 Guten Morgen. Es sind ja doch noch ein paar Leute da. Also, zu meiner Person, Jackman Crack vom CCRV Karlsruhe. Ich bin auch Referent für Chaos Macht Schule. Das heißt, Leute kommen auf mich zu und sagen Hallo, wir haben in der Schule folgendes Problem. Mobbing, Facebook, sonst irgendwas. Die Lehrer kennen sich damit nicht aus. Wenn da jemand irgendwie Fragen hat, kommen die halt an uns rangereten, aber auch von Sachen wie zum Beispiel der Lehrerfortbildung kommen Veranstalter vom der Landesmedienanstalt zum Beispiel auf uns zu und sagen, die Lehrer interessieren sich für die neuen Medien, aber wir haben da keine Referenten, die wir jetzt spontan einladen könnten, springt doch mal ein oder also alles, was da zum Thema Medien geht, ist irgendwie beim Start noch nicht so ganz präsent. Und das machen wir von Chaos Macht Schule. Und zum Entropia eV, da gibt es diese selbe kannte Gulasch Programmiernacht dieses Jahr, die 15. im Juni in Karlsruhe. Also, falls ihr irgendwie zu verschiedenen Themen Vorträge hören wollt, Workshops oder sonst was, kommt gerne vorbei. Wahrscheinlich werden Themen, die hier behandelt werden, dort auch einfach weiter behandelt. Ansonsten, wenn ihr irgendwie was selber erzählen wollt, reichen im Vortrag ein. Genau. Der Vortrag, den ich jetzt halten werde, geht über Datenspuren. Am Anfang dachte ich so Datenspuren, was sind überhaupt Daten? Da kann man ja mal irgendwie Wikipedia zitieren. Daten sind halt einfach Werte, die irgendjemand mal irgendwie aufgeschrieben hat oder übermittelt hat. In dem Vortrag hier soll es jetzt um die Bits und Bytes der Informatik gehen. Das heißt, oben steht auch drin, es gibt keine eingehende Definition. Also, ein Wirtschaftsingenieur hat unter Daten eine andere Vorstellung als ein Informatiker, aber in meiner Vorstellung sind Daten hauptsächlich Ströme von Bits und Bytes und werden halt auf diesem Safe-Symbol oder Disketten gespeichert. Die Daten, die es gibt, kann man grob klassifizieren. Es gibt einmal die Daten, die jemand für einen bestimmten Zweck erhebt. Zum Beispiel irgendwie der Provider, der danach eine Abrechnung erstellt oder ein sonstiger Dienstweiser irgendwo wird immer irgendwelche Daten benötigt, um später die Daten zu verarbeiten. Nebenbei fallen noch sogenannte Metadaten an. Das sind Daten, die nicht unbedingt notwendig sind, um die Abrechnung zu machen, aber trotzdem Rückschlüsse zulassen, auch wenn man nicht die Kerndaten hat. Das ist zum Beispiel bei meiner Telefonrechnung, sehe ich mit wem ich telefoniert habe, aber ich weiß daraus nicht, was in diesem Gespräch gesprochen wurde. Also, die Daten des Datum, was dann in meiner Einzelverbindungsnachweis drin steht, ist dann halt die Information, dass ein Gespräch stattgefunden hat. Das ist natürlich auch wieder Daten, aber in der Debatte werden diese Sachen dann Metadaten genannt, weil einfach die Information über das Gespräch und nicht das Gespräch selber als Datum gespeichert wird. Als einfaches Beispiel, wir hatten jetzt gerade schon das Telefonat. Da haben wir einfach mal angefangen, vielleicht kennt es noch jemand, diese Telefone, die noch kein Internet hatten. Da gab es schon einige Informationen, die einfach jedes Gerät mitgebracht hat und die das Gerät einfach so als Information in sich verborgen hat und die dem User einfach nicht einfach oder beziehungsweise, man brauchte gewisses Fachwissen, damit man diese Information abrufen kann. Also, seine Handynummer war ja klar, die kennt jeder, aber was den wenigsten irgendwie so klar ist, dass die Geräte selber, also jedes Gerät hat eine eindeutige identifizierter Identifikationsnummer. Das ist die International Mobile Station Equipment ID und erstaunlicherweise, also ich kannte das noch aus der Nokia Zeit, da konnte man so einen tollen Tastencode eingeben, also Sternchenraute 06-Route und dann wird die angezeigt. Wenn man das bei modernen Telefonen macht, funktioniert es auch noch so. War sehr überraschend, also bei Android kommt ein Pop-up. Da steht dann diese Gerätennummer drin. iPhone hatte ich jetzt nicht zur Hand, da müsste man es noch mal testen. Windows Geräte, ich weiß nicht, ob die überhaupt verbreitet sind. Deswegen, ja, also gleichzeitig zu dieser Geräte-ID gibt es halt bei jedem Provider die SIM-Karten-ID. Das heißt, noch bevor ich das Gerät einschalte, wird von jeder SIM-Karte irgendwie eine ID vergeben und diese SIM-Karte ist auch noch eine International-Kation. Das heißt, selbst wenn ich mir jetzt anonym im Laden eine Prepaid-Karte kaufe und die mit Bargeld bezahle, dann ist die ja nicht unbedingt auf mich zurückverfolgbar. Ich muss sie aktivieren, aber vielleicht habe ich einen Tippfehler drin bei meinen Adressdaten und dann ist die halt nicht direkt einfach auf mich zurückverfolgbar. Aber wenn ich dann das Telefon, was ich eh schon habe und was ich vorher mit meinem Vertrag benutzt habe, weiter nutze, dann ist es halt für Leute, die ein gewisses Interesse haben, zum Beispiel der Mobilfunkanbieter oder andere, aber da kommen wir noch drauf, Dienste, die irgendwie sich zum Ziel gemacht haben, Daten über Personen zu speichern. Dann ist es relativ einfach, wenn man an das Provider-Backend kommt, nachzuvollziehen, dass jetzt in diesem Gerät, was diese IMSI hat, jetzt einfach nur eine andere SIM-Karte drin ist. Das heißt, auch dieses SIM-Karten tauschen, solange man das selber Telefon weiterverwendet, führt vielleicht zu einem bisschen Verwirrung, aber im Großen und Ganzen hat man halt zwei Nummern, die eindeutig auf das Gerät und auf die SIM-Karte zuortenbar sind und die werden auch übertragen. Das heißt, wenn das Gerät sich einbucht, also quasi nachdem man seine Pinn-Nummer eingegeben hat, ist die SIM-Karte aktiv und übermittelt sowohl die Geräte als auch die SIM-Karten-Nummer an dem Provider. Das heißt, irgendwo in der Lock-Datei steht dann drin, dieses Gerät hat sich eingebucht und das hat die SIM-Karte eingebaut und die ist freigeschaltet. Und wo man dann schon beim Einbuchen sind, da kommen wir zum Punkt Sendemasten. Alle Leute sagen, ja, ich bin ja irgendwie über mein Handy trackbar, ja, aber es hat sich bisher noch niemand die große Mühe gemacht, mal irgendwie wirklich eine Liste zu machen und oder beziehungsweise es gibt eine Liste von allen Sendemasten, die ist bei der Regulierungsbehörde einsehbar und ich habe da mal einfach die Adresse hier vom Sublab eingegeben, das ist der blaue Punkt in der Mitte und alle orangenen Punkte sind Mobilfunkmast. Wenn man den dann anklickt, kriegt man noch die Information, in welcher Höhe sind da Antennen angebracht, in welchem Provider gehören die, in welche Richtung ist die Hauptabstrahlrichtung. Das heißt, das Netz ist ziemlich dicht, also nicht jeder Masten muss gleichzeitig zum selben Handynetz gehören, also meistens sind es unterschiedliche, aber die Abdeckung ist sehr hoch, also jetzt in so einer Großstadt, auf dem Land ist die eher gering, aber dort sind ja auch weniger Leute, das heißt, es ist wieder einfacher zuzuordnen, wenn ich auf einem Sendemast mich einbuche, weil der das stärkste Signal hat und ich komme über Antenne XY, dann habe ich schon meine grobe Richtung, in die ich gehe und wenn dann aus einem anderen Handymast gemeldet wird, das Gerät hat sich jetzt bei mir eingebucht, weil der Signal dort stärker war, habe ich schon zwei Richtungen, kann über zwei Richtungen irgendwie ein Kreuz machen, irgendwo auf der Karte, wo ungefähr das Gerät sein muss und das weckt halt irgendwie bei verschiedenen Diensten, wie zum Beispiel der Polizei oder den Geheimdiensten Interessen, irgendwie Personen zu tracken, ohne dass diese das mitkriegen, das heißt, es gibt dieses Verfahren der stillen SMS, das heißt, normalerweise ist ein Telefon einfach in einem batterischonenden Modus, das heißt, es macht gar nichts, das heißt, es hat keine Daten zu übermitteln, es wartet einfach nur, dass es irgendwie vom Sendemast eine Information kriegt, aber der Sendemast macht ja auch nichts, sonst würde der ja ständig Informationen rausschieben an alle möglichen Geräte und wenn jetzt einen Provider oder einen Dienst rausfinden will, wo ich mich befinde, dann schicken die einfach eine SMS an mein Gerät und der Sendemast, der mich zuletzt gesehen hat, kriegt bevorzugt das Signal und sagt, hallo, liebes Telefon, ich habe hier eine SMS, aber zeigt die deinem Benutzer nicht an. Das ist im Standard implementiert und darüber wird dann halt das Telefon dazu motiviert, eine Bestätigung zurückzusenden an den Provider. Ja, die SMS habe ich empfangen, aber ich habe sie benutzerlich, also es wird nicht das Standardverfahren für eine SMS abgearbeitet, dass dem Benutzer das Telefon vibriert und eine SMS angezeigt wird und dann meldet das Telefon natürlich die Empfang zurück und dann kann man wieder über den Handymasten nachgucken, wo derjenige gerade ist. Einziges Merkmal, was man irgendwie darüber dann feststellt, ist vielleicht, dass der Akku weniger lang hält, aber im Zeitalter von energiehungrigen Handys ist das irgendwie auch nicht mehr eindeutiges Merkmal, ob das jetzt irgendwie die stille SMS war oder irgendwie was anderes. Über Debug-Schnittstellen kommt man an die Informationen, wo die Anfragen herkam, aber so im Großen und Ganzen ist es halt ein Problem, dass der User nicht sieht, was passiert im Hintergrund und man halt da irgendwie dem Anbieter und dem Handyhersteller vertrauen muss. Also das bringt einfach das System mit sich und ist so ein bisschen das Problem von GSM, dass halt das alles ein geschlossenes System ist und man dann als User relativ wenig Einblick hat. Es gibt so ein Tool, wo man jetzt irgendwie Fake-Handy-Masten, die die Polizei einsetzt, um Handys in der Gegend zu orten, angezeigt zu bekommen. Dafür braucht man allerdings ein geroutetes Android-Telefon, was dann halt auch wieder die Garantie zerstört. Also nicht ganz so geschickt. Beim Thema Smartphone gibt es ja noch zur zusätzliche Probleme, also gerade jetzt am Freitag oder am Donnerstag war in der Presse, dass an Flughäfen die Anbieter die Wartezeiten für Fluggastreisende optimieren wollen, indem sie einfach gucken, indem sie irgendwo eine Antenne platzieren, die auf WLAN und Bluetooth-Frequenzen lauscht und dann einfach mal mitzählt, wie viele Geräte sehe ich gerade. Und darüber wird dann hochgerechnet, oh, die Schlange ist wahrscheinlich so lang. Also man geht davon aus, dass inzwischen irgendwie mehr als 80 Prozent der Fluggastreisenden Smartphone das WLAN oder Bluetooth anhat, dabei hat und darüber kann man dann Warteschlangen an Check-In-Countern oder an Zollabfertigungen optimieren. Und das sind natürlich auch wieder Daten, da werden keine Daten übertragen, aber da werden einfach die Seriennummer der Geräte aufgeschrieben und damit ist man wieder eindeutig identifizierbar. Die ganze Sache ist halt die Abschaltung von WLAN und Bluetooth, muss jeder selber machen, kennt jeder, ist unbequem, wenn man aus dem Haus geht, irgendwie das Ding extra ausschalten, weil wenn man wieder zurückkommt, muss man es extra anschalten, macht keiner, deswegen läuft die ganze Zeit. Gleichzeitig haben diese Geräte ja auch noch viele Funktionen, die einfach nur funktionieren, wie zum Beispiel den Kalender und Kontakte synchronisieren, wenn ich mich nur bei den Betriebssystemherstellern einen Account klick oder ich muss von Hand mir eine extra Kalender App und eine extra Kontakte App und noch ein Synchronisationsdienst im Hintergrund einrichten. Also ich denke, die meisten Leute, die das Gerät kaufen, werden sich dann halt einfach, wenn sie ein Android-Gerät kaufen, einen Google Account klicken oder ihren bestehenden benutzen. Wer halt ein Apple-Telefon kauft, hat danach ein iOS-Account. Ich glaube, bei den Geräten ist es sogar so, dass es zwingend ist, um das Gerät nutzen zu können. Bei Microsoft gibt es jetzt irgendwie diese Windows-Phones. Dort gibt es dann halt diese Live-Accounts, die genau das gleiche darstellen. Das heißt, das Gerät ist sogar noch eindeutiger identifizierbar, weil sobald das Internet hat, meldet sich es bei seinem Anbieter und sagt, hallo, gib mir mal die neuesten Kontakte, haben sich meine Termine geändert und darüber ist man dann halt wieder direkt mit dem Internet verbunden und zusätzlich zu diesen Betriebssystemfunktionen, die dann irgendwie mitkommen, gibt es natürlich ganz viele Apps, die irgendwie wenig Geld kosten sollen und deswegen Werbe finanziert sind. Das heißt, jeder, der irgendwie so eine Werbe-App angezeigt kriegt, da werden halt noch mal Daten an irgendwelche Werbenetzwerke übermittelt, das gerade irgendeine Werbung angezeigt wird. Für Abrechnungstecken muss das natürlich festgehalten werden. Außerdem ist es natürlich interessant, wo ist denn jetzt mein Kunde, der diese App benutzt und habe ich irgendwie ähnliche Kunden, denen ich auch irgendwie Werbung unterschieben kann. Also da wird auf jeden Fall auch ziemlich viel Information an die werbetreibende Industrie weitergegeben und dort in riesige Datenbanken geworfen und voraussichtlich auch ausgewertet, weil jeder möchte ja seine Werbe-Effektivität erhöhen und damit irgendwie zielstrebig die Kunden erreichen. Teilweise gibt es ja auch Leute, die das begrüßen, weil sie sagen, ha, dann weiß wenigstens Amazon schon, was ich kaufen will und schlägt mir das Richtige vor. Aber prinzipiell wäre ich damit skeptisch, weil einmal irgendwie die Daten falsch eingegeben, schon werden falsche Verknüpfungen erstellt und es gibt dann halt zum Beispiel die Probleme, die sich mit Leuten, die sich zum Beispiel mit dem Islam, da hinten fällt gerade ein Tisch um, die sich mit dem Islam beschäftigt haben und deswegen irgendwie vor der Syrien-Reise noch ein Buch über den Islam gekauft haben und dann, als sie am Check-In-Schalter standen und die Flug-Airlines-Betreiber gesagt haben, ja, sie stehen auf der No-Fly-Liste, sie dürfen hier nicht fliegen und sich das dann halt über den Gerichtsverfahren rausgestellt hat, dass irgendjemand halt festgestellt hat, diese Person hat mit derselben Kreditkarte, wie sie den Flug gebucht hat, auch ein Buch über den Islam gekauft und damit ist das ja schon sehr verdächtig und das war ja irgendwie durch 9-11 alles sehr gefährlich und deswegen wurde die Person sofort mal auf die No-Fly-Liste gesetzt. Also das heißt, diese Daten, die da erhoben werden, können einfach in falschen Zusammenhang gesetzt werden und geben dann irgendwie ein falsches Bild wieder und erzeugen damit dann auch wieder Reelle gefahren oder einfach Einfache Sachen, die zum Beispiel bei Google irgendwie noch mit übertragen werden, jeder Werbetreibende kriegt eine eindeutige ID mit, also das Gerät hat eine eindeutige Werbe-ID, die kann man zurücksetzen, aber wer macht es schon, also das ist so in einem Sub-Submenü vergraben, da muss man drauf drücken, dann fragt, bist du wirklich sicher, also da wird wohl keiner draufklicken und deswegen ist es sehr schwierig, sich vor der Datenhungrigkeit dieser Unternehmen zu schützen und zu sagen, okay, wir haben jetzt irgendwie eine Lösung, die bequem funktioniert und trotzdem die Sicherheit bietet, die diese Unternehmen haben, weil jeder, der mal sein Telefon verloren hat, ärgert sich, dass seine Kontakte weg sind. Da ist natürlich so ein Dienst, der meine Kontakte synchronisiert oder mein Kalender, Gold wert, aber ja, also das ist halt das Dilemma, was sich stellt und man muss halt gehörig Aufwand treiben, aber eigentlich hat ja nicht jeder unbedingt ein Smartphone, was uns vielleicht viel mehr betrifft ist das Internet und dort gibt es ja bekanntlich die großen Gefahr und so weiter, aber wo fangen wir an, also was für Datenspuren hinterlassen wir im Internet und die Sache ist, das Internet ist für, wenn man irgendwie so das versucht zu vereinfachen, einfach eine große Wolke und es gibt halt irgendwie da ganz viele Server drin, die haben eine IP-Adresse und sind darüber erreichbar und im Prinzip sind es ganz viele Computer, die einem nicht gehören und man hat halt einfach seinen eigenen Computer und dort fängt es eigentlich schon an, also auf meinem eigenen Computer dann, bevor ich irgendwie das Internet nutzen kann, brauche ich erstmal ein Browser und in diesem Browser sind halt auch schon wieder Daten hinterlegt, die zum Beispiel der User-Engine nennt sich das, das ist quasi, welchen Browser benutze ich, welche Version, welches Betriebssystem benutze ich und welche HTTP-Header akzeptiere ich, das heißt, wenn ich irgendwie eine Anfrage an einen Server stelle, was akzeptiert in meinen Browser, was darf mir der Server zurückschicken, gleichzeitig habe ich so Einstellungen wie ich möchte cookies, also das sind kleine Informationen, die ein Server auf meinem Browser speichern kann, die sind dann natürlich immer noch gespeichert, auch wenn ich den Browser einmal zu und wieder aufgemacht habe, seitdem ich lösche sie aktiv und es gibt die Informationen, ob ich getrackt werden will oder nicht, aber dazu kommen wir gleich, also das ist diese, ich kann meinem Browser sagen, bitte sagt dem Webseitenbetreiber, dass ich nicht getrackt werden möchte, also ist halt so ein bisschen optional und vor allem, ja, also es ist ein weiteres Informationskriterium, was mein Browser identifizierbar macht und genau, es gibt noch die Offline-Inhalte, das sind halt Webseiten, die ich mal besucht habe, wo dann irgendwie zum Beispiel das Logo oder sonstige Sachen, die hat mein Browser gespeichert, das heißt, wenn ich auf die selbe Webseite gehe, dann sagt er, ah, ich habe hier schon das Logo der Webseite geladen und sagt dem Server, hey, hat sich da überhaupt was geändert und um Webseiten schneller darstellen zu können, werden die lokal gespeichert solche Informationen, also gerade Bilder und größere Informationen und das übermittelt der Browser halt auch mit, dass er solche Informationen hat und der Server sagt, ah nee, hat sich nicht geändert, nimm einfach das, was du schon hast, macht natürlich den Fingerabdruck, den der Browser hinterlässt, irgendwie einfacher nachzuvollziehen und ja, die Lesezeichen findet man daher, wenn man, wenn der Browser irgendwie startet later, die ganzen Lesezeichen, das heißt, das ist für den Anbieter zwar nicht nachvollziehbar, aber man hat halt darüber auch wieder bestimmte Gewohnheiten, die man abruft und wenn ich irgendwie den Browser starte und es sind immer die selben, fünf Webseiten, die zur selben Zeit gestartet werden, ist es halt auch wieder ein eindeutiges Identifizierungsmerkmal oder beziehungsweise ist ein Merkmal, was wahrscheinlich nicht so häufig vorkommt und dadurch den Browser wieder eindeutiger macht. Gleichzeitig, wenn ich irgendwie Daten ins Internet übertrage, also wir fangen jetzt an zu surfen, das heißt, ich tippe an irgendeine Adresse ein, das heißt, mein Browser weiß nicht, wo jetzt Google liegt oder wo die Seite, die ich überhaupt suche liegt, das heißt, ich muss irgendwie einen DNS-Dauer kontaktieren, der dort dann irgendwie die hinterlegten Daten abfragt, das heißt, meine Anfrage, wo ist denn Google zu finden, landet auch bei einem Anbieter, das ist ein Zweifelsfall, immer erstmal mein Internet-Anbieter, der die Anfrage beantworten wird, aber es kann auch sein, dass es einfach die Fritzbox oder der Router bei mir lokal ist, wenn der das schon gespeichert hat. Aber im Prinzip, wenn man irgendwie gerade frisch anfängt, dann hat niemand auf dem Weg das gespeichert und dann muss die Anfrage sogar bis zu Google laufen und dann sagen, Google dem Provider hier unter dieser IP-Adresse findest du meine Webseite oder mein Browser fragt direkt bei dem Nameserver von Google nach, wo er hin soll. Das heißt, noch bevor ich die Google-Webseite anfange zu laden, ist schon die Information, dass irgendwie ein Name angefragt wird übertragen worden und diese Information ist halt natürlich in der Firewall oder bei meinem Internet-Provider und sogar, wenn ich einen VPN-Betreiber benutze, um irgendwie anonym im Internet zu saufen, auch bei dem kommt diese Information vorbei. Das heißt, diese Datenklimerat, wo geht der User hin, wird auf jeden Fall im Internet übertragen und ist eine Information, die auf dieser Wegstrecke zwischen dem Browser und dem Nameserver übermittelt werden muss und dadurch irgendwie die Leute, wenn die ein Interesse haben, ein Hinweis gibt, wo der User irgendwie hin möchte. Andere gleichzeitig gibt es noch so Sachen wie, wenn ich irgendwie ein Login benutze, zum Beispiel mein Google Account einlogge, dann bin ich natürlich direkt identifiziert, aber dann braucht derjenige sich nicht die Mühe zu machen, an meiner Browser-Kennung festzustellen, wer ich bin, sondern dann hat er den Benutzernamen und damit bin ich relativ sicher diese Person, weil das Passwort sollte ja niemand anders kennen. Und genauso ist es mit jedem Tracking-Tool, wenn ich mich irgendwo auf einschlägigen Seiten registriere und sage, ja, ja, ich möchte einmal bei Facebook sein und überall, wo ein Facebook-Button eingeblendet wird, in der Seite kriegt Facebook die Nachricht, dass ich als User so und so gerade hier vorbeigeselft bin und diese Seite, auch wenn ich den Like-Button der Seite nicht klicke, dass ich gerade einen Like-Button dieser Seite geladen habe und damit weiß halt Facebook, wo ich mich im Internet rumtreibe. Facebook hat sogar jetzt neulich irgendwie bekannt gegeben in seinen AGBs, dass sie auch von Leuten, die kein Facebook-Account haben, diese Daten speichern. Das heißt, falls man sich dann ein Facebook-Account anlegt, wissen sie schon genau nach, was man gesucht hat. Also sie versuchen natürlich über diese Browser-ID und sonstige Sachen auch, diese Informationen zusammen zu aggregieren und da draußen Profil für einzuerstellen und sobald man dann halt bei denen ein User-Account erlegt, können die optimal irgendwie einen mit Werbung beklücken oder auch nicht. Genau, dann der Seitenanbieter sieht zum Beispiel einfach von meinem Browser die IP-Adresse, von der ich komme. Das ist wieder der DSL-Anschluss oder der VPN-Anbieter. Das ist halt abhängig von daraus, wo ich ins Internet gehe. Es gibt diese Seite Panoptik-Click von der Electronic Frontier Foundation. Und wenn man da drauf klickt, kriegt man eine relativ einfache Seite und dann sagt so, möchtest du mal wissen, wie dein Fingerprint aussieht? Und das habe ich hier schon mal vorbereitet. Und ich kann jetzt einfach meinen, ich muss die Slideshow beenden. Hallo, Mauszeiger. Also, ich bin hier auf dieser Seite und es heißt, test me und ich habe noch ein Tool installiert, das ja, was blockt. Und jetzt teste ich einfach mal, was der da ausspuckt und er sagt, ich bin einzigartig in einer von 120 1000. Also, das heißt, es gibt, ja, also ich habe ungefähr 16,9 Bits von eindeutigen Informationen hinter in meiner Browser Information mit übertragen. Und hier unten ist dann sogar noch aufgeschlüsselt, wie wahrscheinlich das ist. Also, ich habe hier ein Fedora Linux mit 64 Bit und hier die Mozilla 5.0 und also 5.0 ist einfach die aktuelle Mozilla Version, aber es ist ein Firefox 37 und der wurde mit dieser Bildversion gebaut. Und das ist halt hier mit den Daten, die ich annehme, zum Beispiel gepackte Daten und so weiter. Und ich habe ein englisches Keyboard Layout und ich habe auch noch deutsches Layout mit drin. Also, dadurch bin ich hier sehr, also ist die Wahrscheinlichkeit, dass es einzigartig ist, ist hier bei den anderen Informationen geringer, aber also hier diesen Browser, den benutzt niemand, also da gibt es nicht so viele, weil Firefox regelmäßig neue Browser rausbringt. Und wenn ich jetzt sogar noch hergehe und diese gleiche Seite, also hier unten für meine Plugins, die Zeitzone und so weiter und meine Bildschirmauflösung, kriegt diese Webseite keine Informationen, weil ich ja was Kripte aktiviert habe. Wenn ich das jetzt aktiviere, so dass die da drauf zugreifen dürfen, dann werden noch mehr Informationen vom Browser abgefragt. Und wie man dann sieht, ich bin einer von, also einzigartig aus 5 Millionen. Das heißt, die Information, die jetzt an diese Webseiten geht, ist so selten, dass halt und ich übertrage halt jetzt plötzlich 22,3 Bits der Information und es reicht dann halt mich aus einer Menge von Internetzugriffen, die hier auf diese Seiten gehen, also ich glaube, das ist halt nicht repräsentativ, aber die Leute, die sich damit beschäftigen, werden wohl hoffentlich irgendwie aktuelle Browser benutzen und so weiter. Auf jeden Fall bin ich schon ziemlich eng eingrenzbar. Man braucht eine große, große Datenmenge, um irgendwie darin unterzugehen und zu sagen, die können mich ja da nicht einzeln rauspecken. Also, wenn jemand sich die Mühe macht und einfach eine Webseite aufsetzt und irgendwie sagt, ich möchte mal gucken, wo es auf der überall hin, dann ist es relativ einfach trackbar. Und installierte Schriftarten ist auch noch so eine Sache, also System-Schriftarten, sobald ich irgendwie eine extra Schriftart habe, bin ich nicht mehr beim Standard, darüber bin ich ziemlich, also mit Javascript ziemlich eindeutig identifizierbar, dass ich, ich bin und wenn es dann zwei Custom-Schriftarten sind, dann ist es quasi gegessen. Das andere ist, es gibt Third-Party-Anbieter, das heißt, wenn ich zum Beispiel jetzt auf sublab.org gehe, da ist eine Webseite namens Open-Street-Map eingebunden, das heißt, das ist schon mal ein bisschen besser als Google Maps, weil es nicht bei Google gehostet ist, aber es ist halt, man muss sich bewusst sein, dafür, dass diese kleine Karte mit der Umgebung vom Sublab angezeigt wird, gehen Daten auch an Open-Street-Maps. Also mit einem Aufruf auf sublab.org schickt mein Browser gleichzeitig auch Daten an Open-Street-Map. Und diese Information und diese Anfragen sind natürlich jetzt nicht nur auf Seiten, die ich Guthalse begrenzt, sondern wenn der Seitenanbieter jetzt beschließt, ich möchte wissen, wer meine Seite besucht und am besten dem seinen Facebook oder Google-Konto auch noch irgendwie mitgeteilt kriegen, also kriegt er nicht so einfach, aber ich möchte über Google oder Facebook zusätzliche Informationen über meinen Besucher haben, macht er einfach einen Like-Button rein und kriegt halt, dann gehen halt auch Anfragen von meiner Webseite an die entsprechenden Dienste anbietet. Das ist halt vom Anbieter, der diese Webseite anbietet, eine relativ einfache Möglichkeit. Früher hat man dazu irgendwie kleine Grafik-Schnipsel eingebunden, heutzutage macht man das halt über Like-Buttons. Und gleichzeitig, wenn man sich das so anguckt, die Daten laufen halt immer übers Internet und wenn man jetzt irgendwie sagt, okay, mal die kommerzielle Seite außen vorgelassen, dass nur die Werbeindustrie hinter mir her ist, sondern irgendwie auch Dienste und Organisationen. Alle Daten, die über dieses Internet laufen, auch wenn sie verschüsselt sind, dann ist halt der Inhalt der Nachricht. Also dann sieht halt der Provider oder der Verfassungsschutz oder das BKA, sieht halt nicht, was auf meiner Seite angezeigt wird, aber es sieht trotzdem, dass ich diese Seite angefragt habe und welche URLs, also welche Adressen ich auf dem Server angefragt habe. Diese Information ist nämlich nicht verschlüsselt und es werden nur die Inhalte, die auf dieser Seite dargestellt werden. Meine E-Mails und solche Inhalte werden verschüsselt übertragen. Wenn aber die E-Mail selber der Inhalt dieser E-Mail nicht verschlüsselt ist, dann kann die der Anbieter zwar nicht mitlesen, weil der Kanal von einem Punkt zum anderen auch schon verschlüsselt ist, aber er sieht zumindest, dass ich irgendwie auf meinen E-Mail-Postfach zugreife. Und das Problem ist beim Start, wenn die da halt gehöriges Interesse daran haben, dann haben die bei dem entsprechenden Anbieter sogar irgendwie schon eine Box stehen, die mein Postfach kopiert und denen ein Backup zukommen lasst. Deswegen, wenn man seine eigenen Mails verschickt von seinem eigenen E-Mail-Mail-Server, was irgendwie relativ viel Aufwand ist und wo man auch viel falsch machen kann, dann ist das Problem zwar behoben, dass irgendwie die Daten anzapft, aber ich muss trotzdem noch um die Verschlüsselung mich bemühen und die Information, dass irgendwie ich eine Mail an jemand anders geschickt habe, ist trotzdem noch da. Also Sie können zwar den Inhalt nicht lesen, aber das, dass da eine Mail übertragen wurde, ist halt protokolliert. Dafür gibt es dann verschiedene Lösungsansätze, zum Beispiel, ah ja, diese Drittanbieter, da habe ich auch noch, ich hoffe, jetzt kackt mein Browser nicht ab, ein Plug-In installiert, das ist Lightbeam, das ist von der Mozilla Foundation, also das funktioniert für Firefox und das macht, also man sieht hier, die Rundenkreise sind die Seiten, die ich tatsächlich angesaft habe, die Dreieckigen sind die, die mitgeladen wurden und jetzt sieht man hier irgendwie, ich habe hier Google.de angesaft und außen rum sind dann halt verschiedene Seiten hier, zum Beispiel, gg.pht.com, ich weiß nicht, was es tut, aber irgendwelche Daten wurden davon nachgeladen. Gleichzeitig sieht man hier, das ist eine Seite, die relativ häufig zugegriffen wird, font.google.app.com, das heißt, alle Seiten, die hier außen rum verbunden sind, meine Stadt.de, visually, weiß ich, wo ich da überall rumgesaft bin, die laden halt Web, also es sind Webseiten, die sich gesagt haben, hey, ist ja voll unpraktisch, diese Schriftarten selber auf meinem Server zu packen, von Google gibt es eine Lösung, also laden wir einfach von Google die Schriftart und das heißt, alle Seiten hier außen rum laden sich die Schriftarten von Google, Google stellt dann ganz tollen Service für Webentwickler zu verfügen, weil da müssen die da einfach nur so einen Code-Schnipp kopieren und schon sieht Google, dass ich diese Schriftart laden möchte. Und was anderen? Vielleicht seh ich es gerade, ich seh es gerade nicht. Irgendwo gibt es hier noch eine, versteckt, eine Seite, die wahrscheinlich auch ziemlich gut verbunden sein sollte, das ist die VG-Wort, das ist die Verwärterungsgesellschaft für Schrift. Und in Deutschland ist es üblich, dass für jeden Webseitenaufruf auf ein News-Portal dort ein Link draufgesetzt wird, dass die abrechnen können, dass der Dienstanbieter quasi wie bei der GEMA eine Vergütung dafür kriegt, dass er jetzt irgendwie ein Schriftstück veröffentlicht hat oder ausgeliefert hat. Und da hängen ziemlich viele deutsche Webseiten dran, das heißt, dort fallen auch wieder alle Daten aus dem deutschsprachigen Raum an von allen Usern, die da drauf zugreifen. Das lässt sich ziemlich gut einschränken, indem er ja was Kript ausschaltet, aber viele Webseiten funktionieren da nicht mehr so gut und ist halt so ein bisschen hickack. Also, man muss halt Aufwand treiben, um seine Privatschwere zu schützen und damit mit dem Komfort geht dann halt auch der Wille, irgendwie seine Privatschwere zu schützen, verloren. Spezial, wenn dann irgendwie Leute ankommen und sagen, hey, hier, guck mal diese tolle Webseite, da kann man voll tolle Dinge machen und du bist nicht dabei, weil du kein ja was Kript hast. So, zurück zur Präsentation. Dann gibt es verschiedene Ansätze. Also, es gibt zum Beispiel das Freifunk-Netzwerk, um dezentrale Netzwerke zu schaffen. Das heißt, statt meinem Internet-Provider habe ich jetzt plötzlich irgendwie den Net-Nachbarn von nebenan, der hoffentlich keine Daten lockt. Und wenn ich nur über das Freifunk-Netz kombiniziere, dann übertrage ich keine Daten über das Internet. Leider ist im Freifunk nicht alles verfügbar, deswegen realistisch werden die großen Daten dann doch wieder über das Netz übertragen. Es gibt dann das Tor-Projekt. Das heißt, wer für meine Daten von meinem Rechner aus verkapstelt in das Tor-Netzwerk und irgendwo am Ende des Tor-Netzwerks plumpsen die dann wieder ins Internet. Das heißt, die Daten, die über Tor übertragen werden, sind nicht eindeutig auf den Browser zurückzuführen. Aber sie werden trotzdem über das Internet übertragen und man hat trotzdem noch die Problematik, dass von Drittanbietern Inhalte nachgeladen werden. Das heißt, wenn ich jetzt irgendwie mit meiner eindeutig identifizierbaren Browser-Kennung einfach den Tor anmache und dann auf diese Seiten gehe, dann weiß der Dienstanbieter die Wahrscheinlichkeit, dass das derselbe Mensch war, der vorhin ohne Tor vorbeigekommen ist, ist ziemlich hoch. Es ist nicht so, dass man da irgendwie 100-prozentige Übereinstimmung machen kann und auch, wenn man irgendwie ein frisch installiertes Betriebssystem hat und nur die Standard-Einstellung des Browsers benutzt, was ich niemandem empfehlen würde, aber dann ist man halt trotzdem noch irgendwie von den Daten, die übertragen werden wie IP-Adressen und so weiter, nachzuvollziehbar und das Tor-Netzwerk ist halt, um die IP-Herkunft zu verschlüsseln, nicht die Kennung des Browsers. Es gibt da so ein Plug-in, also es gibt für Tor eine Unterstützung von Firefox. Da sind schon ein paar vorinstallierte Settings dabei, die das versuchen zu minimieren, aber so ganz funktioniert es auch nicht, also weil die User-Kennung ist halt immer noch gegeben und man muss halt spätestens, wenn man dann über das Tor-Netzwerk sich bei Facebook eingeloggt hat, ist man halt bei Facebook wieder registriert. Also das heißt, die Daten werden halt immer zusammen aggregiert und über Logins ist man 100-prozentig, nachvollziehbar. Ansonsten ist es halt eine statistische Wahrscheinlichkeit. Wie wahrscheinlich ist man diese Person und ich meine, für Werbetreibenden ist wahrscheinlich alles besser als 50, 50 schon mal ganz gut. Das heißt, selbst wenn die nur 60 Prozent richtig liegen, haben sie eine bessere Volksquote, als wenn sie einfach alle Leute damit zumüllen und damit haben sie ihr Geschäftsmodell erreicht. Ja, dann das Böseböse-Internet und seit, das ist letztes Jahr, ich weiß es nicht, glaube ich, vorletztes Jahr vielleicht so geschehen, wissen wir, dass halt irgendwie die Five Eyes, das sind halt die Geheimdienste von Großbritannien, USA, Neuseeland, Kanada und Australien mit im Internet hängen und möglichst viele Daten versuchen abzugreifen und diese dann auf ihre eigenen Server zur Auswertung zu pumpen. Und vorher hatte man irgendwie immer den Gedanken, die Datenmengen, die durchs Internet fließen, sind so gigantisch. Das können die gar nicht speichern. Speicherplatz ist inzwischen so günstig geworden und Rechnerkapazitäten so verfügbar, dass es, wie man dann halt aus den Dokumenten, die etwa Snowden gelegt hat, sehen kann, relativ viel Aufwand getrieben wird und es wird halt vorgefiltert. Aber prinzipiell, die treiben schon ziemlich viel Aufwand, möglichst alle Daten zu kriegen, damit sie alles nachvollziehen können. Und darüber werden dann auch Sachen gemacht, wie zum Beispiel Drohnen-Angriffe geflogen, weil jemand halt irgendwie die falschen Metadaten hat. Das heißt, aus den Daten, die auch, auch wenn ich irgendwie verschüsselt über das Internet kommuniziere, entstehen Metadaten, die werden irgendwo bei den Diensten gespeichert. Und wenn die ihre falschen Schlüsse daraus ziehen, kann es halt passieren, wenn ich gerade zufällig in Afghanistan oder in Syrien oder wo auch immer die ihre Drohnen einsetzen unterwegs bin. Dann sagen die, ja, okay, wir haben jetzt genügend Erkenntnisse und wir glauben zu so und zu viel Prozent, dass da was schief läuft. Und dann fällt mir halt eine Bombe auf den Kopf. Es ist es nicht auszuschließen, dass es da auch irgendwie Kollateralschäden gibt. Aber also ja, dieses Szenario ist nicht aus der Luft gegriffen. Also es gibt also im Netz einige Dokumente, wo man dann sieht, dass irgendwie Drohnen-Angriffe geflogen werden aufgrund irgendwie. Irgendjemand hat es unterschrieben und die Daten, die da vorlagen, sind halt nicht unbedingt aussagekräftig. Also was ist zu tun? Man kann seinen Browser ein bisschen hochrüsten. Also man kann zum Beispiel mit Adblock oder Adblock Plus oder oder oder oder. Es gibt 6000. Also das ist jetzt einfach ein Screenshot von meinem Browser. Man kann einfach die Werbedienstleister ausblenden und versuchen damit, den Fingerprint gering zu halten. Mit Lightbeam kann man sich vor Augen halten, wo die Daten überall hinfließen, sofern sie nicht auf den Weg übertragen, abgegriffen werden. Aber wo man überall schon mal zugreift mit NoScript, kann man halt diesen Fingerprint, den der Browser hinterlässt, einfach minimieren, weil einfach Javascript so viel mehr Information über meinen Browserpreis gibt. Und bei NoScript kann ich halt auch Seitenabhängig sagen, OK, ich möchte für diese Seite erlauben, dass da Javascript läuft, weil zum Beispiel irgendwie mein E-Mail-Provider oder oder oder nicht funktioniert. Aber dass der zum Beispiel irgendwie Google einbindet, um die Schriftart zu laden, damit meine E-Mails schicker aussehen, dann kann ich sagen, auf dieser Seite möchte ich, dass die E-Mail-Funktionalität geht. Aber ich möchte nicht, dass die die Schriftart von Google geladen wird. Das kann aber halt auch nicht irgendwie die ultimative Lösung sein. Die Sache dann halt so Technikverweigerung, dass man sagt, OK, ich benutze kein Handy, ich benutze kein Internet. Ich benutze gar keine Online-Dienste. Ich schaffe auch sogar noch mal ein Bankkonto ab, weil darüber könnte man ja auch noch trackbar sein. Ich glaube, es ist leider nicht realistisch. Man muss halt irgendwie ein gesundes Misstrauen entwickeln. Also wäre meine Hoffnung, dass man irgendwie sagt, muss ich diesen Dienst benutzen? Was ist der Vorteil davon? Was sind die Nachteile? Wem gebe ich damit meine Daten? Und vor allem, wenn der Dienst kostenfrei ist, wie finanziert sich dieser Dienst? Also was ist das Geschäftsmodell dieses Dienstes? Weil wenn der Dienst einfach kostenlos ist, dann kann es einfach sein, dass er auch, wenn er eure Daten nicht direkt so Geld macht, indem er halt zum Beispiel eure Kontakte weiterverkauft oder sowas, sondern dass er einfach eine Auswertung über euer Profil macht und sagt, dieser User hat sich dies und dies und diese Kategorien angeguckt. Und daraus entsteht dann ein Profil, was dann werbetreibenden Angeboten wird und die können dann zielgruppenorientiert werben. Und damit sind die werbetreibenden quasi wieder im Boot und sagen, ja, okay, wenn ich meine Zielgruppe feiner eingrenzen kann, dann bin ich bereit, mehr Geld für Werbung auszugeben. Das heißt, mit euren Daten wird quasi wieder Geld verdient. Und also bei allen Anbietern ist es quasi so, wenn ihr dafür kein Geld bezahlt, dann sollte man sich fragen, warum sind die so nett und geben mir diese Funktionalität umsonst? Ansonsten, Datensparsamkeit ist es A und O. Also immer irgendwie überlegen. Also muss ich da jetzt mir natürlich meine realen Daten eingeben. Also bei den meisten Diensten ist es ja inzwischen ausreichend einfach nur eine E-Mail-Adresse anzugeben. Aber wenn die dann noch nach Handynummer oder Anschrift oder ähnlichen Fragen, warum müssen das echte Daten sein? Also erstens, warum muss ich sie angeben? Und zweitens legt euch Pseudonyme zu und verwendet möglichst viele. Und wenn ihr irgendwie mit Browser-Problemen habt oder sowas und sagt, ja, da tracken die mich, dann deinstalliert einfach den Browser oder stelle irgendwie Caches und sonstige Sachen, installiert einen anderen Browser, benutzt den einfach eine Weile. Ihr seid darüber zwar auch wieder identifizierbar, aber die Korrelation dauert länger. Also wenn man irgendwie für jedes, für jeden Verwendungs-Track ein eigenes Browser-Profil anlegt, dann ist es halt schwieriger, die Zusammenhänge festzustellen. Und es leidet eben immer nur der Komfort. Und das ist irgendwie so das Problem. Also man kann halt irgendwie bis zum gewissen Grad dagegen vorgehen. Aber man kann leider im Endeffekt die vollkommende Sicherheit kann euch keiner liefern. Ja, Edward Snowden, ich hätte jetzt noch das Video gezeigt, falls ihr irgendwie die irgendjemand mal erklären müsst, warum das Ganze irgendwie, was ihr hier im Vortrag gesehen habt, sucht nach Edward Snowden, Dick Pick, also Penis-Bilder. Es gibt eine Talkshow, ich habe jetzt leider den Namen vergessen, ein amerikanischer Talkshow, Late Night Talkshow Mensch, ist zu Edward Snowden gefahren und hat aufgrund von einfach, kann der Staat meine, wenn ich jetzt meine Freundin, Bilder von meinem Penis schicke, kann der Staat es überwachen. Und Edward Snowden hat diese Fragen beantwortet und es ist sehr unterhaltsam und es ist auch ein bisschen augenöffnend. Also es ist so auf einem sehr einfachen Niveau. Das heißt, wenn ihr jemanden, der irgendwie sagt, ich habe ja nichts zu verwergen oder mir ist das alles nicht so wichtig oder so, dann zeigt ihm einfach das Video. Es geht leider eine halbe Stunde, ich hätte es jetzt gerne noch gezeigt, aber so viel Zeit habe ich gar nicht mehr. Und aber sucht einfach auf YouTube, vielleicht braucht ihr euch gar nicht einloggen, dann genau. Hat jemanden Fragen ins Mikro, bitte? Wir sind das eigentlich mit Proxies. Also wenn man kann ja im Browser jetzt Proxie oder einrichten, würde das vielleicht irgendwie helfen, diese Idee? Also dann wird halt der User-Agent ausgetauscht. Aber sobald ich ja was kript, an habe, wird meine Bildschirmauflösung, meine installierten Schriftarten, meine sonstigen Kennungen. Also der Proxie ist dafür da, um bestimmte Merkmale rauszufiltern. Das macht es natürlich schwieriger. Allerdings, wenn ich der Einzige bin, der diesen Proxiedienst benutzt, bin ich halt wieder aus der ganzen Menge ein Einzelner. Und das heißt, man kann halt irgendwie dieses Panoptik-Click einfach mal anmachen und gucken, wie wahrscheinlich ist es, dass es jemand mit der Proxiekennung blubblub irgendwas ankommt. Also wenn der Proxie meine User-Kennung verheimlicht. Also das ist halt so, das Problem bei Proxies, was ich generell sehe, ist, ich muss dem Proxie-Anbieter auch noch vertrauen. Also es ist nicht so, dass ich irgendwie nur dem DSL-Anbieter vertrauen muss, sondern der Proxie-Anbieter hängt ja auch noch zwischendrin. Und wenn der die Daten irgendwie wieder weitergibt, dann hat man auch Probleme. Also das heißt, wenn der voll Ome ist, dann ist höchste Vorsicht geboten, dann hängt da vielleicht sogar jemand drin, der irgendwie die Passwörter mit liest. Und wenn er halt irgendwie Geld dafür will, ist es halt auch nur in den Zwischenschritt. Dann ist es so wie dieses VPN oder Tor-Netzwerk. Dann komme ich halt von dem Proxie-Anbieter an und lief er weniger Informationen. Noch jemand andere Frage? Ich habe noch eine andere Frage. Wurzelmaschinen, also so, das ist ja jetzt mehr oder mehr immer höhere Rechnung leisten, dass man quasi überwürttel Maschinen das Ganze absichert? Wie ist da, da kann man ja im Prinzip... Ja, dann kommt man halt mit einem Default-Browser und schmeißt halt die virtuelle Maschine weg, nachdem man also... Also das wird in der Security-Porrosche gemacht, wenn man irgendwie jetzt glaubt, dass man irgendwelche Software, die Schadcode sein könnte, analysieren will, dann nimmt man irgendwann mal so eine virtuelle Maschine, wirft ihr da drauf und guckt, was die macht und danach wirft man die weg. Das kann man auch mit dem Browser machen. Dann hat man halt den Aufwand, dass man irgendwie... Zum Beispiel, es gibt viele Leute, die ihre Passwörter im Browser speichern. Das heißt, irgendwann werde ich ja dieses Passwort brauchen. Das heißt, selbst wenn ich irgendwie ein frisch installiertes Windows habe und darauf meine VM-State und in der VM starte ich dann irgendwie mein Browser, und das mache ich jedes Mal, dann hinterlasse ich zwar den Fingerprint, aber die Rückverfolgbarkeit über die IP-Adresse ist nicht unterbrochen. Also das heißt, man muss halt irgendwie... Also zum Beispiel, wenn man dann wieder auf Webseiten geht, wo Werbung eingeplendet wird, muss man erst wieder ein Adblocker installieren. Wenn man dann den Adblocker auch jedes Mal wieder nach dem... nach auf den Brück setzen der virtuelle Maschine installieren muss, dann also der Aufwand wächst. Es ist eine Lösung, es verringert den Fingerabdruck, den man hat, aber es gibt halt keine 0815-Lösung, wo man sagt, hier den Knopf drücken und dann ist alles schön. Was ist da mit Docker? Docker ist ja ein Applikationscontainer, der macht das ja im Prinzip... Ja, aber den Setup, also ich brauche halt trotzdem die Informationen, zum Beispiel meine Userdaten, muss ich dann halt wieder in den Browser reinkopieren und also ich kann dann halt nicht mehr die Funktionalität, die... also ich mein... zum Beispiel, wenn ich meine Bookmarks in meinem Browser hab, die sind dann auch wieder weg. Also das ist halt so, der Aufwand, den man treiben kann, wächst und das Problem ist, die Datenübertragung zwischen mir und dem Anbieter ist halt trotzdem eine Information, die als Metainformation, dass ich diese Seite aufgerufen hab, trotzdem gespeichert haben werde. Und selbst wenn dann halt irgendwie das von meinem DSL Anschluss kommt, den ich irgendwie von meinem Bankkonto bezahle, dann ist halt die IP-Adresse da wieder... Dann brauche ich einen Proxy, dann brauche ich einen Dockercontainer, den ich jedes Mal durchwechsel. Also es wird immer mehr, dass der Aufwand, den man treibt und die Werbetreibenden, die machen das halt immer einfacher, diese Nachvollziehbarkeit. Deswegen ist es halt... Ja, also man kann irgendwie immer mehr Aufwand treiben, aber dafür muss man halt auch das nötige Know-How haben. Also es gibt nicht so, hier nimm diesen USB-Stick, stecke ihn rein, boot deinen Rechner davon, dann bist du sicher. Also es ist halt, man muss sich die Gedanken da drüber machen und man muss halt auch wissen, wo sind die Schwachstellen des Systems, was man selber nutzt und... Ups. Okay, danke. Bitte. Hallo. Ich serve auch viel mit NoScript und Adblock, das ist eine feine Sache so. Manchmal kommt man aber dann auch so auf seine Standardseiten und dann wird dann stellen die Seiten sozusagen fest, dass ich mit Adblock, mit NoScript unterwegs bin. Und dann gibt es ein paar, die dann auch interessanter Hinweise hinmachen so, du kannst unseres Seite supporten, indem du mich für hier halt irgendwie diese Werbung freischaltest. Und das wirft bei mir manchmal so ein bisschen die Frage auf, so ist es, also wenn ich jetzt irgendwie... Es ist dann ein gängiger Weg, wie Projekte sich zum Beispiel halt am Laufen halt in der Werbung eingeblendet wird, so glaubst du, dass es gleichzeitig nicht getrackt werden, so und dann hat man irgendwie nicht mehr die Kontrolle drüber. Glaubst du, dass es aus deiner Sicht ein Weg gibt, Werbung im Internet anzubieten, die in Privatsphäre nicht beeinträchtigt, im größeren Stil, oder hältst du das verausgeschlossen? Also theoretisch könnte ja der Dienstanbieter einfach das Werbebanner auf seine... Also dann steht da halt irgendwie... Das Problem ist bei der Werbung, damit sie funktioniert, muss sie personalisiert sein. Also, weil wenn da 0 auf 15 Werbebanner ist, dann klickt halt keiner drauf. Deswegen müsste jeder Seitenanbieter sich damit beschäftigen, welche Werbung möchte mein Kunde angezeigt kriegen oder auf welche Werbung reagiert mein Kunde. Und die Erfahrung hat halt der Werbetreibende, also derjenige, der die Seiten betreibt und damit Geld verdienen will, nicht. Deswegen holt er sich diesen externen Dienstleister ins Haus, der die Erfahrung hat und der auch irgendwie überall im Internet unterwegs ist und diese Daten einsammelt und aus dieser Auswertung quasi diese Information generiert. Das heißt, wenn ich einfach Werbung schalten will, also zum Beispiel bei Wikipedia sieht man das ja, da kommt oben einfach ein Banner oben hinten so, hey, wir sammeln Spenden, bezahl doch mal bitte. Das ist aber nur auf der Wikipedia Seite. Also, da ist dann kein Drittanbieter drin und dann muss man halt abwägen, ist mir die Information oder der Service, den dieser Anbieter liefert, wichtig genug, um dafür Geld zu zahlen. Oder ist es halt irgendwie so, ich surfte halt vorbei, weil irgendwie es ist halt das Angebot gerade interessant. Das ist nicht das Spezielle, also das News-Seiten oder so weiter, dass die anfangen, Geld zu verlangen, meistens nicht. Also ob das das Konzept der Zukunft sein wird im Internet, vielleicht, dass man irgendwie alles bezahlen muss, aber angefangen hat es ja damit, dass alle Leute gesagt haben, Internet ist cool und haben irgendwie eine Website drin gemacht und jetzt stehen die Leute da und sagen, damit die Website funktioniert, kostet das Geld und damit versuchen wir, unsere Kosten zu decken. Ich glaube, dass es einfach so ein zusätzlicher Markt ist, dass die Leute Geld verdienen wollen und dass es am Anfang halt alles umsonst war, war halt irgendwie so das Lockangebot. Und ich glaube nicht, dass es eine gute Lösung gibt, wie man Personen nicht tracken können und ihnen trotzdem Werbung anzeigen. Also das ist so ein Konflikt, der wird fortbestehen. Also vielleicht nur am Anschluss, also gerade das Beispiel von Zeitungen ist da, glaube ich, vielleicht das Treffenste, weil die natürlich jetzt alle händeringend nach der Suche sind, weil guter Journalismus nur mal Geld kostet so, das lässt sich ja nicht bestreiten. Und also in der Konsequenz hieße es ja, wenn wir jetzt sagen, also werbefinanzierte Modelle lehnen wir ab, weil Privatsphäre beinträchtigt werden so, dann muss man ja eigentlich auch B sagen und dann brauchen wir halt Paywalls für alle unsere Freien News-Seiten so. Man könnte halt auch sagen, dass man irgendwie, wenn als User sagt, also das geht ja auch bei diesen Ad-Block-Seiten, dass ich für bestimmte Seiten die Werbung zulassen, dass ich sage, auf meiner Zeitungsseite lasse ich die Werbung zu, ich muss ja dann trotzdem noch nicht auf die Werbung klicken. Also ich nehme die Werbung bewusst in Kauf, um diese Seite finanziell zu unterstützen. Das könnte, also ist ein Modell, dann habe ich den Vorteil, dass ich auf anderen Seiten, die ich nur konsumiere, wo auch diese Werbeinformationen anfallen und meine Daten getrackt werden, dass sie dort ausgeblendet werden. Also dieses Ad-Block ist halt für mich die Wahl, dass ich irgendwie vor der Wahl stehe. Vorher habe ich halt nie die Wahl und die Werbung erscheint immer. Ja, das ist auf jeden Fall super, so, das darf man nicht unterschätzen. Danke. Ich habe eine Anmerkung und eine Frage. Erst mal die Anmerkung für Ad-Block gibt es eine zusätzliche Liste, die Tracking-Anbieter filtet und die beinhaltet auch Drittpartei Brosa Fingerprinting und das finde ich sehr empfehlenswert, das zu aktivieren, vor allen Dingen, weil dadurch auch wieder Fingerprint wäre dieser Einstellung gesinkt, wenn das möglichst viele Leute machen. Genau. Das Zweite ist, du hast gesagt, es gibt Tor-Plug-In für Firefox und da waren wir nicht klar, meinst du das Tor-Plug-In für Firefox und meinst du das Tor-Browser-Bundle? Das Tor-Browser-Bundle. Also man kann über das Tor-Projekt ein Firefox runterladen, der dann irgendwie schon minimalisierte Fingerprinting hat und die Funktionalität anbietet, um rauszuwählen, ob man Tor nutzen will oder nicht. Ja, das wollte ich nochmal für die Zuhörer klarstellen. Tor nur über das Tor-Browser-Bundle benutzen. Kein Chrome, kein Firefox-Mitplug-In, kein anderer Browser. Weitere Fragen? Alle glücklich? Newt. Dankeschön.