Nackt im Netz: Millionen Nutzer ausgespäht
Was wir im Internet tun, zeigt, wer wir sind: Einkaufen, Bank-Geschäfte, Reiseplanung oder Porno - alles geschieht online. Multinationale Firmen machen aus diesen Informationen ein Milliardengeschäft. Sie sind in der Lage, jeden Schritt mitzuzeichnen, den User im Internet unternehmen. Diese Informationen verkaufen sie dann in Paketen weiter - angeblich anonymisiert und ohne Schaden für den Nutzer. Recherchen des NDR zeigen indes, wie einfach sich diese Daten konkreten Personen zuordnen lassen und wie umfangreich sie intime Details aus dem Leben der Nutzer preisgeben.
In einer monatelangen Recherche konnten Reporter von Panorama und ZAPP Zugang zu einem umfangreichen Datensatz erlangen und ihn auswerten. Darin enthalten ist jede Bewegung von Millionen von Internet-Nutzern im Monat August. Mit den Daten lässt sich das Leben der User bis in den intimsten Bereich nachzeichnen. In dem Datensatz finden sich neben privaten Nutzern auch Personen des öffentlichen Lebens: Manager, Polizisten, Richter und Journalisten.
Geheimnisse über Privates und Berufliches
Ihre Web-Verläufe geben intime Geheimnisse aus dem Berufs- und Privatleben preis: Informationen zu laufenden Polizei-Ermittlungen, die Sadomaso-Vorlieben eines Richters, interne Umsatzzahlen eines Medien-Unternehmens und Web-Recherchen zu Krankheiten, Prostituierten und Drogen.
Für Big Data Scientist Andreas Dewes ein Unding. "Für mich war sehr überraschend, wie einfach man einen Großteil der Daten deanonymisieren konnte. Die Privatsphäre des Nutzers wird in keinster Weise respektiert."
Eine zentrale Rolle spielen offenbar kostenlose Zusatzprogramme mit einer versteckten Ausspähfunktion. In den Recherchen des NDR fiel etwa eine Browser-Erweiterung der Firma "Web of Trust" (WOT) auf. WOT bietet eigentlich einen Service an, der dem Nutzer dabei helfen soll, sicher zu surfen: Die Erweiterung prüft die Integrität von Webseiten, bewertet besuchte Seiten anhand eines Ampel-Systems im Hinblick auf Sicherheit.
Im Hintergrund protokolliert und übermittelt die Erweiterung aber auch die Daten zum Surf-Verhalten des Nutzers an einen Server im Ausland. Dort wird ein Profil erstellt, bei dem Datum, Uhrzeit, Ort und angesteuerte Web-Adresse gemeinsam mit einer Nutzer-Kennung abgespeichert werden. Diese Daten gehen dann an Zwischenhändler. Von einem dieser Zwischenhändler haben Panorama und ZAPP ihren Datensatz bezogen.
Daten trotz Anonymisierung personalisierbar
Auf Anfrage teilte WOT mit, in seinen Datenschutzrichtlinien werde darauf hingewiesen, dass bestimmte Daten gesammelt und mit Dritten geteilt werden. WOT unternehme aber große Anstrengungen diese zu anonymisierten. WOT weist auf seiner Webseite darauf hin, dass die Erweiterung Daten wie etwa Web-Adressen abgreift und an Dritte weitergibt. Reporter des NDR konnten in Stichproben mehr als 50 Nutzerinnen und Nutzer persönlich identifizieren, zum Beispiel über E-Mail-Adressen, in denen der Name steht, Anmeldenamen oder andere Bestandteile der aufgerufenen URLs.
Der Datenschutzbeauftrage Hamburgs, Johannes Caspar, kritisisiert das Vorgehen von WOT. "Zur Weitergabe von personenbezogenen Daten brauchen Unternehmen grundsätzlich eine Einwilligung der Betroffenen." Dazu müsse der Nutzer genau wissen, wozu er zustimmt. Dies sei bei WOT nicht der Fall. "Eine massive Auswertung der Daten sei daher nach deutschem Recht "nicht zulässig", so der Datenschützer.
Die Daten lassen Rückschlüsse darauf zu, wann sich einzelne Nutzer wo aufgehalten haben und erlauben so, Bewegungsprofile zu erstellen. Insgesamt umfasst der ausgewertete Datensatz mehr als zehn Milliarden Web-Adressen, aufgerufen von rund drei Millionen Usern aus Deutschland.
Kontoauszüge und Personalausweis im Netz
Wie nackt sich die Nutzer im Netz unfreiwillig darstellen, zeigt das Beispiel eines Managers aus Hamburg. Sein Datensatz beinhaltet unter anderem eine Reihe von Links zu einem Online-Speicher-Dienst, bei dem er Unterlagen zu einem Hausbau abgelegt hat. Jeder, der diese Adressen kennt, kann darüber Kontoauszüge, Architektenzeichnungen, Lohnabrechnungen mit Hinweisen auf das Bonus-System des Arbeitgebers, eine Kopie des Personalausweises und detaillierte Auszüge aus den Unterlagen zu einem Bankkredit abrufen.
Kriminelle könnten Identität kapern
Dabei sind Namen und Anschrift des Managers und seiner Frau ebenso sichtbar wie Telefonnummern und E-Mail-Adressen. Kriminelle könnten mit Hilfe dieser Unterlagen die Identität des Mannes kapern oder ihn mit den Details zu seinem Surf-Verhalten erpressen.
Um an die Informationen zu gelangen, haben die NDR Reporter eine Schein-Firma gegründet, die vorgeblich im "Big Data"-Geschäft aktiv ist. Gleich mehrere Firmen zeigten sich bereit, die Web-Daten deutscher Internet-Nutzer zu verkaufen - ein Unternehmen bot die nun ausgewerteten Daten schließlich als kostenlose Probe an. Datenpakete wie dieses bieten unzählige Firmen an.
Die meisten Unternehmen betonen in ihren Datenschutzerklärungen, sie würden keine persönlichen Daten erheben, die Rückschlüsse auf die Identität der Nutzer zulassen. Die Recherche von Panorama zeigt, dass sich den Informationen durchaus die betreffenden Personen zuordnen lassen.
Zwischenhändler vertreiben Datenpakete
Die Software-Entwickler agieren indes oft aus dem Ausland, vermittelt werden die Erweiterungen zum Beispiel über Server in den USA. Häufig vertreiben Zwischenhändler dann die großen Datenpakete. Viele kommen aus Israel, einige bedienen sich auch Briefkastenfirmen in notorisch intransparenten Ländern wie Panama oder den Britischen Jungferninseln. Ein Betroffener, der sich in Deutschland juristisch gegen den Verkauf seiner Daten zur Wehr setzen möchte, hat in so einer Konstellation wenig Aussicht auf Erfolg.