[ziesell]

Zitat:

Standortdaten aus der Onlinewerbung: Der Spion aus dem Werbebanner

Standortdaten aus der Onlinewerbung können eine Fundgrube für Geheimdienste sein. Doch wie lässt sich der Missbrauch verhindern?



Standortdaten aus dem Smartphone können unter Umständen mehr verraten als den aktuellen Aufenthaltsort. Sie können Rückschlüsse darauf zulassen, welchen Beruf jemand hat, oder sogar einzelne Personen identifizieren. Um an solche Daten zu kommen, gibt es ein Einfallstor, das bislang viele nicht auf dem Schirm hatten: Onlinewerbung. Die Behörden kennen das Thema, werden aber nur langsam aktiv. Dabei zeigen einige Beispiele, wie mächtig solche Datensätze sind.

Wie verräterisch selbst anonymisierte Daten sein könnten, zeigten Anfang 2018 sogenannte Heat Maps der Fitnesstracker-App von Strava. Ein Analytiker wies damals darauf hin, dass die Karte es ermöglichen könnte, Standorte von Militärstützpunkten und die Routinen des Personals zu identifizieren.

Doch an solche Standortdaten lässt sich auch auf ganz andere Weise gelangen. So veröffentlichte im November 2023 die irische Bürgerrechtsorganisation ICCL zwei Studien, die zeigten, wie infolge der Praxis der personenbezogenen Onlinewerbung hochsensible orts- und personenbezogene Daten im Sicherheits- und Militärbereich erhoben und auf kommerziellem Wege weltweit verbreitet werden. Der niederländische Radiosender BNR konnte mit diesen Daten, die er von dem Berliner Datenhändler Datarade.ai bezog, Personen identifizieren, die Zugang zu Militärdepots mit Nuklearwaffen in den Niederlanden hatten.

Mehr als 80 Gigabyte an Standortdaten erhielt BNR über den Berliner Datenhändler Datarade.ai. Es handelt sich um Daten, wie sie auf Smartphones mehrfach täglich erzeugt werden, etwa wenn Nutzer für Fitness- oder Navigationsapps ihren Standort freigegeben haben. Daterade.ai betreibt einen Onlinemarktplatz, auf dem Hunderte von Unternehmen nicht nur Standortdaten, sondern auch Bonitätsauskünfte und medizinische Informationen anbieten.

Hochrangige Offiziere identifiziert

Die Journalisten identifizierten einen hochrangigen Armeeoffizier und verfolgten, wie er von zu Hause aus verschiedene Militärstandorte besuchte. Besonders oft fuhr er zum Hauptquartier des Militärischen Abschirmdienstes der Niederlande. Dem Radiosender bestätigte der Offizier die Echtheit der Daten.

Auch konnte eine Person ausfindig gemacht werden, die häufig ein Gefängnis besuchte, in dem Terroristen und Schwerverbrecher einsitzen. Die Justizbehörde bestätigte, dass die Person das Gelände mit Erlaubnis mit ihrem Handy betreten hatte.

"Die Liste der potenziellen Ziele ist lang", hält der Bericht des Radiosenders fest. Fast 1.200 Smartphones waren demnach an Standorten der Nationalpolizei, der niederländischen Staatsanwaltschaft und Europol eingeloggt, rund 70 im Wohnpalast des Königs und bis zu 370 auf einem Luftwaffenstützpunkt samt Atomwaffendepot. Es sei bekannt, dass die niederländischen Sicherheitsdienste selbst Zugriff auf diese Art von Daten hätten, erklärte der Radiosender.

Behördenpingpong

Seit dem Bericht ist wenig geschehen. Liegt es wohl daran, dass Sicherheits- und Nachrichtendienste selbst mit den Telefondaten arbeiten, die Datenhändler wie Datarate.ai im Internet verkaufen? Das Wall Street Journal berichtete 2020 darüber, dass US-Sicherheitsbehörden bei der Firma Anomaly Six Bewegungsprofile besorgen.

Die New York Times zeichnete 2019 mithilfe von Standortdaten Bewegungen des damaligen US-Präsidenten Donald Trump nach. Der Grünen-Politiker Malte Spitz zeigte bereits 2011 anhand eigener Handydaten, dass sich durch Standort- und Kontaktdaten solche Bewegungsprofile ermitteln lassen.

Der Bericht des niederländischen Radiosenders soll auch in der EU Wellen geschlagen haben – doch Medien gegenüber zeigt man sich bedeckt: Eine Sprecherin der EU-Kommission stellte auf Nachfrage klar, dass "die Auswirkungen auf die nationale Sicherheit von den zuständigen nationalen Behörden zu beurteilen" seien. Die EU-Kommission sieht sich damit nicht in der Position, etwas zur Sache beizutragen.

Die Antworten der in Deutschland zuständigen Behörden ähneln einem Pingpongmatch – die eigene Zuständigkeit wird ignoriert, es wird auf andere Behörden verwiesen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) etwa, das Bundesbehörden in Sachen technischer Sicherheit berät, verweist schmallippig auf das Verteidigungsministerium und den Verfassungsschutz.

Ein Sprecher des Verteidigungsministeriums antwortet mit einer Standardfloskel: "Ich bitte um Verständnis dafür, dass wir Studien, deren Inhalte und Ergebnisse sowie Angelegenheiten anderer Streitkräfte grundsätzlich nicht kommentieren." Außerdem könne und dürfe man "aus Gründen der militärischen Sicherheit keine Auskünfte zu einzelnen Sicherheitsmaßnahmen erteilen".

Die Datenschützer sollen es richten

Die EU-Kommission sieht allerdings auch die Datenschutzaufsicht in der Pflicht. "Jegliche Werbung muss im Einklang mit der DSGVO stehen", sagte die Sprecherin. Es sei Aufgabe der Datenschutzbehörden, die Einhaltung der Vorschriften durch einzelne Unternehmen, die Onlinewerbung anbieten, zu überwachen,

Aktuell untersucht die irische Datenschutzbehörde die Google-Werbepraxis des Real Time Bidding – doch die Entscheidung darüber wird seit Jahren vertagt. Der Europäische Datenschutzausschuss (EDSA) hat das Thema bisher noch nicht auf die Tagesordnung gesetzt. Der Bundesdatenschutzbeauftragte teilte mit, man befinde sich im laufenden Austausch mit anderen Datenschutzbehörden.

Immerhin teilte die für Datarade.ai zuständige Berliner Datenschutzaufsichtsbehörde auf Anfrage mit, dass sie das Thema jetzt angehen wolle. Doch auch sie will keine Details preisgeben. Der Berliner Anbieter der Datenplattform Datarade.ai hatte gegenüber dem niederländischen Radiosender erklärt, dass die Händler für die von ihnen angebotenen Daten hafteten.

Der Sender erhielt einen kostenlosen Datensatz zur Probe, der als "anonymisiert" bezeichnet wurde, da er keine Telefonnummern enthielt. Die Zuordnung zu bestimmten Geräten gelang jedoch aufgrund eindeutiger Kennungen wie der Mobile Advertising ID von Google und Apple. Auch wurden Schlafplätze mit Grundbuchdaten und Arbeitsplatzangaben auf Linkedin verknüpft.

Der Spion in der Hosentasche

Die schleswig-holsteinische Datenschützerin Marit Hansen hat sich auf technischen Datenschutz spezialisiert und verfolgt das Thema seit Längerem. Sie sagt, dass der NSA-Whistleblower Edward Snowden bereits 2013 gezeigt habe, dass die Handynutzung auch Fragen der inneren Sicherheit berühre. Vortragsfolien seines ehemaligen Arbeitgebers hätten gezeigt, dass Smartphones regelmäßig zur Ortung verwendet werden.

Doch im eingangs genannten Fall geht es nicht um Daten aus Funkzellen, sondern aus Standortdaten, die über Onlinewerbung erhoben werden. "Das zusätzliche Einfallstor über die Datensammlung der Onlinewerbung hatten vermutlich viele nicht auf der Rechnung", sagt Hansen.

Standort- und Bewegungsdaten einer Person könnten offenlegen, dass eine bestimmte Person militärische Standorte oder Gefängnisse besucht, was auf gewisse Zutrittsberechtigungen schließen lasse. Das könnten Geheimdienste anderer Staaten ausnutzen.

Anhand des primären Dienstorts seien auch Rückschlüsse darauf möglich, ob jemand Arzt, Anwalt, Polizist, Abgeordneter oder Journalist sei. Es gehe aber nicht nur um diejenigen, die ihr Smartphone mit Standortweitergabe mit sich führten, sondern es seien auch diejenigen betroffen, die von diesen Personen aufgesucht werden.

"Es spricht alles dafür, dass die Standortdaten nicht in falsche Hände kommen dürfen", sagte Hansen. Entsprechend müssten die Bundeswehr und andere Ministerien Vorgaben machen. So könnten sie kritische Apps untersagen oder besondere Schutzmechanismen im Handy aktivieren.

Klar sei: "Wer sicherheitsempfindliche Tätigkeiten ausübt, kann sich nicht darauf verlassen, dass 'die andere Seite' nach den Regeln spielt – also zum Beispiel das Datenschutzrecht einhält."

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]