der Angriff lohnt. Das bedeutet: Solche Services sind weit mehr gefährdet als zum Beispiel ein E-Mail-Konto oder das Bankkonto einer einzelnen Firma.

Zur Abkürzung nennen wir nun das System einen anonymen Zugangsserver AZS, dabei ist dieser zunächst einmal gutartig, dann nach einer feindlichen Übernahme unbemerkt bösartig. Was kann ein böser Hacker nun tun, wenn er einen solchen AZS erobert hat?

Die Frage ist schnell beantwortet, wenn man von einem normalen Anwendungsfall ausgeht.

Sie bauen eine Verbindung auf zu dem AZS und beantragen eine Verbindung zu Ihrer Bank.
Diese Anfrage – http://www.xy-bank.de/ – wird vom AZS ausgeführt und die Antwort der Bank wird ihnen zugestellt über Ihr VPN.
Sie loggen sich nun ein. Kontonummer und Passwort wird dann an den AZS übertragen und von dort aus weitergeleitet an die Bank.
Die Bank gibt die Seite aus mit Kontostand und Kontobewegungen und sendet diese an den HSS.
Von dort wird der Inhalt an Sie weiter gereicht.
Sie möchten nun 50 Euro an das Rote Kreuz überweisen. Diese Anfrage wird an das AZS gesendet, und hier verändert. Es wird eine Überweisung von 5.000 Euro auf das Konto des Herrn Iwan IsBaldJanzWeitWech angefragt.
Die Bank bestätigt die angefragte Überweisung von 5.000 Euro und fragt die PIN bei der AZS an.
Die AZS fragt bei Ihnen an, Sie geben die PIN ein und bestätigen die Überweisung an das Rote Kreuz.
Mit Ihrer PIN wird nun die andere Überweisung bestätigt.

Sie müssen sich darüber im Klaren sein, dass der Man in der Mitte alles über die bestehende Verbindung weiß und jederzeit auch Inhalte ändern kann. Banken und Provider kämpfen einen beinahe vergeblichen Kampf, den Man aus der Mitte herauszuhalten und hier wird eine Software angeboten, die genau dies als Service anbietet.

Sie müssen in dem Falle auch wissen, dass Sie solche Angriffe mit einer mobilen TAN verhindern können. Bei einer mobilen Tan wird Ihnen bei einer Transaktion per SMS eine TAN an ihr Handy geschickt. Da der Angreifer nur einen Weg unter Kontrolle hat, muss der Angriff genau dann auffallen. An dieser Stelle sollten Sie – wenn möglich – darauf achten, dass Sie auch Kontonummer und Betrag mitgeteilt bekommen. Und Sie sollten für die Änderung der Handynummer nie diesen Weg wählen.

Was können wir nun aus dem Beispiel lernen? Neben dem “Man in the Middle” haben wir nun das Grundprinzip kennen gelernt, die eigenen Spuren im Internet zu verwischen. Das Prinzip ist ein AZS , den wir auch unter einem anderen Begriff kennen und das ist der Proxy.

Der Proxy und seine technische und juristische Situation

Der Begriff “Proxy” stammt ab vom Englischen „proxy representative“ was in diesem Fall einen repräsentativen Stellvertreter bezeichnet oder einen Repräsentanten. Der lateinische Begriff „proximus“ bezeichnet den Nächsten. Ein solcher Rechner arbeitet als Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zur anderen Seite herzustellen.

Bezogen auf die Frage des anonymen Zugangs ist wohl der letzte Punkt wichtig, es wird die IP ausgetauscht. In dem oben genannten Beispiel kennt die Bank nur die IP des AZS und auch Ihr Laptop oder Ihr Handy kennt nur die IP des AZS . Nur der AZS kennt beide IPs.

Also der erste wichtige Punkt ist:
Anonym surfen ist immer verbunden mit dem Austausch einer Identität. Der Austausch bewirkt, dass derjenige, der sich selbst in den Vordergrund stellt als an Ihrer Stelle stellvertretend auftritt, dass dieser zum Man in the Middle wird und somit eben geniale Angriffsmöglichkeiten zumindest theoretisch eingeräumt bekommt.

Aber stellen Sie sich vor, Sie würden Ihre Identität stellvertretend für andere hergeben, diese würden sich Ihre IP besorgen und dann zum Beispiel in Foren und Newsgroups vandalisieren. Was wäre die Folge? Die Folge wäre, dass Sie Ärger bekämen. Und was wäre daraus wiederum die Folge? Die Folge wäre die, dass Sie den anonymisierten Traffic loggen würden. Sie würden dann der Polizei oder dem Gericht auf Anfrage die entsprechenden IPs herausgeben können. Könnten Sie es nicht, säßen Sie selbst ggf. auf der Anklagebank.

Diese Überlegungen gelten auch für einen Proxy in China oder Russland, denn genauso wie Sie diese entfernten Server nutzen können, genauso können es auch Russen und Chinesen und auch hier sind längst nicht alle Russen und Chinesen ehrlich. Auch hier wird geloggt und im Zweifel eben auch länger gespeichert einfach, damit der Betreiber sein Leben etwas unbesorgter genießen kann.

Der einzige Unterschied zwischen einem russischen Proxy oder einem deutschen resp. einem Proxy in den USA mag darin liegen, dass deutsche Ermittlungsbehörden es bei einem deutschen Proxy etwas einfacher haben, bei einem US-Proxy müssen Sie ein paar Formulare mehr ausfüllen und bei einem chinesischen Proxy kommen Sie vielleicht nicht an die Informationen heran, die sie brauchen. Es mag also Proxies geben, bei denen Sie “auf der sicheren Seite sind” und dann ungefährdet irgend einen Unfug anstellen können.

Allerdings: Geloggt sind die Daten und wenn Sie dann keinen Ärger bekommen mit der Polizei, dann bekommen Sie ggf. Ärger mit irgend einer Mafia, die Sie erpresst. Ob das der Fall ist entscheidet eigentlich nur eines, und zwar eine wie auch immer definierte Rentabilität. Hier müssten Sie dann selbst herausfinden, was Ihnen lieber ist.

Wir haben die zweite Regel: Niemand gibt Ihnen seine IP und übernimmt den von Ihnen verursachten Ärger, ohne dass sich das für ihn irgendwie auszahlt.

Der wirklich anonyme Zugang

Wenn Sie wirklich anonym ins Internet wollen, dann benötigen Sie eigentlich eine komplette Infrastruktur an gekaperten Rechnern. Sie müssten Viren und Trojaner in Umlauf bringen und andere Rechner hacken. Bei 1.000 Zombies – also von Viren und Trojaner gekaperten Rechner – können Sie sich alle paar Sekunden einen anderen Rechner aussuchen, dessen IP, Sie kapern. Sie haben aber auch hier nur ein Problem: Bis zu dem Zeitpunkt an dem Sie diese Rechner wirklich haben, bis zu diesem Zeitpunkt sind Sie eben nicht anonym.

Um diesen Zeitraum zu überbrücken, müssten Sie sich ein lateinamerikanisches Land suchen oder versuchen irgendwo in Russland oder China unterzukommen und dort aus einem Subnetz heraus diese Arbeit zu starten. Hier haben Sie aber wieder das Problem, dass Sie die IP von jemand anderem nehmen und der möchte Geld dafür.

Wenn Sie sich nun fragen, wieso eigentlich so viele Menschen im Internet anonym unterwegs sind oder kriminell sein können, dann kann ich ihnen die nächste Antwort geben.

Niemand im Internet ist anonym – zu keiner Zeit. Es ist nur so, dass es Personen gibt, die nicht jedem bekannt sind. Aber es gibt immer eine Gruppe, die diese Leute kennt.

Und Spam zum Beispiel ist ein ganz klares Geschäft mit einem entsprechendem Geschäftsmodell, dass von einigen gut zahlenden Leuten gewollt wird. Ohne nun die Szene im Detail zu kennen kann ich trotzdem aus den bisher gewonnenen Erkenntnissen recht zuverlässig vermuten: Ein guter Spammer verdient je nach Rang und Position genauso gut oder schlecht wie ein gut bezahlter Angestellter oder ein gut oder schlecht verdienender Selbständiger. Es gibt auch hier Karrieren, die man machen kann mit Auf- und Abstieg und allem drum und dran. Die Leute machen eben eine Arbeit, die Geld einbringt und der einzige zuverlässige Weg, den Spam zu verhindern bzw. zu vermindern wäre der Aufruf “Kauft nichts beim Spammer”.

Und nun überlegen Sie sich, ob Sie wirklich anonym surfen wollen. Ich sähe dazu keinen Grund. Wirklich anonym sein, werden Sie nie schaffen.

« Unterschied der Firewall - Hardware und Software Handyortung ohne Zustimmung? »