Wenn Sie meinen anonym und sicher in Internet zu sein, irren Sie gewaltig. Überall im Web lauern Gefahren für den Computer. Sobald Sie sich mit den Internet verbinden ist der Computer ein Teil des weltweiten Datennetzwerks und kann somit auch von jedem anderen Rechner im Web kontaktiert werden. Ohne weiteren Schutz von Zusatz-Software wie Internet-Firewalls die alle Verbindungen aus und ins Internet überwachen und gegebenenfalls blockieren, ist es für Fremde meist nicht besonders schwer an lokal gespeicherte Daten zu gelangen. Bedenken Sie aber auch, dass sich Software-Firewalls auch wieder durch andere Software aushebeln lassen.
Aber auch sonst hinterlässt jeder Nutzer bei jeder Verbindung zum Internet, auf dem eigenen Rechner und auf fremden Computern im Web, eindeutige Datenspuren. Oft werden diese Daten nur aus technischen oder rechtlichen Gründen protokolliert, zunehmend aber auch gezielt gespeichert um Benutzer- und Kundenprofile zu erstellen. Für kommerzielle Daten-Sammeldienste, Online-Marketing Unternehmen sowie Menschen mit bösartigen oder kriminellen Motiven gibt es reichlich technische Möglichkeiten an detaillierte Informationen über Sie, Ihre Surfgewohnheiten und die verwendete Hard- und Software zu gelangen.

Der normale Internet-Nutzer kann oft gar nicht ermessen, wo und wie er unbemerkt Daten-Spuren hinterlässt, ungewollt Informationen preisgibt oder sein Surfverhalten ausgespäht wird. Das birgt Risiken, denn die Identität des Surfers und seine Gewohnheiten lassen sich so erkennen.
In den folgenden Abschnitten werden nur einige Möglichkeiten kurz beschrieben.

Zum Datenaustausch im Internet (HTTP, FTP, E-Mail, Chat, ICQ, IRC, File-Sharing-Dienste etc.) wird der Kommunikationsstandard TCP/IP (Transmission Control Protocol / Internet Protocol) verwendet. Jeder Rechner erhält zur eindeutigen Identifizierung und zur Adressierung der Datenpakete eine weltweit einmalige numerische Adresse, die IP-Adresse. Die Internet-Protokoll-Nummer ist, beim heute noch verwendeten IPv4-Protokoll eine 32 Bit lange Zahl. Sie wird zur besseren Lesbarkeit aus vier maximal dreistelligen Zahlen, zwischen 0 und 255, die jeweils durch einen Punkt getrennt werden, dargestellt (z.B. 192.168.0.1). Generell wird Ihre aktuelle IP-Adresse bei jeder Aktivität im Internet in LOG-Dateien festgehalten und kann wie eine Telefonnummer zurückverfolgt werden.
Weil die IP-Adressen aber begrenzt sind, kann nicht jedem Rechner dauerhaft eine feste IP-Adresse zugeordnet werden. Deshalb bezieht ein Grossteil der Internet-Nutzer bei jedem Verbindungsaufbau eine temporäre (dynamische) IP-Adresse für die Dauer seiner Online-Sitzung. Die temporäre IP-Adresse wird aus dem Adressraum des Zugangsproviders vergeben und ändert sich in der Regel bei jeder Sitzung. Grosse Unternehmens-Server, die permanent mit dem Internet verbunden sind, haben meist eine fest zugeordnete (statische) IP-Adresse. Hinter jeder Internet-Adresse in Textform steht eine numerische IP-Adresse. Da die Datenübertragung im Internet grundsätzlich nur zwischen IP-Adressen erfolgt, wird beim Abruf einer Internet-Adresse mit Domainnamen diese für den Client (z.B. Browser) von einem DNS-Server (Dynamic Name Server) in die korrespondierende IP-Adresse übersetzt.
Die Inhaber von statischen IP-Adressen bzw. Domainnamen kann man sehr einfach durch eine Whois-Datenbank Abfrage bei den zuständigen Verwaltungsorganisationen (Registry) feststellen. Für .de-Domains ist das die Deutsche Registrierungsstelle DENIC eG (DE Network Information Center) in Frankfurt a.M. (www.denic.de). Für österreichische .at-Domains ist die Registrierungsstelle NIC.AT (www.nic.at) zuständig. Schweizer .ch-Domains sowie Liechtensteiner .li-Domains verwaltet die Registrierungsstelle SWITCH (www.switch.ch) in der Schweiz. Auch für typspezifische Top Level Domains (generische TLD) wie .com, .net und .org-Domains ist eine Inhaber-Abfrage z.B. unter der Adresse www.whois.net möglich.
Auch bei dynamisch vergebenen IP-Adressen lässt sich zumindest das Land und der Provider feststellen, dem der Adressbereich zugeteilt wurde. Eine Whois-Abfrage hierzu ist beispielsweise unter www.ripe.net/perl/whois möglich.

Generell sendet der Web-Browser bei jedem Seiten-Abruf an den Webserver Systeminformationen im HTTP-Header des Requests mit. In der so genannten Browser-Kennung steht der Browsertyp und dessen Versionsnummer, die aktivierten Browser-Fähigkeiten (ActiveX, Java und JavaScript, sowie vorhandene Browser Plug-Ins wie Flash), die Spracheinstellung und das verwendete Betriebssystem. Wenn im Web-Browser das Ausführen von Skripten aktiviert ist kann unter anderem noch die Bildschirmauflösung, die aktuelle Systemzeit und der verwendete Prozessor-Typ abgefragt werden. Alle diese Systeminformationen werden in der Regel dazu genutzt optimierte Webseiten für die unterschiedlichen Bildschirmauflösungen und Browsertypen darzustellen. Sie werden aber auch oft vom Seitenanbieter in LOG-Dateien auf den Webserver mit Datum, Uhrzeit und IP-Adresse des Nutzers für statistische Zwecke gespeichert.
Ferner kann, wenn im gleichen Browser-Fenster weiter gesurft wird, protokolliert werden welche Seite zuvor besucht wurde oder über welche Links/Verweise die aktuelle Seite aufgerufen wurde (Referer). Ebenso lässt sich feststellen über welche Suchmaschine die Besucher auf die Seite gelangt sind, mit Angaben zum Suchbegriff, den der User in die Suchmaschine eingegeben hat. Zudem kann auch die Verweildauer auf den einzelnen Seiten und über welche Website der Besucher das Angebot wieder verlassen hat festgehalten werden. Webmaster erhalten so einen detaillierten Überblick über die Nutzung ihres Angebots und wie sich die Besucher durch die Webseiten bewegen.

Während einer Internetverbindung speichern Webserver, beim Aufruf einer Webseite, oft ungefragt Cookies auf Ihren Rechner ab. Die Cookies werden entweder dauerhaft auf der lokalen Festplatte gespeichert oder sie werden nur temporär abgelegt und nach dem Schliessen des Web-Browsers wieder gelöscht.
Cookies können viel über Ihre Surfgewohnheiten verraten. Die in den normalerweise ungefährlichen Cookies gespeicherten Informationen dienen prinzipiell der Komfortsteigerung des Internetnutzers, der Inhalt ist durch den Betreiber des Webservers frei konfigurierbar. Meist enthalten sie kundenspezifische Nutzungsdaten und Benutzer-Einstellungen, die der Webserver beim erneuten Seitenaufruf wieder auslesen kann. Auf diese Weise wird der Nutzer wiedererkannt und zuvor gemachte Eingaben und Einstellungen stehen automatisch wieder zur Verfügung.
Zu den in Cookies gespeicherten Nutzungsdaten zählen unter anderem LogIn-Informationen, die verwendete IP-Adresse, Informationen zum benutzten Browsertyp und zu Seiten die der User schon mal aufgerufen hat. Des Weiteren kann in den "Keksen" festgehalten werden, wie lange der Nutzer auf den einzelnen Seiten verweilte, welche Eingaben er gemacht hat und welche Waren schon gekauft wurden. Dadurch sind zum Beispiel Online-Shops in der Lage, ihr Angebot individuell auf jeden Kunden abzustimmen. Aber auch Werbetreibende sind mit diesen Informationen in der Lage, gezielt auf die Interessen der Nutzer ihre Angebote zu platzieren. Brisant wird es erst, wenn persönliche Identifikationsdaten (Name, Anschrift, Telefonnummer und E-Mailadresse) in den Cookies gespeichert werden. Diese Daten können zum Beispiel durch das Ausfüllen eines Formulars bei Online-Shops, Verlosungen oder einem registrierungspflichtigen Download an dem Seitenbetreiber übermittelt werden. Spätestens dann ist es mit der Privatsphäre vorbei. Im Laufe der Zeit lassen sich mit den gesammelten Informationen dann auch personenbezogene Benutzer- und Kundenprofile erstellen.
Im Grunde lassen sich die kleinen, maximal 4 KB grossen Textdateien nur von dem Anbieter (Web-Server) automatisch auslesen, der sie auf Ihren Rechner abgelegt hat. Aber auch durch gezieltes Ausnutzen von Sicherheitslücken (Bugs) in den Web-Browsern oder mittels "Späh-Scripten" auf präparierten Webseiten ist es möglich, das Cookies von Fremden ausgelesen und die darin gespeicherten Informationen erfasst werden. In Extremfällen haben Angreifer sogar die Möglichkeit über manipulierte Webseiten speziell programmierte Cookies, die beispielsweise mit HTML-Code ausgestattet sind, in einen lokalen Ordner einzuschleusen. Diese manipulierten Cookies können dann, wenn der Web-Browser eine entsprechende Sicherheitslücke hat, weiteren Schaden anrichten.
Auch nicht ganz ungefährlich sind so genannte Tracking-Cookies von Drittanbietern, die von Werbebanner-Servern auf Ihren Rechner abgelegt werden. Denn die meist international arbeitenden Agenturen haben ihre Werbung auf vielen Webseiten platziert. Beim Besuch einer Seite mit Banner-Werbung des gleichen Unternehmens, kann das Cookie dann wieder ausgelesen werden, weil es vom gleichen Web-Server geladen wird. An der Adresse (URL) des angeforderten Banners ist zu erkennen, auf welcher Partner-Seite des Werbeunternehmens die Werbung platziert ist. So lässt sich anhand der besuchten Webseiten ein detailliertes Bewegungs- und Interessen-Profile erstellen.
Der standardmässige Speicherort für Cookies ist abhängig vom Betriebssystem und vom verwendeten Web-Browser. Unter Windows speichert der Internet Explorer Cookies im Verzeichnis <...\Temporary Internet Files>, sowie im separaten Verzeichnis <...\Cookies> ab. Beim Netscape Browser werden Cookies im Verzeichnis <...\Netscape\User> in der Datei <Cookies.txt> abgelegt.
Am Sichersten ist es natürlich die Cookie Annahme im Browser generell abzuschalten. Allerdings können dann, wenn ein Anbieter die Cookie Annahme zwingend vorschreibt, möglicherweise einige Webseiten oder sogar das komplette Angebot nicht mehr oder nur noch eingeschränkt genutzt werden. Statt dessen löschen Sie besser regelmässig alle vorhandenen Cookies. Die meisten Web-Browser bieten dazu oft eine versteckte Löschfunktion an.

Weitere Informationen zu den "elektronischen Keksen", sowie zu aktuell gefährlichen Cookies und möglichen Abwehrmassnahmen finden sie unter: www.cookiecentral.com

Häufig werden auf kommerziellen Webseiten so genannte Web-Bugs zum analysieren des Klick- und Surfverhaltens der Nutzer, sowie auch für Webzähler eingesetzt. Web-Bugs sind winzige 1 x 1 Pixel grosse transparente Minigrafiken (Clear oder Blank GIFs) die meistens von einem anderen Web-Server geladen werden, wie die aufgerufene Webseite. Das tückische an Web-Bugs ist, dass sie für den Nutzer eigentlich unsichtbar sind. Mit ihnen lassen sich nicht nur die Seitenaufrufe protokollieren, ferner kann mit ihnen auch die Verweildauer der User auf den einzelnen Seiten beispielsweise für statistische Zwecke erfasst werden. Zu alle dem kann der Web-Server, von dem der Web-Bug geladen wird, auch noch ein Cookie auf Ihren Rechner anlegen. Die Annahme von Cookies kann zwar im Browser deaktiviert werden, zur Filterung von Web-Bugs müssen zur Zeit aber noch zusätzliche Programme eingesetzt werden.
Ein weiteres Einsatzgebiet von Web-Bugs sind Werbe-Mails (Spam) im HTML Format. Da Ihre E-Mail Adresse dem Absender bekannt ist, lässt sich sehr einfach feststellen ob und wann Sie die Mail geöffnet haben. Denn durch das Öffnen der E-Mail, bei einer bestehenden Online-Verbindung, wird auch der in der E-Mail versteckte Web-Bug vom Server geladen. Um den Nutzer identifizieren zu können, hat der Web-Bug als Dateinamen entweder einen Teil Ihrer E-Mail Adresse oder einen unscheinbaren Code, der aber der E-Mail Adresse oder einem Nutzer-Profil zugeordnet werden kann. Nach Auswertung der Server LOG-Dateien weiss der Absender genau ob der E-Mail-Account noch aktiv ist und wann welche Mails geöffnet wurden.
Kommen Web-Bugs von grossen international arbeitenden Werbeagenturen zum Einsatz, lassen sich recht detaillierte Bewegungs- und Interessen-Profile anhand der besuchten Seiten erstellen. Ganz besonders dann, wenn die gesammelten Informationen mit Cookies oder einer E-Mail Adresse kombiniert werden können. Dann nämlich wäre es prinzipiell möglich ein personalisiertes Bild des Nutzers zu erstellen.

Ich weise ausdrücklich darauf hin, dass das Datensammeln in Deutschland nicht der Regelfall ist. Hier soll nur auf einige technische Möglichkeiten und potentielle Gefahrenquellen hingewiesen werden.
In der Bundesrepublik Deutschland regelt das Bundesdatenschutzgesetz (BDSG) und das Teledienste-Datenschutzgesetz (TDDSG) die Erhebung, Verbreitung und Nutzung von Daten. Eine personenbezogene Datenerfassung, Nutzung und/oder Weitergabe an Dritte ist, sofern nicht eine entsprechende Einwilligungserklärung der betreffenden Person (schriftlich oder elektronisch) vorliegt, nach dem Datenschutzrecht verboten. Zu den personenbezogenen Daten zählen alle Angaben über Name und Anschrift, persönliche oder sachliche Verhältnisse, sowie Art und Zeitpunkt der Abgerufenen Informationen, installierte Software, Charaktereigenschaften, Beruf und Konfessionsangehörigkeit.
Nach dem Teledienste-Datenschutzgesetz und Mediendienst-Staatsvertrag dürfen ohne Zustimmung des Betreffenden, nur Daten gespeichert und genutzt werden, die zur Abrechnung benötigt werden. Dazu zählen die so genannten Bestands- und Abrechnungsdaten, wie Name, Anschrift, Bankverbindung, Telefonnummer und E-Mailadresse des Kunden, sowie technisch unbedingt erforderliche Nutzungsdaten wie beispielsweise Mitgliedsname, Kennwort und IP-Adresse.

Ihnen steht ein Auskunftsrecht über alle personenbezogenen Daten zu, die über Sie gespeichert werden. Ferner haben Sie Anspruch auf Berichtigung unrichtiger Daten sowie die Löschung von nicht mehr benötigten Daten, sofern sich aus anderen gesetzlichen Regelungen nicht eine Pflicht zur Aufbewahrung ergibt.

In Deutschland müssen die Betreiber von öffentlichen Telekommunikationsnetzwerken, wozu auch die Internet Service Provider (ISP) zählen, nach der geltenden Telekommunikations-Überwachungsverordnung (TKÜV) vom 1. Januar 2005 den Bedarfsträgern (Ermittlungsbehörden wie Polizei, Bundes- und Landeskriminalamt, Staatsanwaltschaft und Zoll, sowie den Aufsichtsbehörden zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit) Zugriff auf ihre Kundendatenbank gewähren. Des Weiteren müssen die ISPs auch die Überwachung und Aufzeichnung des Telekommunikationsverkehrs bei Bedarf ermöglichen. Dies bedeutet, dass für die Verfolgung von Straftaten und Ordnungswidrigkeiten jeder Telekommunikations-Dienstleister auch ohne richterlichen Beschluss die Kundendaten nennen muss. Die Verbindungsdaten der beschuldigten IP-Adresse oder E-Mail-Adresse hingegen muss der Telekommunikations-Dienstleister erst nach einer richterlichen Genehmigung auf Grundlage des Telekommunikationsgesetzes (TKG) den Ermittlungsbehörden nennen. Ist jedoch "Gefahr im Verzug" geht dies auch ohne richterlichen Beschluss. Aus diesem Grund ist jeder Zugangsprovider mit mehr als tausend Teilnehmern Verpflichtet, die wichtigsten Verbindungsdaten (Login-Namen, Nutzungszeit, zugewiesene IP-Adresse, aufgerufene URLs) von jedem Kunden für einen bestimmten Zeitraum zu speichern. Bei Internet-by-Call Zugängen ohne Anmeldung wird anstatt des Login-Namen die Teilnehmer-Rufnummer in Protokoll-Dateien gespeichert, egal welche Übertragungstechnik verwendet wird (analog-, ISDN- oder Mobilfunk). Anhand der Teilnehmer-Rufnummer lässt sich dann der Inhaber des Anschlusses feststellen. Bei Mobilfunk-Anschlüssen kann zudem noch der Standort, anhand der Funkzelle in der sich ein Teilnehmer aufhält, durch den Mobilfunkanbieter ermittelt werden. Denn jede Bewegung in den zellularen GSM/GPRS oder UMTS-Mobilfunknetzen, kann ebenfalls in Protokolldateien beim Netzbetreiber festgehalten werden. Eine aktive Verbindung muss dazu nicht bestehen. Für eine Standortbestimmung genügt es schon, dass der Teilnehmer das Mobiltelefon eingeschaltet hat und im Netz eingebucht ist.
Der Nutzer erfährt von der aktuellen Überwachung natürlich nichts. Allerdings besteht die gesetzliche Pflicht, die Betroffenen nachträglich über die Massnahme zu informieren.

Nach eine EU-Richtlinie werden ab 2007 generell alle Internet- und Telefonverbindungsdaten zwischen 6 und 24 Monate lang zur Terrorismus- und Verbrechensbekämpfung gespeichert (Vorratsspeicherung). In Deutschland soll die minimale Speicherdauer von einem halben Jahr angewendet werden. Jeder Teilnehmer wird nur zum Beginn der Verbindung geortet, Inhalte werden nicht erfasst.