Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
Ratgeber

Die Spur der Daten

Ein Artikel von Miriam Ruhenstroth, veröffentlicht am 01.11.2016

Wie eine aktuelle Recherche aufdeckte, sind detaillierte Datensätze von Millionen deutscher Nutzer auf dem internationalen Markt zu haben. Doch wie werden die Daten abgegriffen? Mobilsicher.de und NDR konnten es in einem Fall nachvollziehen.

Der Datensatz, den Reporter des NDR mittels einer Scheinfirma von einem Datenbroker erwarb, übertraf alle Befürchtungen: Er enthielt vollständige Browser-Verläufe, also Listen mit allen aufgerufenen Webseiten eines Tages, und das von rund drei Millionen Nutzern. Wir berichteten.

Keiner der befragten Nutzer wusste, welche Daten über ihn existieren. Wer hatte sie ausspioniert? Im Laufe der Recherche konnten wir zumindest einen Datenspion identifizieren: Die Browser-Erweiterung des Dienstes „Web of Trust“ (WOT).

Browser-Erweiterungen sind kleine Zusatzprogramme, die man direkt in den Browser einbinden kann. Auf dem Desktop gibt es sie für alle großen Browser. Auf dem Smartphone gibt es richtige Add-ons nur für den Browser Firefox.

Heiße Spur: Das Add-on WOT

Browser-Erweiterungen können sehr nützlich sein, zum Beispiel als Werbeblocker, zum Löschen von Cookies, oder um interessante Seiten in ein Archiv zu speichern. Einige davon, zum Beispiel sogenannte Toolbars, sind in der Vergangenheit aber auch immer wieder negativ aufgefallen.

Weil sie im Browser integriert sind, können sie technisch gesehen mitschneiden, welche Internetseiten ein Nutzer aufruft. Damit eignen sie sich hervorragend als kleine Spione – und gerieten immer wieder in Verdacht. Bei den Browser-Erweiterungen, die wir für Firefox empfehlen, prüfen wir daher sorgfältig, ob der jeweilige Entwickler oder Dienstanbieter namentlich bekannt ist und wie sein Geschäftsmodell funktioniert.

Viele Nutzer aus dem besagten Datensatz hatten das Add-on WOT installiert. Deshalb nahm unser Autor Mike Kuketz es genauer unter die Lupe. WOT bietet eigentlich einen Service an, der dem Nutzer dabei helfen soll, sicher zu surfen: Die Erweiterung prüft die Integrität von Webseiten. „Finden Sie sofort heraus, welchen Websites Sie vertrauen können“, lautet ein Slogan der Firma.

Wie die technische Analyse des Add-ons von mobilsicher.de zeigte, protokolliert die Erweiterung alle aufgerufenen Webseiten und übermittelt sie an einen Server im Ausland.

Um seine vorgebliche Funktion zu erfüllen, muss WOT die aufgerufenen Webadressen auch prüfen. WOT löst das aber nicht mit einer Datenbank, die lokal auf dem Nutzergerät gespeichert ist, wie es andere Dienste dieser Art tun. Stattdessen wird die Adresse jeder aufgerufenen Webseite an WOT übertragen, dort im System abgeglichen und das Ergebnis in Form einer Ampelfarbe wieder zurückgeliefert.

Mehr Daten als nötig übermittelt

Dafür müsste WOT eigentlich nur den Domainnamen übermitteln, im Falle von Facebook zum Beispiel www.facebook.com. WOT übermittelt aber die komplette Adresse, zum Beispiel www.facebook.com/profile.php?id=100011600191370 . Aus dieser Adresse lässt sich der Klarname des Nutzers ermitteln, falls er bei Facebook mit Klarnamen angemeldet ist.

Zudem übermittelt WOT auch Datum, Uhrzeit, Ort und eine eindeutige Nutzer-Kennung. All diese Daten wären nicht nötig, um den Nutzern zu liefern, was WOT verspricht. Zudem haben die Entwickler einigen Aufwand betrieben, um zu verschleiern, welche Daten übermittelt werden.

Eine genaue Dokumentation der WOT-Analyse auf dem Blog von Mike Kuketz.

Test-Adressen tauchen im Datensatz auf

Um nachzuweisen, ob WOT diese Daten tatsächlich verkauft, machte unser Autor den Selbsttest. Auf einem frisch aufgesetzten Rechner installierte er ausschließlich das WOT-Add-on in einem ansonsten sauberen Browser.

Dann schaltete er eine ganz neue Webseite online, um eine Web-Adresse zu haben, die vorher noch nicht existierte. Diese ganz neue Internetadresse rief er nun mit seinem präparierten Browser auf.

Einige Tage später tauchte die Web-Adresse in dem Datensatz auf, den das Rechercheteam analysieren konnte – zusammen mit allen anderen Internetadressen, die unser Autor mit dem präparierten Browser aufgerufen hatte.

Damit ist klar: WOT leitet die abgegriffenen Daten an Datensammler, die sie weiter verkaufen.

WOT weist auf seiner Webseite darauf hin, dass die Erweiterung Daten wie etwa Web-Adressen sammelt und an Dritte weitergibt. Allerdings, so betont die Firma, seien diese Daten anonym. Wie gezeigt, stimmt das in diesem Fall nicht.

Nur ein Einzelfall?

Experten gehen davon aus, dass WOT nicht die einzige Erweiterung ist, sondern sich die Daten-Sammler Dutzender, wenn nicht Hunderter unterschiedlicher Browser-Add-ons bedienen.

Während Browser-Add-ons vor allem auf Laptops und Desktops eine Rolle spielen, sind es bei Smartphones vor allem Apps, die Nutzern ein Spiel, eine Taschenlampe oder eine andere kleine Funktion bieten, und sich dafür an den Daten bedienen.

Wie man sich vor den verschiedenen Arten der Datenerfassung schützen kann, erfahren Sie in unserer Übersicht.

 

Nachtrag :

Mozilla und auch Chrome hatten das WOT-Add-on nach Bekanntwerden des Datenskandals von ihren Seiten entfernt. Nachdem der Anbieter nach eigenen Angaben seine Anonymisierungstechnologie nachgebessert hat, sind die Add-ons seit Anfang 2017 wieder für beide Browser verfügbar. 

 

Weitere Artikel

Ratgeber 

Security desaster: Blue Mail app and other email apps transmit login credentials

This article was originally published 7.3.2018 and refers to Version 1.9.3.20 of the blue mail app unless indicated differently Update (8.3.2018): Blue Mail Inc. has rolled out another Update, to version 1.9.4.2. In this version, we did not observe transmission of password and username with a connected gmx account. It all started with a test […]

Mehr
Ratgeber 

FitoTrack: Diesen Fitness-Tracker empfehlen wir (Android)

Die App FitoTrack misst die Leistung beim Joggen, Radfahren und Skaten. Dabei bleiben alle Daten lokal auf dem eigenen Smartphone. Der Fitness-Tracker ist kostenlos und werbefrei, dem Entwickler kann man spenden.

Mehr
Checkliste 

Checkliste: Neues Smartphone sicher einrichten (Android)

Für einen guten Start mit dem neuen Begleiter haben wir ein paar Tipps zusammengestellt. Denn die Standard-Einstellungen sind für Privatsphäre und Sicherheit nicht optimal. Hier geht es zur Checkliste.

Mehr
Ratgeber 

Sicherer Transport: Das kann TLS-Verschlüsselung

Viele Apps tauschen Informationen mit Anbietern im Internet aus. Dritte sollen diese Kommunikation nicht belauschen können. Seriöse Apps setzen deshalb auf Transportverschlüsselung.

Mehr