Anonymisierungsdienste verwischen die Spuren im Internet bei der Nutzung herkömmlicher Webdienste. Die verschlüsselte Kommunikation verhindert auch ein Belauschen des Datenverkehrs durch mitlesende Dritte. Diese Dienste sind für den anonymen Zugriff auf Websites geeignet und ermöglichen auch unbeobachtete Kommunikation via E-Mail, Jabber, IRC...
Die unbeobachtete, private Kommunikation schafft keine rechtsfreien Räume im Internet, wie Demagogen des Überwachungsstaates immer wieder behaupten. Sie ist ein grundlegendes Menschenrecht, das uns zusteht. Nach den Erfahrungen mit der Diktatur Mitte des letzten Jahrhunderts findet man dieses Grundrecht in allen übergeordneten Normenkatalogen, von der UN-Charta der Menschenrechte bis zum Grundgesetz der BRD.
Anonymisierungsdienste sind ein Hammer unter den Tools zur Verteidigung der Privatsphäre, aber nicht jedes Problem ist ein Nagel. Das Tracking von Anbietern wie DoubleClick verhindert man effektiver, indem man den Zugriff auf Werbung unterbindet. Anbieter wie z.B. Google erfordern es, Cookies und JavaScript im Browser zu kontrollieren.
Es gibt keine simple Anonymität, die man mit dem Verwenden eines Anonymisierungsdienstes wie Tor Onion Router einfach anknipst und fertig. Bei der Behauptung von Anonymität muss man immer hinzufügen, gegenüber welchem Angreifer man anonym sein will. Ein paar Beispiele:
Anton ist ein Individuum, welches beim Diskutieren in einem Forum, beim Schreiben von Kommentaren oder im Chat einer Selbshilfegruppe gern anonym bleiben möchte. Eve ist die Angreiferin.
Eve kann als gleichberechtigte Teilnehmerin im Forum oder Chat die Beiträge von Anton lesen.
Um gegenüber dieser Eve anonym zu bleiben, reicht es aus, ein willkürliches Pseudonym zu wählen und möglichst keine privaten, individuellen Informationen in den Beiträgen zu verraten.
Ein kleiner Missgriff von Anton auf dieser Ebene ist die Wahl eines möglichst kreativ-auffälligen Avantar-Bildchens. Wenn man manche (besonders kreativen) Avantare der anonymen Teilnehmergruppen von Privacy-Foren durch eine inverse Bildersuche schickt und die Spuren weiter verfolgt, kann man in 10min den realen Namen finden, manchmal sogar den Wohnsitz...
(Leider haben alle konkreten Personen bei einer privaten Kontaktaufnahme zur Verifizierung der Recherche darum gebeten, hier nicht als Beispiel genannt zu werden und danach ihren Avantar geändert.)
Eve hat als Webmaster (Admin) oder Hackerin Zugriff auf die Registrierungsdaten des Forums.
Anton schützt sich, indem er eine temporäre E-Mail Adresse oder einen E-Mail Alias exklusiv für die Registrieung des Accounts verwendet und bleibt auch gegenüber dieser Eve anonym.
Eve hat Zugriff auf die IP-Adressen der Nutzer bei einer großen Anzahl von Webseiten oder kann mit polizeilichen Befugnissen die Identität der Person hinter einer IP-Adresse ermitteln.
Um Deanonmisierung anhand der IP-Adresse durch Auskünfte bei Telekommuniktionsprovidern oder Korrelation mit Aktivitäten unter realem Namen (Einkäufe, Bankgeschäfte online usw.) zu verhindern, muss Anton sich ein bisschen mehr bemühen und für seine anonyme Aktivitäten mindestens ein VPN mit wechselnden Servern nutzen und zus. ein seperates Browserprofil.
Eve kann als potente (staatliche) Angreiferin einen erheblichen Teil des Internettraffic direkt kontrollieren oder Daten bei den Backbone Providern kaufen und VPNs deanonymiseren.
Dann muss Anton die Hammer-Tools der Anonymisierung verwenden, wie Tor Onion Router.
Eve arbeitet beim BKA, FBI oder Scotland Yard und hat den Auftrag, Anton zu finden. Für diesen Auftrag hat sie Zugriff auf mehr oder weniger alle irgendwo gesammelten Daten.
Dann reicht es nicht mehr aus, wenn Anton einfach nur den TorBrowser startet. Jeder kleine Fehler kann die Verknüpfung von Datenspuren ermöglichen, die am Ende zur Deanonymisierung führt, u.U. reicht es aus, sein Smartphone im gleichen WLAN zu benutzen (Mitnick, Kunst der Anonymität) oder man wird von Metadaten in einem Fotos verraten (John McAfee, 2012).
Ein Student wollte beispw. vor einigen Jahren eine Prüfung verhindern und schickte ein Bombendrohung als E-Mail via TorBrowser an die Universität. Der Verdacht fiel schnell auf den einzigen Studenten, der im WLAN der Bibliothek der Uni Tor nutzte und eine forensiche Analyse des Computers bestätigte den Verdacht. (Die genauen Details habe ich leider vergessen.)
Anonymität hat nicht nur Vorteile sondern auch Schattenseiten (z.B. wenig Reputation, Vertrauen oder Respekt). Oft wird man daher mehrere Identitäten mit unterschiedlichem Schutzlevel im Internet verwenden. Die Aktivitäten mit den unterschiedlichen Identitäten sind strikt zu trennen.
Anonymisierungsdienste verstecken die IP-Adresse des Nutzers und verschlüsseln den Datenverkehr zwischen Nutzer und den Servern des Dienstes. Außerdem werden spezifische Merkmale modifiziert, die den Nutzer identifizieren könnten (Browser-Typ, Betriebssystem, TCP-Timestamps, Referer…) Die Nutzer eines Anonymisierungsdienstes bilden Anonymitätsgruppe, in der einzelne Individuen nicht unterscheidbar oder wiedererkennbar sind.
Geheimdienste: Sicherheitsbehörden und Geheimdienste können mit diesen Diensten ihre Spuren verwischen. Nicht immer geht es dabei um aktuelle Operationen.
Die Veröffentlichung der IP-Adressen des BND bei Wikileaks ermöglichte interessante Schlussfolgerungen zur Arbeit des Dienstes. Beispielsweise wurde damit bekannt, dass der BND gelegentlich einen bestimmten Escort Service in Berlin in Anspruch nimmt.