Browser-Erweiterungen: Sensible Daten auch zahlreicher Bundespolitiker ausgespäht
Unter den detaillierten Daten von drei Millionen deutschen Internet-Nutzern, die das NDR Magazin "Panorama" (Sendung: Donnerstag, 3. November, 21.45 Uhr im Ersten) im Handel beziehen konnte, finden sich auch Angaben zu zahlreichen Bundes- und EU-Politikern. Die Datenspur reicht bis ins Bundeskanzleramt. Damit sind sensible Informationen ausgeforscht worden, etwa zu Reisen und Treffs, zur Vorbereitung interner Sitzungen, zum Umgang mit Interessensgruppen oder auch zu privaten Dingen wie Vermögensverhältnissen und Gesundheit. Das behindert die politische Arbeit dieser Bundespolitiker und kann sie sogar erpressbar machen.
Was das konkret bedeutet, zeigt der Fall von Valerie Wilms, Bundestagsabgeordnete der Grünen. Die Browser-Daten zeigen Reiseverläufe von Wilms, geben Hinweise auf ihre Gesundheit, ihre Steuerdaten und lassen Einblicke in ihre politische Arbeit zu. "Natürlich kann es schaden. Man wird damit durchaus erpressbar", sagt Wilms dem NDR. Sie fühle sich "nackt demjenigen gegenüber, der die Daten hat", so Wilms weiter.
In den Daten tauchen auch Politiker auf, die in hochsensiblen Bereichen arbeiten: Helge Braun zum Beispiel. Der CDU-Mann ist Staatsminister bei der Bundeskanzlerin. Er gilt als Vertrauter von Angela Merkel. Über den Computer eines seiner Mitarbeiter sind Brauns Informationen in den Datensatz gelangt. Den Politiker überrascht vor allem, "dass es oftmals ungeachtet der Unzulässigkeit des Datenabflusses schwierig ist, als Anwender diesen überhaupt nachzuvollziehen", so Braun auf NDR-Anfrage.
Ein weiterer betroffener Abgeordneter ist der Europa-Parlamentarier Martin Häusling. Er ist agrarpolitischer Sprecher der Grünen - arbeitet also in einem Bereich, in dem es um hohe Subventionen geht. Mit seinen Daten konfrontiert, reagiert er geschockt: "Aus sowas kann ja jeder ablesen, an was ich arbeite, wo ich selber Recherchen mache, mit wem ich mich treffe." Wer Häusling politisch schaden wolle, könnte mit Hilfe dieser Daten seine Informanten und Gesprächspartner enttarnen, seine Strategien erahnen - und damit seine Arbeit sabotieren. "Wir brauchen als Abgeordnete Vertrauensschutz", so Häusling.
Ähnlich äußert sich Lars Klingbeil, netzpolitischer Sprecher der SPD. Auch hier führt die Spur zum Computer einer seiner Mitarbeiter. Er ist in dem ausgewerteten Datensatz ebenfalls personalisierbar. "Ich habe nicht gewusst, dass solche Sachen identifizierbar sind. Vielleicht ist man da naiv an der Stelle, aber man braucht auf jeden Fall Aufklärung darüber, welche Daten eigentlich erhoben werden und was mit den Daten dann passiert", so Klingbeil zu "Panorama". Wenn sich herausstelle, dass man den Firmen nicht einfach vertrauen könne, "dann müssen Gesetze her", so Klingbeil.
In den Daten tauchen auch Politiker auf, die in hochsensiblen Bereichen arbeiten: Helge Braun (CDU) zum Beispiel, Staatsminister bei Bundeskanzlerin Angela Merkel. Oder Frank Junge (SPD), im Finanzausschuss für den Haushalt der Bundesrepublik verantwortlich. Weitere betroffene Politiker sind Waltraud Wolff, Fraktionsvorstand der SPD, und Annalena Baerbock (Grüne), Mitglied im Wirtschaftsausschuss.
Um an die Informationen zu gelangen, hatten die NDR Reporter eine Schein-Firma gegründet, die vorgeblich im "Big Data"-Geschäft aktiv ist. Gleich mehrere Unternehmen zeigten sich bereit, die Web-Daten deutscher Internet-Nutzer zu verkaufen. Ein Unternehmen bot die nun ausgewerteten Daten schließlich sogar als kostenlosen Probe-Datensatz an. Allem Anschein nach wurden sie über Browser-Erweiterungen, sogenannte Add-ons, erhoben. Diese kleinen Zusatz-Programme dienen sich eigentlich als praktische Helfer für andere Zwecke an, doch einmal installiert, protokollieren und übermitteln sie im Hintergrund auch alle besuchten Seiten eines Nutzers an einen Server, wo die Daten zu Nutzerprofilen gebündelt werden.
Durch Stichproben konnte "Panorama" eine dieser Erweiterungen ausmachen. Es handelt sich um das Programm "Web of Trust", kurz WOT. Die Erweiterung gibt eigentlich vor, die Integrität von Webseiten zu prüfen - eine nützliche Funktion, die dem Nutzer ein sicheres Surfen garantieren soll. Gleichzeitig jedoch übermittelt die Software offenbar im Hintergrund die Adresse jeder besuchten Seite an einen Server, wo die Daten ohne Wissen des Nutzers gespeichert und weiterverarbeitet werden. WOT ist mutmaßlich nur eine von zahlreichen Erweiterungen, die so agieren und für einen steten Datenstrom bei den Zwischenhändlern sorgen. In den Nutzungsbedingungen listet das Unternehmen, das WOT vertreibt, zwar klar auf, dass Daten des Nutzers wie Ort, Datum, Zeit und Webadresse abgegriffen werden. Nutzer stimmen diesen Bedingungen stillschweigend zu. Allerdings betont das Unternehmen, dass es sich dabei um anonyme, nicht personenbezogene Daten handle. Über Methode und Grad der Anonymisierung schweigt die Firma. Auf Anfrage teilte das Unternehmen mit, in seinen Datenschutzrichtlinien werde darauf hingewiesen, dass bestimmte Daten gesammelt und mit Dritten geteilt werden. Die Firma unternehme aber große Anstrengungen diese Daten zu anonymisieren.
Der Hamburgische Datenschutzbeauftragte Johannes Caspar kritisiert das Geschäftsmodell von WOT: "Zur Weitergabe von personenbezogenen Daten brauchen Unternehmen grundsätzlich eine Einwilligung der Betroffenen" - die liegt aber nicht vor. "Die Bezeichnung 'anonymisiert ist hier nicht richtig", erklärte Caspar weiter, eine massive Auswertung der Daten sei daher nach deutschem Recht "nicht zulässig".
In einer monatelangen Recherche (s. NDR Pressemeldung "Ausgespäht: Intime Daten von Millionen Deutschen im Handel" vom 1. November) konnten Reporter der NDR Fernsehmagazine "Panorama" und "Zapp" Zugang zu einem umfangreichen Datensatz erlangen und ihn auswerten. Er stammt von einer einzigen Firma und umfasst schätzungsweise ein Prozent aller aus Deutschland im Monat August besuchten Webseiten. Mit den Daten lässt sich das Leben von Millionen Deutschen nachzeichnen, darunter Manager, Polizisten, Richter und Journalisten. Ihre Web-Verläufe geben intime Geheimnisse aus dem Berufs- und Privatleben preis: Informationen zu laufenden Polizei-Ermittlungen, die Sado-Maso-Vorlieben eines Richters, interne Umsatz-Zahlen eines Medien-Unternehmens und Web-Recherchen zu Krankheiten, Prostituierten und Drogen. Die Daten lassen auch Rückschlüsse darauf zu, wann sich einzelne Nutzer wo aufgehalten haben und erlauben so, Bewegungsprofile zu erstellen. Insgesamt umfasst der ausgewertete Datensatz mehr als zehn Milliarden Web-Adressen, aufgerufen von rund drei Millionen Usern aus Deutschland.
Weitere Infomationen dazu finden Sie in unserer Pressemitteilung vom 1. November, 6 Uhr.
3. November 2016 / IB
***************************************
NDR Presse und Information
Rothenbaumchaussee 132
20149 Hamburg
presse(at)ndr.de
www.ndr.de