Die Wikipedia-Profiler

Cyber-Jagd auf infiltrierte Phantom-Agenten

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

In Webforen und besonders in Wikis besteht eine große Versuchung, sich neben einem offiziellen Account heimlich deren weitere zu halten, um andere Personen vorzutäuschen, welche den eigenen Ansichten beipflichten oder gar bei Abstimmungen die eigene Stimme vervielfachen. Da solche Fake User einerseits die Diskussionskultur manipulieren, andererseits bereits der Verdacht auf solche Manipulation das Arbeitsklima vergiftet, hat man bei der Wikipedia Verfahren entwickelt, um die Identität solcher Phantome mit konkreten Benutzern nachzuweisen. Die angewandten Mittel entsprechen durchaus dem Instrumentarium der Geheimdienste. Der Wikipedia-Aktivist "Hoch auf einem Baum" öffnete beim Chaos Communication Congress 26C3 ein wenig die Trickkiste.

In der Wikipedia hat sich für solche Fake Accounts die Bezeichnung "Sockenpuppe" etabliert, die auf Handpuppen von Bauchrednern anspielt, die ebenfalls zum Schein Dialoge inszenieren, obwohl tatsächlich nur eine Person spricht. Zwar gibt es grundsätzlich sogar legitime Gründe für Sockenpuppen, wenn etwa ein etablierter Autor zu Themen schreiben möchte, die ihm in der Öffentlichkeit peinlich sein oder in sonstiger Weise sein Ansehen gefährden könnten. Manche Wikipedia-Autoren editieren etwa sogar unter Klarnamen, viele pseudonyme Benutzer sind zumindest innerhalb der Wikipedia-Community persönlich einander bekannt, sodass bei kontroversen oder delikaten Themen, sowie bei der Preisgabe privater Ansichten, ein nachvollziehbares Bedürfnis für partielle Anonymität besteht.

Armee der Sockenpuppen

Doch der Missbrauch von Sockenpuppen ist ein ernstzunehmender Faktor bei streitanfälligen Artikeln, zumal hiermit Abstimmungen manipuliert und etwa gegen den Benutzer ausgesprochene Sperren umgangen werden können. Normalerweise höfliche Zeitgenossen lassen unter der Maske ihrer Sockenpuppe ungehemmt die Sau raus und vergiften hierdurch das Klima. Die Wahrscheinlichkeit, dass sich ein versierter Wikipedia-Benutzer Sockenpuppen hält, dürfte gegen 100% tendieren. Sogar Admins fallen zuweilen durch Teilnahme am Sockenpuppentheater auf. Newcomer werden beim Anmelden eines Accounts häufig mit dem Verdacht vergrault, nur eine Sockenpuppe eines missliebigen Zeitgenossen zu sein. Als auffällig gilt bei neuen Benutzern eine auf Anhieb perfekte Beherrschung der Wikipedia-Syntax.

Um den Missbrauch einzudämmen, hat man in der Wikipedia das sogenannte "Checkuser"-Verfahren zur Identifizierung solcher Fakes entwickelt. Einigen handverlesenen Wikipedianern ist der Zugriff auf ein Instrumentarium zum Data-Mining gestattet, mit dem diese "Profiler" die Agenten der digitalen Sockenpuppenarmeen zu enttarnen versuchen.

Starke Nummer

Ein starkes Indiz für die Identität mehrerer Accounts ist die Nutzung derselben IP-Nummer, die ein Wikipedia-Autor bei jedem Edit hinterlässt. Während bei angemeldeten Benutzern jeder Beitrag mehr oder weniger sichtbar mit dem Benutzernamen signiert wird, verbleibt gleichzeitig für den normalen Leser unsichtbar auch eine IP-Adresse, die Wikipedia-Profiler jedoch auswerten und mit der eines verdächtigten Accounts vergleichen können.

Die IP-Nummer ist allerdings nicht eindeutig, denn sie kann vom Provider nach jeder Sitzung neu vergeben werden (dynamische IPs) und daher nur zufällig mit der eines anderen Nutzers identisch sein. Zudem können sich bei öffentlichen Zugängen wie LANs usw. unterschiedliche Rechner dieselbe IP-Nummer teilen, auch kann der gleiche Rechner von unterschiedlichen Personen benutzt werden, etwa in der Familie oder bei öffentlichen Geräten an der Universität oder im Internetcafé. Die Wahrscheinlichkeit jedoch, dass ein bestimmter Wikipedia-Beitrag kurzfristig von zwei unterschiedlichen Benutzern unter einer identischen IP-Nummern editiert wird, ist so gering, dass hierdurch ein starker Verdacht begründet wird. Als weitere Indizien dienen ebenfalls unsichtbar gespeicherte Informationen über verwendete Browser und deren Versionen.

Doch da IPs häufig nur temporär genutzt werden, gehen versierte Sockenpuppenspieler kurz vom Netz, um jeweils eine neue IP zu generieren. Allerdings ändern sich bei diesem Verfahren nur die letzten Stellen der IP, sodass sich lediglich das Spektrum der möglichen Adressen vergrößert, jedoch immerhin einengen lässt.

Führt eine solche Sockenpuppen-Prüfung zu einer Sperrung des Benutzers, kann es vorkommen, das ganze IP-Blöcke gesperrt werden, um eine Neuanmeldung zu vermeiden. Das von manchen Benutzern ausgehende Übel wird als so schwerwiegend empfunden, dass man es in kauf nimmt, unbeteiligte Benutzer auszuschließen, die sich zufällig im selbem IP-Raum aufhalten.

Profiling

Um Fehlschlüsse und hierauf basierende falsche Anschuldigungen und Sanktionen zu vermeiden, muss weiteres belastendes Material herangezogen werden. Der Checker lässt sich daher von einem Vergleichs-Tool Wikipedia-Artikel anzeigen, die sowohl von einem angeschuldigten Benutzer als auch von einem ihm verdachtsweise zugeordneten Account bearbeitet wurden. Die gemeinsamen Interessengebiete sagen allerdings noch wenig aus, denn insoweit wäre es durchaus natürlich, wenn sich an identischen Themen Interessierte bei den gleichen Artikeln treffen.

Stilometrie

Subtiler ist jedoch die Suche nach sprachlichen Übereinstimmungen, etwa signifikanten Fehlern oder stilistischen Anhaltspunkten wie Wortschatz, Ausdrucksweise und Satzlänge. Diese Stilometrie genannte Kunst wurde von Literaturwissenschaftlern und Kriminalisten entwickelt und wird auch von Geheimdiensten zur Identifizierung anonymer Autoren eingesetzt. Klassiker wurden notorische Rechtschreibfehler in Bekennerschreiben der RAF, mit denen man seinerzeit die Täterschaft von Verdächtigen nachzuweisen versuchte.

Ein Abgleich von Texten kann zum Teil sogar automatisiert werden. Wie zuverlässig derartige Verfahren arbeiten, erläuterte kürzlich Mike Brennan in einem Vortrag auf dem Chaos Communication Congress.

Bieten die genannten Verfahren hohe Wahrscheinlichkeiten für eine personale Identität unterschiedlicher Accounts, so schließen sie zufällige Übereinstimmungen nicht gänzlich aus.

Bewegungsprofile

Doch dem Wikipedia-Profiler aus der Abteilung "Gegenspionage" stehen für die Rasterfahndung noch weitere Daten zur Verfügung: Die Zeitpunkte und die Häufigkeit der Editierungen. Durch entsprechende Tools können zeitliche Übereinstimmungen und Arbeitsrhythmus transparent gemacht werden. Benutzer und ihre durch Doppelleben gepflegten Schatten weisen häufig simultane Aktivitätsmuster auf, die sich durch Kurven grafisch darstellen lassen. Verräterisch ist nicht nur, wenn mehrere Accounts etwas zur gleichen Zeit gemacht haben, sondern auch, wenn sie ihr Treiben zum selben Zeitpunkt unterlassen: Unterbricht ein Nutzer während wöchentlich wiederkehrenden Terminen wie etwa TV-Sendungen seine Aktivitäten oder enthält er sich aus religiösen Gründen an bestimmten Tagen jeglichen Computergebrauchs, entstehen signifikante Lücken. Derartige Profile erlauben natürlich weitere persönliche Rückschlüsse auf den Benutzer. Besonders auffällige Spuren hinterlässt ein reisender Sockenpuppen-Regisseur, dessen Ensemble natürlich ebenfalls aus einem neuen, identischen IP-Spektrum sendet.

Wer kontrolliert die Wächter?

Es soll noch eine Reihe weiterer Checkuser-Methoden geben, die jedoch bislang nicht bekannt gegeben werden.

Spätestens bei der Rasterfahndung, welche den vermeintlich anonymen Nutzer bloßstellen kann, stellt sich die Frage nach Datenschutz und betroffenen Persönlichkeitsrechten, etwa dem auf Anonymität. Um Missbrauch zu vermeiden, hat die Wikimedia Foundation für das Checkuser-Verfahren anspruchsvolle Voraussetzungen installiert. Nur sehr wenige, als besonders vertrauenswürdig gewählte Personen haben Checkuser-Berechtigung. In der deutschsprachigen Wikipedia sind dies gegenwärtig drei Checker. Diese dürfen auch nicht auf eigene Initiative tätig werden, sondern nur auf Antrag Dritter, die ein berechtigtes Anliegen substantiieren können. Anträge werden nicht selten abgelehnt, das mächtige Checkuser-Tool soll nicht leichtfertig aus dem Waffenschrank geholt werden.

Mögen sich zwar die Instrumente der Wikipedia-Fahnder mit denen von Geheimdiensten überschneiden, so finden Checkuser-Verfahren allerdings nicht im Geheimen statt, sondern werden öffentlich protokolliert.

Sämtliche Checker können sich zudem gegenseitig kontrollieren, daneben steht eine internationale Ombudsmann-Kommission zur Verfügung. (Der aktuelle deutsche Vertreter scheint allerdings nicht ganz so entspannt zu sein, wie man es sich bei so einer Position wünschen möchte ...)

Datenschutz

Die Speicherung der von jedem Benutzer hinterlassenen IP-Daten, auf welche die Checker intern zurückgreifen können, ist aus Datenschutzgründen zeitlich begrenzt, durchschnittlich auf 90 Tage.

Nicht begrenzt ist allerdings die Speicherung des regulären Editierverhaltens. Jeder einzelne Edit wird grundsätzlich für jedermann recherchierbar gespeichert, und zwar ewig, sofern nicht Admins spezifisch löschen. Insoweit ist es problematisch, wenn die Identität eines Benutzers mit jemandem geprüft wird, der unter einer IP-Adresse editiert hat, denn dann wird ggf. die IP-Adresse eines Benutzers öffentlich bekannt. Diese erlaubt nicht nur Aufschluss über ungefähre Position im Bundesgebiet und seinen Zugangsprovider, über den Wikiscanner kann ggf. sogar eine Firma o.ä. identifiziert werden, deren Rechner benutzt wurde. Genauso gut könnte auf diese Weise auch eine Firma in Misskredit gebracht werden.

Ein ins Fadenkreuz eines anderen geratener Teilnehmer kann sich auch über seine thematischen Vorlieben oder die Teilnahme an Wikipedia-Stammtischen in der Realwelt verraten. Auf diese Weise liefert er weitere Informationen zur Auswertung, die ggf. auch Rückschlüsse auf seine Phantome erlauben, deren IP-Adressen sich örtlich dem frequentierten Wikipedia-Stammtisch zuordnen lassen. Im Falle von Straftaten kann über die IP-Adresse beim Provider der Nutzer ermittelt werden.

Arbeitsklima

So verständlich angesichts des Missbrauchs der offenen Wikipedia-Strukturen der Wunsch nach Kontrolle auch sein mag, so stellt sich angesichts des nachrichtendienstlichen Instrumentariums wie etwa Rasterfahndung und Bewegungsprofilen die Sinnfrage, ob es sich in einem solchen Klima denn noch angenehm editieren lässt. Rechtfertigt die Erstellung einer kollektiven Enzyklopädie derartige Strukturen?

Die - naturgemäß öffentliche - Verdächtigung, Benutzer X und Y seien in Wirklichkeit Sockenpuppen von Z, kann durch Checker zwar ggf. bewiesen werden, jedoch gilt ein negativ verlaufener User-Check nicht unbedingt als Entlastung. Begabte Verschwörungstheoretikern sind daher versucht, aus einem unbestätigten Check erst recht auf einen besonders verschlagenen Sockenpuppen-Dompteur zu folgern und fröhlich zur Hexenjagd zu blasen. Vor dem Verschwörungsdämon, der bis heute noch jeden Geheimdienst zuverlässig mindestens einmal lahmgelegt hatte, ist auch eine Struktur wie die Wikipedia nicht gefeit.

Die Jagd auf Sockenpuppen bindet Energien und Zeit. Durch Beschäftigung innerhalb der Community und administrative Aufgaben schwindet die Kapazität Beteiligter, um selbst in der Wikipedia zu schreiben. Es drängt sich die Frage auf, wer in seiner Freizeit eigentlich Spaß daran haben kann, sich konstant mit Streithähnen herumzuschlagen, die ein Elend nach dem anderen vor einem ausbreiten.