Die Geheimdienste (und nicht nur die) möchten so viel wie möglich über alles und jeden wissen. An alle Daten kommen sie nicht so einfach ran, darum beschränken sie sich oft auf die die eigentlichen Daten beschreibenden Metadaten. Das lässt sich der Öffentlichkeit auch viel besser verkaufen, denn die Metadaten sind ja „völlig harmlos“.
Die Geheimdienste (und nicht nur die) möchten so viel wie möglich über alles und jeden wissen. An alle Daten kommen sie nicht so einfach ran, darum beschränken sie sich oft auf die die eigentlichen Daten beschreibenden Metadaten. Das lässt sich der Öffentlichkeit auch viel besser verkaufen, denn die Metadaten sind ja „völlig harmlos“.
Ich frage mich ja immer, ob die Geheimdienste uns wirklich für so dämlich halten und denken, dass wir ihnen tatsächlich alles glauben, was sie uns auftischen. Wenn die Metadaten so harmlos sind, warum sollten die Geheimdienste sie dann überhaupt haben wollen? Allein schon, dass Geheimdienste, Polizei und Co. offenbar ein solch großes Interesse an Metadaten haben, beweist doch, dass sie diese für äußerst nützlich halten. Grund genug, in diesem Artikel unter die Lupe zu nehmen, was Metadaten über unser aller Leben verraten.
Die Daten aus der Vorratsdatenspeicherung
Fangen wir mit der altbekannten Vorratsdatenspeicherung für die Telekommunikation an. Die gesammelten Metadaten enthalten zwei Arten von Informationen. Da sind zum einen die Standortinformationen. Bei einem Festnetzanschluss wissen die Auswerter also, wann von einem bestimmten Telefonanschluss telefoniert wurde. Das ist noch nicht so besonders interessant, zumal das Telefon ja von mehreren Personen benutzt werden kann. Sehr viel interessanter sind die Standortdaten im Fall eines Mobiltelefons. Zunächst einmal, weil das im Allgemeinen nur von einer Person genutzt wird, und in der Folge natürlich, weil bei jeder Nutzung der aktuelle Standort in Form der genutzten Funkzelle gespeichert wird. Egal, ob der Anschlussinhaber selbst jemanden anruft oder angerufen wird, ob er eine SMS sendet oder empfängt, ob er im Internet surft oder in seinem Smartphone (vielleicht sogar erfolglos) nach neuen Mails sucht – jedes Mal wird die vom Handy genutzte Funkzelle gespeichert.
Dazu kommen die Informationen über die Ziele der Kommunikationsvorgänge: Wer wurde angerufen, und wer hat angerufen, wem wurde eine SMS geschickt, und von wem wurde eine SMS empfangen. Außerdem wird gespeichert, wie lange jeweils kommuniziert wurde.
Sehr interessant: Standortdaten von Mobiltelefonen
Was sich allein aus den Standortdaten von Mobiltelefonen herausfinden lässt, wenn man sie mit öffentlich verfügbaren Informationen kombiniert, wurde schon 2011 anhand der Vorratsdaten des Grünen-Politikers Malte Spitz gezeigt [1]. Der hatte seinen damaligen Mobilfunkanbieter T-Mobile auf Herausgabe der Daten verklagt, die im Rahmen der damals vorgeschriebenen Vorratsdatenspeicherung im Zeitraum August 2009 bis Februar 2010 gesammelt worden waren [2]. Da sich das Verfahren hinzog und das Bundesverfassungsgericht in der Zwischenzeit die Vorratsdatenspeicherung für verfassungswidrig erklärt und die Löschung aller gespeicherten Daten angeordnet hatte, war plötzlich Eile geboten. Nach einer außergerichtlichen Einigung hat Malte Spitz die gesammelten Daten ohne die gespeicherten Telefonnummern erhalten. Es fehlen also die Informationen darüber, wen er angerufen hat und wer ihn angerufen hat, wem er eine SMS geschickt hat und von wem er eine erhalten hat [3].
Die Daten enthalten also „nur“ noch die Informationen darüber, wann sich Malte Spitz wo aufgehalten hat, zu welchen Zeiten er sein Handy benutzt hat und zu welchen nicht, wann er telefoniert oder eine SMS verschickt hat. Die Standortdaten sind im Fall von Malte Spitz sehr fein aufgelöst, denn er hatte sein Smartphone so konfiguriert, dass es alle 10 Minuten nach neuen E-Mails sucht. Alle 10 Minuten hat sich das Gerät also bei einer Funkzelle angemeldet und damit seinen Standort in den Vorratsdaten verewigt.
Aus den Änderungen der Funkzellen kann nicht nur festgestellt werden, wo das Mobiltelefon sich befindet, sondern auch, wie schnell es sich bewegt. Und damit zumindest teilweise auch, welches Verkehrsmittel genutzt wird. 700 km/h schafft nur ein Flugzeug, bei 300 km/h wurde wohl ein ICE genutzt. Schwieriger wird es im Bereich 100 bis 150 km/h, aber da verrät ein Blick auf Karte meist, ob die Bewegung entlang einer Autobahn oder einer Schienenstrecke erfolgte.
Die erhaltenen Daten hat Malte Spitz der „Zeit Online“ zur Verfügung gestellt, wo man aus diesen Daten und öffentlich bekannten Informationen über Malte Spitz eine interaktive Karte erstellt hat [3], [4]. Seine Bewegungen wurden mit seinen Tweets und Blogeinträgen zu den jeweiligen Zeitpunkten verknüpft, außerdem werden seine auf der Website der Grünen veröffentlichten Termine zusammen mit den Daten dargestellt. Wenig verwunderlich, stimmen die Orte der Termine und die zum jeweiligen Zeitpunkt genutzten Funkzellen überein.
Speziell hervorgehoben wurden die Daten vom 12. September 2009 [5]. Damals fand in Berlin die Demonstration „Freiheit statt Angst“ gegen den Überwachungswahn statt, die von Malte Spitz mit organisiert wurde. Daher nahm er natürlich auch daran teil, sodass eine Bestätigung durch die Standortdaten ja eigentlich nicht nötig wäre. Bei jedem normalen Telefonnutzer hätten die Auswerter der Daten so aber erfahren, dass er sehr wahrscheinlich bei der Demo war. Eine Möglichkeit, die ja auch andernorts von der Polizei bereits aktiv für Überwachungszwecke genutzt wurde.
Viel interessanter: Kommunikationsdaten
Noch viel interessanter als die Standortdaten sind die Kommunikationsdaten. Wenn man weiß, wer wie lange mit wem kommuniziert hat, kann man sehr gut die Beziehungen zwischen den einzelnen Personen ermitteln. Dazu kommen Informationen wie zum Beispiel die Betreffzeilen von E-Mails, die oft etwas über den Inhalt der Mail verraten (und vieles mehr). Darüber, was die Metadaten alles verraten, gibt es inzwischen mehrere Experimente und Studien.
Beispiel 1: Eine Woche im Leben von Ton Siedsma
Der Niederländer Ton Siedsma hat ab dem 11. November 2013 eine Woche lang eine App auf seinem Smartphone laufen lassen, die alle Metadaten sammelt und diese Daten an ein Forscherteam liefert [6]. Erfasst wurden der Standort seines Handys, die Nummern, die er angerufen oder an die er eine SMS geschickt hat, die Absender, Empfänger und Betreffzeilen verschickter und empfangener E-Mails und die URLs der besuchten Websites.
Ausgewertet wurden die Daten vom Journalisten Dimitri Tokmetzis, dem iMinds-Forschungsteam der Universität Gent sowie Mike Moolenaar, dem Inhaber von „Risk and Security Experts“. Aus den Metadaten dieser einen Woche wurden 15 000 mit einem Zeitstempel versehene Datensätze gebildet. Daraus konnte sehr viel über Ton Siedsma herausgefunden werden:
-
Sein Beruf, sein Alter, seine Arbeitszeiten, wie er zur Arbeit kommt und von wann bis wann er arbeitet; für wen er arbeitet, was seine vermutlichen Aufgaben sind und mit wem er deswegen kommuniziert
-
Den Namen seiner Freundin, mit der er täglich durchschnittlich 100 WhatsApp-Nachrichten austauscht
-
Den Namen und die E-Mail-Adresse seiner Schwester, die noch studiert und an ihrer Abschlussarbeit arbeitet, um die es in der Betreffzeile einer E-Mail geht
-
Dass er Nikolaus gefeiert und dabei die Vergabe der Geschenke ausgelost hat
-
Er liest gerne Sportnachrichten auf bestimmten Portalen und interessiert sich hauptsächlich für Radfahren; er fährt auch selbst gerne Rad und hat bei Google und Yahoo! nach skandinavischen Krimis gesucht, die er deshalb vielleicht gerne liest
-
Er interessiert sich für Philosophie und Religion und ist vermutlich Christ; er suchte nach Informationen über die Religionsexpertin Karen Armstrong, das Thomas-Evangelium, das „Messias Buch des Mittelalters“ und Symbolik in Kirchen und Kathedralen; häufig nutzt er Wikipedia
-
Welche YouTube-Videos er angesehen (wobei der Aufruf von Rick Astleys „Never Gonna Give You Up“ auch die Folge eines Rickrolling sein könnte) und welche Webseiten er gelesen hat, wofür er sich also vermutlich interessiert
-
Er betreibt viel Onlineshopping und empfängt entsprechende Newsletter
-
Er verwendet drei E-Mail-Konten und trennt strikt die Kommunikation:
-
Ein Hotmail-Konto wird für den Empfang von Werbe-E-Mails und die Kommunikation mit einigen Bekannten genutzt, er selbst sendet darüber aber nur selten E-Mails; dieses Konto ist älter als sein anderes persönliches Konto
-
Ein weiteres persönliches Konto wird sehr viel aktiver genutzt und für die Arbeit und die Kommunikation mit engeren Freunden verwendet
-
Er verwendet ein weiteres Konto für die Arbeit
-
Er interessiert sich für IT, Informationssicherheit, Datenschutz und Freiheit im Internet; er sendet regelmäßig PGP-verschlüsselte E-Mails; er verfolgt Nachrichten über Hacking-Angriffe und aufgeflogene Kinderpornoringe – was sich beides mit seinen beruflichen Aufgaben erklären lässt, einen übereifrigen Strafverfolger aber unter Umständen zu Ermittlungen veranlassen könnte, denn vielleicht möchte Ton Siedsma ja auch prüfen, ob man ihm schon auf den Fersen ist
-
Welche politischen Einstellungen er vermutlich hat und mit welcher Partei er wahrscheinlich sympathisiert
-
Er hat in einem geschützten Bereich der Websites seines Arbeitgebers einige Dateien aktualisiert, deren Namen aus den URLs ersichtlich ist
Gefangen im sozialen Netz
Eine soziale Netzwerkanalyse auf Basis des E-Mail-Verkehrs erlaubt es, ausgehend von den verschiedenen E-Mail-Adressen verschiedene Gruppen, denen Ton Siedsma angehört, zu unterscheiden. Diese Daten sähen unter Umständen etwas anders aus, wenn auch die Informationen über die Telefonnutzung in die Auswertung einbezogen würden. Um die Privatsphäre von Ton Siedsmas Kontakten zu schützen, wurde aber darauf verzichtet, die Identität der Benutzer der Telefonnummern aktiv aufzudecken.
-
Über sein Hotmail-Konto kommuniziert er mit einer Gruppe von Freunden und Bekannten, die vermutlich nur aus Männern besteht. Einige davon tragen besonders viel zur Kommunikation bei.
-
Es gibt außerdem Kommunikation mit einer zweiten Gruppe, die von einem Mann namens „Bert“ geleitet wird. Da es sich dabei um eine persönliche Angelegenheit handelt, hat Ton Siedsmas die entsprechenden Hintergrundinformationen (als einziges übrigens) zensiert.
-
Es gibt eine dritte, kleinere Gruppe von Freunden, die sich gemeinsam an der E-Mail-Diskussion beteiligen und sich daher vermutlich untereinander kennen. Einige davon senden auch E-Mails an die zweite persönliche E-Mail-Adresse.
-
Eine weitere Gruppe bildet sich rund um die Arbeits-E-Mail-Adresse. Dabei gehen die E-Mails oft an mehrere Empfänger oder gleich die Gruppenadresse für alle Mitarbeiter. Nur zwei der Mitglieder aus dieser Gruppe kommunizieren auch mit der persönlichen E-Mail-Adresse.
-
Es gibt relativ wenig Kommunikation mit Externen.
Das waren nur die Metadaten, aber es geht noch weiter ...
Bisher wurden nur die Metadaten verwendet. Die Forscher von iMinds verglichen Ton Siedsmas Metadaten mit einer Datei, die 150 Millionen bei Adobe ausgespähte und veröffentlichte Zugangsdaten enthielt. Zwar sind die Passwörter verschlüsselt (vermutlich als ungesalzener Hash-Wert gespeichert, sodass identische Passwörter als identischer Hash-Wert gespeichert wurden), aber die Passwort-Vergessen-Hinweise liegen als Klartext vor.
Einige Adobe-Nutzer verwendeten das gleiche Passwort wie Ton Siedsma, das anhand seiner E-Mail-Adresse erkannt werden konnte. Deren Passwort-Vergessen-Hinweise waren „Punk-Metall“, „Astrolux“ und „Another Day in Paradise“. Daraus schlossen die Forscher auf Grund von Siedsmas Lieblingsband Strung Out auf das Passwort strungout. Und damit lagen sie richtig, denn damit konnten sie auf sein Twitter-, Google-und Amazon-Konto zugreifen. Sie sehen daran, wie wichtig es ist, für alle Dienste unterschiedliche Passwörter zu verwenden!
Das war nur ein kleiner Test!
Die Auswertung der Metadaten von Ton Siedsma erfolgte nur mit gängiger Software, die gesammelten Telefonnummern wurden nicht in Namen aufgelöst, und mit Ausnahme der Datei mit den Zugangsdaten von Adobe wurden keine zusätzlichen Daten verwendet. Trotzdem haben die Metadaten von einer einzigen Woche erschreckend viel über Ton Siedsma verraten. Wie viel mehr erfahren dann Geheimdienste und Co., denen viel mehr Daten über einen viel längeren Zeitraum zur Verfügung stehen? Denn sie haben ja nicht nur über ihre Abhörschnittstellen Zugriff auf die Metadaten der Telekommunikation, wie es von der App auf Ton Siedsmas Smartphone simuliert wurde, sondern auch noch über etliche andere Quellen.
Beispiel 2: Sechs Monate im Leben von Balthasar Glättli
Die Vorratsdatenspeicherung gibt es auch in der Schweiz, und auch dort hat einen Grünen-Politiker seine Daten zur Analyse bereitgestellt. Der Nationalrat Balthasar Glättli hat sich die Vorratsdaten seines Mobilfunkbetreibers für den Zeitraum von Januar bis Juli 2013 verschafft und sie auswerten [7], [8] und visualisieren [9] lassen. In den sechs Monaten wurden im Fall von Balthasar Glättli 7 112 Einträge in der Datenbank erzeugt. Davon entfielen 2 610 Einträge (36,7 Prozent, 14,6 pro Tag) auf Internetverbindungen, 3 085 (43,4 Prozent, 17,2 pro Tag) auf SSM/MMS und 1 417 (19,9 Prozent, 7,9 pro Tag) auf Telefonate.
Es wurden insgesamt 5,2 GB Internettraffic verursacht (28,8 MB pro Tag), davon wurden 980 MB (5,5 MB pro Tag) heraufgeladen und 4,2 GB (23,4 MB pro Tag) heruntergeladen. Insgesamt wurden 14 638 E-Mails (82 pro Tag) von ca. 6 500 Personen empfangen und 1 654 E-Mails (9 pro Tag) an ca. 600 Personen gesendet.
Das Besondere an Glättlis Daten: Er hat zwar von der Telefongesellschaft nur seine eigenen Daten erhalten, hatte allerdings von einigen anderen Personen eine schriftliche Einwilligung, dass die Telefongesellschaft ihm ihre Identität mitteilen darf und sie mit einer namentlichen Erwähnung einverstanden sind. Während ansonsten alle Gegenstellen der Kommunikation anonymsiert wurden, blieben die Daten dieser Personen also erhalten.
Besonders brisant: Im Überwachungszeitraum hat Balthasar Glättli den geheimen Standort eines geplanten vollgeschützten Rechenzentrums besucht, der sich anhand der Standortdaten seines Handys feststellen lässt. Offiziell befand er sich zum Zeitpunkt dieses Besuchs zusammen mit seinen Kollegen auf einer Tagung in Genf. Zur geheimen Militäranlage wurden sie mit dem Hubschrauber geflogen, da die Reise weniger als zwei Stunden gedauert hat, während eine Zugfahrt über fünf Stunden dauern würde.
Beispiel 3: Fünf Monate im Leben von Sofie Carsten Nielsen un Jens Joel
Zwei dänische Politiker sind beim virtuellen Entblößen noch deutlich weiter gegangen. Die sozialliberale Bildungsministerin Sofie Carsten Nielsen und der sozialdemokratische Parlamentsabgeordnete Jens Joel haben der Zeitung Berlingske für fünf Monate den Zugriff auf ihre E-Mail-Konten, SMS, Finanzamtdaten, Facebook-Aktivitäten, Fitnesstracker und EC-Zahlungen erlaubt [10].
Ausgewertet wurden 18 047 E-Mails, 31 303 Telekommunikationsvorgänge und 2 407 Kontobewegungen. Dazu kamen rund 36 000 Text- und Datennachrichten sowie ein Haufen weiterer Daten, darunter 2 828 Einladungen in Jens Joels elektronischen Terminkalender und 33 740 Ortungspunkte der Lauf-App auf Sofie Carsten Nielsens Smartphone.
Das ist weit mehr, als von der Vorratsdatenspeicherung erfasst wird, einem Geheimdienst ist der Zugriff auf diese Daten aber zuzutrauen. Und der könnte damit das gesamte Privatleben der Betroffenen durchleuchten und zum Teil aus diesen Daten heraus auch auf Personen aus ihrem Umfeld schließen.
Das Ganze erfolgte natürlich mit einem Hintergedanken: Die beiden Politiker wollten mit der im April 2014 erfolgten Veröffentlichung der Ergebnisse eine Diskussion über den NSA-Skandal anstoßen, die in Dänemark bis dahin nicht stattfand.
Die Auswertungen sind teilweise nur auf dänisch verfügbar, aber schon die auch auf Englisch verfügbaren Visualisierungen der Daten sind äußerst beeindruckend [11]. So kann man zum Beispiel Sofie Carsten Nielsen Joggingrunden um Kopenhagens Seen verfolgen, feststellen, was sie im Internet gekauft hat, und sehen, wessen Facebook-Freundschaftsanfragen sie abgelehnt hat. Auch Jens Joels Wege lassen sich nachvollziehen, sowohl in der realen Welt als auch im World Wide Web. Und noch vieles mehr, denn die preisgegebenen Daten sind äußerst umfangreich.
Beispiel 4: Eine Studie der Stanford Law School mit 546 Teilnehmern
Eine Studie [12] der Stanford Law School mit 546 Teilnehmern hat die Brisanz von Metadaten bestätigt [13], [14]. Die freiwilligen Teilnehmer installierten ab November 2013 die speziell für diesen Zweck entwickelte App „Metaphone“ auf ihren Android-Smartphones, die die Telefonnummer der Anrufenden und Angerufenen sowie den Zeitpunkt und die Länge des Gesprächs als auch den aktuellen Standort protokollierten und an die Forscher übermittelten. Diese Daten wurden mit den öffentlichen Verzeichnissen von Yelp und Google Places verknüpft, was sich bereits zuvor als einfache Möglichkeit zur Identifizierung von Anschlussinhabern erwiesen hatte [15]. Die 546 Teilnehmer riefen 33 688 verschiedene Telefonnummern an, bei 6 107 (18 Prozent) dieser Nummern konnte der Anschlussinhaber identifiziert werden.
Im nächsten Schritt wurden die Kontakte herausgefiltert, die zu sensiblen Aktivitäten oder Charakteristiken gehören. So kann zum Beispiel bei Geschäftsanschlüssen oft schon aus dem Namen auf den Geschäftszweck geschlossen werden, bei mehrdeutigen Ergebnissen wurde bei Google nach weiteren Informationen gesucht. Dabei kamen einige brisante Ergebnisse heraus:
-
Teilnehmer A telefonierte mit mehreren lokalen Neurologie-Gruppen, einer Spezial-Apotheke, einer Hotline für seltene Erkrankungen und einer für ein Medikament, das nur für die Behandlung von Multipler Sklerose verwendet wird. Der Teilnehmer selbst oder ein ihm nahestehender Mensch wird also vermutlich an MS erkrankt sein.
-
Teilnehmer B telefonierte länger mit einem Kardiologen eines großen Krankenhauses, sprach kurz mit einem medizinischen Labor, erhielt Anrufe von einer Apotheke und setzte kurze Anrufe an eine Meldehotline für ein medizinisches Gerät zur Überwachung von Herzrhythmusstörungen ab. Der Teilnehmer scheint an Herzrhythmusstörungen zu leiden. Diese Vermutung konnte durch öffentliche Informationen bestätigt werden.
-
Teilnehmer C hat mehrmals bei einem Waffenhändler angerufen, der sich auf bestimmte halbautomatische Waffen spezialisiert hat, und den Kundenservice eines entsprechenden Waffenherstellers kontaktiert. Es wird sich also sehr wahrscheinlich um einen Waffenbesitzer handeln, der ein Problem mit seiner Waffe hat, oder um jemanden, der die Anschaffung einer entsprechenden Waffe plant. Ein Abgleich mit öffentlichen Informationen ergab, dass es sich um einen Waffenbesitzer handelt.
-
Teilnehmer D hat innerhalb von drei Wochen einen Baumarkt, einen Schlosser, einen Händler für Hydrokultur-Ausrüstungen und einen Headshop, der Zubehör für den Cannabis-Konsum verkauft, angerufen. Der Teilnehmer könnte also planen, Cannabis anzupflanzen.
-
Teilnehmerin E führte ein langes, morgendliches Telefonat mit ihrer Schwester. Zwei Tage später rief sie mehrmals eine Schwangerschaftsberatungsstelle an. Zwei Wochen später rief sie dort nochmals kurz an, einen Monat ein letztes Mal. Die Frau könnte also ungewollt schwanger geworden sein und sich über eine Abtreibung informiert haben.
Das waren nur einige auffällige Beispiele. Ob die Schlussfolgerungen zutreffen, wurde nicht durch Nachfragen bei Teilnehmer A, D oder E überprüft. Dazu waren die Themen auch etwas zu sensibel, da hätten die Teilnehmer wohl nicht unbedingt die Wahrheit gesagt.
Die Stanford-Studie zeigt, dass bereits simple Telefonverbindungsdaten sensible Informationen verraten. Ein einfacher Abgleich der Telefonnummern ein- und ausgehender Anrufe mit öffentlichen Datenbanken erlaubt Rückschlüsse auf sensible Informationen, die die Betroffenen teilweise sicher lieber geheim gehalten hätten. Kombiniert man die Daten mit weiteren öffentlichen Informationen, wie zum Beispiel Facebook-Profilen, steigt der Informationsgehalt deutlich. So konnte zum Beispiel der Beziehungsstatus aus den Telefondaten ermittelt und dann mit den Angaben bei Facebook abgeglichen werden [16].
Übrigens fanden die Forscher auch heraus, dass die meisten Teilnehmer über höchstens vier Kontakte miteinander in Verbindung stehen, unabhängig davon, ob sie sich kennen oder nicht [17]. Was den Geheimdiensten sehr gefallen dürfte, denn zum Beispiel die NSA darf bei der Überwachungen von „gefährlichen“ Personen deren Kontakte bis zum dritten Grad in die Überwachung einbeziehen.
Noch mehr Metadaten – in E-Mails
Bisher ging es nur um die Metadaten der Telekommunikation, es gibt aber ja noch viel mehr. Zum Beispiel in E-Mail-Headern. Von Daniel Smilkov, Deepak Jagdish und César Hidalgo vom MIT Media Lab wurde das Analysetool Immersion entwickelt, das aus den E-Mail-Metadaten eines Gmail-, Yahoo!- oder MS-Exchange-Kontos eine interaktive Visualisierung erstellt [18], [19].
Damit können Sie die Veränderungen Ihrer E-Mail-Kommunikation sowie der Beziehungen in Ihren Netzwerken nachvollziehen. Dabei werden nur die Informationen zu Absender, Empfänger und CC sowie die Zeitstempel ausgewertet, auf den eigentlichen Inhalt der E-Mails sowie die Betreffzeile wird nicht zugegriffen.
Falls Sie das Tool nicht selbst ausprobieren möchten (was ich sehr gut verstehen kann, ich habe es auch nicht getan), gibt es eine eindrucksvolle Beschreibung eines Selbstversuchs von Damian Schnyder vom SRF [20].
... oder in Kreditkartendaten
Forscher des Massachusetts Institute of Technology (MIT) in Cambridge und der dänischen Aarhus Universität haben untersucht, was die Metadaten von Kreditkartenzahlungen über die Benutzer verraten [21]. Kurz gesagt: einiges [22], [23].
Ausgewertet wurden die Kreditkartentransaktionen von knapp 1,1 Millionen Menschen in 10 000 Geschäften über einen Zeitraum von drei Monaten. Dabei waren den Forschern weder Namen noch Adressen oder Kreditkartennummern der Benutzer bekannt, lediglich Zahlungen mit der gleichen Kreditkarte waren mit der gleichen zufällig erzeugten Identifikationsnummer markiert. Außer dieser anonymen ID standen den Forschern nur Datum, Ort und Preis der Transaktion zur Verfügung. Das reichte aus, um 90 Prozent der Benutzer zu identifizieren.
Politiker und Geheimdienste als Opfer
Wenn Politiker, Geheimdienste und Co. so gerne die „harmlosen“ Metadaten speichern möchten, kann es ja nicht schaden, wenn sie mal am eigenen Leib erleben, wie „harmlos“ diese wirklich sind.
Das ist zum Beispiel 2013 den EU-Parlamentariern passiert, denen die Metadaten von rund 40 000 E-Mail-Verbindungen „gestohlen“ wurden [24]. Aus der Betreffzeile und den Dateinamen von Anhängen lässt sich in vielen Fällen das Thema der E-Mail ableiten. Absender und Empfänger geben Hinweis auf die innerpolitischen Netzwerke und Beziehungen zu Lobbygruppen. Das wird einigen der Betroffenen gar nicht gefallen haben.
Auch den CIA-Agenten, die 2013 in Italien einen Verdächtigen nach Ägypten entführt haben, wo er dann verhört und gefoltert wurde, sind Metadaten zum Verhängnis geworden. Sie hatten ihre Handys nie ausgeschaltet, sodass ihre Telefon-Metadaten den italienischen Ermittlern die CIA-Operation verrieten und etliche Agenten enttarnten.
Fazit
Die vorgestellten Studien zeigen, was wir ja eigentlich schon immer wussten: Metadaten verraten oft mehr als die eigentlichen Daten. Die Geheimdienste und Strafverfolger sind ja nicht ohne Grund viel mehr hinter den Metadaten her als hinter den eigentlichen Daten. Vermutlich sind die ohne die zugehörigen Metadaten sogar viel weniger wert als die Metadaten allein.
Wenn Ihnen also mal wieder jemand erzählen will, wie harmlos die Metadaten doch sind, erinnern sie ihn einfach an die Erfahrungen von Malte Spitz, Ton Siedsma, Balthasar Glättli, Sofie Carsten Nielsen und Jens Joel. Oder an die EU-Parlamentarier und die CIA-Agenten.
Metadaten fallen allgemein überall da an, wo Daten gespeichert werden. Denn sie dienen ja eigentlich nur dazu, die eigentlichen Daten zu beschreiben. Die Frage ist, was man später damit macht.
Dipl.-Inform. Carsten Eilers ist freier Berater und Coach für IT-Sicherheit und technischen Datenschutz und Autor einer Vielzahl von Artikeln für verschiedene Magazine und Onlinemedien.
Links & Literatur
[1] Biermann, Kai; Zeit Online: „Was Vorratsdaten über uns verraten“: http://www.zeit.de/digital/datenschutz/2011-02/vorratsdaten-malte-spitz/komplettansicht
[2] Spitz, Malte: „Sechs Monate meines Lebens in 35.000 Datensätzen“: http://malte-spitz.de/2011/02/24/sechs-monate-meines-lebens-in-35-000-datensaetzen/
[3] Matzat, Lorenz; Zeit Online Data Blog: „Malte Spitz’ Vorratsdaten: Der Datensatz unter der Lupe“: http://blog.zeit.de/open-data/2011/02/24/vorratsdaten-unter-der-lupe/
[4] Zeit Online: Verräterisches Handy: http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten
[5] Matzat, Lorenz; Zeit Online Data Blog: „Vorratsdaten: Der Funkmast als Wachturm“: http://blog.zeit.de/open-data/2011/02/25/vorratsdaten-funkmast-als-wachturm/
[6] Tokmetzis, Dimitri; netzpolitik.org: „Metadaten: Wie dein unschuldiges Smartphone fast dein ganzes Leben an den Geheimdienst übermittelt“: https://netzpolitik.org/2014/metadaten-wie-dein-unschuldiges-smartphone-fast-dein-ganzes-leben-an-den-geheimdienst-uebermittelt/
[7] Bühlmann, Manuel; Wietlisbach, Oliver; watson: „Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen“: http://www.watson.ch/!533090301
[8] Heim, Michael; Schweiz am Sonntag: „Der gläserne Nationalrat“: http://www.schweizamsonntag.ch/ressort/nachrichten/der_glaeserne_nationalrat/
[9] OpenDataCity: „Vorratsdatenspeicherung in der Schweiz – Das überwachte Leben von Nationalrat Balthasar Glättli.“: http://apps.opendatacity.de/vds/
[10] Nørgaard Pedersen, Lars; Jung, Eva; Berlingske, Politiko: „Minister allows access to private data“: http://www.politiko.dk/nyheder/minister-allows-access-to-private-data
[12] Mayer, Jonathan; Stanford Law School, Center for Internet and Society: „What’s In Your Metadata?“: https://cyberlaw.stanford.edu/blog/2013/11/what’s-your-metadata
[13] Parker, Clifton B.; Stanford Report: „Stanford students show that phone record surveillance can yield vast amounts of information“: http://news.stanford.edu/news/2014/march/nsa-phone-surveillance-031214.html
[14] Mayer, Jonathan; Mutchler, Patrick; Web Policy: „MetaPhone: The Sensitivity of Telephone Metadata“: http://webpolicy.org/2014/03/12/metaphone-the-sensitivity-of-telephone-metadata/
[15] Mayer, Jonathan; Mutchler, Patrick, Web Policy: „MetaPhone: The NSA’s Got Your Number“, http://webpolicy.org/2013/12/23/metaphone-the-nsas-got-your-number/
[16] Mayer, Jonathan; Mutchler, Patrick, Web Policy: „MetaPhone: Seeing Someone?“: http://webpolicy.org/2013/11/27/metaphone-seeing-someone/
[17] Mayer, Jonathan; Mutchler, Patrick, Web Policy: „MetaPhone: The NSA Three-Hop“: http://webpolicy.org/2013/12/09/metaphone-the-nsa-three-hop/
[18] Jagdish, Deepak; Smilkov, Daniel, Hidalgo, César: „Immersion“: http://media.mit.edu/research/groups/4609/immersion
[19] Immersion: a people-centric view of your email life: https://immersion.media.mit.edu/
[20] Schnyder, Damian; SRF Kultur: „Mein Leben in Metadaten: ein Selbstversuch“: http://www.srf.ch/kultur/im-fokus/das-digitale-ich/mein-leben-in-metadaten-ein-selbstversuch
[21] de Montjoye, Yves-Alexandre; MIT Media Lab: „Unique in the Shopping Mall: On the reidentifiability of credit card metadata“: http://www.media.mit.edu/research/highlights/unique-shopping-mall-reidentifiability-credit-card-metadata
[22] Hardesty, Larry; MIT News Office: „Privacy challenges“: http://newsoffice.mit.edu/2015/identify-from-credit-card-metadata-0129
[23] Jansen, Jonas; Frankfurter Allgemeine Zeitung: „Metadaten von Kreditkarten: Keiner bleibt anonym“: http://www.faz.net/aktuell/feuilleton/medien/metadaten-von-kreditkarten-keiner-bleibt-anonym-13398079.html
[24] Horchert, Judith, Spiegel Online: „Mutmaßlicher Dateneinbruch: E-Mail-Liste verrät Verbindungen von EU-Parlamentariern“: http://www.spiegel.de/netzwelt/netzpolitik/hack-im-eu-parlament-liste-verraet-verbindungen-von-eu-parlamentariern-a-935182.html
[25] Cole, Matthew, Black Hat USA 2013: „OPSEC failures of spies“: https://www.blackhat.com/us-13/archives.html#Cole
Ich frage mich ja immer, ob die Geheimdienste uns wirklich für so dämlich halten und denken, dass wir ihnen tatsächlich alles glauben, was sie uns auftischen. Wenn die Metadaten so harmlos sind, warum sollten die Geheimdienste sie dann überhaupt haben wollen? Allein schon, dass Geheimdienste, Polizei und Co. offenbar ein solch großes Interesse an Metadaten haben, beweist doch, dass sie diese für äußerst nützlich halten. Grund genug, in diesem Artikel unter die Lupe zu nehmen, was Metadaten über unser aller Leben verraten.
Die Daten aus der Vorratsdatenspeicherung
Fangen wir mit der altbekannten Vorratsdatenspeicherung für die Telekommunikation an. Die gesammelten Metadaten enthalten zwei Arten von Informationen. Da sind zum einen die Standortinformationen. Bei einem Festnetzanschluss wissen die Auswerter also, wann von einem bestimmten Telefonanschluss telefoniert wurde. Das ist noch nicht so besonders interessant, zumal das Telefon ja von mehreren Personen benutzt werden kann. Sehr viel interessanter sind die Standortdaten im Fall eines Mobiltelefons. Zunächst einmal, weil das im Allgemeinen nur von einer Person genutzt wird, und in der Folge natürlich, weil bei jeder Nutzung der aktuelle Standort in Form der genutzten Funkzelle gespeichert wird. Egal, ob der Anschlussinhaber selbst jemanden anruft oder angerufen wird, ob er eine SMS sendet oder empfängt, ob er im Internet surft oder in seinem Smartphone (vielleicht sogar erfolglos) nach neuen Mails sucht – jedes Mal wird die vom Handy genutzte Funkzelle gespeichert.
Dazu kommen die Informationen über die Ziele der Kommunikationsvorgänge: Wer wurde angerufen, und wer hat angerufen, wem wurde eine SMS geschickt, und von wem wurde eine SMS empfangen. Außerdem wird gespeichert, wie lange jeweils kommuniziert wurde.
Sehr interessant: Standortdaten von Mobiltelefonen
Was sich allein aus den Standortdaten von Mobiltelefonen herausfinden lässt, wenn man sie mit öffentlich verfügbaren Informationen kombiniert, wurde schon 2011 anhand der Vorratsdaten des Grünen-Politikers Malte Spitz gezeigt [1]. Der hatte seinen damaligen Mobilfunkanbieter T-Mobile auf Herausgabe der Daten verklagt, die im Rahmen der damals vorgeschriebenen Vorratsdatenspeicherung im Zeitraum August 2009 bis Februar 2010 gesammelt worden waren [2]. Da sich das Verfahren hinzog und das Bundesverfassungsgericht in der Zwischenzeit die Vorratsdatenspeicherung für verfassungswidrig erklärt und die Löschung aller gespeicherten Daten angeordnet hatte, war plötzlich Eile geboten. Nach einer außergerichtlichen Einigung hat Malte Spitz die gesammelten Daten ohne die gespeicherten Telefonnummern erhalten. Es fehlen also die Informationen darüber, wen er angerufen hat und wer ihn angerufen hat, wem er eine SMS geschickt hat und von wem er eine erhalten hat [3].
Die Daten enthalten also „nur“ noch die Informationen darüber, wann sich Malte Spitz wo aufgehalten hat, zu welchen Zeiten er sein Handy benutzt hat und zu welchen nicht, wann er telefoniert oder eine SMS verschickt hat. Die Standortdaten sind im Fall von Malte Spitz sehr fein aufgelöst, denn er hatte sein Smartphone so konfiguriert, dass es alle 10 Minuten nach neuen E-Mails sucht. Alle 10 Minuten hat sich das Gerät also bei einer Funkzelle angemeldet und damit seinen Standort in den Vorratsdaten verewigt.
Aus den Änderungen der Funkzellen kann nicht nur festgestellt werden, wo das Mobiltelefon sich befindet, sondern auch, wie schnell es sich bewegt. Und damit zumindest teilweise auch, welches Verkehrsmittel genutzt wird. 700 km/h schafft nur ein Flugzeug, bei 300 km/h wurde wohl ein ICE genutzt. Schwieriger wird es im Bereich 100 bis 150 km/h, aber da verrät ein Blick auf Karte meist, ob die Bewegung entlang einer Autobahn oder einer Schienenstrecke erfolgte.
Die erhaltenen Daten hat Malte Spitz der „Zeit Online“ zur Verfügung gestellt, wo man aus diesen Daten und öffentlich bekannten Informationen über Malte Spitz eine interaktive Karte erstellt hat [3], [4]. Seine Bewegungen wurden mit seinen Tweets und Blogeinträgen zu den jeweiligen Zeitpunkten verknüpft, außerdem werden seine auf der Website der Grünen veröffentlichten Termine zusammen mit den Daten dargestellt. Wenig verwunderlich, stimmen die Orte der Termine und die zum jeweiligen Zeitpunkt genutzten Funkzellen überein.
Speziell hervorgehoben wurden die Daten vom 12. September 2009 [5]. Damals fand in Berlin die Demonstration „Freiheit statt Angst“ gegen den Überwachungswahn statt, die von Malte Spitz mit organisiert wurde. Daher nahm er natürlich auch daran teil, sodass eine Bestätigung durch die Standortdaten ja eigentlich nicht nötig wäre. Bei jedem normalen Telefonnutzer hätten die Auswerter der Daten so aber erfahren, dass er sehr wahrscheinlich bei der Demo war. Eine Möglichkeit, die ja auch andernorts von der Polizei bereits aktiv für Überwachungszwecke genutzt wurde.
Viel interessanter: Kommunikationsdaten
Noch viel interessanter als die Standortdaten sind die Kommunikationsdaten. Wenn man weiß, wer wie lange mit wem kommuniziert hat, kann man sehr gut die Beziehungen zwischen den einzelnen Personen ermitteln. Dazu kommen Informationen wie zum Beispiel die Betreffzeilen von E-Mails, die oft etwas über den Inhalt der Mail verraten (und vieles mehr). Darüber, was die Metadaten alles verraten, gibt es inzwischen mehrere Experimente und Studien.
Beispiel 1: Eine Woche im Leben von Ton Siedsma
Der Niederländer Ton Siedsma hat ab dem 11. November 2013 eine Woche lang eine App auf seinem Smartphone laufen lassen, die alle Metadaten sammelt und diese Daten an ein Forscherteam liefert [6]. Erfasst wurden der Standort seines Handys, die Nummern, die er angerufen oder an die er eine SMS geschickt hat, die Absender, Empfänger und Betreffzeilen verschickter und empfangener E-Mails und die URLs der besuchten Websites.
Ausgewertet wurden die Daten vom Journalisten Dimitri Tokmetzis, dem iMinds-Forschungsteam der Universität Gent sowie Mike Moolenaar, dem Inhaber von „Risk and Security Experts“. Aus den Metadaten dieser einen Woche wurden 15 000 mit einem Zeitstempel versehene Datensätze gebildet. Daraus konnte sehr viel über Ton Siedsma herausgefunden werden:
-
Sein Beruf, sein Alter, seine Arbeitszeiten, wie er zur Arbeit kommt und von wann bis wann er arbeitet; für wen er arbeitet, was seine vermutlichen Aufgaben sind und mit wem er deswegen kommuniziert
-
Den Namen seiner Freundin, mit der er täglich durchschnittlich 100 WhatsApp-Nachrichten austauscht
-
Den Namen und die E-Mail-Adresse seiner Schwester, die noch studiert und an ihrer Abschlussarbeit arbeitet, um die es in der Betreffzeile einer E-Mail geht
-
Dass er Nikolaus gefeiert und dabei die Vergabe der Geschenke ausgelost hat
-
Er liest gerne Sportnachrichten auf bestimmten Portalen und interessiert sich hauptsächlich für Radfahren; er fährt auch selbst gerne Rad und hat bei Google und Yahoo! nach skandinavischen Krimis gesucht, die er deshalb vielleicht gerne liest
-
Er interessiert sich für Philosophie und Religion und ist vermutlich Christ; er suchte nach Informationen über die Religionsexpertin Karen Armstrong, das Thomas-Evangelium, das „Messias Buch des Mittelalters“ und Symbolik in Kirchen und Kathedralen; häufig nutzt er Wikipedia
-
Welche YouTube-Videos er angesehen (wobei der Aufruf von Rick Astleys „Never Gonna Give You Up“ auch die Folge eines Rickrolling sein könnte) und welche Webseiten er gelesen hat, wofür er sich also vermutlich interessiert
-
Er betreibt viel Onlineshopping und empfängt entsprechende Newsletter
-
Er verwendet drei E-Mail-Konten und trennt strikt die Kommunikation:
-
Ein Hotmail-Konto wird für den Empfang von Werbe-E-Mails und die Kommunikation mit einigen Bekannten genutzt, er selbst sendet darüber aber nur selten E-Mails; dieses Konto ist älter als sein anderes persönliches Konto
-
Ein weiteres persönliches Konto wird sehr viel aktiver genutzt und für die Arbeit und die Kommunikation mit engeren Freunden verwendet
-
Er verwendet ein weiteres Konto für die Arbeit
-
Er interessiert sich für IT, Informationssicherheit, Datenschutz und Freiheit im Internet; er sendet regelmäßig PGP-verschlüsselte E-Mails; er verfolgt Nachrichten über Hacking-Angriffe und aufgeflogene Kinderpornoringe – was sich beides mit seinen beruflichen Aufgaben erklären lässt, einen übereifrigen Strafverfolger aber unter Umständen zu Ermittlungen veranlassen könnte, denn vielleicht möchte Ton Siedsma ja auch prüfen, ob man ihm schon auf den Fersen ist
-
Welche politischen Einstellungen er vermutlich hat und mit welcher Partei er wahrscheinlich sympathisiert
-
Er hat in einem geschützten Bereich der Websites seines Arbeitgebers einige Dateien aktualisiert, deren Namen aus den URLs ersichtlich ist
Gefangen im sozialen Netz
Eine soziale Netzwerkanalyse auf Basis des E-Mail-Verkehrs erlaubt es, ausgehend von den verschiedenen E-Mail-Adressen verschiedene Gruppen, denen Ton Siedsma angehört, zu unterscheiden. Diese Daten sähen unter Umständen etwas anders aus, wenn auch die Informationen über die Telefonnutzung in die Auswertung einbezogen würden. Um die Privatsphäre von Ton Siedsmas Kontakten zu schützen, wurde aber darauf verzichtet, die Identität der Benutzer der Telefonnummern aktiv aufzudecken.
-
Über sein Hotmail-Konto kommuniziert er mit einer Gruppe von Freunden und Bekannten, die vermutlich nur aus Männern besteht. Einige davon tragen besonders viel zur Kommunikation bei.
-
Es gibt außerdem Kommunikation mit einer zweiten Gruppe, die von einem Mann namens „Bert“ geleitet wird. Da es sich dabei um eine persönliche Angelegenheit handelt, hat Ton Siedsmas die entsprechenden Hintergrundinformationen (als einziges übrigens) zensiert.
-
Es gibt eine dritte, kleinere Gruppe von Freunden, die sich gemeinsam an der E-Mail-Diskussion beteiligen und sich daher vermutlich untereinander kennen. Einige davon senden auch E-Mails an die zweite persönliche E-Mail-Adresse.
-
Eine weitere Gruppe bildet sich rund um die Arbeits-E-Mail-Adresse. Dabei gehen die E-Mails oft an mehrere Empfänger oder gleich die Gruppenadresse für alle Mitarbeiter. Nur zwei der Mitglieder aus dieser Gruppe kommunizieren auch mit der persönlichen E-Mail-Adresse.
-
Es gibt relativ wenig Kommunikation mit Externen.
Das waren nur die Metadaten, aber es geht noch weiter ...
Bisher wurden nur die Metadaten verwendet. Die Forscher von iMinds verglichen Ton Siedsmas Metadaten mit einer Datei, die 150 Millionen bei Adobe ausgespähte und veröffentlichte Zugangsdaten enthielt. Zwar sind die Passwörter verschlüsselt (vermutlich als ungesalzener Hash-Wert gespeichert, sodass identische Passwörter als identischer Hash-Wert gespeichert wurden), aber die Passwort-Vergessen-Hinweise liegen als Klartext vor.
Einige Adobe-Nutzer verwendeten das gleiche Passwort wie Ton Siedsma, das anhand seiner E-Mail-Adresse erkannt werden konnte. Deren Passwort-Vergessen-Hinweise waren „Punk-Metall“, „Astrolux“ und „Another Day in Paradise“. Daraus schlossen die Forscher auf Grund von Siedsmas Lieblingsband Strung Out auf das Passwort strungout. Und damit lagen sie richtig, denn damit konnten sie auf sein Twitter-, Google-und Amazon-Konto zugreifen. Sie sehen daran, wie wichtig es ist, für alle Dienste unterschiedliche Passwörter zu verwenden!
Das war nur ein kleiner Test!
Die Auswertung der Metadaten von Ton Siedsma erfolgte nur mit gängiger Software, die gesammelten Telefonnummern wurden nicht in Namen aufgelöst, und mit Ausnahme der Datei mit den Zugangsdaten von Adobe wurden keine zusätzlichen Daten verwendet. Trotzdem haben die Metadaten von einer einzigen Woche erschreckend viel über Ton Siedsma verraten. Wie viel mehr erfahren dann Geheimdienste und Co., denen viel mehr Daten über einen viel längeren Zeitraum zur Verfügung stehen? Denn sie haben ja nicht nur über ihre Abhörschnittstellen Zugriff auf die Metadaten der Telekommunikation, wie es von der App auf Ton Siedsmas Smartphone simuliert wurde, sondern auch noch über etliche andere Quellen.
Beispiel 2: Sechs Monate im Leben von Balthasar Glättli
Die Vorratsdatenspeicherung gibt es auch in der Schweiz, und auch dort hat einen Grünen-Politiker seine Daten zur Analyse bereitgestellt. Der Nationalrat Balthasar Glättli hat sich die Vorratsdaten seines Mobilfunkbetreibers für den Zeitraum von Januar bis Juli 2013 verschafft und sie auswerten [7], [8] und visualisieren [9] lassen. In den sechs Monaten wurden im Fall von Balthasar Glättli 7 112 Einträge in der Datenbank erzeugt. Davon entfielen 2 610 Einträge (36,7 Prozent, 14,6 pro Tag) auf Internetverbindungen, 3 085 (43,4 Prozent, 17,2 pro Tag) auf SSM/MMS und 1 417 (19,9 Prozent, 7,9 pro Tag) auf Telefonate.
Es wurden insgesamt 5,2 GB Internettraffic verursacht (28,8 MB pro Tag), davon wurden 980 MB (5,5 MB pro Tag) heraufgeladen und 4,2 GB (23,4 MB pro Tag) heruntergeladen. Insgesamt wurden 14 638 E-Mails (82 pro Tag) von ca. 6 500 Personen empfangen und 1 654 E-Mails (9 pro Tag) an ca. 600 Personen gesendet.
Das Besondere an Glättlis Daten: Er hat zwar von der Telefongesellschaft nur seine eigenen Daten erhalten, hatte allerdings von einigen anderen Personen eine schriftliche Einwilligung, dass die Telefongesellschaft ihm ihre Identität mitteilen darf und sie mit einer namentlichen Erwähnung einverstanden sind. Während ansonsten alle Gegenstellen der Kommunikation anonymsiert wurden, blieben die Daten dieser Personen also erhalten.
Besonders brisant: Im Überwachungszeitraum hat Balthasar Glättli den geheimen Standort eines geplanten vollgeschützten Rechenzentrums besucht, der sich anhand der Standortdaten seines Handys feststellen lässt. Offiziell befand er sich zum Zeitpunkt dieses Besuchs zusammen mit seinen Kollegen auf einer Tagung in Genf. Zur geheimen Militäranlage wurden sie mit dem Hubschrauber geflogen, da die Reise weniger als zwei Stunden gedauert hat, während eine Zugfahrt über fünf Stunden dauern würde.
Beispiel 3: Fünf Monate im Leben von Sofie Carsten Nielsen un Jens Joel
Zwei dänische Politiker sind beim virtuellen Entblößen noch deutlich weiter gegangen. Die sozialliberale Bildungsministerin Sofie Carsten Nielsen und der sozialdemokratische Parlamentsabgeordnete Jens Joel haben der Zeitung Berlingske für fünf Monate den Zugriff auf ihre E-Mail-Konten, SMS, Finanzamtdaten, Facebook-Aktivitäten, Fitnesstracker und EC-Zahlungen erlaubt [10].
Ausgewertet wurden 18 047 E-Mails, 31 303 Telekommunikationsvorgänge und 2 407 Kontobewegungen. Dazu kamen rund 36 000 Text- und Datennachrichten sowie ein Haufen weiterer Daten, darunter 2 828 Einladungen in Jens Joels elektronischen Terminkalender und 33 740 Ortungspunkte der Lauf-App auf Sofie Carsten Nielsens Smartphone.
Das ist weit mehr, als von der Vorratsdatenspeicherung erfasst wird, einem Geheimdienst ist der Zugriff auf diese Daten aber zuzutrauen. Und der könnte damit das gesamte Privatleben der Betroffenen durchleuchten und zum Teil aus diesen Daten heraus auch auf Personen aus ihrem Umfeld schließen.
Das Ganze erfolgte natürlich mit einem Hintergedanken: Die beiden Politiker wollten mit der im April 2014 erfolgten Veröffentlichung der Ergebnisse eine Diskussion über den NSA-Skandal anstoßen, die in Dänemark bis dahin nicht stattfand.
Die Auswertungen sind teilweise nur auf dänisch verfügbar, aber schon die auch auf Englisch verfügbaren Visualisierungen der Daten sind äußerst beeindruckend [11]. So kann man zum Beispiel Sofie Carsten Nielsen Joggingrunden um Kopenhagens Seen verfolgen, feststellen, was sie im Internet gekauft hat, und sehen, wessen Facebook-Freundschaftsanfragen sie abgelehnt hat. Auch Jens Joels Wege lassen sich nachvollziehen, sowohl in der realen Welt als auch im World Wide Web. Und noch vieles mehr, denn die preisgegebenen Daten sind äußerst umfangreich.
Beispiel 4: Eine Studie der Stanford Law School mit 546 Teilnehmern
Eine Studie [12] der Stanford Law School mit 546 Teilnehmern hat die Brisanz von Metadaten bestätigt [13], [14]. Die freiwilligen Teilnehmer installierten ab November 2013 die speziell für diesen Zweck entwickelte App „Metaphone“ auf ihren Android-Smartphones, die die Telefonnummer der Anrufenden und Angerufenen sowie den Zeitpunkt und die Länge des Gesprächs als auch den aktuellen Standort protokollierten und an die Forscher übermittelten. Diese Daten wurden mit den öffentlichen Verzeichnissen von Yelp und Google Places verknüpft, was sich bereits zuvor als einfache Möglichkeit zur Identifizierung von Anschlussinhabern erwiesen hatte [15]. Die 546 Teilnehmer riefen 33 688 verschiedene Telefonnummern an, bei 6 107 (18 Prozent) dieser Nummern konnte der Anschlussinhaber identifiziert werden.
Im nächsten Schritt wurden die Kontakte herausgefiltert, die zu sensiblen Aktivitäten oder Charakteristiken gehören. So kann zum Beispiel bei Geschäftsanschlüssen oft schon aus dem Namen auf den Geschäftszweck geschlossen werden, bei mehrdeutigen Ergebnissen wurde bei Google nach weiteren Informationen gesucht. Dabei kamen einige brisante Ergebnisse heraus:
-
Teilnehmer A telefonierte mit mehreren lokalen Neurologie-Gruppen, einer Spezial-Apotheke, einer Hotline für seltene Erkrankungen und einer für ein Medikament, das nur für die Behandlung von Multipler Sklerose verwendet wird. Der Teilnehmer selbst oder ein ihm nahestehender Mensch wird also vermutlich an MS erkrankt sein.
-
Teilnehmer B telefonierte länger mit einem Kardiologen eines großen Krankenhauses, sprach kurz mit einem medizinischen Labor, erhielt Anrufe von einer Apotheke und setzte kurze Anrufe an eine Meldehotline für ein medizinisches Gerät zur Überwachung von Herzrhythmusstörungen ab. Der Teilnehmer scheint an Herzrhythmusstörungen zu leiden. Diese Vermutung konnte durch öffentliche Informationen bestätigt werden.
-
Teilnehmer C hat mehrmals bei einem Waffenhändler angerufen, der sich auf bestimmte halbautomatische Waffen spezialisiert hat, und den Kundenservice eines entsprechenden Waffenherstellers kontaktiert. Es wird sich also sehr wahrscheinlich um einen Waffenbesitzer handeln, der ein Problem mit seiner Waffe hat, oder um jemanden, der die Anschaffung einer entsprechenden Waffe plant. Ein Abgleich mit öffentlichen Informationen ergab, dass es sich um einen Waffenbesitzer handelt.
-
Teilnehmer D hat innerhalb von drei Wochen einen Baumarkt, einen Schlosser, einen Händler für Hydrokultur-Ausrüstungen und einen Headshop, der Zubehör für den Cannabis-Konsum verkauft, angerufen. Der Teilnehmer könnte also planen, Cannabis anzupflanzen.
-
Teilnehmerin E führte ein langes, morgendliches Telefonat mit ihrer Schwester. Zwei Tage später rief sie mehrmals eine Schwangerschaftsberatungsstelle an. Zwei Wochen später rief sie dort nochmals kurz an, einen Monat ein letztes Mal. Die Frau könnte also ungewollt schwanger geworden sein und sich über eine Abtreibung informiert haben.
Das waren nur einige auffällige Beispiele. Ob die Schlussfolgerungen zutreffen, wurde nicht durch Nachfragen bei Teilnehmer A, D oder E überprüft. Dazu waren die Themen auch etwas zu sensibel, da hätten die Teilnehmer wohl nicht unbedingt die Wahrheit gesagt.
Die Stanford-Studie zeigt, dass bereits simple Telefonverbindungsdaten sensible Informationen verraten. Ein einfacher Abgleich der Telefonnummern ein- und ausgehender Anrufe mit öffentlichen Datenbanken erlaubt Rückschlüsse auf sensible Informationen, die die Betroffenen teilweise sicher lieber geheim gehalten hätten. Kombiniert man die Daten mit weiteren öffentlichen Informationen, wie zum Beispiel Facebook-Profilen, steigt der Informationsgehalt deutlich. So konnte zum Beispiel der Beziehungsstatus aus den Telefondaten ermittelt und dann mit den Angaben bei Facebook abgeglichen werden [16].
Übrigens fanden die Forscher auch heraus, dass die meisten Teilnehmer über höchstens vier Kontakte miteinander in Verbindung stehen, unabhängig davon, ob sie sich kennen oder nicht [17]. Was den Geheimdiensten sehr gefallen dürfte, denn zum Beispiel die NSA darf bei der Überwachungen von „gefährlichen“ Personen deren Kontakte bis zum dritten Grad in die Überwachung einbeziehen.
Noch mehr Metadaten – in E-Mails
Bisher ging es nur um die Metadaten der Telekommunikation, es gibt aber ja noch viel mehr. Zum Beispiel in E-Mail-Headern. Von Daniel Smilkov, Deepak Jagdish und César Hidalgo vom MIT Media Lab wurde das Analysetool Immersion entwickelt, das aus den E-Mail-Metadaten eines Gmail-, Yahoo!- oder MS-Exchange-Kontos eine interaktive Visualisierung erstellt [18], [19].
Damit können Sie die Veränderungen Ihrer E-Mail-Kommunikation sowie der Beziehungen in Ihren Netzwerken nachvollziehen. Dabei werden nur die Informationen zu Absender, Empfänger und CC sowie die Zeitstempel ausgewertet, auf den eigentlichen Inhalt der E-Mails sowie die Betreffzeile wird nicht zugegriffen.
Falls Sie das Tool nicht selbst ausprobieren möchten (was ich sehr gut verstehen kann, ich habe es auch nicht getan), gibt es eine eindrucksvolle Beschreibung eines Selbstversuchs von Damian Schnyder vom SRF [20].
... oder in Kreditkartendaten
Forscher des Massachusetts Institute of Technology (MIT) in Cambridge und der dänischen Aarhus Universität haben untersucht, was die Metadaten von Kreditkartenzahlungen über die Benutzer verraten [21]. Kurz gesagt: einiges [22], [23].
Ausgewertet wurden die Kreditkartentransaktionen von knapp 1,1 Millionen Menschen in 10 000 Geschäften über einen Zeitraum von drei Monaten. Dabei waren den Forschern weder Namen noch Adressen oder Kreditkartennummern der Benutzer bekannt, lediglich Zahlungen mit der gleichen Kreditkarte waren mit der gleichen zufällig erzeugten Identifikationsnummer markiert. Außer dieser anonymen ID standen den Forschern nur Datum, Ort und Preis der Transaktion zur Verfügung. Das reichte aus, um 90 Prozent der Benutzer zu identifizieren.
Politiker und Geheimdienste als Opfer
Wenn Politiker, Geheimdienste und Co. so gerne die „harmlosen“ Metadaten speichern möchten, kann es ja nicht schaden, wenn sie mal am eigenen Leib erleben, wie „harmlos“ diese wirklich sind.
Das ist zum Beispiel 2013 den EU-Parlamentariern passiert, denen die Metadaten von rund 40 000 E-Mail-Verbindungen „gestohlen“ wurden [24]. Aus der Betreffzeile und den Dateinamen von Anhängen lässt sich in vielen Fällen das Thema der E-Mail ableiten. Absender und Empfänger geben Hinweis auf die innerpolitischen Netzwerke und Beziehungen zu Lobbygruppen. Das wird einigen der Betroffenen gar nicht gefallen haben.
Auch den CIA-Agenten, die 2013 in Italien einen Verdächtigen nach Ägypten entführt haben, wo er dann verhört und gefoltert wurde, sind Metadaten zum Verhängnis geworden. Sie hatten ihre Handys nie ausgeschaltet, sodass ihre Telefon-Metadaten den italienischen Ermittlern die CIA-Operation verrieten und etliche Agenten enttarnten.
Fazit
Die vorgestellten Studien zeigen, was wir ja eigentlich schon immer wussten: Metadaten verraten oft mehr als die eigentlichen Daten. Die Geheimdienste und Strafverfolger sind ja nicht ohne Grund viel mehr hinter den Metadaten her als hinter den eigentlichen Daten. Vermutlich sind die ohne die zugehörigen Metadaten sogar viel weniger wert als die Metadaten allein.
Wenn Ihnen also mal wieder jemand erzählen will, wie harmlos die Metadaten doch sind, erinnern sie ihn einfach an die Erfahrungen von Malte Spitz, Ton Siedsma, Balthasar Glättli, Sofie Carsten Nielsen und Jens Joel. Oder an die EU-Parlamentarier und die CIA-Agenten.
Metadaten fallen allgemein überall da an, wo Daten gespeichert werden. Denn sie dienen ja eigentlich nur dazu, die eigentlichen Daten zu beschreiben. Die Frage ist, was man später damit macht.
Dipl.-Inform. Carsten Eilers ist freier Berater und Coach für IT-Sicherheit und technischen Datenschutz und Autor einer Vielzahl von Artikeln für verschiedene Magazine und Onlinemedien.
Links & Literatur
[1] Biermann, Kai; Zeit Online: „Was Vorratsdaten über uns verraten“: http://www.zeit.de/digital/datenschutz/2011-02/vorratsdaten-malte-spitz/komplettansicht
[2] Spitz, Malte: „Sechs Monate meines Lebens in 35.000 Datensätzen“: http://malte-spitz.de/2011/02/24/sechs-monate-meines-lebens-in-35-000-datensaetzen/
[3] Matzat, Lorenz; Zeit Online Data Blog: „Malte Spitz’ Vorratsdaten: Der Datensatz unter der Lupe“: http://blog.zeit.de/open-data/2011/02/24/vorratsdaten-unter-der-lupe/
[4] Zeit Online: Verräterisches Handy: http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten
[5] Matzat, Lorenz; Zeit Online Data Blog: „Vorratsdaten: Der Funkmast als Wachturm“: http://blog.zeit.de/open-data/2011/02/25/vorratsdaten-funkmast-als-wachturm/
[6] Tokmetzis, Dimitri; netzpolitik.org: „Metadaten: Wie dein unschuldiges Smartphone fast dein ganzes Leben an den Geheimdienst übermittelt“: https://netzpolitik.org/2014/metadaten-wie-dein-unschuldiges-smartphone-fast-dein-ganzes-leben-an-den-geheimdienst-uebermittelt/
[7] Bühlmann, Manuel; Wietlisbach, Oliver; watson: „Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen“: http://www.watson.ch/!533090301
[8] Heim, Michael; Schweiz am Sonntag: „Der gläserne Nationalrat“: http://www.schweizamsonntag.ch/ressort/nachrichten/der_glaeserne_nationalrat/
[9] OpenDataCity: „Vorratsdatenspeicherung in der Schweiz – Das überwachte Leben von Nationalrat Balthasar Glättli.“: http://apps.opendatacity.de/vds/
[10] Nørgaard Pedersen, Lars; Jung, Eva; Berlingske, Politiko: „Minister allows access to private data“: http://www.politiko.dk/nyheder/minister-allows-access-to-private-data
[12] Mayer, Jonathan; Stanford Law School, Center for Internet and Society: „What’s In Your Metadata?“: https://cyberlaw.stanford.edu/blog/2013/11/what’s-your-metadata
[13] Parker, Clifton B.; Stanford Report: „Stanford students show that phone record surveillance can yield vast amounts of information“: http://news.stanford.edu/news/2014/march/nsa-phone-surveillance-031214.html
[14] Mayer, Jonathan; Mutchler, Patrick; Web Policy: „MetaPhone: The Sensitivity of Telephone Metadata“: http://webpolicy.org/2014/03/12/metaphone-the-sensitivity-of-telephone-metadata/
[15] Mayer, Jonathan; Mutchler, Patrick, Web Policy: „MetaPhone: The NSA’s Got Your Number“, http://webpolicy.org/2013/12/23/metaphone-the-nsas-got-your-number/
[16] Mayer, Jonathan; Mutchler, Patrick, Web Policy: „MetaPhone: Seeing Someone?“: http://webpolicy.org/2013/11/27/metaphone-seeing-someone/
[17] Mayer, Jonathan; Mutchler, Patrick, Web Policy: „MetaPhone: The NSA Three-Hop“: http://webpolicy.org/2013/12/09/metaphone-the-nsa-three-hop/
[18] Jagdish, Deepak; Smilkov, Daniel, Hidalgo, César: „Immersion“: http://media.mit.edu/research/groups/4609/immersion
[19] Immersion: a people-centric view of your email life: https://immersion.media.mit.edu/
[20] Schnyder, Damian; SRF Kultur: „Mein Leben in Metadaten: ein Selbstversuch“: http://www.srf.ch/kultur/im-fokus/das-digitale-ich/mein-leben-in-metadaten-ein-selbstversuch
[21] de Montjoye, Yves-Alexandre; MIT Media Lab: „Unique in the Shopping Mall: On the reidentifiability of credit card metadata“: http://www.media.mit.edu/research/highlights/unique-shopping-mall-reidentifiability-credit-card-metadata
[22] Hardesty, Larry; MIT News Office: „Privacy challenges“: http://newsoffice.mit.edu/2015/identify-from-credit-card-metadata-0129
[23] Jansen, Jonas; Frankfurter Allgemeine Zeitung: „Metadaten von Kreditkarten: Keiner bleibt anonym“: http://www.faz.net/aktuell/feuilleton/medien/metadaten-von-kreditkarten-keiner-bleibt-anonym-13398079.html
[24] Horchert, Judith, Spiegel Online: „Mutmaßlicher Dateneinbruch: E-Mail-Liste verrät Verbindungen von EU-Parlamentariern“: http://www.spiegel.de/netzwelt/netzpolitik/hack-im-eu-parlament-liste-verraet-verbindungen-von-eu-parlamentariern-a-935182.html
[25] Cole, Matthew, Black Hat USA 2013: „OPSEC failures of spies“: https://www.blackhat.com/us-13/archives.html#Cole
Carsten Eilers
Dipl.-Inform. Carsten Eilers war freier Berater und Coach für IT-Sicherheit und technischen Datenschutz sowie Autor einer Vielzahl von Artikeln für verschiedene Magazine und Onlinemedien.