Die Werbeindustrie überwacht uns. Ein Hack lässt nun das Ausmaß erahnen: Datenhändler wissen jederzeit, wo wir uns befinden. Trauriger erster Platz ist eine deutsche Seite.
Dieser Hack überführt einige der bekanntesten Apps der Welt als Daten-Spitzel: Tinder, Candy Crush und Microsoft Office 365 finden sich auf einer langen Liste von Smartphone-Apps, die als Quelle für den Datenhändler Gravy Analytics dienten. Das Ausmaß ist erschreckend: Der Händler hatte Abermillionen von Standort-Daten ausgeschnüffelt und sie zum Kauf angeboten. Angeführt wird die Liste ausgerechnet vom deutschen Angebot Wetter Online.
Freiwillig veröffentlicht wurden die heimlich gesammelten Daten natürlich nicht: Hacker waren auf Servern des Datenhändlers darauf gestoßen, spielten sie dann dem Medienunternehmen 404 Media zu. Neben klassischen Firmendaten und Kundenlisten haben die Hacker auch einen Jackpot abgestaubt: Der Hack enthält Unmengen an Standortdaten, die Gravy über Millionen von Smartphone-Nutzern angehäuft hat. Damit erlaubt er nicht nur tiefe Einblicke, in welchem Maße uns die Werbeindustrie ausspioniert – sondern auch darüber, wie genau sie das macht.
PAID Marsalek Spionage-Prozess 06.58
Hack zeigt Überwachung über das Smartphone
Die Standortdaten sind erschreckend genau, wie eine Auswertung des Datenschutzexperten Alon Gal zeigt. “Jeder der Einträge enthält eine einmalige Telefon-ID, die App, von der die Daten stammen, GPS-Daten, die Nutzerdaten, das Smartphone-Modell, den Mobilfunkprovider und vieles mehr”, berichtet er in einem Post bei LinkedIn vom Donnerstag. “Ihr exakter Standort wird über unzählige Apps aufgezeichnet. Auf längere Sicht bedeutet das auch, dass ein Bewegungsverlauf enthüllt wird.”
Die im Gravy-Datensatz gefundenen Daten werden in ihrer Ausführlichkeit deshalb vom Experten Baptiste Roberts als “Nationales Sicherheitsrisiko” bewertet: Sie enthalten auch Datensätze von Personen, die täglich im Weißen Haus, dem Kreml oder dem Vatikan ein und aus gehen.
Eine deutsche App ganz vorne
Einen Teil der so gesammelten Standorte kann man direkt ihren Zulieferern zuordnen: Sie nennen eine App als Quelle. Mehr als 12.000 Apps ist die Liste lang, die “Wired” aus den geleakten Daten erstellt hat. Viele der gelisteten Apps haben nur wenige einzelne Datenpunkte geliefert, in der Spitze geht es aber in die Hunderttausende. Der traurige Platz 1: Wetter Online. 360.977 der Datensets beziehen sich einer Auswertung von “Wired” zufolge auf die deutsche App. Das sind fast doppelt so viele wie beim Zweitplatzierten, der Spiele-App Block Blast. Auch die ehemalige Ebay-Tochter Kleinanzeigen ist mit knapp 28.884 Einträgen vertreten, landet damit weltweit auf Platz 17.
Die Firmen hinter den Apps gaben sich von dem Leak größtenteils selbst überrascht. Gegenüber 404 Media hatten etwa Apps wie Tinder, Flightradar oder Grindr betont, keine Daten an den Datenhändler weitergegeben zu haben. Zumindest die Datingapp Grindr hatte das in der Vergangenheit aber getan. Wetter Online und Kleinanzeigen haben auf Anfragen des stern bisher nicht reagiert.
Passwort Fehler Tricks_10.40Uhr
Woher kommen die Daten?
Wie die Daten genau gehortet werden, ist ein gut gehütetes Branchengeheimnis. Nur ein Teil der gesammelten Daten lässt sich mit der verbreiteten Annahme erklären, dass App-Betreiber die Daten ihrer Kunden einfach weiterverkaufen. Schließlich gibt es auch andere Wege, um an Daten dieser zu kommen. Zum einen ist da der Weg über Programmbausätze, sogenannte SDKs. Die erlauben es Apps, mit wenig Aufwand den Funktionsumfang zu erweitern, Daten auszuwerten oder Werbung auszuspielen. Weil die Programme aber von Dritten kommen, ist es möglich, dass die Daten auch weitergegeben werden. Bei seriösen Anbietern wird das auch kommuniziert, es finden sich entsprechende Hinweise in den Nutzungsvereinbarungen.
Die große Menge an Datenquellen in den Gravy-Datensätzen spricht aber dafür, dass die App-Betreiber – zumindest zum größten Teil – nichts von der Datensammlung über ihre Apps wussten. “Diese Art von Daten sammelt man nicht über SDKs, sondern über Massensammlungen aus Werbe-Auktionen”, erklärt Sicherheits-Experte Zach Edwards gegenüber “Wired”. Stark vereinfacht gesagt, erhalten bei diesen RTB abgekürzten Echtzeit-Werbeauktionen potenzielle Werbekunden Daten über die Nutzer – und bieten auf deren Basis darum, die passende Werbung anzeigen zu können. Doch diese Praxis wird offenbar vermehrt genutzt, um aus den Daten heimlich Nutzerprofile zu erstellen.
Aus Werbe- werden Überwachungsdaten
Dabei nutzen böswillige Akteure die Mechaniken des Bietverfahrens aus. Die Standort-Daten etwa werden bei den Auktionen eigentlich angegeben, um passende Anzeigen zum Standort zu ermöglichen. Dabei sei der Standort teilweise sehr genau, wie ein mit dem Verfahren vertrauter Mitarbeiter eines der auf der Liste befindlichem Unternehmens gegenüber dem stern bestätigte.
Die große Schwachstelle: Um an die Daten zu kommen, ist es nicht nötig, wirklich Werbung anbieten zu wollen. Firmen können einfach vorgeben, an den Auktionen teilzunehmen – und erhalten die Daten quasi umsonst. Das ist kein theoretisches Problem: Im letzten Januar hatte 404 Media eine israelische Überwachungsfirma namens Patternz dabei überführt, wie sie im großen Stil Standortdaten aus RTB-Auktionen abgegriffen hatte. Die Datenquellen, die in einem geleakten Lehrvideo des Unternehmens genannt werden, finden sich nun auch in der Gravy-Liste.
Geheimdienste sparen sich das Schnüffeln
Die unendliche Verfügbarkeit unserer Standortdaten machen sich mittlerweile auch die Geheimdienste zunutze. Die Datensätze aus der Privatwirtschaft sind mittlerweile so gut, sie enthielten “Informationen über nahezu jeden, die von der Art und der Tiefe der von klassischen Methoden entsprechen”, erklärt eine Studie, die im Sommer 2023 von der obersten US-Geheimdienstchefin Avril Haines in Auftrag gegeben wurde (hier erfahren Sie mehr).
Dabei hilft auch nicht, dass die Datensätze von den Händlern vorgeblich anonymisiert werden. Dabei werden in der Regel nur klar identifizierende Merkmale wie der Klarname oder die E-Mail-Adresse entfernt. Hat man den kompletten Satz der übrigen Daten, lassen sich die Sätze in der Regel trotzdem klar einer Person zuordnen. Weiß man etwa, wo eine Person jede Nacht parkt und wo sie den Tag bei der Arbeit verbringt, lässt sich 1 und 1 nicht allzu schwer zusammenzählen. Der Bericht betont sogar, dass die Behörden dazu in der Lage sind.
Wie können sich die Nutzer schützen?
Um sich vor der Schnüffelei zu schützen, bleibt den Nutzern selbst wenig übrig, außer Standortdienste ganz abzustellen. Aber selbst dann werden noch unzählige weitere Daten weitergegeben. “Verbraucher:innen haben nur eine echte Chance, indem sie die Politik in die Pflicht nehmen”, erklärt der Verein Digital Courage auf Anfrage des sterns. “Es braucht klare, verbindliche Regelungen, um die Bevölkerung vor legalen wie illegalen Datensammlungen zu schützen.”