Digital

Sex

«Wer Pornos schaut, muss wissen, dass seine Vorlieben früher oder später publik werden»



In fast allen grossen Pornoseiten stecken Überwachungs-Dienste, die jedes Video aufzeichnen, das du schaust. Es ist nur eine Frage der Zeit, bis ein Hacker die Porno-Vorlieben von Promis, Politikern oder dir veröffentlicht.

Schaust du Pornos im Internet? Ja? Dann haben wir jetzt eine unerfreuliche Nachricht. Als Freund der gepflegten Erwachsenen-Inhalte wirst du im Netz auf Schritt und Tritt oder besser von Video zu Video überwacht.

Nicht primär die Pornoseiten selbst, vielmehr Google, Facebook und unzählige andere Werbefirmen aus dem Umfeld der Pornoindustrie verfolgen mit jedem Klick, welche Pornos über deinen Bildschirm flimmern. Kleine Tracking-Tools in den Webseiten verraten den Werbefirmen bis ins Detail, welche Filmchen du in einsamen Nächten geschaut hast.

Das Problem dahinter: Die meisten Pornoseiten übertragen die Namen der aufgerufenen Videos unverschlüsselt in der Internet-Adresse, was im Adressfeld des Browser ungefähr so aussieht: http://www.beispielporno-webseite.com/view/peinliches-pornovideo. Im Klartext: Diverse Werbefirmen können die Namen jedes einzelnen Videos mitlesen. Sollten solche Pornodaten von Prominenten in die Hände von Hackern fallen und veröffentlicht werden, wäre der Skandal perfekt.

«88 Prozent der 500 grössten Pornoseiten haben Überwachungs-Dienste installiert.» medium/Tim Libert

Genau dieses unheilvolle Szenario beschreibt der Softwareentwickler Brett Thomas in seinem Artikel «Online-Pornos könnten der nächste grosse Privatsphäre-Skandal werden». Thomas schreibt: «Wer im Jahr 2015 Pornos schaut, sollte sich bewusst sein, dass seine Porno-History früher oder später mit seinem Namen veröffentlicht wird.»

Dass diese Befürchtung nicht aus der Luft gegriffen ist, bestätigen andere IT-Sicherheitsexperten wie der Schweizer Stefan Friedli. Laut Sicherheitsexperte Tim Libert haben 88 Prozent der 500 grössten Pornoseiten sogenannte Tracking-Dienste installiert, die das Surfverhalten der Besucher analysieren. Zu den gängigen Überwachungs-Tools zählen die Teilen-Button von Facebook, Google und Twitter, aber auch pornospezifische Tracking-Dienste von einschlägigen Werbefirmen wie Pornvertising.

Solche Tracking-Dienste, die auch von watson und fast allen anderen Newsportalen genutzt werden, sind per se weder gut noch schlecht. Sie können für personalisierte Werbung genutzt werden oder optimieren die Webseiten – dies auch zum Vorteil des Nutzers. Brisant wird es, wenn sich die dunkle Seite der Macht der äussert persönlichen Daten bedient.

Was würde wohl passieren, wenn ein Hacker an die gesammelten Daten gelangt? Einem prominenten Politiker könnten gewisse Pornovorlieben die Karriere kosten. Für einen Homosexuellen könnten Schwulenpornos in einem homophoben Staat noch weit gravierende Konsequenzen haben.

«Der Privatmodus im Browser hilft gegen Überwachung rein gar nichts.»

Das Perfide: Wer glaubt, er könne seine Spuren im privaten Modus des Webbrowsers oder mit dem Löschen von Cookies verwischen, ist schief gewickelt. Der Privat- oder Inkognito-Modus von Chrome, Firefox und anderen Webbrowsern hilft gegen die Überwachung rein gar nichts (siehe Interview weiter unten). Die Internet-Firmen haben inzwischen Überwachungsmethoden wie den digitalen Fingerabdruck entwickelt, die sich kaum mehr umgehen lassen.

So funktioniert die Fingerprint-Überwachung im Netz

Jeder Webbrowser wie Chrome, Firefox etc. gibt einer besuchten Webseite Informationen zu Betriebssystem, Bildschirmauflösung, installierten Schriften und unzähligen kleinen Datenhäppchen bekannt. Sammelt man all diese Informationen, entsteht ein digitaler Fingerabdruck des Webseitenbesuchers. In unserem Beispiel heisst dies, dass der Pornonutzer eindeutig und dauerhaft identifizierbar ist – unabhängig davon, ob er seine Cookies löscht, privat surft oder die Browser History löscht. Mittels digitalem Fingerabdruck können Werbeanbieter wie Google einen Internetnutzer auf allen Webseiten wiedererkennen, die den entsprechenden Tracking-Dienst nutzen.

Der digitale Fingerabdruck zur Überwachung des Surfverhaltens ist viel mächtiger, als es Cookies je waren. Wer selbst prüfen will, ob er im Netz einen eindeutig identifizierbaren Fingerabdruck hinterlässt, kann dies hier testen. Eine Liste mit bekannten Seiten wie Youporn oder Kinox, die digitale Fingerprints ihrer Besucher anlegen, findet sich hier.

Browser Fingerprinting grafik: spectrum

Das sagt Pornhub

Pornhub, eine der grössten Pornowebseiten, beteuert gegenüber dem Newsportal Vice, dass man keinen digitalen Fingerabdruck seiner Besucher erstelle. Das darf man Pornhub gerne glauben, zumal Pornoseiten vermutlich kein Interesse haben ihre Besucher, die auf Privatsphäre bedacht sind, zu überwachen.

Ganz anders sieht dies bei den zahlreichen Tracking-Diensten von Online-Werbefirmen wie Google, Pornvertising oder AddThis aus, die in zahlreichen Webseiten versteckt sind und das Surfverhalten, inklusive der geschauten Pornos, überwachen. Allenfalls ist den Pornoseitenbetreibern gar nicht bewusst, welche Nutzerdaten von Dritten heimlich gesammelt werden. YouPorn etwa warf eigenen Angaben zufolge den Tracking-Dienst AddThis raus, als Mitte 2014 bekannt wurde, dass AddThis digitale Fingerprints anlegt. Mit der Browser-Erweiterung Ghostery lässt sich übrigens leicht nachvollziehen, dass das umstrittene «Browser Fingerprinting» von AddThis weit verbreitet ist.

Wie real ist die Gefahr wirklich?

Der Schweizer Computer-Sicherheitsexperte Stefan Friedli dringt beruflich in fremde Firmennetzwerke ein, um Schwachstellen zu finden. Im Interview erklärt er, welche Gefahr von «Browser Fingerprinting» wirklich ausgeht.

bild: zvg

Herr Friedli, wie realistisch ist es, dass wir bald einen Porno-Skandal aufgrund von «Browser Fingerprinting» erleben?

Stefan Friedli: Als Person öffentlichen Interesses ist man sicherlich ein prioritäres Ziel für derartige Angriffe. Nach heutigem Kenntnisstand muss man das aber dennoch etwas relativiert betrachten: Die Parteien, die derartiges Datensammeln betreiben könnten, sind in erster Linie Werbeanbieter, soziale Netzwerke und, bis zu einem geringeren Grad, die Pornoseiten selber.



Ist es also nur eine Frage der Zeit, bis Hacker die Pornovorlieben von Prominenten veröffentlichen?

Natürlich ist denkbar, dass solche Daten gezielt gesammelt und dann von Hackern gestohlen werden – aber einen direkten Angriff halte ich nicht für das prioritäre Risiko.



Warum?

Ich vermute, dass die gesammelten Nutzerdaten zum jetzigen Zeitpunkt für gezielte Werbeeinblendungen vermutlich profitabler sind, als für Erpressungsversuche oder dergleichen.



Wie kann man sich die Überwachung des eigenen Surfverhaltens durch einen digitalen Fingerabdruck (Browser Fingerprinting) vorstellen?

Ein Webbrowser gibt einer Webseite auf Anfrage verschiedene technische Daten bekannt, mit der Absicht, dass sich die Webseite dem Gerät des Besuchers (PC, Tablet, Smartphone) anpassen kann. Die besuchte Webseite erfährt so Dinge wie eingesetztes Betriebssystem, Bildschirmauflösung, installierte Schriften und Plugins sowie zahlreiche andere kleine Informationsfetzen. Sammelt man all diese Informationen und kombiniert sie, dann ergibt sich eine Art digitaler Fingerabdruck, der sich auch nur relativ selten ändert. Ein Werbeanbieter wie Google kann diesen Fingerprint nun auf verschiedenen Webseiten abfragen und kommt dann gegebenenfalls zum Schluss, dass es sich mit hoher Wahrscheinlichkeit um denselben Besucher handelt.



Wie kann man sich gegen Browser Fingerprinting schützen?

Sich umfassend zu schützen ist relativ schwierig, vor allem ohne sich dabei relativ stark einzuschränken. Man kann sicherlich gewisse Symptome behandeln in dem man Browser-Addons wie Ghostery und Adblock einsetzt – und für ‹Erwachsenen-Interessen› einen alternativen Browser wie TorBrowser nutzt. Einen umfassenden Schutz vor Fingerprinting bieten diese Massnahmen allerdings nicht.



Warum schützt der Private-/Inkognito-Modus im Chrome oder Firefox die Privatsphäre nicht, wie es der Name vermuten lässt?

Öffnet man in Google Chrome einen Inkognito-Tab, so taucht folgender Satz in fetter Schrift auf: «Der Inkognito-Modus verhindert nicht, dass Informationen zu Ihren Webaktivitäten von Ihrem Arbeitgeber oder Ihrem Internetanbieter erfasst werden.» Diese Funktion ist ausschliesslich darauf ausgelegt, keine lokalen Spuren von besuchten Webseiten auf dem PC oder Handy zu hinterlassen. Für alles weitere ist der Privatmodus gänzlich ungeeignet.



Kann man bei mobilen Webseiten oder Apps ebenfalls durch Fingerprinting überwacht werden?

Das lässt sich pauschal nicht beantworten. Die Möglichkeiten des Trackings hängen von der individuellen App ab. Konkret davon, wie die Applikation aufgebaut ist und ob sie, wie das bei Gratis-Apps oft der Fall ist, Werbung enthält. Werbedienste können problemlos ein gewisses Tracking vornehmen – unter Umständen sogar mit Zugriff auf lokale Daten. Im Hinblick auf die im obigen Artikel genannte Art von Fingerprinting sind mobile Plattformen eher weniger gefährdet.



