Ratgeber

Die Spur der Daten

Ein Artikel von , veröffentlicht am 01.11.2016

Wie eine aktuelle Recherche aufdeckte, sind detaillierte Datensätze von Millionen deutscher Nutzer auf dem internationalen Markt zu haben. Doch wie werden die Daten abgegriffen? Mobilsicher.de und NDR konnten es in einem Fall nachvollziehen.

Der Datensatz, den Reporter des NDR mittels einer Scheinfirma von einem Datenbroker erwarb, übertraf alle Befürchtungen: Er enthielt vollständige Browser-Verläufe, also Listen mit allen aufgerufenen Webseiten eines Tages, und das von rund drei Millionen Nutzern. Wir berichteten.

Keiner der befragten Nutzer wusste, welche Daten über ihn existieren. Wer hatte sie ausspioniert? Im Laufe der Recherche konnten wir zumindest einen Datenspion identifizieren: Die Browser-Erweiterung des Dienstes „Web of Trust“ (WOT).

Browser-Erweiterungen sind kleine Zusatzprogramme, die man direkt in den Browser einbinden kann. Auf dem Desktop gibt es sie für alle großen Browser. Auf dem Smartphone gibt es richtige Add-ons nur für den Browser Firefox.

Heiße Spur: Das Add-on WOT

Browser-Erweiterungen können sehr nützlich sein, zum Beispiel als Werbeblocker, zum Löschen von Cookies, oder um interessante Seiten in ein Archiv zu speichern. Einige davon, zum Beispiel sogenannte Toolbars, sind in der Vergangenheit aber auch immer wieder negativ aufgefallen.

Weil sie im Browser integriert sind, können sie technisch gesehen mitschneiden, welche Internetseiten ein Nutzer aufruft. Damit eignen sie sich hervorragend als kleine Spione – und gerieten immer wieder in Verdacht. Bei den Browser-Erweiterungen, die wir für Firefox empfehlen, prüfen wir daher sorgfältig, ob der jeweilige Entwickler oder Dienstanbieter namentlich bekannt ist und wie sein Geschäftsmodell funktioniert.

Viele Nutzer aus dem besagten Datensatz hatten das Add-on WOT installiert. Deshalb nahm unser Autor Mike Kuketz es genauer unter die Lupe. WOT bietet eigentlich einen Service an, der dem Nutzer dabei helfen soll, sicher zu surfen: Die Erweiterung prüft die Integrität von Webseiten. „Finden Sie sofort heraus, welchen Websites Sie vertrauen können“, lautet ein Slogan der Firma.

Wie die technische Analyse des Add-ons von mobilsicher.de zeigte, protokolliert die Erweiterung alle aufgerufenen Webseiten und übermittelt sie an einen Server im Ausland.

Um seine vorgebliche Funktion zu erfüllen, muss WOT die aufgerufenen Webadressen auch prüfen. WOT löst das aber nicht mit einer Datenbank, die lokal auf dem Nutzergerät gespeichert ist, wie es andere Dienste dieser Art tun. Stattdessen wird die Adresse jeder aufgerufenen Webseite an WOT übertragen, dort im System abgeglichen und das Ergebnis in Form einer Ampelfarbe wieder zurückgeliefert.

Mehr Daten als nötig übermittelt

Dafür müsste WOT eigentlich nur den Domainnamen übermitteln, im Falle von Facebook zum Beispiel www.facebook.com. WOT übermittelt aber die komplette Adresse, zum Beispiel www.facebook.com/profile.php?id=100011600191370 . Aus dieser Adresse lässt sich der Klarname des Nutzers ermitteln, falls er bei Facebook mit Klarnamen angemeldet ist.

Zudem übermittelt WOT auch Datum, Uhrzeit, Ort und eine eindeutige Nutzer-Kennung. All diese Daten wären nicht nötig, um den Nutzern zu liefern, was WOT verspricht. Zudem haben die Entwickler einigen Aufwand betrieben, um zu verschleiern, welche Daten übermittelt werden.

Eine genaue Dokumentation der WOT-Analyse auf dem Blog von Mike Kuketz.

Test-Adressen tauchen im Datensatz auf

Um nachzuweisen, ob WOT diese Daten tatsächlich verkauft, machte unser Autor den Selbsttest. Auf einem frisch aufgesetzten Rechner installierte er ausschließlich das WOT-Add-on in einem ansonsten sauberen Browser.

Dann schaltete er eine ganz neue Webseite online, um eine Web-Adresse zu haben, die vorher noch nicht existierte. Diese ganz neue Internetadresse rief er nun mit seinem präparierten Browser auf.

Einige Tage später tauchte die Web-Adresse in dem Datensatz auf, den das Rechercheteam analysieren konnte – zusammen mit allen anderen Internetadressen, die unser Autor mit dem präparierten Browser aufgerufen hatte.

Damit ist klar: WOT leitet die abgegriffenen Daten an Datensammler, die sie weiter verkaufen.

WOT weist auf seiner Webseite darauf hin, dass die Erweiterung Daten wie etwa Web-Adressen sammelt und an Dritte weitergibt. Allerdings, so betont die Firma, seien diese Daten anonym. Wie gezeigt, stimmt das in diesem Fall nicht.

Nur ein Einzelfall?

Experten gehen davon aus, dass WOT nicht die einzige Erweiterung ist, sondern sich die Daten-Sammler Dutzender, wenn nicht Hunderter unterschiedlicher Browser-Add-ons bedienen.

Während Browser-Add-ons vor allem auf Laptops und Desktops eine Rolle spielen, sind es bei Smartphones vor allem Apps, die Nutzern ein Spiel, eine Taschenlampe oder eine andere kleine Funktion bieten, und sich dafür an den Daten bedienen.

Wie man sich vor den verschiedenen Arten der Datenerfassung schützen kann, erfahren Sie in unserer Übersicht.

 

Nachtrag :

Mozilla und auch Chrome hatten das WOT-Add-on nach Bekanntwerden des Datenskandals von ihren Seiten entfernt. Nachdem der Anbieter nach eigenen Angaben seine Anonymisierungstechnologie nachgebessert hat, sind die Add-ons seit Anfang 2017 wieder für beide Browser verfügbar. 

 

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

„Wo ist“: Verlorene iPhones auch offline finden

Wenn Sie Ihr iPhone verloren haben, können Sie es in der Regel über die integrierte Ortungsfunktion lokalisieren. Mit dem Update auf iOS 13 funktioniert das jetzt auch, wenn das Gerät keinen Zugang ins Internet hat. Und so geht's.

Mehr
Ratgeber 

Dieser Beitrag wurde in unser Archiv verschoben

Dieser Beitrag ist nicht mehr aktuell und wurde in unser Archiv verschoben.

Mehr
Ratgeber 

Sicherheit bei Apples iOS9

Das aktuelle Betriebssystem für iPhones und iPads ist iOS9. Apple hat ihm zahlreiche Funktionen und Einstellungsmöglichkeiten zu Datenschutz und Datensicherheit verpasst. Ein Überblick.

Mehr
Ratgeber 

Android-Smartphone teilen? So funktionieren Nutzerkonten

Bei Android-Geräten kann man Nutzerkonten mit eingeschränkten Rechten anlegen. Das ist praktisch, wenn Sie das eigene Gerät zum Beispiel Ihrem Kind in die Hand geben wollen. Wir erklären, worauf es dabei ankommt.

Mehr