Die Wahrheit über Geolocation


Warum über Geolocation in der Öffentlichkeit fast nichts bekannt ist, hat einen simplen Grund: die Anbieter haben kein Interesse daran, Mißtrauen unter ihren Usern zu sähen. Lieber verbreiten sie das Märchen, dass der User obwohl er seinen Standort abfragt nicht eindeutig identifzierbar ist. Schauen wir uns doch einmal die technische Seite der WLAN basierenden Ortung an.

Die Feststellung des Standortes ist simpel: über die eingebaute WLAN Schnittstelle des Computers wird die Umgebung nach Funknetzen gescannt und deren Signalstärke bestimmt. Diese Informationen werden dann an einen zentralen Server bei Google oder zur Mozilla Foundation gesendet. Von dort wiederum wird die Ortsposition in Längen- und Breitengraden zurückgeliefert die dann in der Karte als eigener Standort erscheint.

Aber wie sieht dieser Ablauf aus Sicht der Gegenseite aus? Die Google Datenbank erhält eine Anfrage von einem Nutzer. Die Anfrage besteht aus den gemessenen Signalstärken von WLAN Netzen plus der IP Adresse des Nutzers. Der Witz ist, dass nicht nur der User weiß wo er sich befindet, sondern Google weiß es auch. Das heißt, es kann eine Verbindung hergestellt werden zwischen der IP Adresse und den Geodaten. Über die Geodaten wiederum können zuerst einmal Wohnort und Hausnummer identifziert werden, und mittels Anfrage an ein Telefonbuch auch Name, Vorname usw. Anders ausgedrückt, eine WLAN bezogene Geolocation über einen Google Server ist ungefähr die privacy invasivste Technologie die derzeit existiert und die dazu führt, dass alle Internet-User mit Name und Adresse ermittelt werden.

Dennoch gibt es einen gewissen Schutz vor Datenausspähung. Und zwar sind die Wifi-Datenbanken von Google nicht öffentlich einsehbar. Das heißt, als normaler User hat man nicht die Möglichkeit für eine beliebige IP Adresse herauszufinden wo sich der User gerade aufhält. Aber Google kann das. Und alle die Zugriff haben auf die Google Datenbank können das auch. Zugriff erhält vor allem die Werbeindustrie, welche die Haupteinnahmequelle für Google darstellt.

Was ebenfalls nicht in den Hochglanzprospekten drinsteht ist die Tatsache, dass man Geolocation technisch bedingt gar nicht anonym gestalten kann. Nehmen wir mal an, Google hat ein Interesse daran, die IP Adresse und die Geolocation schön voneinander zu trennen und nicht in Beziehung zu setzen. Wie will Google dann dann den ermittelten Standort an einen Nutzer zurücksenden, wenn es die IP Adresse nicht benutzen darf? Richtig, gar nicht. Anders gesagt, in dem Moment wo der Nutzer auf seiner Karte die Position angezeigt bekommt, hat Google an diese IP Adresse ein Datenpaket gesendet. Das heißt, der Verbindung zwischen der IP Adresse und der Ortsangabe wurde hergestellt. Hier von Datenschutz sprechen zu wollen ist unmöglich, das ganze kann nur als Totalüberwachung bezeichnet werden.

Etwas gegen diese Praxis unternehmen kann man nicht. Selbst wenn der Einzelne auf jegliche Geolocation verzichtet und keinerlei Daten mehr an Google versendet, wird sein WLAN Signal vom Nachbarn erfasst und der sendet es dann zu Google. Das ganze ist ähnlich wie bei Facebook wo auch die Leute ein Profil bekommen, die gar nicht angemeldet sind. Das einzige was man tun kann, ist darüber aufzuklären wie solche Datenbanken entstehen und man kann beobachten dass in jüngerer Zeit eine Art von Gegenbewegung einsetzt, bei der parallel zu den kommerziellen Wifi-Geolocation Datenbanken noch weitere OpenSource Datenbanken entstehen. Wo also exakt nochmal die selben Daten erhoben werden, diesmal jedoch mit OpenSource Software und mit öffentlichen Abfrageschnittstellen um zumindest kostenlosen Zugang zu bieten. Die Mozilla Foundation war die erste die damit begonnen hat, Google Parolie zu bieten. Keineswegs schützt die Mozila Foundation die Privatsphäre ihrer Nutzer besser, sondern es wird eine weitere Datenbank mit nochmehr Daten aufgebaut, die so das Fernziel, später einmal öffentlich einsehbar sein soll.

Die Problematik bei dem ganzen ist, dass man mit rechtlichen Mitteln das Problem nicht wird lösen können. Die Ursache des Problems ist vielmehr, dass die Technik sich immer weiterentwickelt. Gäbe es beispielsweise kein WLAN (so wie vor dem Jahr 2000) wäre es auch nicht möglich, derartige Datenbanken anzulegen. Und gäbe es keine Festplatten, könnte man auch nicht Terabyte an Daten speichern. Und mehr noch, wenn ein wenig in die Zukunft blickt, wird in Zukunft die Geolocation vermutlich noch erweitert werden. Bisher ist es noch so, dass man eben nur Wifi-fähige Endgeräte orten kann, nicht jedoch Menschen. Wenn also jemand ohne sein Handy und ohne Notebook durch die Stadt läuft, sendet er keinerlei Standortdaten und ist damit unsichtbar für Google.

Das ip-basierende Geolocation keineswegs Science-Fiction ist kann man an der Webseite https://www.maxmind.com/en/geoip2-databases sehen. Dabei handelt es sich um einen kommerziellen Anbieter der für 100 US$ monatlich für jede beliebige IP Adresse die Geodaten bis hinunter zur Straße verrät. Wohlgemerkt, nicht für die eigene IP Adresse, sondern für eine beliebige. Vermutlich wird Maxmind dazu die Google Datenbank nutzen. Schaut man sich die Produktbeschreibung an, so wird deutlich wer die Zielgruppe von diesem Dienst ist. Da ist die Rede davon, dass man seine Visitors nach Städten segmentieren kann. Anders gesagt, wer einen Webshop betreibt und access.log Daten hat in denen die User mit IP Adresse vermerkt sind kann mit Hilfe von Maxmind diese Daten aufschlüsseln und genau ermitteln, wer sich dahinter verbirgt.

Interessant ist auch, dass maxmind offenbar keine Nachhilfe in Sachen Tor-Exit-Node benötigt. Sondern das ganze ist in der Leistungsbeschreibung bereits enthalten, dass es entweder nicht aufgelöst wird oder eben doch aufgelöst wird (je nach gebuchtem Paket).

Interessanterweise hat Maxmind auch noch ein OpenSource Paket im Angebot, die sogenannte „Geolite Legacy Datenbank“ ist eine 33 MB große Zip-Datei in der IP Adresse nach Städten sortiert sind. So kann man ohne Geld auszugeben, zumindest sehr grob einschätzen woher jemand kommt. Auch hier wieder dürfte der Anwendungszweck so sein, dass Webseitenbetreiber ihre access.log Files gegen diese Datenbank laufen lassen um so besser zu verstehen, wer ihre Kunden sind.

Obwohl Maxmind relativ offen über die Möglichkeiten ihres Produktes berichtet, untertreiben auch sie was die tatsächliche Leistungsfähigkeit angeht. So ist in der FAQ zu lesen, dass die Genauigkeit im Bereich von mehreren Kilometern liegen würde. Schauen wir uns dochmal die technische Seite von Wifi-Ortung an um zu überprüfen ob das so stimmt:

Ein User sendet an Google die Information, dass er mit seinem Notebook gerade die SSID a,b,c und d empfangen kann, jeweils mit SSID-Name, Mac-Adresse und Signalstärke. Da die Mac-Adressen (BSSID) weltweit einzigartig sind ist eine Verwechslung praktisch ausgeschlossen. Das heißt, jemand der eine bestimmte SSID empfängt liegt zwingend im Umkreis des Routers, kann also in einem Radius von 50 Metern weltweit geortet werden. Über die Signalstärke kann man zusätzlich noch eine Triangulation durchführen so dass die Genauigkeit bis auf den Meter erhöht wird. Das reicht aus um die Wohnung einer Person genau zu detektieren. Anders ausgedrückt, die tatsächliche Genauigkeit von WLAN Ortung ist praktisch nicht mehr steigerbar, so exakt arbeitet das System. Was Maxmind tun kann ist die ursprüngliche Datenbank mit einem Rauschen zu versehen um die Genauigkeit zu vermindern. Dazu wird mittels Zufallszahlengenerator einfach eine Abweichung hinzugerechnet um so eine schlechtere Signalstärke vorzutäuschen als vorhanden ist.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s