Offenbar verkaufen Anbieter von Browser-Addons getrackte aktuelle Nutzerdaten von Deutschen in großem Stil an Big-Data-Analysten. So berichtete es das ARD-Magazin Panorama nach einer verdeckten Recherche.

Drei Millionen Deutsche im Internet ausspioniert

Das Magazin konnte Zugang zu einem Datenpaket erlangen, das jede Bewegung von etwa drei Millionen deutscher Internet-Nutzern im letzten August enthielt. Durch die aufgezeichneten Webadressen sei es sehr leicht gewesen, diese Daten wieder konkret den Personen zuzuordnen. In dem Datenpaket sollen sich neben „privaten“ Nutzern auch Personen des öffentlichen Lebens wie Manager, Polizisten, Richter, Ärzte und Journalisten befinden.

Die Daten lassen sich leicht wieder den Menschen zuordnen

Das Datenpaket soll mehr als zehn Milliarden Webadressen umfassen. Die URLs seien dabei jeweils einer Nutzer-ID zugeordnet gewesen, hieß es. Die konkreten Personen hinter den IDs lassen sich dabei auf unterschiedliche Art identifizieren, zum Beispiel über eine Paypal-Nutzer-ID mit Emailadresse, einen Skype-Nutzernamen oder den Nachnamen des Nutzers bei einem Onlinecheck bei Airberlin, wo die komplette Buchung einschließlich des vollen Passagiernamens sich über die URL noch ein halbes Jahr nach dem Flug aufrufen lässt .

Was besser nicht öffentlich werden sollte…

Panorama weist darauf hin, daß die wieder deanoymisierten Web-Verläufe intime Geheimnisse aus dem Berufs- und Privatleben preisgeben können: Informationen zu laufenden Ermittlungen der Polizei, die Sadomaso-Vorlieben von Politikern und Richtern, interne Firmendaten von Unternehmen oder Internet-Recherchen zu Krankheiten, Prostituierten und Drogen. Mit Hilfe dieser Unterlagen könnten Kriminelle die Identität eines Menschen kapern oder ihn mit den Details zu seinem Surf-Verhalten erpressen.

Sehr gefährlich ist es nach dem Bericht auch, wenn Nutzer Dokumente ohne Passwortschutz in die Cloud hochladen. So habe ein Manager aus Hamburg in der Cloud Unterlagen zu einem Hausbau abgelegt und jeder, der diese Adressen kenne, könne darüber Kontoauszüge, Architektenzeichnungen, Lohnabrechnungen mit Hinweisen auf das Bonus-System des Arbeitgebers, eine Kopie des Personalausweises und detaillierte Auszüge aus den Unterlagen zu einem Bankkredit abrufen.

Die Daten stammen von Browser-Addons

Nach Angaben eines Panorama-Redakteurs stammen die Daten aus mehreren Addons, also Zusatzmodulen für den Browser. Die Redaktion habe teilweise sogar live Zugriff auf die Daten gehabt und das Surfverhalten von Nutzern in Echtzeit verfolgen können.

Panorama nannte die Namen von Erweiterungen nicht, die die Nutzerdaten auf diese Weise verkaufen. Heise Online wird da schon deutlicher und nennt als Quelle dieser Daten unter anderem ausgerechnet das Browser-Plugin „Web of Trust“ (WOT).

Zu den beliebtesten Firefox-Addons gehören zum Beispiel Adblock Plus, Video Downloadhelper, Easy Screenshot, Noscript, Firebug, Ublock, Ghostery und Downthemall. Juristisch soll eine solche Datenweitergabe in einer Grauzone liegen, denn in Deutschland dürfen personalisierte Daten ohne Zustimmung nicht erhoben und gespeichert werden. Zwar weisen Unternehmen in ihren Nutzungsbedingungen teilweise darauf hin, dass sie die Informationen sammeln. Nach deutschem Recht genüge das aber nicht. Und die Anonymisierung, auf die auch gerne verwiesen wird, läßt sich in aller Regel sehr einfach wieder rückgängig machen.