Tracking über Standortdaten
Ein Smartphone weiß fast immer genau, wo es ist. Apps nutzen diese internen Standortdaten, um auf den Ort abgestimmte Dienste anzubieten oder Werbung von einem Anbieter in der Nähe zu zeigen.
Android-Nutzer können das zum Beispiel an dem Dienst „Google Assistent“ gut nachvollziehen. Der Dienst analysiert das Bewegungsmuster des Smartphones und knüpft daran weitere Aktionen. So werden Nutzer nach einem Restaurantbesuch eventuell nach einer Bewertung gefragt, die dann wieder in Google Maps einfließt. Ganz ähnlich funktioniert die Funktion „häufige Orte“ für iOS-Nutzer.
Tracking über WLAN und Bluetooth
Doch auch wenn die Ortung im Smartphone selbst deaktiviert ist, kann sein Standort von außen erfasst werden.
Wenn bei einem Handy die WLAN-Funktion aktiviert ist, sucht es automatisch nach Netzen in der Umgebung und sendet dabei Funksignale aus. Diese Funksignale können aufgefangen und ausgewertet werden. Dazu muss das Handy nicht in das Netz eingeloggt sein. Dasselbe gilt auch für Bluetooth.
Inzwischen bieten zahlreiche Dienstleister an, Kundenströme auf diese Art und Weise genau zu erfassen, indem sie die Smartphones der Kunden registrieren. Damit wollen Händler ihre Verkaufsprozesse optimieren oder personalisierte Werbung anzeigen.
Wo findet Offline-Tracking schon statt?
Diese Methoden können große Ausmaße annehmen: So wurden in Großbritannien ganze Einkaufszentren mit WLANs ausgestattet, die systematisch alle Smartphones registrieren, die sich in ihrer Reichweite befinden. In New York hatte ein Dienstleister Telefonzellen in der ganzen Stadt mit Erfassungssystemen auf Bluetooth-Basis ausgerüstet, musste sie aber nach Protesten abbauen.
In Deutschland werden solche Systeme noch nicht in großem Umfang verwendet. Der Bundesverband der Verbraucherzentralen (VZBV) warnt aber davor, dass die für 2018 erwartete E-Privacy-Richtlinie der Europäischen Union keine Regulierung gegen dieses so genannte „Offline-Tracking“ enthält, so dass die Technik dann auf breiter Basis eingeführt werden könnte.
Handys im WLAN versenden eindeutige Identifikationsnummer
Die einfachste Möglichkeit zur Offline-Ortung eines Smartphones ist das WLAN-Signal. Moderne Funkrouter haben oft mehrere Antennen und können damit ermitteln, in welcher Richtung und in welchem Abstand zum Beispiel ein Smartphone zu finden ist, das sich in Reichweite aufhält.
Schaltet man mehrere WLAN-Router zusammen, kann man die Position eines Geräts sogar auf wenige Meter genau bestimmen.
Nun ist die Information „hier ist ein Smartphone“ relativ harmlos. Doch in der Regel werden die Handys dabei auch eindeutig identifiziert. Möglich wird das durch die sogenannte MAC-Adresse. Sie ist eine eindeutige Seriennummer, die jeder WLAN-Chip ab Werk bekommt.
Diese MAC-Adresse übermittelt ein Smartphone automatisch, wenn es nach WLAN-Netzen in der Umgebung sucht – auch wenn es sich nicht einloggt. Die MAC-Adresse lässt sich nicht ohne weiteres ändern.
Ist ein System einmal eingerichtet, kann es problemlos viele verschiedene Smartphones gleichzeitig orten. So erfasste die Agentur OpenDataCity auf der Internetkonferenz re:publica im Jahr 2013 die Bewegungen von zeitweise mehr als 2.000 Smartphones auf dem Veranstaltungsgelände und stellte die Ergebnisse online. So ließ sich nachverfolgen, welche Vorträge einzelne Nutzer besuchten und wann und wie lange sie auf dem Hof zusammenstanden.
Wirkungslose Verschleierung
Zwar wurden in Android ab Version 6.0 (Marshmallow) und in Apples iOS ab Version 8 Techniken eingeführt, die die MAC-Adresse eines Geräts verschleiern sollen. Untersuchungen zeigten jedoch, dass sich diese Schutzmaßnahmen relativ einfach umgehen lassen. Zudem: Wer sich beispielsweise im WLAN eines Supermarktes oder Kaufhauses einloggt, muss seine tatsächliche MAC-Adresse offenbaren.
Zwar gibt es kein zentrales Verzeichnis, das MAC-Adressen den Besitzern der Geräte zuordnet. Gewerbetreibende können an die Seriennummer allerdings weitere Identitätsdaten knüpfen.
Zum Beispiel ließen sich durch den Abgleich mit Zahlungsinformationen oder Rabattkarten Personen mit einer MAC-Adresse sogar namentlich identifizieren und diese Identität der MAC-Adresse dauerhaft zuordnen.
Datenschützer argumentieren deshalb, dass die MAC-Adresse selbst als personenbeziehbares Datum gelten müsse, das nicht ohne Zustimmung des Eigentümers erfasst werden darf. Eine gesicherte Rechtsprechung dazu existiert aber noch nicht.
Bluetooth-Beacons
Auch über Bluetooth kann man Geräte offline orten. So führte Apple 2013 die “iBeacons” ein, Google zog kurze Zeit später mit seiner Konkurrenztechnik “Eddystone” nach.
Die Technik ist an sich simpel: Spezialisierte Bluetooth-Sender schicken ein Signal in ihre unmittelbare Umgebuinng. Empfängt ein Smartphone das Signal, kann dies eine beliebige Aktion auslösen – von individueller Werbung bis hin zur Anzeige eines Lageplans. Diese Sender sind nicht größer als eine Knopfbatterie und haben eine Reichweite von ungefähr 30 Metern.
Beacons funken an Apps
In der Praxis funktioniert das so: Die Lufthansa hat am Flughafen München solche Bluetooth-Beacons installiert. Kommt ein Reisender mit einem Smartphone und aktiviertem Bluetooth in die Nähe dieser Sender, fängt das Smartphone das Signal auf.
Ist auf dem Gerät die offizielle Lufthansa-App installiert, schickt diese daraufhin den Standort des Nutzers an das Buchungssystem der Fluglinie. Dieses entscheidet anhand der bereits vorliegenden Daten, ob es dem Kunden ein Platz in der Lufthansa-Lounge zum Sonderpreis anbietet. Hat der Kunde die Lufthansa-App nicht installiert, geschieht nichts – das Smartphone ignoriert das Signal. Die Beacons selbst erfassen keine Daten.
Bluetooth-Empfänger können aber auch ohne Zustimmung der Eigentümer zur Offline-Ortung eingesetzt werden – ähnlich wie bei WLAN. Denn auch Bluetooth verwendet eine nicht ohne weiteres änderbare, eindeutige Seriennummer.
Diese wird zum Beispiel zur Verkehrszählung genutzt: So wird mit Hilfe von Bluetooth-Empfängern die Seriennummern von Bluetooth-fähigen Autoradios, Navigationsgeräten und Smartphones in vorbeifahrenden Fahrzeugen erfasst. Anhand der Zeit, die ein Gerät von einer Messstelle bis zur nächsten Messstelle braucht, kann die Stadtverwaltung Rückschlüsse über die aktuelle Verkehrssituation ziehen.
Unser Tipp
Angesichts der vielen möglichen Techniken lässt sich das Tracking von Smartphones und anderen Geräten derzeit nur wirksam vermeiden, indem man Bluetooth und WLAN deaktiviert, sobald man die eigene Wohnung verlässt.
Wenn Sie als Autofahrer Ihre Freisprechanlage via Bluetooth nutzen, sollten Sie allerdings daran denken, Bluetooth im Auto zu aktivieren – oder sich ein Headset zuzulegen.
Mehr zum Thema bei mobilsicher.de
- Wie Bluetooth genau funktioniert und was Sie dabei beachten sollten, erklären wir im Beitrag "So nutzen Sie Bluetooth".
- Wie Sie die Bluetooth-Funktion aus- und anschalten, erklären wir hier, Schritt für Schritt.
- Auch beim Surfen im Internet gibt es Tracking. Wie es funktioniert und wie Sie sich schützen können, erklären wir im Beitrag "Cookies, Cache & Co".