Datenskandal: ‘bist Du gläsern?’ Millionen Daten von deutschen Surfern offen gelegt

Gerade wird der nächste, heftige Datenskandal in Deutschland ruchbar. Bei einer Recherche haben Journalisten gratis "Datenproben" zum 'anonymisierten' Surfverhalten von Millionen Deutschen bekommen. Natürlich ließen sich Personen eindeutig identifizieren … ein paar Details, wer die Daten sammelt und warum niemand etwas gelernt hat.


Anzeige

Der AOL Datenskandal aus 2006

Ich mache mal einen Cut und spule genau einen Tag zurück. Im Artikel Windows 10 und das Datenschutzproblem in Firmen massiere ich das Thema Telemetriedatenübertragung & Co. in Windows 10 und komme zum Schluss: Geht gar nicht. Prompt kommt die Argumentation "ist doch alles anonymisiert". Beim Schreiben des Blog-Beitrags müssen mich hellseherische Fähigkeiten umgeben haben. Dann ich habe mich Sonntag (als der Blog-Beitrag in den Grundzügen entstand) an einen alten AOL-Datenskandal erinnert und Im Blog gesucht. Am 3. Januar 2011 habe ich im Beitrag Privatsphäre beim Suchen wahren über das Thema geschrieben. Zitat aus dem Beitrag:

Wer nun meint, "ist doch unkritisch, was ich suche", mag sich einfach mal den als AOL-Datenskandal bekannt gewordenen Fall zu Gemüte führen. Auch harmlos klingende Anfragen wie nach den "anonymen Alkoholikern" oder Suchen nach bestimmten Selbsthilfegruppen können, in Kombination mit weiteren Suchanfragen,sehr schnell zu einem Profil verdichtet werden, welches detaillierte Auskünfte über individuelle Merkmale gewährt.

Der Fall spielt im im August 2006, also fast genau vor einem Jahrzehnt. Der damalige Online-Riese America Online (AOL) kam auf die Schnapsidee, die anonymisierten Surfdaten von 658.000 Kunden auf einer Seite für Forschungszwecke bereitzustellen. Die Kunden waren zwar mittels einer ID anonymisiert. Aber es dauerte nur wenige Tage, bis findige Journalisten an Hand der Suchbegriffe einen Nutzer identifiziert hatten. Bei Cnet gibt es hier einen Beitrag und die New York Times beschreibt hier die Aufdeckung der Identität von AOL-Kunde Nummer 4417749. AOL zog zwar die Daten zurück und feuerte einige Mitarbeiter. Aber die Daten kursierten im Internet (hier gibt es einen Auszug).

Anno 2016, Deutschland, Big Data und die deutschen Surfer

Na ja, die Amis sind ja auch beliebig doof, Datenschutz kennen die nicht, und wir sind hier ja in Deutschland. Reporter des NDR sowie des Magazins Zapp haben sich – für eine, heute Abend erscheinende Panorama-Sendung – als Schein-Firma im Big-Data-Geschäft ausgegeben und mehrere Firmen im Bereich "Erfassung von Surfdaten" kontaktiert. Vorgebliches Ziel: Ein größeres Datenpaket mit anonymisierten Surfdaten von deutschen Nutzern zu kaufen. Im Rahmen der Aktion wurden gratis Probepakete mit den Surfdaten von 3 Millionen Deutschen im August 2016 übermittelt. Ein Excerpt wurde vom NDR als Nackt im Netz: Millionen Nutzer ausgespäht veröffentlicht.

Man ahnt es schon: Durch ein wenig Datenrecherche (wie damals bei AOL) konnten die Personen hinter den anonymisierten Datensätzen identifiziert werden. Darunter, neben Lieschen Müller auch Manager, Richter, Journalisten.


Anzeige

  • Bei einem Manager aus Hamburg wurde auch eine Link auf einen Online-Speicher-Dienst in den Suchergebnissen gefunden. Wer den Link kannte, konnte Architektenpläne zum Hausbau, Kontoauszüge, Lohnabrechnungen mit Hinweisen auf das Bonussystem des Arbeitgebers und sogar eine Kopie des Personalausweises abrufen. Der gute Mann hatte kein Passwort zum Online-Speicher gesetzt. E-Mail-Adresse des Managers sowie dessen Anschrift samt der Adresse der Ehefrau waren selbstredend mit dabei.
  • Rekonstruiert wurden auch Details zu laufenden polizeilichen Ermittlungen, den sado-masochistischen Vorlieben eines Richters, wie heise.de hier schreibt. Aber auch die internen Umsatzzahlen eines Medienunternehmens und Internetsuchen zu Krankheiten, Prostituierten und Drogen ließen sich aus den "anonymisierten Daten" extrahieren. Quelle ist offenbar dieser Beitrag von mobilsicher.de, die an der Recherche beteiligt waren.

Die Daten werden teilweise durch ausländische Anbieter erfasst und über dubiose Adresshändler an die Werbeindustrie vertrieben.

Wie kommen die Firmen an die Daten?

Ja nee, is klar, die pösen Cookies und das User-Tracking sind schuld. Nicht wirklich, die Panorama-Autoren geben an, dass es Browser-Addons sind, die Daten über das Surfverhalten aufzeichnen und an die Entwickler melden. Konkret: Die Erfassung erfolgt oft durch vom Benutzer installierte Search-Bars oder Browsererweiterungen zum Verwalten von Downloads oder zum Prüfen der Sicherheit von Webseiten.

Nachtrag: Bei Panorama gibt man keine Namen von Erweiterungen preis. Aber Golem listet in diesem Beitrag zum Thema die Namen der beliebtesten Firefox-Browser-Erweiterungen auf. Ganz aufschlussreich. Und es gibt bei heise.de den Artikel Millionen Surf-Profile: Daten stammen angeblich auch von Browser-Addon WOT. WOT steht für ""Web of Thrust" und tageschau.de meldet hier, dass das Tool die Nutzer ausspäht. Zitat:

Reporter des NDR konnten in einer Stichprobe zeigen, dass die Browser-Erweiterung "Web of Trust" ("WOT") im großen Stile Nutzerdaten ausspäht und offenbar an Dritte weitergibt.

Auch über Adware-Blocker könnte man sich Gedanken machen. Speziell zu Ghostery hätte ich hier noch einen Beitrag. Und damit sind wir erneut beim Kernproblem: Die Nutzer holen sich freiwillig die Datensammler in Form von Browser-Erweiterungen aufs System. Da wird noch in Foren rum geprollt, welch Cleverle man sei, und gleichzeitig fließen die Daten ab. Dieser Kommentar bei heise.de bringt es imho auf den Punkt.

Doof für die Betroffenen

Als Betroffener hat man bei dieser Konstellation faktisch keine Chance, sich juristisch gegenüber den ausländischen Adresssammlern zu wehren – selbst, wenn deren Verhalten illegal ist.

Der zweite Skandal hinter dem Skandal: Die Politik in Deutschland und der EU tut da genau nichts. Wenn Du die Frösche weg haben willst, musst Du den Teich trocken legen. Den Bezug von solchen Daten durch die Werbeindustrie unter Strafe stellen würde den Teich trocken legen. Den Handel könnte man auch sanktionieren – wenn ein Wille da ist, klappt das – auch wenn Firmen im Ausland sitzen.

Wie kann man sich schützen?

Es klang ja bereits an: Wer auf Browser-Erweiterungen aller Art setzt, muss sich nicht wundern, wenn sein Surfverhalten ausspioniert wird. Und wenn ich mir meinen Windows 10 und das Datenschutzproblem in Firmen so anschaue, scheine ich nicht so ganz daneben gelegen zu haben, wenn vor diesem Produkt warne (und von begeisterten Privatnutzern nur Kopfschütteln oder verbale Angriffe 'ich würde Windows 10 nur schlecht machen' ernte). Ich möchte zwar nicht so weit gehen, heute zu behaupten: Microsoft vertickt die Daten an Adresshändler. Aber niemand weiß, was wir in 5 oder 10 Jahren erleben oder aufgedeckt haben …

Konkret kann man sich mit wenigen Maßnahmen schon mal selbst ein Stück anonymisieren. Einfach keine Browser-Erweiterungen installieren., wäre mein Ratschlag. Hier ist kein einziges Add-On installiert und ich wurde auch noch nicht von der Werbemafia beim Besuch einer Webseite erschlagen oder entführt. Auch hilfreich: Möglichst nicht ständig an sozialen Netzwerken angemeldet surfen. Häufiger den Privatmodus des Browsers verwenden und vor allem anonymisierte Suchmaschinen verwenden.

Die Site mobilsicher.de, die die Panorama-Recherche begleitete, hat einen Ratgeber veröffentlicht, was man sonst noch tun kann. Persönlich halte ich einige dieser Aussagen aber für etwas zu abgehoben – da muss man sich echt mit beschäftigen (unter Android oder iOS zum Beispiel). Und im Kontext der obigen Ausführungen hätten die App-Optimierungen bei Browser-Add-Ons auf Desktops nichts gebracht. Also: Bis bald, wenn der nächste große Datenskandal überschwappt und wir feststellen, es hat sich nichts geändert. Wird imho keine 10 Jahre mehr dauern.


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Datenskandal: ‘bist Du gläsern?’ Millionen Daten von deutschen Surfern offen gelegt

  1. Holger K. sagt:

    Ich vermute einmal, dass die Mehrheit der Menschen ein Problem damit hat, einen schwer zu fassenden, in der Zukunft liegenden Nachteil geistig zu verarbeiten. Das ist eine Schwäche, die verwandt ist mit der, dass man einen langfristigen, größeren Nachteil gerne in Kauf nimmt, wenn man einen geringen, kurzfristigen Vorteil zu erwarten hat. Das Belohnungssystem im menschlichen Gehirn spielt dabei eine Rolle. Je anfälliger dieses ist, desto eher sind Menschen bereit, für kleine Belohnungen ihre Daten preiszugeben.

    Ich bin kein Humanverhaltensforscher, aber in meiner privaten und beruflichen Praxis habe ich schon manchen Fall erlebt, dass eine nachteilige Entscheidung aufgrund dieser Schwäche getroffen wurde.

    Deswegen gehe ich davon aus, dass die Onlinekriminalität in den nächsten Jahren noch erheblich anwachsen wird, aufgrund der Sorglosigkeit vieler Benutzer mit ihren Daten. Bisher gab es noch keine aufsehenerregenden Berichte über Identitätsdiebstähle oder Erpressungsfälle. Das bedeutet aber nicht, dass solche Fälle nicht schon vorgekommen sind. Wahrscheinlich müssen erst Prominente oder Politiker Opfer werden, damit ein solcher Fall an die Öffentlichkeit gerät und dort für Wirbel sorgt.

    Warten wir's ab.

    • Ralf sagt:

      Diese Beschränkheit menschlichen Handelns hat Erich Fromm schon vor über vierzig Jahren in seinen Büchern beschrieben. Weit vor dem Einsetzen der Digitalisierung. Diese beschleunigt die Folgen dieses Handelns nur noch um ein Vielfaches. Im übrigen ist es auch angebracht, mal den Blick in die Lebenswirklichkeit Afrikas, Lateinamerikas und Asiens zu lenken.

  2. Blupp sagt:

    Ein Zitat von Angela Merkel : "Wir müssen moderne Wege einschlagen und eine gesellschaftliche Debatte darüber führen, dass Daten die Rohstoffe der Zukunft sind" (Tag der Deutschen Industrie, 5. & 6.10 2016)

    Die Rohstoffverwertung läuft doch ganz gut an und die Zukunft wird kaum besseren Datenschutz bieten, zumindest ist eine Trockenlegung des Teiches nicht zu erwarten. :-/

    • Herr IngoW sagt:

      Passendes Zitat, denn Deutschland wird ja wohl nie ein eigenes sicheres BS auf die Beine stellen können. Sie machen sich lieber zu Handlanger für allerlei dubiose Geheimdienste die wir vom Namen her wohl alle kennen.
      Datenschutz ist halt nur ein riesiger Papiertiger ;-) .

  3. Herr IngoW sagt:

    Bei "mobilsicher.de" geht es ja fast nur um Smartphon-Browser.
    Da widerspricht sich schon das nutzen von "Firefox" auf "Android".
    Da bleibt die Frage wer mehr Daten sammelt "Firefox" auf "Android" oder der eigene Browser "Chrom" auf "Android"! (Pest oder Cholera)
    Ein wenig wird noch über "Apple" gesprochen.
    Von PC ist gar nicht die rede.

    • Es gibt genügend höchst interessante Webseiten die das Problem beleuchten und Foren wo man nachfragen kann, wie man seinen PC Sicherer macht oder wie man möglichst sicher mit Netz und doppelten Boden im Netz komfortabel unterwegs ist.

      Die Leute sind jedoch einfach zu Faul sich mit dem Thema zu beschäftigen, oder glauben weil sie einfach zu wenig Ahnung haben könnten sie sich nicht besser schützen.

      Es ist halt immer ein ein abwägen wie viel man von sich preisgeben möchte, kann oder gewillt ist.
      Deshalb ist mein Nick-Name auch der Puritaner, ich nutze schon auch gerne mal was neues aber bin nicht damit einverstanden aus diesem Grund auch gleich alles und jedes von mir preiszugeben.

    • Ist zwischenzeitlich im Text nachgetragen: Die Leute haben sich die Datensammler selbst mit Browser-Add-Ons auf das System geholt. Unnützes ist nicht gratis, auch wenn es drauf zu stehen scheint.

      Die Diskussionen um sichere Betriebssysteme (sicher sinnvoll) und spezielle Browser wie Google Chrome führen im aktuellen Fall am Thema vorbei – da das niemals das Problem war.

      PS: Im Nachgang zu meinen Ausführung zu Windows 10 und das Datenschutzproblem in Firmen wird es interessant werden. Sind ja Firmeninterna mit unter den Datensätzen. Irgend jemand muss die Browser-Add-Ons illegal genutzt haben – und ist damit am Arsch, wenn es raus kommt. Wie der zitierte Richter sich da rauswinden will, ist mir auch unklar.

      Und wenn einer aus der Geschäftsführung das Verwenden bestimmter Add-Ons genehmigt hat, ist er auch am Arsch (Verstoß gegen das Datenschutzrecht und das Betriebsverfassungsgesetz – Stichwort: technische Maßnahmen, die zur Überwachung von Mitarbeitern geeignet sein könnten, sind ohne Zustimmung des Betriebsrats verboten). Wenn ein Arbeitnehmer seine Persönlichkeitsrechte verletzt sieht, wird das für die haftenden Unternehmensmanager eng.

      • Nobody sagt:

        "Wenn ein Arbeitnehmer seine Persönlichkeitsrechte verletzt sieht, wird das für die haftenden Unternehmensmanager eng."
        Mit Verlaub, in welcher Welt lebst du?
        Wenn tatsächlich ein Arbeitnehmer auf die Idee kommen sollte, wegen Verletzung seiner Persönlichkeitsrechte gegen den Arbeitgeber zu klagen (was ich für äußerst unwahrscheinlich halte), dann wird die Justiz einen Teufel tun, den haftenden Manager in irgendeiner Weise zu belangen

        • Wäre nicht der erste Fall, wo ein Arbeitnehmer (z.B. nach dem Ausscheiden oder nach einer Kündigung) die Keule auspackt.

          Und zur Justiz: Keine Ahnung, wie das heute gehandhabt wird. Aber mein Kenntnisstand war, dass bei Feststellung von Rechtsverstößen in Unternehmen die Justiz nicht das Unternehmen, sondern dessen Vertreter in Haftung nimmt. Sollte zum 1 x 1 eines jeden Geschäftsführers gehören, das zu kennen. Und ich weiß, dass die Betriebsleitung in den Betrieben, wo ich tätig war, penibel darauf geachtet hat, die Verantwortlichkeiten nachvollziehbar zu delegieren.

          Was im Einzelfall dabei rauskommt, mag auf einem anderen Blatt stehen. Ich würde mich jedenfalls als GF nicht auf ein solch schmales Brett setzen.

      • Dieter Schmitz sagt:

        Mit Verlaub, das ist Unsinn.

        Der Chef ist der Chef.

        Und wenn der Mitarbeiter etwas von ihm will, gibt es entweder Schweigegeld oder geballte Juristenpower gegen ihn.

  4. Henry sagt:

    > Hier ist kein einziges Add-On installiert

    Mit dem Ansatz kann ich nichts anfangen.

    Ich denke, für z.b. den Firefox ist NoScript
    PFLICHT. Hier bei mir arbeiten zusätzlich uBlockOrigin,
    RequestPolicy und ein paar weitere Sicherheitsaddons.
    (Keine Suchleisten usw.)

    Das auf Seiten gefährliche Scripte lauern können,
    das I-Frames ein Haupteinfallstor sind, das Werbung
    ebenfalls ein grosses Riskiko darstellt ist doch
    allgemein bekannt.

    Daher kann ich deine Aussage im Moment nicht
    nachvollziehen.

  5. Klaus Pit sagt:

    Zwei interessante Artikel zu diesem Thema:

    https://netzpolitik.org//2016/nach-nacktimnetz-so-schuetzt-du-dich-und-deinen-browser/
    In den Kommentaren taucht ein Einspruch von Matthias Eberl auf, Verfasser
    dieses Artikels:

    https://rufposten.de/blog/2016/11/02/die-zwei-browser-loesung-gegen-datentracking/?trashed=1&ids=52

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.