Laptop-Diebe aufgepasst

Heutzutage lässt sich ein gestohlener tragbarer Rechner oft mit Hilfe von Software wieder finden, die die aktuelle Position des Gerätes automatisch an einen zentralen Server meldet. Einige Experten befürchten allerdings, dass diese Tracking-Technologie ohne zusätzliche Sicherheitsmaßnamen ungewollt die Privatsphäre des Nutzers beeinträchtigen könnte.

"Wenn man seinen Laptop verliert, kann einem ein kommerzieller Dienstleister mitteilen, wo sich das Gerät befindet", sagt Tadayoshi Kohno, Juniorprofessor für Computerwissenschaften an der University of Washington in Seattle. "Das Problem liegt aus Sicht des Datenschutzes darin, dass jemand, der Zugriff auf die Datenbank eines solchen Dienstes hat oder in sie einbricht, plötzlich auch über die Bewegungsdaten des rechtmäßigen Besitzers verfügt."

Damit das nicht mehr so sein muss, entwickelten Kohno und seine Kollegen an der University of Washington und der University of California, San Diego, eine freie Software namens Adeona, die Ortsinformationen so erfasst, dass nur der legitime Besitzer eines Rechners auch auf sie zugreifen kann. Die meisten kommerziellen Laptop-Tracking-Dienste setzen eine Software auf dem Computer voraus, die eine Datenbank ständig mit Informationen über den Aufenthaltsort versorgt – anhand von Daten wie der aktuellen IP-Adresse und der örtlichen Netzwerktopologie. Wird die Maschine gestohlen, werden die Informationen auch dann übertragen, wenn der Dieb den Rechner zum ersten Mal wieder mit dem Internet verbindet. Der Nutzer kann mit diesen Daten dann zur Polizei gehen.

Kohno und andere Sicherheitsexperten sorgen sich allerdings darum, dass diese Daten es auch erlauben könnten, Bewegungsprofile des Laptop-Besitzers zu erstellen. In einem Firmenumfeld könnte dies auch zur Betriebsspionage genutzt werden, warnt er. Und weil die Daten in unverschlüsselter Form übertragen und gespeichert werden könnten, ergeben sich weitere Angriffspunkte unterwegs im Netz und in der Datenbank selbst. Adeona setzt deshalb auf verschiedene kryptographische Technologien. Ein Laptop, auf dem die Software läuft, sendet seine Ortsinformationen zwar ebenfalls an eine zentrale Datenbank – in diesem Fall an einen vollständig offenen Server – doch die Daten werden verschlüsselt abgelegt und lassen sich nicht ohne den privaten Zugang des Benutzers lesen.

Selbst wenn der Laptop geklaut wurde, verhindern weitere kryptographische Tricks, dass die Tracking-Daten nin falsche Hände geraten. Installiert ein Nutzer die Software, wird zunächst ein so genannter Seed-Schlüssel generiert. Dieser wird separat abgelegt, beispielsweise auf einem USB-Stick oder einer DVD. Dieser Seed wird dann verwendet, um jedes Mal einen eindeutigen Code zu generieren, wenn die Ortsangaben an den Server geschickt werden. Um zu verhindern, dass ein Dieb den Original-Seed herausfindet, in dem er beispielsweise frühere Übertragungen analysiert, generiert die Software jedes Mal einen neuen Seed, in dem sie das Original auf anscheinend zufällige Art verändert.

Adeona arbeitet unter Windows, Mac OS X und Linux. Für Apple-Rechner existiert außerdem ein Add-on, mit dem periodisch Bilder mit der eingebauten Laptop-Kamera geschossen werden, um noch mehr Beweise zu generieren, die man den Behörden aushändigen kann. Allerdings ist die Technik vor allem darauf ausgelegt, den Datenschutz bei den Trackingsystemen zu verbessern. Ein Hochsicherheitsschloss ist sie nicht – ein schlauer Dieb kann Adeona immer noch umgehen, in dem er die Festplatte des Laptops leer räumt, bevor er ihn zum ersten Mal ins Internet lässt.

Dennoch halten Experten die Lösung für interessant. "Wenn ein Laptop entwendet wird, sollte die Chance, dass er wieder gefunden wird, möglichst groß sein", meint Lawrence Teo, Vizepräsident für Entwicklung bei dem Sicherheitsunternehmen Calyptix Security, der Adeona auf seinem eigenen Rechner einige Monate lang ausprobiert hat. Ein fauler oder unvorsichtiger Dieb lasse das Werkzeug oft auf dem Rechner, meint Teo, so dass genügend Zeit zur Identifizierung bleibe.

"Es ist viel einfacher, ein Laptop-Tracking-System zu bauen, das die Privatsphäre eingrenzt, als eines, das sie schützt", meint Aviel Rubin, Sicherheits- und Datenschutzexperte an der Johns Hopkins University. "Die meisten Leute konzentrieren sich auf die Bequemlichkeit solcher Anwendungen, denken aber nicht an den Datenschutz. Eine Software, die die Privatsphäre schützt, obwohl sie es nicht unbedingt müsste, ist etwas Erfrischendes."

Hinzu komme, dass Adeona im Quellcode vorliege. So könnten Nutzer der Software besser vertrauen. "Man kann sich den Code ansehen und schauen, ob er Hintertüren enthält und wirklich so arbeitet, wie die Macher es sagen. Sie legen damit ihre Karten auf den Tisch."

Die Forscher um Kohno entwickeln derzeit auch an einer Version von Adeona für Apples populäres iPhone und fordern andere Programmierer auf, sie bei ihrer Arbeit zu unterstützen. "Wir hoffen, dass andere Leute diese Idee nehmen, sie verbessern und noch nützlicher machen – beispielsweise für neue elektronische Geräte oder für andere forensische Ansätze." (bsc)