Datenschutz

Editorial: Wenn das Sicherheitstool unsicher ist

Browser-Plugins sammeln Daten und telefonieren diese nach Hause. Dem steht der User fast wehrlos gegenüber. Was müsste sich ändern?
AAA
Teilen (5)

Editorial: Wenn das Sicherheitstool unsicher istEditorial: Wenn das Sicherheitstool unsicher ist An Datenskandale scheint sich die Öffentlichkeit bereits derartig gewöhnt zu haben, dass sie kaum noch wahrgenommen werden. Bei welcher prominenter Website wurde etwa zuletzt die User-Datenbank geknackt, so dass massenhaft Login-Daten abgegriffen werden konnten? War das Yahoo, Google, LinkedIn, Dropbox oder doch ein anderer prominenter Betreiber? Die meisten Anwender dürften weder diese Frage beantworten können, noch die drei Grundregeln für sichere Passwörter kennen.

Ab und zu schafft es dennoch eine Meldung über Datenhandel und Datenklau über die Fachmedien hinaus in den Mainstream. Letzte Woche gelang dem NDR dieser Coup, indem er die Surfprofile von nicht weniger als 3 Millionen Nutzern auskundschaftete. Diese waren dem NDR von einem dubiosen Datenhändler als kostenlose Vorschau auf den wohl noch deutlich umfangreicheren Komplett-Datenbestand übermittelt worden.

Das perfide an dem von dem NDR aufgedeckten Skandal: Ausgerechnet ein Browser-Plugin, das dem Nutzer mehr Sicherheit und Datenschutz verspricht, indem es den Nutzer vor betrügerischen und fragwürdigen Websites warnt, hatte die Daten abgegriffen. Wenn man schon Datenschutz-Tools nicht mehr glauben kann, wem dann überhaupt?

Kleingedrucktes

Zwar hatte sich der Anbieter des "Web of Trust" genannten Plugins in den Lizenzbedingungen die Erstellung von Nutzerprofilen und die Datenweitergabe vorbehalten. Doch erfolgte die Datenweitergabe in einer derart hohen Detaillierung, dass die versprochene Anonymisierung vom Erwerber der Daten ganz einfach ausgehebelt werden konnte. Dazu musste der Erwerber lediglich die angesurften URLs auswerten: In vielen URLs steckte ein Klarname, oft dürfte das der des ausgespähten Nutzers oder eines engen Bekannten von diesem sein. Zwar lässt sich so nur ein Teil der Daten deanonymisieren. Betreibt der Datenkäufer aber selber eine große Internetplattform und "kennt" daher die Nutzer, dann muss er lediglich die in den gekauften Daten registrierten Klicks der User auf seine Internsetseite mit den Daten der eigenen Server abgleichen. Und schon weiß beispielsweise Amazon als möglicher Datenkäufer, wer ihrer Kunden wie oft "fremdshoppt", oder eine Fitness-Kette, welche ihrer Kunden sich im Web über Anabolika informieren.

Nun ist es nach deutschem AGB-Recht schlicht und einfach unzulässig, einen Vertrag per Kleingedrucktem ins Gegenteil zu verkehren. Ein Sicherheitstool, dass die Anonymität des Users aushebelt, ist kein Sicherheitstool mehr. Das sahen auch die großen Browser-Hersteller allesamt so, und haben das Web-of-Trust-Plugin von den Download-Servern für Plugins verbannt. Nur: Nach den Recherchen des NDR war "Web of Trust" anscheinend nur eines der Datenlecks, aber das einzige, das identifiziert werden konnte. Die anderen sammeln also fleißig weiter.

Hinzu kommt, dass das, was die Browser und Betriebssysteme von Google, Apple und Microsoft an Nutzerdaten nach Hause telefonieren, noch deutlich über das hinaus geht, was "Web of Trust" überhaupt gesammelt hat: Nicht nur angesurfte URLs, sondern beispielsweise auch die Liste aller installierten Programme, An- und Abmeldungen von Nutzern oder die Namen und Titel der mit "Word" oder "Excel" bearbeiteten Dokumente. So lange die genannten Unternehmen Milliardengewinne einfahren, werden sie den Datenschatz, auf dem sie sitzen, bestens hüten, und vermeiden, dass allzu viele Nutzer durch die Datensammlung Schaden erleiden. Sollte es den genannten Hütern der Datenberge aber mal schlechter gehen, ist zu fürchten, dass genau dieser Datenschatz bei dubiosen Händlern im Darknet als Hehlerware auftaucht.

Zwar lässt sich die Geschwätzigkeit von Windows 10 durchaus reduzieren, indem man die Enterprise-Version erwirbt und diese dann entsprechend konfiguriert. Nur summieren sich für einen einfachen Office-PC während dessen Nutzungszeit die Lizenzkosten für die jeweiligen Enterprise-Versionen von Windows auf einen Wert, der die Anschaffungskosten deutlich übersteigt! Microsoft weiß also, was dem gewerblichen Nutzer seine Daten wert sein sollten.

Politik und Regulierung?

In Deutschland dreht sich die Datenschutzdiskussion seit Jahren um die Frage, ob IP-Adressen für ein paar Tage gespeichert werden dürfen. 2011 urteilte diesbezüglich der BGH, 2014 dann erneut der BGH, und vor wenigen Tagen sogar der EuGH. Doch um das vielfach größere Problem, dass Plugins, Apps und Betriebssysteme massenhaft Daten auf den Endgeräten der Kunden abgreifen und zu den Servern der Herausgeber transferieren, scheint sich niemand zu kümmern. Leider.

Teilen (5)

Weitere Editorials