Alle Aktionen im Internet hinterlassen Spuren, die detailliert Auskunft über die Nutzenden geben. Was können diese tun, um ihre Privatsphäre im digitalen Raum zu schützen?
Am 7. März hat die Schweiz die E-ID abgelehnt. Eine Forderung der Gegner der E-ID war: "Der digitale Schweizer Pass darf nicht in die Hände von Konzernen fallen!" Die damit verbundene Befürchtung ist, dass bei privaten Konzernen sensible Daten über die Internetnutzung der E-ID Inhaber anfallen und nicht ausreichend geschützt sind.
Spuren
Tatsache ist, dass bei der vorgeschlagenen E-ID-Lösung jede Nutzung der E-ID von einer zentralen Stelle beantwortet und aufgezeichnet worden wäre. Diese zentrale Speicherung der Nutzungsdaten hätte bei allem Vertrauen in die Betreiberorganisationen ein erhebliches Missbrauchspotential dargestellt. Dies betrifft sowohl eine mögliche Monetarisierung "anonymisierter" Nutzungsdaten als auch die unautorisierte Nutzung von Daten, die bei einem Hackerangriff gestohlen werden könnten. Die Liste von Konzernen, die ihre Nutzerdaten in der Vergangenheit verloren haben, ist lang. Die Nutzungsdaten der E-ID geben recht detailliert Auskunft darüber, welche Dienste Internetnutzende verwenden und, falls sie die E-ID auch zur Authentisierung brauchen, wann sie sich bei welchem Dienst einloggen.
Diese Spuren erlauben es, ein detailliertes Profil zu erstellen, das weitreichende Auskunft über die Nutzenden gibt. Hier einige Beispiele: Die Nutzung der Zeitung und anderer Informationsquellen geben Auskunft über die politische Einstellung, die verwendeten sozialen Netzwerke lassen Rückschlüsse über das Alter zu und die Shopping-Gewohnheiten geben Hinweise auf die finanziellen Verhältnisse. Auch sonstige Interessen wie die Nutzung von Gesundheits- oder Mobilitätsdienstleistungen lassen sich leicht aufgrund der besuchten Webseiten kategorisieren.
Doch nicht nur bei der Verwendung einer zentralen E-ID hinterlassen Internetnutzende Spuren. Während die E-ID recht grob die Nutzung von Internetdiensten aufzeichnen könnte, erlauben es zwei weitere Techniken, weitaus detailliertere Informationen zum Nutzerverhalten zu gewinnen. Die Rede ist von Trackern und der Verwendung des DNS.
Tracker
Es lässt sich nicht vermeiden, dass der Betreiber eines Dienstes im Internet detailliert sieht, wie dieser genutzt wird. Vielen Internetnutzenden ist nicht bewusst, dass aber auch Dritte detailliert aufzeichnen können, wie sie sich innerhalb einer Webseite bewegen. Gemäss einer Studie von Ghostery verwenden weltweit 79% aller Websites Tracking durch Dritte. Tracking durch Dritte lässt sich mit Browser-Plugins oder durch die Verwendung eines Browsers wie Brave erschweren. Wer sicherstellen möchte, dass auch der Smart-TV keine Daten über das Nutzerverhalten verrät, kann mit einem Pi-Hole Tracker im gesamten Heimnetzwerk blockieren.
DNS
Neben webbasierten Trackern gibt es eine weitere Quelle, die es erlaubt, detaillierte Informationen zum Nutzerverhalten zu sammeln. Da IP-Adressen zur Navigation im Internet schlecht geeignet sind, muss bei jeder Interaktion ein Domain-Name von einem vorkonfigurierten rekursiven Resolver in seine dazu gehörende IP-Adresse aufgelöst werden. Der rekursive Resolver kennt somit die Domain-Namen aller verwendeten Dienste. Dies erlaubt es z.B. auch zu sehen, welche Geräte in einem Haushalt im Einsatz sind, welche vernetzte Haustechnik genutzt wird, und ob z.B. eine Alarmanlage eines bestimmten Herstellers verwendet wird. Selbst vernetzte Sextoys lassen sich durch DNS-Anfragen identifizieren.
Trotz des Einsatzes von DNS-Technologien wie DoH und DoT, die die Privatsphäre schützen sollen, steigt die Tracking-Möglichkeit durch das DNS weiter an. Einerseits durch neue Sicherheitsstandards wie DoH, die neben der IP-Adresse auch TLS-Informationen übermitteln, durch die ein Nutzer getrackt werden kann. Andererseits steigt die Granularität des möglichen Trackings durch die Verwendung niedriger Time to lives (TTL) der DNS-Informationen. Die Verwendung von Content Delivery Netzwerken (CDNs) und der Wunsch, sich im Falle eines DDoS-Angriffs bestmöglich wehren zu können, sorgen dafür, dass Betreiber von Internetdiensten die Gültigkeit ihrer DNS-Antworten auf wenige Minuten reduzieren. Dies führt dazu, dass Internetnutzende ständig neu abfragen müssen, unter welcher Adresse ein Dienst erreichbar ist. So wird für den Betreiber des rekursiven Resolvers nicht nur ersichtlich, welcher Dienst genutzt wird, sondern auch wie lange er genutzt wird.
Ein Schutz dieser sensiblen Daten ist daher angebracht, DoT und DoH schützen sie im Netz. Spätestens beim rekursiven Resolver liegen sie jedoch wieder im Klartext vor. Und solche Resolver werden nicht nur vom ISP betrieben, sondern vermehrt von weltweit operierenden Anbietern in der Cloud. Oft ist den Internetnutzenden gar nicht bewusst, dass ihr WLAN-Router die DNS-Anfragen in die Cloud sendet, statt zum Resolver des ISPs. Oder der ISP verzichtet komplett auf den teuren Betrieb eines DNS Resolvers und nutzt das kostenlose Angebot eines der grossen Cloud-Provider. Den Internetnutzenden ist deshalb oft nicht bewusst, dass sie dadurch ihre Daten an einen Cloud Provider im Ausland liefern. Und diese zeichnen die Daten oft auf und erhöhen damit das Missbrauchspotential.
Weltweit ist eine Zunahme der Konzentration auf wenige grosse DNS-Resolver-Anbieter festzustellen. Gründe dafür sind die zunehmende Komplexität und auch die damit verbundenen Kosten, einen eigenen rekursiven Resolver zu betreiben.
Was tun?
Was können ISPs und Internetnutzende in der Schweiz tun, um das Missbrauchspotential ihrer DNS-Daten zu begrenzen?
Glücklicherweise betreiben die meisten ISPs in der Schweiz noch ihre eigenen Resolver. Dies ist gut, wenn sie auch moderne Standards wie DNSSEC und Qname Minimization implementiert haben und ihren Nutzenden auch verschlüsselte Protokolle wie DoT und DoH anbieten. Dies ist der beste Weg, um Internetnutzenden einen zuverlässigen, sicheren und die Privatsphäre schützenden Dienst anzubieten. Eine verteilte DNS-Auflösung trägt darüber hinaus auch zur Widerstandskraft des Schweizer Internets bei.
Ein Ausfall von Cloudflares Public DNS im letzten Jahr hat gezeigt, dass es bei zentralen DNS-Dienstleistern durchaus ein Risiko gibt. Und wenn ISPs auf die Dienstleistungen eines cloudbasierten Recursive Resolvers nicht verzichten wollen, gibt es auch eine datenschutzfreundliche Lösung: Der Betrieb eines eigenen Forwarding Resolvers, der die IP-Adresse der Internetnutzenden verbirgt und Abfragen cached. So kann man die Vorteile eines grossen Resolvers wie die sehr kurzen Antwortzeit oder der Schutz vor Malware und Phishing durch einen Filter nutzen und gleichzeitig die Privatsphäre der Nutzenden schützen.
Was können Internetnutzende nun tun, um keine ungewollten DNS-Spuren im Internet zu hinterlassen?
Verwendung eines vertrauenswürdigen rekursiven Resolvers
Anders als beim E-Mail-Anbieter, wissen die wenigsten Internetnutzenden welchen rekursiven Resolver sie nutzen, ob ihr ISP einen Resolver in der Cloud oder im Ausland verwendet und ob dieser Nutzerdaten aufzeichnet. Die meisten Betreiber von rekursiven Resolvern veröffentlichen eine Privacy Policy, in der sie idealerweise erklären, auf eine Aufzeichnung von Client-Anfragen zu verzichten.
SWITCH, die Digitale Gesellschaft und der neu in der Schweiz angesiedelte Cloud-Dienst Quad9 verfügen über eine solche Privacy Policy und folgen dem Prinzip der Datensparsamkeit. Dies bietet Internetnutzenden den höchsten Schutz ihrer Privatsphäre im Internet. Wenn keine Daten aufgezeichnet werden, können sie auch nicht missbraucht werden. Bei den DNS-Diensten der ISPs fehlen Aussagen zur Aufzeichnung von DNS-Daten leider meist. Immerhin sind in der Schweiz die Daten durch das Fernmeldegesetz geschützt, im Zweifelsfall sollten Nutzer nachfragen, wenn sie dazu in der Privacy Policy ihres Anbieters nichts finden.
Das Thema Datenschutz erhält zurecht mehr Aufmerksamkeit. Es ist deshalb nicht erstaunlich, dass der rekursive Resolver-Dienstleister Quad9 seit der Ankündigung seines Umzugs in die Schweiz Mitte Februar 2021 eine Verdoppelung seiner wöchentlichen Wachstumsrate feststellen konnte.
Wöchentliche Wachstumsrate des Quad9 Resolvers. Quelle: Quad9
Über den Autor:
Michael Hausding studierte Informatik an der TU Darmstadt und MTEC an der ETH Zürich. Seit 2008 arbeitet er als Sicherheitsexperte im Team von SWITCH-CERT und ist auf DNS- und Domain-Missbrauch spezialisiert.
Über die Kolumne #Security:
Die Kolumne von Switch über Sicherheit erscheint 6 mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.