Einerlei: Blog kommt von Log-Datei

Seit mehr als zehn Jahren beschäftige ich mich schon beruflich und privat mit Internet-Technologien aus der Sicht des Anwenders. Leider bleibe ich angesichts der Komplexität des Internets, seiner Möglichkeiten und seiner Gefahren immer ein blutiger Laie. Diesen Blog betreibe ich nun – wie man am  Archiv sehen kann – seit Mai 2011. Hier veröffentliche ich die unterschiedlichsten Dinge: Geschichten, Reime, Bilder, Fotos von meinen  Skulpturen und seit neuestem auch Meinungen. Und heute frage ich mich, warum ich nicht einmal von den Dingen erzähle, die sich im Hintergrund meines Künstlerblogs ereignen; im Untergrund sozusagen? Also die Dinge, von denen man eigentlich nichts mitbekommt, die sich aber voraussichtlich bei jedem, von naiven, gut meinenden Menschen ins Internet gestellten Blog ereignen werden.

Da ich mich grundsätzlich dafür interessiere, wie viele Personen auf meine Inhalte im Internet zugreifen, schaue ich mir regelmäßig die Log-Dateien an, die mir mein Provider jeweils für die vergangenen sechs Wochen bereitstellt. Jeder Bürger sollte ja mittlerweile mitbekommen haben, dass man während des Internet-Surfens eine deutliche Spur hinterlässt. Wenn jemand meine URL „www.knutschpapagei.de“ im Browser eingibt und absendet, wird in der mir zugänglichen Log-Datei erstens der genaue Zeitpunkt in Verbindung mit jeder aufgerufenen Seite, Grafik und Foto protokolliert.

Zweitens wird die IP-Adresse angezeigt, die für den Internetzugang vom jeweiligen Provider vergeben wurde. In meiner Log-Datei ist zwar diese IP-Nummernfolge angezeigt, aus Datenschutzgründen wird jedoch der zur IP-Nummer gehörige Domainname vom Provider für meine Ansicht anonymisiert. Wenn dies nicht geschehen würde, würde ich in der Log-Datei auch zu sehen bekommen, dass beispielsweise jemand – nicht genau wer, aber jemand –  von den Stadtwerken Castrop-Rauxel meinen Blog aufgerufen hat. Zu erkennen sind jedoch Nutzer, die über die Telekom, Arcor oder andere lokale Telekommunikationsdienstleister oder Provider im Internet surfen. Ein jeweiliger Internet-Provider wird in der Regel im Log genannt.

Drittens wird häufig angezeigt, von woher ein Betrachter meiner Seiten kommt. Wenn zuvor in Google nach einem Begriff gesucht worden ist und anschließend in der Google-Ergebnisliste die dort aufgelistete URL zu einer meiner Knutschpapagei-Seiten angeklickt wurde, dann ist die URL der Google-Suchanfrage mit dem Suchwort als Referenz-Adresse aufgeführt.

Und zu guter Letzt wird viertens in der Log-Datei eingetragen, welche Konfiguration der verwendete Computer besitzt: welches Betriebssystem wird verwendet, Windows, Macintosh oder Linux? Welche Version hat das jeweilige Betriebssystem? Welcher Browser in welcher Version wird für die Betrachtung der Seiten eingesetzt? Oder handelt es sich vielleicht nur um einen dieser zahlreichen, so genannten Bots, die das Internet nach für sie relevante Inhalte abgrasen? Diese Bots liefern in der Regel in der Log-Datei auch eine Internet-Adresse mit, auf der man nachschauen kann, welche Zwecke sie verfolgen und wie man ihnen mitteilen kann, dass sie nicht mehr wieder kommen sollen.

Alles in allem sind das sehr viele Informationen, die aber wiederum so unspezifisch sind, dass man nicht wirklich auf konkrete Menschen schließen kann. Ich kann das nicht, ich will das aber auch nicht. Mich persönlich interessiert nur der Umfang des Interesses an der Website insgesamt und welche Inhalte mehr oder weniger beliebt sind. Allerdings kann der Staat auf konkrete Personen rückschließen, wenn er alle nicht anonymisierten Informationen vom Provider einzieht. Aber auch der Staat wird im Falle einer Straftat nicht jeden verfolgen können, da kriminell veranlagte Internetnutzer – und auch andere – durchaus in der Lage sind, eine andere IP-Adresse vorzugaukeln, als sie für den Internetzugang konkret verwenden. Genauso können sie so tun, als ob sie einen Linux-Computer verwenden würden, obwohl das Betriebssystem Windows heißt. Der Angabe zum Browser kann man schon gar nicht trauen. Eigentlich sind nur der Zeitpunkt und die jeweils aufgerufenen Dateien des Zugriffs in der Log-Datei korrekt.

Nun, ich gebe es offenherzig zu: bis zu diesem Zeitpunkt ist das Interesse an meinem Künstlerblog sehr übersichtlich. Vielleicht verirren sich durchschnittlich am Tag fünf Suchmaschinenanfragen auf meine Seiten. Immer mal wieder wird ein Cartoon direkt in einem x-beliebigen Forum verlinkt und so hundertfach aufgerufen, ohne dass auch nur einmal mein Blog selbst besucht würde. Aber dennoch sind meine Log-Dateien schier unglaublich umfangreich! So umfangreich, als ob ich das Hundertfache an Besuchern hätte!

Zunächst einmal tummeln sich in den Log-Zeilen zahlreiche Bots, die sich Ezooms, AhrefsBot, Moreover, Bingbot, Googlebot, findlinks, Pixray-Seeker, magpie-crawler usw. nennen. Von manchen Bots erhoffe ich mir natürlich, dass sie wie der Bingbot oder der Googlebot die Zugriffe auf meine Inhalte steigern werden. Das sind gute Bots. Der Bot „findlinks“ gibt die URL „http://wortschatz.uni-leipzig.de/findlinks/“ mit an, so dass ich nachlesen kann, wie die Ziele lauten und entscheiden kann, ob sie für mich akzeptabel sind. Von anderen Bots verstehe ich wiederum nicht wirklich, was diese eigentlich bezwecken. Das bleibt im Dunkeln, ich erhalte jedenfalls keine positiven Ergebnisse durch diese. Der letztgenannte „magpie-crawler“ interessiert sich ausschließlich für meinen Artikel „Intelligent ist dann ein Regent …“, in dem ich Bezug auf den arabischen Frühling nehme. Es wird nach meiner Durchsicht jeweils nur der Feed zu dieser Seite aufgerufen. Das bedeutet, dass eventuelle neue Kommentare zu diesem speziellen Artikel sofort vom magpie-crawler abgerufen werden. Da die mitgelieferte URL des Bots bzw. Crawlers „www.brandwatch.com“ lautet, die sich selbst als „social media monitoring“ bezeichnet, frage ich mich ernsthaft, was wird hier konkret beobachtet, in wessen Auftrag und mit welchem Ziel?

Manch ein Bot wird hingegen jene Mitmenschen auf diesem Planeten auf meinen Blog aufmerksam gemacht haben, die wohl der Auffassung sind, dass ich völlig verblödet bin. Täglich erhalte ich mindestens einen Kommentar zu einem meiner Artikel. Keine Kommentare, die sich mit dem Artikel, einem Bild oder einer Skulptur irgendwie inhaltlich auseinandergesetzt hätten, sondern nichtssagende, englischsprachige Allgemeinheiten oder unverblümte Werbetexte, doch kostspielige Dienstleistungen in Anspruch zu nehmen, die durch eine vieltausende Verlinkung die Zugriffe auf meine Seite erhöhen würden. Die erstgenannten englischsprachigen Allgemeinheiten sind eben jene Dienste, die von anderen Website-Betreibern nach den zweitgenannten Werbenachrichten in Anspruch genommen worden sind. Denn jeder Kommentar kann auch eine eigene URL auf meinem Blog hinterlassen. Wenn ich den Kommentar unverändert zulasse, wird von meinem Blog auf jene Website-URL verlinkt. Dies verbessert anschließend minimal den Page-Ranke bei Google und anderen Suchmaschinen. Ich sage mir aber, wenn mir eine Person mit einem eigenen Blog, der Rasenmäher für den amerikanischen Markt bewirbt, dessen letzter Artikel von 2010 ist und dessen Inhalte nicht mehr als 15 Produkte umfasst, mitteilt „Your Blog is great!“, dann möchte ich ihm oder ihr zurufen: „Lern und sprich mit mir bitte erst einmal deutsch, bevor Du einschätzen kannst, ob mein deutschsprachiger Blog wirklich großartig ist!“

Die neueste Masche an Kommentaren ist daher, unvollständige deutschsprachige Sätze, die aus irgendeinem Zusammenhang herausgerissen wurden, ohne Bezug zum Artikel zu verschicken. Diese Masche wird aktuell permanent von jemandem betrieben, der vorgibt, jede Menge Bank-Websites zu führen. Er versucht es immer wieder mit einer anderen Bank-Website und zwar jeweils mit dem Ländercode „tk“. Wissen Sie, um welches Land es sich handelt? „Tk“ ist der Ländercode für „Tokelau“! Und wissen Sie, wo dieses Land liegt? Es ist eine Inselgruppe bestehend aus drei Atollen östlich von Neuseeland und umfasst insgesamt 12 qm. Wikipedia weiß entsprechend mehr über das Land. Natürlich kann es eine Person unter den knapp 1.700 Bewohnern am anderen Ende der Welt geben, die es damit gut meint, mir ihre wirren deutschen Sätze zuzuschicken. Natürlich kann es sein, dass für die genannte Anzahl an Bewohnern mindestens fünf unterschiedliche Banken parallel nebeneinander mit großen Gewinnen existieren. Aber wahrscheinlich ist das nicht, oder? Wahrscheinlich ist eher, dass diese Person noch nie auch nur ein Foto von diesem Land selbst betrachtet hat, geschweige denn dessen Boden betreten.

Ich verstehe nicht wirklich, welcher Erfolg durch solche Spam-Kommentare erzielt werden soll. Die angegebenen Webseiten haben kaum Inhalte und ohne Inhalte kann man auch kein Geld verdienen. Ich kann nichts anderes machen, als einfach diese Kommentare abzulehnen. Nur so erreichen die Urheber der Kommentare nicht ihr Ziel.

Dann gibt es wiederum  Zugriffe auf meinen Blog, die eindeutig nichts Gutes versprechen. Wie zum Beispiel jener Nutzer, der über mehrere Tage hinweg versucht hat, sich als Administrator auf die Bearbeitungsoberfläche meines Künstlerblogs einzuloggen. Ich stelle hier einmal einen Auszug seiner Log-Zeile vor:

anon-91-226-96-120.ip.invalid - - [09/Jan/2012:13:51:31 +0100]
"POST /wp-login.php

Wir lesen in der Zeile neben der anonymisierten IP-Adresse und dem Zugriffszeitpunkt den Befehl „POST“ und den Aufruf der Datei „wp-login.php“. Auf dieser Seite gebe ich meinen Nutzernamen und mein Passwort ein, um die Administrationsoberfläche aufzurufen, wo ich z.B. einen neuen Artikel schreiben oder das Aussehen des gesamten Blogs verändern kann. Der Befehl „POST“ besagt, dass jener Nutzer versucht hat, ebenfalls einen Nutzernamen und ein Passwort an diese Seite zu schicken, um so Zugriff auf die Administrationsoberfläche zu erhalten. Dies wollte er sicherlich nicht, um anschließend schadlos diese zu betrachten! Diesen Vorgang wiederholte besagter Nutzer pro Tag ca. 30 Mal über mehrere Tage hinweg. Mein entsprechender Hinweis an meinen Provider ergab die Antwort, dass man diesbezüglich so lange nichts unternehmen könne, wie die Zugriffsversuche nicht erfolgreich seien. Der Versuch eines Zugriffs auf diese Seite sei noch nicht strafbar. Zum Glück ist mein Passwort sehr sicher und nicht mit nur 150 Versuchen zu knacken!

Neuerdings versucht ein anderer Computer-Nerd unentwegt eine ganz bestimmte PHP-Datei in meiner WordPress-Installation zu finden. WordPress ist die Software, mit der dieser Blog erstellt ist. Die Datei TimThumb.php weist eine Sicherheitslücke auf, über die ein Angreifer ungehinderten Zugriff auf die gesamte WordPress-Installation erhält. Näheres zur Sicherheitslücke ist hier zu finden. Jener Angreifer scheint mir allerdings noch nicht in der Lage zu sein, seine IP-Adresse und sein Betriebssystem zu verstecken, denn die Versuche variieren nicht in Bezug auf die Angabe des Providers. Der Provider bleibt bei jedem Versuch der gleiche. Der Angreifer wird daher m. E. eher zu der unbedarften, unangenehmen pickeligen Sorte von Nerds gehören, die noch erste Erfahrungen im kriminellen Internet-Millieu sammeln.

anon-174-36-54-128.softlayer.com - - [26/Feb/2012:11:51:53 +0100]
"GET /wp-content/plugins/vslider/timthumb.php?src=

In seinem Fall wird sein in Dallas/Texas ansässiger Provider “softlayer” im Log aufgeführt. Mit dem Befehl “GET” hat er versucht, die Datei “timthumb.php” eines WordPress-Plugins aufzurufen. Nur zu dumm für den Angreifer, dass ich dieses Plugin nicht installiert habe. Er versuchte es also weiter bezüglich anderer möglicher Plugins in meiner WordPress-Installation, die die timthumb-Datei verwenden. Er ist sich, meiner Meinung nach, seiner kriminellen Handlung nicht bewusst. Nachfolgend liste ich noch das Betriebssystem und den Browser auf, so wie es in der Log-Datei genannt wird:

"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/535.7
(KHTML, like Gecko) Chrome/16.0.912.77 Safari/535.7"

Ein Mac-Nutzer also, aha!

Ich muss abschließend unumwunden zugeben, dass mich diese Angriffe und unseriösen Kommentare absolut nerven. Wenn man – wie ich – einfach nur seine kreative Seite ausleben und diese mit anderen teilen möchte, steht man natürlicherweise in der Öffentlichkeit und ist dadurch eh schon verletzlich. Was sagen andere zu deinen Werken? Gefällt es oder machst du dich lächerlich? Auf entsprechende Reaktionen ist man weitestgehend vorbereitet. Man rechnet aber nicht damit, dass man von Kriminellen konkret missbraucht oder angegriffen wird. Die Situation kommt mir ein wenig so vor, als ob ich obdachlos im Freien übernachten würde und des nächtens die Ratten versuchen, an mir herumzuknabbern. Die Ratten kommen noch nicht an mich ran. Aber was ist, wenn sie einmal die Sicherheitsmaßnahmen überwunden haben? Dann bin ich wehrlos ausgeliefert und kann eigentlich nur noch meinen Blog schließen. Aber vielleicht habe ich meinen parasitären Befall auch noch gar nicht bemerkt?

Die unseriösen Kommentare und konkreten Angriffsversuche sind keine Kavaliersdelikte! Es sind Einbrüche in meine Privatsphäre, auch wenn der Blog natürlich öffentlich zu lesen ist. Es ist aber meine Privatsphäre, weil ich über die Gestaltung der Inhalte und Links im Künstlerblog ganz allein selbst bestimme. Wer dies dennoch versucht, bricht sozusagen in mein Haus, in meine Wohnung ein, bedient sich meiner Kreativität und beschädigt massiv meine Persönlichkeitsrechte. Das Delikt ist demnach dem Hausfriedensbruch gleichzustellen. Entweder es werden dort Inhalte widerrechtlich entnommen, verändert oder es wird unmittelbar auf der Website ein unwiderruflicher Schaden angerichtet. Dieser Schaden kann sich sogar, wie ein mutwillig gelegter Brandsatz auf andere Wohnungen des Hauses übergreifen kann, schädlich auf andere externe Websites oder Computer auswirken.

Ich weiß noch, wie es sich angefühlt hatte, als jemand in meine Wohnung eingebrochen war. Es war nicht nur der Schaden, der aufgeräumt werden musste, es war meine Persönlichkeit selbst, die erheblich gestört wurde. Jemand hatte ohne meine vorherige Zustimmung Besitz von meiner Wohnung ergriffen. Was fiel dem eigentlich ein! Genauso erging es mir, als man mir mein Fahrrad gestohlen hatte. Ich konnte es nicht fassen, wie jemand es wagen konnte, einfach meinen Besitz für seinen zu erklären. Das Fahrrad selbst war relativ alt und nicht mehr viel wert, aber es war mein Fahrrad, das mir gute Dienste geleistet hatte.

Während im analogen Leben unser Verhalten und unsere Sicherheitsmaßnahmen vor  Diebstahl, Angriff und Missbrauch in gewisser Weise eingeschliffen sind, wir – ohne darüber nachzudenken – gewisse Wege meiden und Wertsachen sicher abschließen, ist ein solches Sicherheitsverhalten im digitalen Leben bislang kaum verinnerlicht. Im Netz bewegen wir uns als Besucher und als Inhaltsanbieter völlig unbedarft und werden dort entweder von ausgewachsenen Kriminellen oder von pubertierenden, im analogen Leben (noch) nicht lebensfähigen Computer-Nerds aggressiv angegangen. Dieser Umstand sollte uns mehr als bisher bewusst werden. Entsprechend sollten wir mehr digitale Sicherheitsmaßnahmen an den Tag legen und zu jedem Zeitpunkt alle Vorgänge, an denen wir im Netz beteiligt sind, kritisch beobachten.