Haben Sie heute schon Ihren Computer oder Ihr Smartphone genutzt? Dann haben Sie vermutlich unabsichtlich jede Menge digitale Spuren hinterlassen. Wie alt das Smartphone ist, das Sie nutzen oder welcher Marke es angehört, welche Seiten Sie aufrufen, welche Artikel Sie lesen oder wie lange Sie sich auf bestimmten Seiten aufhalten – all das wird gesammelt, gespeichert und ausgewertet. Im Hintergrund entstehen Persönlichkeitsprofile, die tiefe Einblicke in Ihre Privatsphäre erlauben und aus denen sich viel mehr ablesen lässt, als so mancher ahnt: Hat der Nutzer ein Haustier, Übergewicht oder Angst vor Spinnen? Isst er gern asiatisch oder lieber mediterran? Neben diesen vielleicht harmlos wirkenden Informationen verraten unsere digitalen Spuren auch brisantere Details: Welche politischen Einstellungen haben wir? Wie ist unser Beziehungsstatus? Oder wie steht es um unsere körperliche und psychische Gesundheit?
Das Geschäft mit den Daten ist milliardenschwer. Fachleute bezeichnen das emsige Sammeln und Analysieren von Daten als Tracking. Mit Persönlichkeitsprofilen und Vorhersagealgorithmen kann Werbung gezielt platziert werden, zugeschnitten auf die aktuellen individuellen Bedürfnisse und die Persönlichkeit, die hinter dem Nutzerprofil steckt. Dr.-Ing. Robert Altschaffel ist Informatiker und Experte für Computersicherheit. Für ihn ist die Datensammelwut im Internet eine „gesamtgesellschaftliche Bedrohung“. „Wir werden manipulierbar. Das ist den Leuten meistens gar nicht bewusst“, sagt der Forscher. Denn auch politische Entscheidungen können durch gezielt platzierte Anreize beeinflusst werden, wie etwa das Beispiel des Datenanalyse-Unternehmens Cambridge Analytica zeigte. Das 2014 gegründete Unternehmen sammelte vor allem in den USA Daten über potenzielle Wählerinnen und Wähler, um mit individuell zugeschnittenen Botschaften das Wahlverhalten zu beeinflussen. Nachdem 2018 auch zahlreiche illegale Methoden ans Licht kamen, meldete das Unternehmen Insolvenz an.
Dr.-Ing. Robert Altschaffel (Foto: Jana Dünnhaupt / Uni Magdeburg)
Robert Altschaffel gehört zu einem Forschungsteam um die Informatik-Professorin Jana Dittmann, das sich mit Sicherheit in der digitalen Welt beschäftigt. Wie kann man Gefahren aus dem Internet wie Tracking, Phishing-Mails oder andere Betrugsmaschen abwehren? Wie schützen sich Menschen, die kein Geld für große Sicherheitsabteilungen in ihrem Rücken haben oder denen die Expertise fehlt? Die Expertinnen und Experten für Computersicherheit und Computerforensik untersuchen genau diese Fragen in einem Forschungsprojekt innerhalb des Cyber-Security-Verbundes des Landes Sachsen-Anhalt, der von der Hochschule Harz, der Martin-Luther-Universität Halle-Wittenberg und der Otto-von-Guericke-Universität Magdeburg getragen wird. Kleine und mittelständische Unternehmen, die Verwaltung, Bildungseinrichtungen und die Bürgerinnen und Bürger sollen dabei unterstützt werden, IT-Sicherheit bei ihren Online-Aktivitäten von Anfang an mitzudenken und in ihr Handeln zu integrieren. Die Forscherinnen und Forscher aus Magdeburg konzentrieren sich in ihrem Teilprojekt „Security-by-Design-Orchestrierung“ auch besonders auf Bildungseinrichtungen.
Analyse und Aufklärung
Die Digitalisierung an den Schulen nimmt – gerade auch durch die Corona-Jahre – an Fahrt auf. Digitale Instrumente wie Videokonferenzen, Daten-Clouds, Kommunikation über soziale Netzwerke oder die Organisation des Unterrichtsstoffs über Online-Lernplattformen sind im Alltag der Lehrkräfte und Schülerinnen und Schüler angekommen. Gerade hier, wo viele sensible Daten zusammenkommen, muss das Thema Sicherheit großgeschrieben werden – und hinkt doch häufig hinterher. Das Team um Jana Dittmann will Abhilfe schaffen und Bedrohungen der digitalen Souveränität, der Privatsphäre, des Datenschutzes und der Computersicherheit an Bildungseinrichtungen aufdecken sowie beheben und dabei gleichzeitig die Nachhaltigkeit stärken – weniger Datenverkehr schont die Ressourcen und kann den Energieverbrauch senken. An erster Stelle müssen die Wissenschaftlerinnen und Wissenschaftler ermitteln, welche Bedarfe diese Zielgruppe überhaupt hat. Welche Programme und digitalen Hilfsmittel nutzen die Einrichtungen? Wo könnten Gefahren lauern? Was können Alternativen zu vielleicht bisher genutzten problematischen Anwendungen sein?
„Zunächst einmal wissen die Leute gar nicht, dass sie getrackt werden“, beschreibt Robert Altschaffel den Ausgangszustand, an dem er ansetzt. Ohne Sensibilität für mögliche Gefahren haben Datenkraken und Betrüger leichtes Spiel. Das Forschungsteam, zu dem neben Informatikerinnen und Informatikern auch ein Pädagoge gehört, erarbeitete deshalb den Workshop „Kompass zur digitalen Selbstverteidigung“, der allen Ebenen der Bildungseinrichtung – von der Schulleitung über die Lehrkräfte bis zu den Schülerinnen und Schülern – vermittelt, wie ihre Daten durchs Internet fließen und wo sie am Ende des Tages landen. Warum gibt es je nach Nutzerin oder Nutzer unterschiedliche Suchergebnisse oder sogar Preisangaben beim Einkauf? Der Blick hinter die Kulissen soll diese Fragen beantworten und ein Schlaglicht auf den Umgang mit den eigenen Daten werfen. Danach kann es an die Lösung der Probleme gehen: „Wir zeigen ganz konkret, mit welchen Werkzeugen man Tracker aufspüren und unterbinden kann“, erklärt Robert Altschaffel.
Innerhalb des Cyber-Security-Verbundes versteht sich das Team auch als direkter Ansprechpartner für Schulen in Sachen digitaler Sicherheit. (Foto: Jana Dünnhaupt / Uni Magdeburg)
Den Menschen die Möglichkeiten geben, sich selbst zu helfen – das ist das Credo der Forschenden. Das gelingt nicht nur durch Aufklärung, sondern vor allem auch durch sogenannte Demonstratoren, die das Team „zusammenbastelt“ und auf den Workshops vorstellt. „Ein Demonstrator ist im Prinzip eine Software, um etwas zu zeigen“, erklärt Robert Altschaffel. Die benötigten Bausteine sind dabei schon als Open-Source-Komponenten frei verfügbar. Der Vorteil: Hinter dieser freien Software steckt kein Unternehmen wie ein Konzern, der seine Produkte vermarktet und finanzielle Interessen an den Daten der Nutzerinnen und Nutzer hat. Zahlreiche Entwicklerinnen und Entwickler optimieren und verbessern den frei einsehbaren Quellcode permanent, schließen Sicherheitslücken und entwickeln neue Funktionen. Aus diesem bunten Fundus an Möglichkeiten bedient sich auch das Magdeburger Team, um neue digitale Instrumente speziell für die Bedürfnisse der Schulen zusammenzustellen. Mit diesen technischen Alternativen zu den bisherigen Konferenz-, Chat- oder Speicherprogrammen werden Trackingprogramme und andere Gefahrenquellen ausgesperrt. „Wir wollen zeigen: Wenn man will, dann geht das“, betont Robert Altschaffel, der aktuell an einem Demonstrator für einen großen Cloud-Datenspeicher arbeitet und dafür vorhandene, frei verfügbare digitale Komponenten zusammengeführt – „orchestriert“, nennt es der Forscher – und zu einem gut funktionierenden Instrument verbindet. „Viele Bausteine dafür gibt es schon“, betont Robert Altschaffel, „aber sie sind noch nicht so bekannt und für Laien schwer zugänglich. Das wollen wir ändern.“
Innerhalb des Cyber-Security-Verbundes erarbeitet das Forschungsteam aus Magdeburg nicht nur Workshops und Demonstratoren, sondern versteht sich auch als direkter Ansprechpartner für Schulen in Sachen digitaler Sicherheit. Sind sich Bildungsträger unsicher darüber, ob ein verwendetes Programm möglicherweise eine Gefahrenquelle darstellt, nehmen die Wissenschaftlerinnen und Wissenschaftler die Software mithilfe forensischer Methoden ganz genau unter die Lupe. Gibt es Probleme mit dem Datenschutz oder der Sicherheit? Um das herauszufinden, muss man tief in die Funktionen der Programme eintauchen. Die Software wird forensisch untersucht:
- Wo gibt es Tracking und Datenabflüsse?
- Hält das Programm alle Angaben der Datenschutzerklärung ein?
- Stellt es beim Login im Hintergrund Verbindungen zu anderen Seiten her?
- Welche Datenpakete fließen auf der Netzleitung hin und her?
Bei komplizierten Fällen kann diese forensische Untersuchung einige Tage in Anspruch nehmen – teilweise müssen auch neue Ansätze erforscht und umgesetzt werden. Meist haben die Expertinnen und Experten aber schon nach etwa einer Stunde einen guten Überblick über die Funktionen und mögliche Gefahren der Programme.
Prof. Jana Dittmann (Foto: Jana Dünnhaupt / Uni Magdeburg)
Manchmal gelangen kritische Programmcodes auch unbeabsichtigt in die Anwendungen. Denn viele Entwicklerinnen und Entwickler verwenden kommerzielle Werkzeugkästen, um etwa Webseiten aus einzelnen Elementen zusammenzubauen. Tracking wird dann quasi durch die Hintertür mit eingebaut. Ist das der Fall, kontaktieren Robert Altschaffel und seine Kollegen die Hersteller und machen sie auf kritische Stellen aufmerksam. „Viele sind sich der möglichen Gefahren nicht bewusst“, sagt der Forscher. „Häufig nutzen die Entwicklerinnen und Entwickler aber unsere Hinweise, um ihre Programme zu verbessern und sicherer zu machen.“ „Man kann sich gegen Tracking wehren, es gibt freie Softwarelösungen dafür“, betont Robert Altschaffel, der noch bis zum Ende des Förderzeitraumes mit Hochdruck daran arbeiten wird, diese Alternativen verfügbar zu machen. Bis Ende 2022 soll die Open Source Cloud im aktiven Demonstrationsbetrieb stehen. Der Workshop zum „Kompass zur digitalen Selbstverteidigung“, den mittlerweile bereits etwa 1.000 Teilnehmende besucht haben, wird weiter optimiert und um eine Nachhaltigkeitskomponente erweitert. Denn Themen wie Ressourcen- und Energieverbrauch oder eine lange Nutzbarkeit der entwickelten Software werden auch in der digitalen Welt immer wichtiger.
Zum Schluss hat der Informatiker noch zwei Tipps für mehr Sicherheit im Internet, für die kein Expertenwissen und kein großer Aufwand notwendig sind: „Ein gutes Passwort ist das A und O. Es sollte möglichst nicht immer dasselbe sein und wird am besten mit einem Passwortmanager verwaltet. Und bitte nicht einfach ohne kritischen Blick auf Anhänge in E-Mails und Links klicken. Dann ist das Schadprogramm ruckzuck auf dem Computer und die persönlichen Daten sind ganz schnell weg.“