Street View: Google ins Netz gegangen

Internet per Wireless Lan (Wlan) ist eine bequeme Sache. Vor allem für den Internetsurfer. Er muss keine Kabel zu seinen Computer ziehen, um ins Web zu gehen. Genau wie bei einem Schnurlostelefon werden die Daten per Funk ausgetauscht. Doch auch ungebetene Gäste werden durch die Funknetze angezogen. Zum Beispiel Menschen, die lieber auf anderer Leute Kosten durchs Netz surfen. Oder Datenkraken wie Google, die in ihrer Sammelwut längst jedes Maß verloren haben, wie die jetzt bekannt gewordene „Datenpanne“ zeigt. In ihrem Ausmaß ist sie ohne Beispiel: 600 Gigabyte haben die Fahrzeuge von Googles Kartendienst Street View im Vorbeifahren gesaugt, als das Unternehmen nicht nur die Straßen und Gebäude für Google Maps erfasste, sondern zugleich die Wlan-Funknetze, mit denen Millionen Deutsche ins Internet gehen. Anders als zunächst vom obersten Google-Datenschutzbeauftragten Peter Fleischer gesagt, wurden dabei nicht nur die Namen der Netzwerke mitgeschrieben, sondern auch die Inhalte des Netzwerkverkehrs, wie Google jetzt auf Nachhaken des Hamburger Datenschutzbeauftragten Johannes Caspar zugab.

Um welche Daten handelt es sich?

Die Wlan-Daten stammen aus ganz Deutschland. Für den Street-View-Dienst wurden bereits sämtliche Städte zumindest einmal erfasst. Überall dort, wo die Aufnahmen nicht gelungen sind, sind weitere Fahrten geplant. Die Datenmenge entspricht umgerechnet rund 180 000 Musiksongs, doch in den Daten dürfte wenig Sinnvolles zu hören, zu lesen oder zu sehen sein. Weil die eingesetzte Erfassungssoftware alle fünf Sekunden den Kanal wechselte, um im Vorbeifahren sämtliche verfügbaren Netze unter anderem mit ihrem Namen zu protokollieren, handelt es sich um eine immens große Menge von Datenpaketen, die gerade in dieser Zeitspanne über das Wlan transportiert wurden. Die Wahrscheinlichkeit, dass en passant sensible Passwörter, persönliche Mails oder geheime Informationen aufgezeichnet wurden, ist eher gering und bei Weitem nicht so hoch wie der neuerliche Schaden für das bereits angekratzte Image von Google in Sachen Daten- und Verbraucherschutz. Erschreckender noch als der gesammelte Datenberg ist jedoch, dass der Konzern dafür keine obskuren Hackerwerkzeuge einsetzen musste. Jeder Computernutzer mit einem Standard-Notebook und einigen Netzwerkprogrammen aus dem Internet kann auf die offenen Wlan-Anschlüsse zugreifen und sich dabei so lange in den Funknetzen aufhalten, bis tatsächlich Passwörter oder Kontodaten auf seinem Rechner landen. Schließlich ist die halbautomatische Erfassung von Wlan-Netzen nicht erst von Google erfunden worden. Wardriving-Fans fahren seit Jahren auf der Suche nach kostenlosen Surfgelegenheiten durch die Städte und protokollieren GPS-genau die vorhandenen Netzwerke mitsamt ihren Sicherheitseinstellungen. Noch ist unklar, wie Googles Schnüffelattacke juristisch zu bewerten ist. Ein Jurist aus Nordrhein-Westfalen hat am Montag Strafanzeige gegen Google gestellt, „um das Thema rechtlich abzuklopfen“.

Wie konnte Google die Daten sammeln?

Eingesammelt wurden die Daten durch ein „kleines Stückchen Software“, das ein Google-Entwickler 2006 für ein Wifi-Projekt im Experimentalstadium geschrieben hat, erklärt Google-Vice-President Alan Eustace die Vorgeschichte zur Panne. Das Software-Stück sei später unbeabsichtigt und unautorisiert in jenes Programm gelangt, mit dem die Street-View-Fahrzeuge weltweit zur Erfassung der Funknetze ausgestattet wurden. Auf den Fahrzeugen befinden sich nicht nur Rundumkameras, sondern zudem Antennen für die Wlan-Empfänger. Die Erfassung dient einem nachvollziehbaren Ziel: Die Kartographierung der Wlan-Netze macht die Navigation ohne GPS möglich. Der Bundesdatenschutzbeauftragte Peter Schaar kann sich gut vorstellen, dass Eustaces Schilderung zutrifft: „Für diese Erklärung spricht, dass dem Unternehmen auch schon bei anderer Gelegenheit gravierende Fehler im Umgang mit personenbezogenen Daten unterlaufen sind, etwa bei der Einführung des sozialen Netzwerks Google Buzz, als versehentlich die Daten von Kunden des Google-E-Mail-Dienstes Gmail verwendet und teilweise öffentlich gemacht wurden“, schreibt Schaar in seinem Datenschutzblog, und setzt fort: „So drängt sich die Frage auf, ob Google noch weitere Fehler oder Missgeschicke unterlaufen sind, die wir alle noch nicht kennen.“ Um den Schaden zu begrenzen, hat Google mittlerweile angeboten, sämtliche Daten schnellstmöglich zu löschen, nachdem unabhängige Experten das Programm und die Daten durchleuchtet haben. In Irland hat Google damit bereits begonnen. Zudem stoppte Google den weiteren Einsatz der Street-View-Fahrzeuge. Für Deutschland hatte Google ohnehin mit dem Bundesverbraucherschutzministerium vereinbart, dass Street View erst startet, wenn Widersprüche von Bürgern vollständig umgesetzt sind. So zeigt der Vorfall vielmehr, welche Auffassung Google vom deutschen Datenschutzrecht hat. Als dem Hamburger Datenschutzexperten die Street-View-Fahrzeuge vorgeführt wurden, waren die Festplatten ausgebaut und nach Amerika verschickt worden, „um dort die Inhalte in die Datenbanken zu integrieren“, wie es von Google hieß. Zudem sei eine Prüfung der Daten in Deutschland sowieso nicht möglich, da die Festplatten in den Fahrzeugen so verschlüsselt worden seien, dass man sie erst in den USA auslesen könne, teilte Google dem Hamburger Datenschutzbeauftragten mit.

Wie sichert man die Wlan-Netze?

Mit einem jedoch hat Google-Manager Alan Eustace recht: Der Vorfall habe gezeigt, wie groß das Problem der offenen, nicht durch Passwort geschützten Wlans ist, schreibt er am Ende seines Blog-Eintrages. In Deutschland wird die Hälfte der rund 25 Millionen Breitbandanschlüsse mit einem Wireless-Lan-Router betrieben. Um zu verhindern, dass andere Computer Zugang zu dem eigenen Internetanschluss bekommen oder – wie nun von Google vorexerziert – heimlich Daten mitschneiden können, muss der Zugang kontrolliert und die Datenkommunikation verschlüsselt werden. So wird zugleich verhindert, dass jemand ins Netzwerk einbricht und die Daten auf den Computern ausliest, manipuliert oder löscht. Um dies zu verhindern, werden im Konfigurationsmenü des Routers – also der Basisstation des Funknetzes – die Sicherheitsoptionen der Wlan-Funktion bearbeitet. Dazu wählt man aus den vorhandenen Möglichkeiten das derzeit sicherste Verschlüsselungsverfahren WPA2 aus. Die älteren Standards WEP und WPA halten gezielten Hackerangriffen nur für kurze Zeit stand. Zudem sollte das vorhandene Passwort gegen ein individuelles Passwort ausgetauscht werden, das mindestens acht Zeichen lang ist und sich möglichst aus einer Kombination von Buchstaben und Zahlen zusammensetzt. Router der Oberklasse werden bereits ab Werk mit eingeschalteter WPA2-Verschlüsselung ausgeliefert. Die Geräte von Marktführer AVM haben zudem ein individuelles 16 Zeichen langes Passwort zugewiesen bekommen. Aber auch darüber hinaus kann die Sicherheit des Wlan-Netzes erhöht werden. Über die Änderung des Netzwerknamens wird verhindert, dass Hacker über den sonst sichtbaren Gerätenamen typische Schwachstellen des Netzes herausfinden.

Was muss man prinzipiell beachten beim Datenverkehr im Internet?

Wer das Internet benutzt, muss seinen Computer vor Angriffen von Hackern, aber auch vor Viren und trojanischen Pferden schützen. Diese Schadprogramme schreiben Tastaturanschläge mit, um so Passwörter oder Kontodaten zu erfassen und an ihren Urheber zu schicken. Zum Basisschutz gehören ein aktueller Virenscanner, eine Firewall sowie alle sicherheitsrelevanten Updates des Betriebssystems. Den besten Schutz bieten Komplettpakete, die auch vor Phishing-Angriffen (Passwortdiebstahl über gefälschte Internetseiten) und anderen neuartigen Bedrohungen schützen. Aber auch der Nutzer selbst ist gefordert: Er sollte möglichst für sämtliche Dienste und Zugänge unterschiedliche Passwörter verwenden. Ebenfalls unverzichtbar: ein gesundes Maß an Vorsicht im Umgang mit dem Internet. Besonders bei Finanztransaktionen wie dem Online-Banking oder auch beim Internet-Shopping sollte darauf geachtet werden, dass die Kommunikation über verschlüsselte Seiten stattfindet. Dies ist daran zu erkennen, dass die Internetseite mit https:// statt dem sonst gebräuchlichen http:// beginnt. Selbst bei einem ungesicherten Wlan können die übertragenen Daten dann nicht mehr einfach ausgelesen werden – auch nicht von Google. Kurt Sagatz

Die Erklärung von Googles Vice President Alan Eustace:

http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html

Die Erwiderung des Bundesdatenschutzbeauftragten Peter Schaar

http://www.bfdi.bund.de/bfdi_forum/showthread.php?s=cf08a24c85d8efc197643851896a1de2&t=1257