Schattenblick → INFOPOOL → BILDUNG UND KULTUR → REPORT


INTERVIEW/023: Suchmaschine - Datenkraken und Kontrolle ...    Albrecht Ude im Gespräch (SB)


Googles Schleichwegen auf der Spur

SUMA-EV-Kongreß am 11. Februar 2015 in Hamburg


Der folgenschwere Fehlschluß, Information mit Wissen gleichzusetzen, befördert ein weitverbreitetes Mißverständnis. Während nämlich zumindest nicht auszuschließen ist, daß Wissen ein Potential bergen könnte, in der Auseinandersetzung mit dem Ensemble der gesellschaftlichen Verhältnisse emanzipatorische Bestrebungen zu befördern, bezieht sich Information in der Konsequenz ihres Warencharakters auf das Sammeln und Verwerten von personenbezogenen Daten zu fremdnützigen Zwecken. Der Verdacht, tendenziell monopolistische Suchmaschinen wie Google stellten den Benutzerinnen und Benutzern einen schnellen Zugang zu Wissen in Aussicht, um sich ihrer persönlichen Merkmale zu bemächtigen und diese zu Profilen zu verknüpfen, erhärtet sich nicht zuletzt bei einer Recherche der konkreten Vorgehensweise des IT-Konzerns.

Der freie Journalist, Researcher und Recherchetrainer Albrecht Ude [1] aus Berlin gab auf dem diesjährigen SUMA-EV Kongreß an der Hochschule für Angewandte Wissenschaften (HAW) in Hamburg Einblick in seine diesbezüglichen Forschungsergebnisse, die er unter dem griffigen Titel "Was Google über Sie weiss ... und was Sie dagegen tun müssen!" in Auszügen vorstellte. Udes Arbeitsthemen und -methoden schlagen eine Brücke zwischen Technik und Journalismus, wobei er unter anderem als leitender Redakteur des Newsletters Netzwerk Recherche, mit seiner vor fünf Jahren auf den Weg gebrachten Initiative "Eine Woche ohne Google" oder seiner Beteiligung an der Klage gegen die Vorratsdatenspeicherung immer wieder theoretisch und praktisch gegen die Überwachung und Erosion des Rechtsstaats im digitalen Zeitalter zu Felde zieht.

In seinem Vortrag, dessen zentrale Aussagen im Folgenden kurz zusammengefaßt werden, charakterisierte er Google unter drei wesentlichen Aspekten: Es handelt sich erstens um die bekannteste Suchmaschine und zweitens die populärste Werbeagentur weltweit, womit der Konzern sein Geld verdient, während alle anderen Einkünfte demgegenüber marginal sind. Google ist drittens der größte Datensammler der Welt, dessen Funktionsweise sich anhand der verschiedenen Dienste des Konzerns aufschlüsseln läßt.

Als brauchbare Quelle für eine Recherche der Aktivitäten des Unternehmens nannte der Referent die englischsprachige Wikipedia, wobei er grundsätzlich davor warnte, alles zu glauben, was man bei Wikipedia erfährt. Als Rechercheur müsse man sämtliche dort gefundenen Hinweise überprüfen, um sie bewerten zu können. Zumindest trage diese Vorstrukturierung jedoch dazu bei, schneller zu Ergebnissen zu kommen. So findet man unter anderem eine zeitliche Übersicht aller Produkte Googles wie auch dessen Sparten, Acquisitionen und angebotenen Dienste bei Wikipedia.

Grundsätzlich hält Google drei Gruppen von Angeboten vor: Zum einen die frei nutzbaren Dienste, die man wie etwa die Suche im Internet kostenlos und ohne jede Anmeldung in Anspruch nehmen kann. Zweitens die Dienste, denen gegenüber man sich zu erkennen geben muß, indem man einen persönlichen Account einrichtet, worunter beispielsweise Gmail und Google+ fallen. Drittens die Hintergrunddienste wie Google Analytics, mit dessen Hilfe die Betreiber von Webseiten deren Nutzung auswerten können, wobei die Daten über diesen Traffic dem Konzern zugute kommen.

Aus diesen drei Gruppen ergeben sich unterschiedliche Verfahren, mit denen sich Google Zugang zu Daten verschafft. Bei den Suchanfragen der Nutzerinnen und Nutzer versucht Google, möglichst viel über sie herauszubekommen. Gibt man beispielsweise "Pizza" ins Suchfenster ein, bekommt man automatisch durch einen Lokalisierungsfilter die Angebote am Aufenthaltsort oder in der Region. Die am Anfang plazierten Ergebnisse sind deutlich als Anzeigen gekennzeichnet, worauf als erstes echtes Suchergebnis "pizza.de" folgt. Kopiert man die Adresse, kann man anhand der gesamten Befehlsfolge erkennen, daß der Link zunächst zu google.de führt. Dabei übergibt man dreizehn Parameter an Google, darunter wann und wo man gesucht hat, welche Ergebnisse man angeklickt hat und natürlich das letztendliche Ziel "pizza.de", zu dem man abschließend weitergeleitet wird, ohne den zwischengeschalteten Umweg zu bemerken.

Bei der ganz normalen Suche geht es Google um die Tiefenanalyse des jeweiligen Nutzers. Der Referent führte in diesem Zusammenhang das Experiment an, mehrere Computer desselben Typs nebeneinander aufzustellen und an jedem Gerät eine gleichlautende Suchanfrage bei Google auszuführen. Wie sich dabei herausstellt, bekommt man unterschiedliche Ergebnisse, was nur an der Suchvorgeschichte auf dem jeweiligen Gerät liegen kann, die bei Google gespeichert ist. Um über den bereits bekannten Umfang hinaus auszuloten, welche weiteren Informationen abgegriffen und in Form spezifischer Suchergebnisse und eingeblendeter Werbung zurückgespiegelt werden, regte Ude an, möglichst viele Google-Ergebnisse zu unterschiedlichen Begriffen auf verschiedenen Computern zu überprüfen.

Was die Account-basierten Dienste betrifft, kann man Einblick in das Google Dashboard nehmen, worin alle Vorgänge protokolliert werden - oder genauer gesagt, was Google einen davon wissen läßt. Aus dieser Auflistung geht hervor, wonach man gesucht hat, wie lange man auf den jeweiligen Webseiten geblieben ist (sofern diese Google Analytics eingesetzt haben), welche Fotos man sich angesehen und mit wem man über Gmail Kontakt gehabt hat. Auf diese Weise ist es möglich, den betreffenden Zeitraum sehr genau zu rekonstruieren, wobei klar ist, daß Google nur einen Teil der protokollierten Daten offenlegt. Da diese über den Gmail-Account mit dem Namen verknüpft sind, haben sie die größte Informationstiefe.

Die der dritten Gruppe zugeordneten Hintergrunddienste arbeiten wie ein Schleppnetz. Google Analytics erfaßt geschätzte 50 bis 80 Prozent aller Webseiten, die man ansteuert, worüber wiederum Daten zu Google fließen. Da diese Daten wie bei einer normalen Suchanfrage mit einem Cooky versehen sind, können die Bewegungen einer Person im Netz recht gut nachvollzogen werden, sofern man nicht technisch etwas dagegen unternimmt, wie Ude anmerkte.

Als ein weiteres anschauliches Beispiel führte er eine kleine russische Hackerseite vor, auf der man sehen kann, welche Daten bei einem einzigen Mausklick durch einen Webserver in Rußland laufen. Zu sehen ist zum einen die IP-Adresse, mit der man gerade im Netz ist. Da IP-Adressen ähnlich wie Telefonnummern nicht wahllos vergeben werden, sondern kontingentierte Blöcke sind, die bestimmte Vorinformationen wie die jeweilige Stadt enthalten, gibt man damit bereits erste Informationen preis. Angezeigt wird aber auch der verwendete Browser samt seiner Version, das verwendete Betriebssystem, die zuvor besuchte Webseite sowie der aktuelle Aufenthaltsort im Klartext. Wenn kleine Hacker das alles können, schafft Google es mit Sicherheit auch, so der Referent.

Für eine Reidentifizierung der Nutzerinnen und Nutzer reichen im Grunde bereits die normalen Browserdaten aus. Hinzu kommen Cookies, die aufgrund ihrer Kennziffer die Information liefern, daß es derselbe Kunde war, der diese und jene Suchanfrage gestellt hat. So werden einzelne Besuche verkettet. Hinzu kommen weitere Identifizierungsmethoden wie das Browser-Fingerprinting, gegen die man sich schwer schützen kann. Google fügt die mit verschiedenen Mitteln gewonnenen Fragmente zu Profilen zusammen, wobei diese Personalisierung offiziell dem Zweck dient, die Suchergebnisse zu verbessern, indem der jeweiligen Person nach Möglichkeit maßgeschneiderte Ergebnisse eingespielt werden. Daß der Konzern darüber seine Werbeeinnahmen steigert, verkauft Google seinen Kundinnen und Kunden als Geschäft zum beiderseitigen Nutzen.

Wer sich davor schützen will, die vermeintlich kostenlosen Dienste Googles mit der Preisgabe persönlicher Daten zu bezahlen, die in beträchtlichen Teilen unter der Hand abgegriffen werden, sollte nach Auffassung Udes auf längere Sicht gesehen die Entwicklung eines offenen Web-Indexes unterstützen und diesen nutzen, sobald es ihn einmal gibt. Davon abgesehen könne man aber auch sofortige Schutzmaßnahmen einleiten und andere Suchmaschinen wie etwa MetaGer benutzen, auf Google-Accounts verzichten oder diese pseudonymisieren und Google Analytics deaktivieren. Es gebe verschiedene Werkzeuge, mit denen man unterbinden kann, daß auf dem eigenen Rechner anfallende Daten unbemerkt von Dritten protokolliert und genutzt werden. Grundsätzlich rät Ude allen Nutzerinnen und Nutzern, die Kontrolle persönlicher Daten in die eigene Hand zu nehmen, was ein bewußter Akt sei und nicht nebenbei laufen könne: Sicherheit ist nicht bequem, schloß der Referent sein praxisbezogenes Plädoyer für informationelle Selbstbestimmung.

Nach Abschluß des Kongresses beantwortete Albrecht Ude dem Schattenblick einige Fragen zur Zusammenarbeit amerikanischer IT-Unternehmen mit den Geheimdiensten, zu mutmaßlichen Konsequenzen für die Verhältnisse in Deutschland und zu möglichen parlamentarischen Kontrollinstanzen.


Am Stehpult beim Vortrag - Foto: © 2015 by Schattenblick

Albrecht Ude
Foto: © 2015 by Schattenblick

Schattenblick (SB): Herr Ude, der heutige Kongreß stand unter dem Motto "Das Internet im Zeitalter von Überwachung und Manipulation - Der Offene Web-Index und andere Gegenmittel". Während von den kommerziellen Interessen Googles die Rede war und Alternativen diskutiert wurden, kamen Überwachung und Kontrolle durch staatliche Akteure kaum zur Sprache.

Albrecht Ude (AU): Das stimmt. Wenn es nun aber einen freien Web-Index gäbe, auf dem dann verschiedene Suchmaschinen aufbauen und ihre Dienste anbieten könnten, dann wäre die Kontrolle durch die Geheimdienste, von der wir hier sprechen, natürlich sehr viel schwieriger. Gegenwärtig verhält es sich so, daß die Geheimdienste nur sehr wenige Suchmaschinen abfragen oder auswerten müssen, wenn sie versuchen, sie zur Überwachung heranzuziehen. Je größer die Vielfalt, desto schwieriger gestaltet sich dieses Vorhaben. Dazu kommt - das wissen wir mittlerweile auch -, daß sich Google insbesondere den amerikanischen Geheimdiensten gegenüber sehr kooperativ zeigt, wahrscheinlich auch kooperativ zeigen muß, weil das Unternehmen der dortigen Gesetzgebung unterliegt.

SB: Mutmaßungen zufolge arbeitet längst ein erheblicher Teil der Unternehmen in den USA mit den Geheimdiensten zusammen, und diese Kooperation weitet sich offenbar immer weiter aus. Sind das nicht Überlegungen, die man mitdiskutieren müßte, wenn man sich Gedanken über die Einschätzung Googles und den Umgang mit dem IT-Komplex macht?

AU: Dieses Problem wird derzeit durch die Electronic Frontier Foundation und andere Initiativen thematisiert. Sie hat das Projekt "Canary Watch" auf den Weg gebracht, das seinen Namen aus dem Bergbau herleitet, wo man früher Kanarienvögel in die Grube mitgenommen hat, weil sie darauf reagieren, wenn die Konzentration giftiger Gase in der Luft zunimmt. Die Bergleute wußten, daß Gefahr im Verzug ist, sobald es den Kanarienvögeln nicht gutgeht und sie aufhören zu singen. Wenn amerikanische Firmen mit den sogenannten National Security Letters konfrontiert werden, dürfen sie üblicherweise nicht darüber sprechen. Sie dürfen also nicht einmal erwähnen, daß sie ein derartiges Schreiben empfangen haben. Es hindert sie jedoch niemand daran, regelmäßig bekanntzugeben: Wir haben keinen National Security Letter bekommen. Das Projekt setzt darauf, Unternehmen zu bitten, jeden Tag mitzuteilen, daß sie keinen solchen Brief erhalten haben. Wenn die betreffende Firma eines Tages schweigt, ist die Gefahr sehr hoch, daß sie überwacht wird. Bislang beteiligen sich leider noch recht wenige Unternehmen daran, aber das kann sich ja künftig ändern.

Man kann Google und auch anderen amerikanischen Unternehmen im Grunde keinen Vorwurf machen, denn wenn sie rechtswidrig von ihren eigenen Geheimdiensten überwacht werden, ist das in erster Linie ein Problem dieser Dienste. Soweit die Firmen aufgrund der nationalen Gesetze kooperieren müssen, kann man ihnen das nicht zur Last legen, da kann man nur als Nutzer sensibel sein. Das Problem ist momentan, daß wir mit Google und Bing zwei große amerikanische Suchmaschinen mit Index haben, und die dritte wichtige Suchmaschine ist Yandex, die in St. Petersburg und in Moskau sitzt. Dort hört zwar die NSA nicht zu, aber wahrscheinlich der FSB. Es gibt noch eine weitere maßgebliche Maschine, die heute nicht erwähnt wurde, aber für uns ohnehin irrelevant ist: Baidu in China, wo die Problematik grundsätzlich dieselbe ist.

SB: Wie verhält es sich nach Ihren Erkenntnissen mit den Rückwirkungen auf die Verhältnisse in Deutschland? Inwieweit sind mutmaßlich deutsche Geheimdienste allein oder in Kooperation mit ausländischen Diensten an dieser Form der Überwachung beteiligt, zumal die Daten deutscher Nutzerinnen und Nutzer offenbar schon in den USA in hohem Maße kontrolliert werden?

AU: Das ist eine sehr schwer zu beantwortende Frage, weil wir über die Kooperation der Geheimdienste auf internationaler Ebene sehr wenig wissen. Klar ist, daß es diese Kooperationen gibt. Klar ist auch, daß im Grunde alle Geheimdienste in den westlichen Ländern viel zu wenig politisch kontrolliert werden. Mit anderen Worten: Die Geheimdienste agieren auf der Basis von Gesetzen, die stets ausgelegt werden müssen. Sobald die Geheimdienste das selber tun und dabei nicht kontrolliert werden, ist die Gesetzesüberschreitung eigentlich schon programmiert. Damit ist alles gesagt, denke ich.

SB: Im NSA-Untersuchungsausschuß hatten dessen Mitglieder sehr große Probleme, überhaupt an relevante Informationen heranzukommen. In vielen Fällen erhielten sie auf ihre Nachfragen zur Antwort, daß es sich um Informationen handle, die der Geheimhaltung unterliegen und ihnen deshalb nicht zugänglich gemacht werden können. Zudem waren in den Akten, die ihnen zur Verfügung gestellt worden waren, beträchtliche Passagen geschwärzt. Kann man unter solchen Umständen überhaupt von Aufklärung sprechen?

AU: Das kann man nur zu einem sehr geringen Maße, weshalb die Antwort eigentlich nein ist. Das ist genau das, wovon ich eben sprach. Eine politische Kontrolle findet nicht statt. Es müßte irgendeine Autorität geben, die nicht der Regierung angehört, sondern die parlamentarisch legitimiert ist und im Zweifelsfall Einblick in die ungeschwärzten Akten nehmen darf. Man sollte verfahren wie hinsichtlich des Informationsfreiheitsgesetzes. Wenn ich eine Anfrage an irgendeine Behörde stelle und diese die Herausgabe von Akten mit der Begründung verweigert, sie unterlägen der Geheimhaltung, kann ich mich an den Datenschutzbeauftragten wenden, der auch Informationsfreiheitsbeauftragter ist. Er darf Einblick in die betreffenden Akten nehmen und daraufhin entscheiden, wie weiter zu verfahren sei. Eine entsprechende Institution fehlt im Verhältnis zu den Geheimdiensten. Natürlich sollen Geheimdienste in Teilen Dinge machen, die, wie der Name schon sagt, geheim sind. Andererseits haben wir damit jedoch innerhalb eines demokratischen Regelkreises, um den es sich bei einem Staat handeln soll, ein Element, das nicht kontrolliert wird. Und so ein Element wird im Grunde immer irgendwann dysfunktional.

SB: Die Mitglieder im NSA-Ausschuß haben sich auch darüber beklagt, daß sie mutmaßlich selber abgehört und auch sonst auf vielfältige Weise an ihrer Arbeit gehindert wurden. So bekamen sie weder vom BND noch der Telekom relevante Auskünfte. Inwieweit ist unter solchen Voraussetzungen eine demokratische und parlamentarische Kontrolle überhaupt denkbar? Wie müßte man Ihres Erachtens vorgehen, um ein solches Korrektiv zu etablieren?

AU: Bislang bekommen die Kontrolleure nur das, was die Dienste freiwillig herausgeben, und dieser Zustand muß geändert werden. Daß beteiligte Firmen, die ehemals in Staatsbesitz waren wie zum Beispiel die Telekom, weitreichend mit teils ausländischen Geheimdiensten zusammenarbeiten und in diesem Zusammenhang versuchen, den Bundestag und die Ausschüsse zu täuschen, ist ein Skandal, denn so etwas darf auf gar keinen Fall geschehen. Genauso ist es ein Skandal, daß die Geheimdienste jetzt zur Gegenüberwachung greifen und ihre eigenen Kontrolleure überwachen wollen. So war das nie gedacht, das darf nicht geschehen, das muß sanktioniert werden!

Ich denke, es muß eine Kontrollinstitution eingerichtet werden, die befugt ist, nach eigenem Ermessen zu den Geheimdiensten zu gehen und zu kontrollieren, ob dort alles ordnungsgemäß läuft oder nicht - genauso, wie es Datenschützer in ihrem Zuständigkeitsbereich dürfen. Bei den Datenschützern haben wir allerdings auch das Problem, daß sie personell unterbesetzt sind, und somit angesichts einer riesigen Wirtschaft, die sie zu kontrollieren haben, mit viel zu wenig Kontrollkräften ausgestattet sind. Wahrscheinlich ist das politisch auch so gewollt. Aber auf das Niveau müßte man bei der Kontrolle der Geheimdienste erst einmal kommen.

SB: Angela Merkel und Sigmar Gabriel haben inzwischen auch die Probleme des Internets im allgemeinen und von Google im besonderen entdeckt. Das wurde auf der heutigen Tagung belächelt und mit einer gewissen Rückständigkeit deutscher Politik auf diesem Feld gleichgesetzt. Woher rührt dieses plötzliche Interesse der Bundesregierung, formal oder sogar mit wohlüberlegter Absicht Kritik an Google zu üben? Liegen dem eher ökonomische Interessen zugrunde, nicht ins Hintertreffen zu geraten, oder paaren sich damit auch politische Strategien, den Einfluß der USA nicht übermächtig werden zu lassen?

AU: Ein großes Problem bei der Nutzung des Internets scheint zu sein - das wurde mir heute auf diesem Kongreß wieder deutlich -, daß sich der Staat oftmals als Gegner der Zivilgesellschaft begreift, gerade wenn wir an Überwachungsfragen oder andere Kontrollinteressen denken. Wenn sich Politiker des Themas annehmen, spielen natürlich immer auch wirtschaftliche Interessen, insbesondere in Konkurrenz zu den USA, eine Rolle. Die Politiker haben meines Erachtens jedoch erst zu einem geringen Teil begriffen, wie wichtig das Problem tatsächlich ist. So müssen deutsche Firmen, die mit Innovationen am Markt sind, diese schützen.

Dasselbe Problem haben wir gegenüber China, daß große Konzerne wie beispielsweise VW, die in China aktiv sind, es noch einigermaßen schaffen, politische Unterstützung für ihre Interessen zu organisieren. Für viele kleine Mittelständler mit bedeutenden Innovationen, die auch in China produzieren wollen, ist der Ideenraub jedoch ein Riesenproblem, und daß sie wenig politische Rückendeckung bekommen, sehe ich wie bei der Überwachung durch die amerikanischen Geheimdienste ebenso als Problem an.

SB: Herr Ude, vielen Dank für das Gespräch.


Fußnote:

[1] http://www.ude.de/


Zum SUMA-EV-Kongreß in Hamburg sind bisher im Pool
INFOPOOL → BILDUNG UND KULTUR → REPORT
unter dem kategorischen Titel "Suchmaschine" erschienen:

BERICHT/033: Suchmaschine - Erwägen, prüfen, wissen ... (SB)
INTERVIEW/021: Suchmaschine - Grenzen, Schranken, Schienenstränge ...    Prof. Dr. Karsten Weber im Gespräch (SB)
INTERVIEW/022: Suchmaschine - Vorurteile ...    Pascal Jürgens im Gespräch

22. Februar 2015


Zur Tagesausgabe / Zum Seitenanfang