Android: WLAN Tracking standardmäßig aktiviert

Moderne Android-Versionen lauschen auch bei eigentlich deaktiviertem WLAN in kurzen Zeitabständen auf Basisstationen in der Nähe. Dies soll die Genauigkeit und Geschwindigkeit der Standortbestimmung verbessern.

Moderne Android-Versionen lauschen auch bei eigentlich deaktiviertem WLAN in kurzen Zeitabständen auf Basisstationen in der Nähe. Dies soll die Genauigkeit und Geschwindigkeit der Standortbestimmung verbessern.

Leider geschieht dies nicht rein passiv, sondern das Smartphone fordert die Basisstationen durch ein sog. Probe Request Paket auf, sich erkennen zu geben. In diesen Paketen ist natürlich auch die MAC-Adresse, über die sich jedes Gerät eindeutig identifizieren lässt. Diese Auskunftsfreudigkeit wird berets in Kaufhäusern genutzt, um herauszufinden, wo sich die Kunden bewegen.

Um diese Funktion abzuschalten muss man in den Erweiterten WLAN-Einstellungen, die über die Menütaste erreichbar sind, die Option Suche immer erlauben deaktivieren.

Android 4.4.2
Android 4.4.2

Ich finde es eine Frechheit von Google, solche Optionen standardmäßig zu aktivieren. Laut c’t erfolgt allerdings ein Hinweis bei der Einrichtung, aber wer beachtet die schon?

Google selbst nutzt diese  Option natürlich insofern, da die Nutzer so ganz von allein die Karte der WLAN-Basisstationen aktualisiert.

Ich persönlich fahre übrigens gut mit der App Tasker, die viele Einstellungen mit Bedingungen koppeln kann und so z.B. das WLAN beim Verlassen des Hauses deaktivieren und am Arbeitsplatz wieder aktivieren kann. Das spart zudem natürlich auch Strom und verhindert das versehentliche Verbinden mit offenen APs.

Mein Umzug zu Posteo

Nun endlich habe ich die Abkehr vom Datenkraken Google vollzogen. In diesem Artikel möchte ich meine Entscheidung darlegen und die Probleme beschreiben, die ich umschiffen musste.

Nun endlich habe ich die Abkehr vom Datenkraken Google vollzogen. In diesem Artikel möchte ich meine Entscheidung darlegen und die Probleme beschreiben, die ich umschiffen musste.

Das Tolle an Google ist natürlich die Einfachheit. Man meldet sich einmal mit dem neuen Telefon an und schon hat man sämtliche Kontakte, Kaleder, Mails etc. Doch diese Bequemlichkeit ist gefährlich. Dadurch, dass Google praktisch alles anbietet, was der digitale Nomade so braucht, entsteht ein wirklich sehr detailliertes Bild. Für die Agenten ist das prima, sie müssen ihre Informationen nicht mühsam bei mehreren Anbietern zusammenkratzen. Deshalb darf man davon ausgehen, dass Google eine direkte Schnittstelle zur NSA bietet, d.h. meine Daten können ohne nervige Gerichtsbeschlüsse eingesehen werden. Dem wollte ich einen Riegel vorschieben. Ich bezahle halt lieber einen € im Monat für die Sicherheit meiner Daten als mit meinen Daten. Einen Überblick, was Google alles über euch weiß, erhaltet ihr im Google Dashboard.

Wahl des Anbieters

Die Wahl fiel auf Posteo, weil dieser Anbieter sehr positiv heraussticht, was den Datenschutz und die Verweigerung von staatlichen Zugriffen angeht. Hier ein Test in der c’t.

Außerdem bietet Posteo folgende Funktionen, die für mich sehr relevant sind:

  • 2 kostenlose Alias-Adressen. Im Gegensatz zu GMX und Co. sind hier noch viele Adressen frei.
  • Identitäten, d.h. man kann mit anderen Mailadressen versenen.
  • DANE-Unterstützung, im Gegensatz zu dem De-Mail-Quatsch
  • Ansehliches und gut bedienbares Web-Frontend, inkl. Adressbuch und Kalender.
  • Posteo ist komplett werbefrei
  • Es werden keinerlei persönliche Daten erfasst, bezahlen kann man Bar.

Einrichtung

Es ist natürlich klar, dass die Einrichtung nicht so schnell und glatt verläuft wie bei Google, denn Google setzt gerade bei Android viele proprietäre Schnittstellen ein und hat die Standard-Schnittstellen dafür entfernt, so geschehen bei CardDAV und CalDAV. Für die Synchronisierung von Kontakten und Kalendern setze ich daher auf die App DAVdroid. Posteo weiß natürlich um die Schwierigkeiten und bietet sehr ausführliche Anleitungen, sodass auch Nicht-Nerds den Umstieg schaffen sollten. Für die Emails bietet sich K-9 Mail an, das als Schmankerl gleich noch PGP unterstützt, wobei der Gmail-Client natürlich nicht dienen kann. Die App ist inzwischen auch auf Tablets ansehlich.

Auch in Thunderbird muss man Mail Kontakte, Kalender einrichten. Apple Kontakte unterstützt übrigens direkt CardDAV, sodass man auf dem Mac kein Thunderbird-Plugin braucht. Das Thunderbird-Profil kann man problemlos auf adere Rechner portieren und spart sich somit die erneute Einrichtung.

Das einzige, was mir noch fehlt, sind die Kontaktbilder. Diese muss ich wohl bei Posteo neu einpflegen, da Google sie nicht zu exportieren scheint. Alles in allem ist es aber ein sehr gutes Gefühl, frei über seine  Daten zu verfügen!

Nachtrag: Kontaktbilder

Beim Export der Kontakte von Google Mail und anschließendem Import bei Posteo fehlten erstmal sämtliche Kontaktbilder. Auch bei Android waren keinerlei Bilder zu sehen. Später fiel mir auf, dass Apple Kontakte die Bilder sehr wohl anzeigt, sie waren also nicht verloren. Ein Export der Daten auf Apple Kontakte und anschließender Neuimport bei Posteo verhalf dann allen Kontakten wieder zu ihrem Bild.

Nachtrag: Geburtstage

Man kann, wie auch in der Posteo -Hilfe dokumentiert, auch die Geburtstage seiner Kontakte auch unter Android anzeigen lassen. Dazu braucht man jedoch erneut eine Zusatz-App, die immerhin über einen alternativen App Store kostenlos zu haben ist. Toll finde ich das trotzdem nicht! Posteo sollte einen Kalender anbieten, der einfach diese Geburtstage enthält. Doch mit mehreren Kalendern musste ich leider auch noch Probleme feststellen. Wirklich sauber funktioniert alles nur mit einem Kalender und mehreren Kategorien. Das reicht aber für Privatnutzer auch vollkommen aus.

Man kann zusammenfassend sagen, dass Posteo mehr tun muss, ob das Benutzererlebnis zu verbessern. Es kann doch nicht sein, dass man für Standardfeatures gleich mal zwei Apps installieren soll, die dann auch wieder ihre Sicherheitslücken haben können!? Eine eigene Posteo-App würde ich für ausgesprochen sinnvoll halten!.

Die Auswüchse der NSA und sichere Passwörter

Was Heise Online gerade berichtet ist erschreckend: http://www.heise.de/newsticker/meldung/Snowden-NSA-Mitarbeiter-tauschen-erbeutete-Nacktbilder-2262547.html Die Agenten werden offenbar überhaupt nicht kontrolliert, sie schnüffeln in den Inhalten vo...

Was Heise Online gerade berichtet ist erschreckend:

http://www.heise.de/newsticker/meldung/Snowden-NSA-Mitarbeiter-tauschen-erbeutete-Nacktbilder-2262547.html

Die Agenten werden offenbar überhaupt nicht kontrolliert, sie schnüffeln in den Inhalten von völlig unbeteiligten Personen. Da bin ich schon froh, dass meine Dropbox bereits seit Jahren komplett verschlüsselt ist.

Dropbox Verschlüsselung mit BoxCryptor Classic
Dropbox Verschlüsselung mit BoxCryptor Classic

Die einfachen A haben vermutlich nicht die Werkzeuge, sowas zu knacken, sie nutzen nur die Schnittstellen, die Google, Apple, Dropbox usw. der NSA einrichten müssen. Die Inhalte liegen dort meist komplett unverschlüsselt und für jederman lesbar. Nur für die Übertragung werden Sie mit SSL/TLS verschlüsselt.

Natürlich ist es nicht so, dass die Verschlüsselung nicht geknackt werden kann. Aber das ist aufwändig und erfordert erhebliche Rechenkraft. Hier findet ihr einen sehr interessanten Zusammenhang zwischen der Passwort-Länge und der benötigten Zeit für einen Brute-Force-Angriff. Demzufolge benötigt man bei einem 10 Zeichen langen Passwort aus Zahlen und Buchstaben bereits 12 Jahre um alle Kombinationen auszuprobieren.  Allerdings lässt sich dieser Wert unter Einsatz von Wörterbüchern erheblich reduzieren – sofern das Passwort im Wörterbuch steht.

Auch Hochleistungs-Computersysteme werden kaum mehr als um den Faktor 10 schneller sein als der im Link verwendete Rechner.

BoxCryptor dagegen bietet eine Ende-zu-Ende Verschlüsselung. Nur ich allein kann meine Daten mit meinem Passwort entschlüsseln.

Aus den oben genannten Gründen habe ich mich nun auch entgültig von Google Mail getrennt und alle meine Mails zum deutschen Anbieter Posteo umgezogen. Ich bezahle lieber 1 € im Monat für die Sicherheit meiner Daten, als mit meinen Daten! Wie der Umzug zu Posteo lief werde ich nachberichten.

 

Anonym surfen

Viele Leute haben ja das Argument, dass „ihre“ Daten sowieso niemand interessieren. Den meisten dürfte aber nicht einmal ansatzweise bewußt sein, was sie für Spuren im Netz hinterlassen und wie man diese mit moderner Analysesoftware auswerten könnte....

Viele Leute haben ja das Argument, dass „ihre“ Daten sowieso niemand interessieren. Den meisten dürfte aber nicht einmal ansatzweise bewußt sein, was sie für Spuren im Netz hinterlassen und wie man diese mit moderner Analysesoftware auswerten könnte.

IP-Adressen und TOR

Zuerst einmal ein Abriss darüber, wie man den Benutzer im Netz identifizieren kann. Zunächst einmal hat jeder eine IP-Adresse, die sich zwar ändern kann, aber zu einem Zeitpunkt gehört eine IP in der Regel immer genau einem Individuum. Die Vorratsdatenspeicherung – die in Deutschland derzeit wegen juristischer Unklarheiten ausgesetzt ist – zwingt Anbieter die IP-Adressen aller Benutzer des Dienstes eine Zeitlang zu speichern. Innerhalb dieser Zeit ist dann eine Zuordnung möglich.

Will man seine IP verschleiern kann man einen Weiterleitungs-Dienst (Proxy) nutzen. Dieser macht den Nutzer aber wiederum angreifbar, weil der gesamte Internetverkehr dann über diesen einen Server läuft und dort theoretisch sehr einfach abgefangen werde kann.

Das TOR-Netzwerk leitet seine Nutzer insgesamt dreimal weiter. Die dafür ausgewählten Tor-Knoten sind zufällig und daher nicht vorhersehbar. Der Tor-Browser ist ein modifizierter Firefox, mit dem jeder mit einem einzigen Klick Tor benutzen kann.  Doch es gibt natürlich einen Haken: Durch die drei Weiterleitungen wird die Geschwindigkeit massiv reduziert, Streaming-Videos sind nicht mehr denkbar. Viele Seiten im „dunklen Teil“ des Internets, dem Darknet sind nur über Tor zu erreichen.

Cookies

Eine IP-Adressen an eine Person zu binden ist aufwändig. Dazu muss eine Anfrage an ein Gericht gestellt werden. Für die Werbeindustrie ist ein anderer Ansatz viel einfacher. Zunächst einmal Tracking Cookies. Cookies sind einfache Textdateien, die an sich völlig harmlos sind. Sie ermöglichen es einer Webseite, den Benutzer wiederzuerkennen und Einstellungen wiederherzustellen.

Normalerweise darf nur die Domain auf Cookies zugreifen, die sie auch gesetzt hat. Beim Tracking durch Werbeanbieterwird dieses Prinzip aber ausgehebelt. Cookies, aber auch Bilder und andere eingebettete Elemente in Webseiten werden dazu benutzt, um dem Benutzer eine eindeutige Identität zuzuweisen und ihn über möglichst viele Seiten zu verfolgen. So lässt sich z.B. auch feststellen ob eine Email gelesen wurde, in der ein Bild eingebettet ist – oft nur ein „Tracking-Pixel„. Deswegen stellt man Bilder am besten erst nach einem Klick dar. Das beherrschen inzwischen die meisten Webmailer und bei Thunderbird ist es die Standardeinstellung. Man kann die Einstellungen seines Mailprogramms oder Webmailers auf dieser Seite überprüfen.

Durch Tracking ist es möglich festzustellen, für welche Produkte sich jemand interessiert und diese Produkte dann auf ganz anderen Seiten zu bewerben.

Gegen das Tracking mit Cookies kann man sich mit der Browser-Erweiterung DoNotTrackMe wehren (siehe Artikelbild), sie blockt sämtliche Cookies von Werbeanbietern, Das verhindert aber auch, dass eingebettete Inhalte wie Facebook-Like-Buttons oder Twitter-Listen angezeigt werden. Normale Webseitencookies, die nur von einer Domain lesbar sind, funktionieren aber weiterhin.

Die Browser-Erweiterung bietet außerdem maskierte Email-Adressen an, die dann an deine richtige, private Adresse weiterleiten. Denn auch über die Emailadresse lässt sich ein Benutzer natürlich prima verfolgen, sofern er angemeldet ist. DoNotTrackMe macht es sehr einfach, jedem Dienst eine gesonderte Email zu spendieren und erleichtert das Blocken von Spam.

Alternativen

Doch leider kann man den Benutzer auch noch identifizieren, wenn er Cookies akzeptiert. Wissenschaftler haben herausgefunden, dass die Versionsnummern von Plugins wie Flash, Adobe Reader, usw. owie die vom Browser übermittelten Daten zu bevorzugter Sprache völlig genügen um den Benutzer recht gut zu identifizieren. Um das zu verhindern müsste man auf sämtliche Plugins verzichten, was dem surfen so ziemlich den Reiz nimmt.

Fazit

Durch Tracking gewinnt die Werbewirtschaft sehr wertvolle Erkenntnisse. Es ist jedoch nicht ganz auszuscließen, dass auch Ermittlungsbehörden auf solche Techniken zurückgreifen um den Abruf bestimmter Informationen zu verfolgen. Auch lässt sich durch das detaillierte Persönlichkeitsprofil sehr viel vom Verhalten des Einzelnen vorhersagen. Deswegen sollte man mit den oben vorgestellten Techniken versuchen, seine Spur im Internet so gut wie möglich zu verschleiern.