Kunstaktion Die Honeypot-Methode von "Soko Chemnitz"

Alles nur ein geschicktes Täuschungsmanöver: Die Künstlergruppe "Zentrum für politische Schönheit" (ZPS) hatte am 3. Dezember eine Webseite "Soko Chemnitz" online gestellt, auf der Nutzer die Teilnehmer einer Demonstration in Chemnitz identifizieren sollten, an der zahlreiche Rechtsextremisten teilnahmen und bei der auch Hitlergrüße gezeigt wurden. Nach Internettumult und Polizeieinsatz dann die spektakuläre Auflösung am 5. Dezember: Die Seite selbst sei ein sogenannter "Honeypot" gewesen, auf der die Rechtsextremisten ihr eigenes Netzwerk durch die Suchfunktion unbewusst preisgegeben hätten, so die Künstlergruppe in ihrer Mitteilung.

Bislang ist es allerdings bei dieser Behauptung geblieben. Beweise, dass über die Suchfunktion der Seite www.soko-chemnitz.de eine umfassende Datenerhebung und Analyse durchgeführt wurde, blieben die Aktivisten schuldig. Allerdings klingt das dargestellte Verfahren durchaus plausibel, wie der Chemnitzer Informatiker Ralph Sontag auf Anfrage von MDR WISSEN sagt.

Bildrechte: ZPS/www.soko-chemnitz.de

Im Grunde handelt es sich um übliche Methoden von Data-Science, einer Fachrichtung von Informatik, die sich mit großen Datenmengen, mit Big Data, beschäftigt. "Man kann ein solches System durchaus in ein bis zwei Wochen auf die Beine stellen, da es als Kunstprojekt freier ist, als wenn eine Firma das programmiert", sagt Sontag, der einer der Mitorganisatoren der Chemnitzer Linux-Tage ist. "Die Programmierer können hier frei wählen, welche Programmier-Technologie am besten geeignet ist und Schritte wie die Dokumentation oder kompliziertes Qulitätsmanagement entfallen." Um die angegebenen Ziele zu erreichen, sei aber ein umfangreiches Vorwissen aus verschiedenen Fachrichtungen nötig, beispielsweise aus Informatik, Mathematik, Gesellschaftswissenschaft und Psychologie.

Die Honeypot-Strategie stammt ursprünglich aus der Cybersicherheit: IT-Sicherheitsleute platzieren einen scheinbar ungeschützten Rechner in einem Firmennetzwerk, der als Scheinziel Angreifer anlocken soll – so wie ein Honigtopf die Aufmerksamkeit eines Bären von der eigentlichen Beute ablenken soll.

Dringen Hacker in diesen "Honeypot" ein, zeichnet dieser das Verhalten der Angreifer genau auf. So erfahren die Verteidiger, welche Strategien die Eindringlinge nutzen und können so auf mögliche Schwachstellen ihrer eigenen Infrastruktur schließen.

Der Honeypot im Fall von "Soko-Chemnitz" hat allerdings anders funktioniert. Vordergründig zeigte die Künstlergruppe auf der Webseite Fahndungsplakate von Teilnehmern der Demonstration Anfang September in Chemnitz. Damit wollten sie Demonstranten auf die Seite locken und dazu bringen, über die Suchfunktion nach sich selbst und anderen Demo-Teilnehmern zu suchen.

Das Verfahren dahinter könnte dem einer Suchmaschine wie Google geähnelt haben. Dort werden Suchanfragen systematisch ausgewertet, um die Vorlieben und Interessen der Nutzer zu erfahren. Google nutzt künstliche Intelligenz, um auszuwerten: Welche Suchbegriffe gehören zu welchen Themenfeldern, welche Produkte sind damit verwandt und so weiter. Dadurch kann es seinen Nutzern gezielt Werbung für Produkte einblenden.

Google muss dafür gar nicht die Namen seiner Benutzer kennen. Es reicht, wenn es sie über verschiedene Besuche hinweg (die Informatik spricht hier von Sessions) wiedererkennen kann. In der Regel funktioniert das über Cookies, also kleine Dateien, die die Seite auf dem Rechner der Nutzer platziert.

Laut dem ZPS speicherte auch die Webseite "Soko-Chemnitz" eingegebene Suchanfragen mit. Ziel war hier allerdings nicht die gezielte Einblendung von Werbung. Stattdessen sollte das Netzwerk der sozialen Beziehungen zwischen den verschiedenen Gruppen und einzelnen Teilnehmern der Demonstration am 1. September detailliert nachgezeichnet werden.

Das ZPS kannte eigenen Angaben zufolge schon vor "Soko Chemnitz" die Namen von rund 1500 Teilnehmern der rechten Demo. Gab nun ein Seitennutzer in das Suchfeld einen dieser bereits bekannten Namen ein, bewertete ihn die Webseite als mögliches Mitglied des Netzwerks. Nun speicherte Soko Chemnitz auch alle weiteren Namen, die dieser Nutzer eingab.

Wurden diese neuen Namen auch von weiteren Besuchern genannt, die sich durch die Eingabe bekannter Namen ebenfalls als potenzielle Netzwerkmitglieder identifiziert hatten, dann stieg die Wahrscheinlichkeit , dass die nun genannten Personen tatsächlich in einer Beziehung zu den Demo-Teilnehmern standen.

Über weitere Parameter – welche Namen tauchen immer gemeinsam auf, woher kommen die Suchfeldnutzer und so weiter – war es dann mit Hilfe von Statistik möglich, Beziehungen zwischen den Namen zu herzustellen und so ein Modell des Netzwerks rund um die Demonstration zu zeichnen.

Das Verfahren ist allerdings nicht frei von möglichen Fehlerquellen. Das ZPS kann nicht wissen, ob sich Nutzer dort wirklich selbst gesucht haben. Dann können mehrere genannte Personen den gleichen Namen tragen. Unbeteiligte könnten dort auch zufällig mehrfach die Namen anderer Unbeteiligter angegeben haben.

Um die Daten sinnvoll interpretieren zu können, sind relativ viele Vorannahmen zu den Strukturen des Netzwerks nötig. Und schließlich kommt es auch auf die Größe des Datensatzes an: Wie viele Suchanfragen gab es tatsächlich in den zwei Tagen, in denen Soko-Chemnitz online war?

Ob die Datenauswertung, so sie denn tatsächlich stattgefunden hat, rechtlich legal war, prüft derzeit die Datenschutzbeauftragte des Landes Berlin. Abgesehen von der Honeypot-Meldung selbst hat das ZPS bislang keine weiteren Details zu Soko-Chemnitz genannt. Ralph Sontag hält es allerdings für gut möglich, dass die Aktion auf dem kommenden Chaos Computer Congress zwischen Weihnachten und Silvester in Leipzig ein Thema wird.