US-Provider dürfen Surfverlauf verkaufen: Wie Nutzer ihre Daten schützen können

Der Kongress hat die Aufhebung der FCC-Datenschutzregeln für Internet Service Provider beschlossen. Am Montag setzte Präsident Trump seine Unterschrift unter die Resolution, so dass Internetanbieter nun Daten über sämtliche Online-Aktivitäten ihrer Kunden ohne deren Einwilligung an den Höchstbietenden verkaufen können.

US-Kongress hebt FCC-Datenschutzregeln für ISP auf (Bild: iStock)

Björn GreifRedakteur

Wie kann ich verhindern, dass mein Internetanbieter meinen gesamten Surfverlauf an den Höchstbietenden verkauft? Diese Frage dürften sich derzeit viele Internetnutzer in den USA stellen. Am vergangenen Dienstag hat das US-Repräsentantenhaus mit der Mehrheit der Republikaner die Aufhebung der unter der Regierung Obama geplanten FCC-Datenschutzregeln für Internet Service Provider (ISP) beschlossen. Die Abgeordneten votierten mit 215 zu 205 Stimmen für eine entsprechende Resolution. Sollte Präsident Donald Trump ebenfalls zustimmen, was zu erwarten ist, dürfen Unternehmen wie Verizon, AT&T und Comcast ohne Einwilligung des Kunden Nutzerdaten zu Suchanfragen, Website-Besuchen oder App-Nutzung auf dem freien Markt an Werbetreibende oder andere Dritte verkaufen. [Update vom 4. April, 9.26 Uhr: Inzwischen hat Präsident Trump die Resolution unterzeichnet.] Für Datenschützer stellt dies ein Horrorszenario dar. Denn schon wenige URLs aus dem Surfverlauf reichen aus, um einen User eindeutig zu identifizieren.

Der Surfverlauf ist übrigens vom Browserverlauf zu unterscheiden: Letzterer umfasst nur die Webseiten, die in einem bestimmten Browser aufgerufen und dort eventuell in der Chronik gespeichert wurden. Der Surfverlauf (oder Browsingverlauf) meint hingegen die Gesamtheit aller Online-Aktivitäten, unabhängig vom verwendeten (Browser-)Programm. Die ISP können auch künftig nicht auf den (gespeicherten) Browserverlauf zugreifen, aber den Surfverlauf protokollieren.

Die Datenschutzaufsicht für ISP obliegt in den USA der Federal Communications Commission (FCC). Für Internetkonzerne wie Google oder Facebook ist hingegen die Federal Trade Commission (FTC) zuständig. Beide Behörden machen aber unterschiedliche Vorgaben, unter welchen Voraussetzungen Daten weitergegeben werden dürfen. Die erst im Oktober 2016 von der FCC auf den Weg gebrachte und nun gekippte Neuregelung hätte ISP untersagt, personenbezogene Daten (Suchanfragen, Website-Besuche, App-Nutzungsverlauf, Kommunikationsinhalte sowie Finanz- und Gesundheitsdaten) ohne ausdrückliche Einwilligung des Nutzers weiterzugeben (Opt-in-Verfahren). Außerdem hätten die Internetprovider ihren Kunden die Möglichkeit einräumen müssen, der Weitergabe weniger vertraulicher Daten wie E-Mail-Adressen zu widersprechen (Opt-out). Die FTC sieht in ihrem etwas laxeren Datenschutzregelwerk generell nur ein Opt-out-Modell vor.

Provider-Interesse > Nutzerinteresse

Kommunikationsunternehmen wie Verizon, AT&T und Comcast sahen sich durch die FCC-Regelung gegenüber Internetkonzernen benachteiligt. Sie argumentierten, dass für sie dieselben Datenschutzregeln gelten müssten wie für Google oder Facebook. Die große Mehrheit der Republikaner (nur 15 stimmten gegen die Resolution, 6 enthielten sich) sieht dies offenbar genauso.

FCC Chairman Ajit Pai (Bild: FCC)
FCC Chairman Ajit Pai (Bild: FCC)

Der von Präsident Trump eingesetzte neue Chef der FCC, Ajit Pai, erklärte nach der Entscheidung des Kongresses, die Aufhebung der geplanten Regelung trage zu einem ausgeglichenen Kräfteverhältnis im Online-Markt bei. Das hätten die Republikaner aber auch herstellen können, indem sie die Datenschutzvorgaben für Internetkonzerne verschärfen. Stattdessen ziehen sie es aber vor, die Regeln für ISP auf das gleiche niedrige Niveau abzuschwächen.

„Damit stellen sie die Interessen der Provider über die der Internetnutzer“, kommentierte die Electronic Frontier Foundation (EFF), die sich für Grundrechte im Informationszeitalter einsetzt. Es sei ein Bruch mit der seit Jahrzehnten gültigen Gesetzeslage, laut der Kommunikationsanbieter niemals personenbezogene Daten ohne ausdrückliche Zustimmung des Nutzers verkaufen dürfen. „Dies gefährdet unsere Cybersicherheit, weil diese Unternehmen gigantische Sammlungen persönlicher Daten haben werden. Es wird nicht lange dauern, bis die Regierung Zugang zu dieser Schatzkiste voller persönlicher Daten verlangt, die Internetanbieter sammeln und speichern“, so die EFF.

Dass Internetkonzerne massenhaft Nutzerdaten sammeln und zu umfassenden Profilen zusammenfassen, um auf deren Basis angepasste Services und personalisierte Werbung anzubieten, ist kein Geheimnis. Warum sollten ISP also nicht das gleiche machen dürfen? Zum einen unterscheiden sich Provider von Internetkonzernen allein schon dadurch, dass Nutzer anders als bei Online-Diensten oft nur eine sehr eingeschränkte oder sogar überhaupt keine Wahl haben, von wem sie ihren Internetanschluss beziehen. Manche Regionen der USA werden nur von einem Provider versorgt. Zudem können ISP den gesamten unverschlüsselten Datenverkehr mitlesen, der durch ihr Netz geht. Das schließt etwa Suchanfragen, besuchte Websites und sogar E-Mail-Inhalte ein. Sie sehen auch, welche Webseiten der Nutzer im Privatsphäremodus seines Browsers öffnet. Und selbst wenn die Inhalte verschlüsselt sind, können die Provider noch nachvollziehen, welche Domains der Nutzer besucht hat. Sie haben außerdem die Möglichkeit, einem Anwender mehrere Geräte zuzuordnen, wenn diese im selben Netzwerk eingesetzt werden.

„Was zum Teufel denken Sie sich?“

„Ich habe eine einfache Frage: Was zum Teufel denken Sie sich?“, sagte der demokratische Abgeordnete Michael Capuano bei der Debatte vor der Abstimmung im Repräsentantenhaus in Richtung der Republikaner. „Warum sollte man irgendwelche persönlichen Daten einem gesichtslosen Unternehmen geben, dem es allein darum geht, sie zu verkaufen? Liefern Sie mir einen triftigen Grund, warum Comcast die Gesundheitsprobleme meiner Mutter kennen sollte?“ Auf den Gesundheitszustand eines Kunden zu schließen, sei für ISP einfach möglich, indem sie seine Suchanfragen zu Krankheiten und Medikamenten auswerteten. „Vergangene Woche habe ich Unterwäsche im Internet gekauft. Wozu müssen Sie meine Größe oder die von mir gewählte Farbe wissen?“, so Capuano weiter. ISP könnten diese Informationen an Unterwäschefirmen verkaufen, die dann ihre Werbung entsprechend anpassen könnten.

Zielgerichtete Werbung stellt aber nur ein relativ geringes Problem dar. Deutlich wichtiger ist die Frage, wie die massenhaft gesammelten und weiterverkauften persönlichen Daten gesichert sind und wer sich sonst noch Zugriff darauf verschaffen könnte. Hackerangriffe auf unzureichend abgeschottete Firmenserver sind heute schon fast an der Tagesordnung. Und wie sich bereits aus den Aussagen der EFF ablesen lässt, zeigen auch Regierungen und Geheimdienste großes Interesse an den Daten.

VPN, Proxy-Netzwerk oder Tor?

Aber was können Nutzer tun, damit ihre Daten gar nicht erst in die Hände der ISP fallen? Die einfachste Möglichkeit, seine Aktivitäten im Netz zumindest teilweise zu verbergen, ist die Nutzung von HTTPS Everywhere. Das von der EFF entwickelte und in Cliqz bereits ab Werk integrierte Browser-Add-on sorgt dafür, dass standardmäßig verschlüsselte Verbindungen zu Websites aufgebaut werden, falls der Seitenbetreiber diese Option anbietet. ISP können dann nur noch die Domain sehen, die der Nutzer besucht, aber nicht mehr nachvollziehen, was er genau auf der Website gemacht hat. Liest er beispielsweise einen Artikel auf spiegel.de, sieht sein Provider nur, dass er auf spiegel.de war, aber nicht, welchen Artikel er dort gelesen hat.

Wer seinen kompletten Datenverkehr vor seinem ISP verbergen will, kann auf einen VPN-Dienst, das Anonymisierungsnetzwerk Tor oder ein Peer-to-Peer-Proxy-Netzwerk zurückgreifen. Jedoch setzen alle diese Maßnahmen einiges Fachwissen voraus. Am einfachsten gestaltet sich noch die Einrichtung eines Virtual Private Network (VPN). Hat sich der Nutzer für einen VPN-Anbieter entschieden, muss er noch seine verschiedenen Geräte entsprechend konfigurieren. Ein VPN leitet den Datenverkehr um und verschleiert so beim Aufruf einer Website die eigene IP-Adresse bzw. den eigenen Standort. Zudem werden alle Inhalte dabei verschlüsselt, so dass sie für Dritte (einschließlich des ISP) nicht lesbar sind. Statt des ISP erhält dann aber der VPN-Anbieter Einblick in alle Online-Aktivitäten, und auch er könnte die Daten sammeln Daten und weiterverkaufen.

Auch hier sollte sich der Nutzer also fragen, welchem Anbieter er wirklich trauen kann. Es gibt leider genügend Negativbeispiele, bei denen der VPN-Traffic nur unzulänglich oder gar nicht verschlüsselt war. Aber immerhin haben User bei VPN-Anbietern deutlich mehr Wahlmöglichkeiten als bei ISP. Anwender mit ausreichenden Fachkenntnissen können sogar einen eigenen VPN-Server einrichten. Ein Nachteil von VPNs besteht jedoch darin, dass manche Online-Anwendungen VPN-Verbindungen blockieren. Ein bekanntes Beispiel ist der Videostreaming-Dienst Netflix, der damit die Umgehung seines Geoblockings verhindern will. Hinzu kommt, dass die Umleitung der Daten quasi den Weg und damit die Antwortzeiten verlängert. Diese Geschwindigkeitseinbußen gegenüber der Direktverbindung sind technisch nicht zu vermeiden.

Dasselbe gilt in noch stärkerem Maße für das Tor-Netzwerk, das wie eine Zwiebel aus mehreren Schichten besteht. Daher der Name The Onion Router oder kurz Tor. Die korrekte Konfiguration setzt einiges Expertenwissen voraus. Einen relativ einfachen Einstieg bietet das Tor Browser Bundle auf Basis von Mozillas Firefox. Tor anonymisiert Verbindungsdaten, indem es Anfragen verschlüsselt über mehrere Proxyserver des weltweiten Tor-Netzwerks leitet. Die Methode bietet allerdings keinen hundertprozentigen Schutz, wie die Entwickler selbst einräumen. Das gilt vor allem, wenn man nicht nur HTTPS-Seiten besucht. Denn an den Endpunkten (Exit Nodes), wo die Daten ans Internet übergeben werden, können Dritte alle unverschlüsselten Inhalte theoretisch mitlesen.

Ein P2P-Proxy-Netzwerk ist das schnellste der drei genannten technischen Verfahren, um seinen Datenverkehr vor seinem ISP zu verbergen. Mit der Einrichtung dürften technische Laien jedoch auch hier überfordert sein. Ein Proxy-Server leitet eine Anfrage mit einer eigenen IP-Adresse an die Ziel-Website weiter und verschleiert somit die Identität des Nutzers. Dieser hat die Wahl, ob er einen vorkonfigurierten Proxy aus seinem Wunschland verwendet oder einen eigenen in seinem Netzwerk einrichtet. Für die alltägliche Nutzung ist ein Proxy aber nur begrenzt geeignet, da Sitebetreiber den umgeleiteten Traffic einfacher erkennen und blockieren können als etwa bei VPNs. Somit stellt auch ein Proxy-Netzwerk keine ideale Lösung dar, erst Recht nicht für Otto-Normal-Verbraucher.

Nutzer müssen ihre Privatsphäre aktiv schützen

Generell sollten sich Nutzer bewusst sein, dass ihr ISP nicht nur den Browser-Traffic, sondern sämtlichen Internetverkehr mitlesen kann. Das schließt auch unverschlüsselte Kommunikation via E-Mail oder Messenger ein. Wer Wert auf seine Privatsphäre legt, sollte daher Ende-zu-Ende-Verschlüsselung verwenden. Für den Versand und Empfang von E-Mails empfiehlt es sich, auf eine aktivierte TLS/SSL-Verbindung zu achten.

Letztendlich gibt es keine allumfassende Patentlösung. Nutzer sollten zum einen darauf achten, möglichst nur verschlüsselte HTTPS-Seiten zu besuchen, was dank HTTPS Everywhere einfach machbar ist. Und zum anderen sollten sie den Wert ihres Marketing-Profils möglichst gering halten, also die für Werbetreibende interessanten Nutzerdaten. Dazu eignen sich Anti-Tracking-Tools wie Ghostery sowie Werbeblocker. Im Netz kursieren auch einige skurrile Lösungsansätze wie die Browser-Erweiterung Internet Noise, die automatisch Fake Traffic generiert. Solche Tools sind jedoch kritisch zu betrachten, weil sie keinen nachweislichen Effekt bringen und nur ein falsches Gefühl der Sicherheit vermitteln.