Sie erfreuen sich grosser Beliebtheit: Apps für iPhone, Android, MySpace und Facebook sowie Addons und Plugins für Firefox, Thunderbird, Internet Explorer und Opera. Sie bieten oft ganz nützliche Dienste und dies meist zu günstigen Preisen oder sogar kostenlos. Doch die Gefahr, die von diesen Softwarezusätzen ausgeht, ist den meisten Nutzern überhaupt nicht bewusst. Diese kleinen Softwareerweiterungen können in der Regel tun und lassen, was sie selber gerade möchten oder was ihnen ihr Programmierer aufgetragen hat. Dazu gehört auch das Ausspionieren und Verschicken von persönlichen Daten. Kein Virusscanner und keine Firewall können dies verhindern, da die Spione im Kontext ihre Wirtes laufen, der prinzipiell über die entsprechenden Berechtigungen zur Kommunikation verfügt. Auf Smartphones ist Sicherheitssoftware ohnehin Mangelware und auch wenn es sie für alle Zwecke und Geräte gäbe, wäre ihre Konfiguration einem Otto Normalverbrauchern nicht zuzumuten.
Datenschutz existiert de facto nur auf dem Papier. Die Praxis hingegen sieht sehr übel aus. Was technisch möglich ist und jemandem einen Nutzen verspricht, das wird auch gemacht – ganz ungeachtet irgendwelcher Gesetze, denn technische Mängel lassen sich nicht durch Gesetzesparagraphen schliessen. Wo neben begehrenswerten Daten auch eine Internetverbindung vorhanden ist, werden auch Apps, Plugins und Addons entwickelt, mit denen diese Daten abgesaugt werden. Das Ganze verpackt man in lustige Spiele und nützliche Anwendungen oder sogar in angebliche Sicherheitserweiterungen. Während diese ihren Dienst tun, sammeln sie nebenbei im Hintergrund unbemerkt Daten und schicken sie an ihren Heim-Server. Wie bei Apples iTunes wird der Benutzer bei der Installation manchmal sogar in unverschämter Weise dazu genötigt, solchem Treiben in den allgemeinen Lizenz- und Nutzungsbestimmungen zuzustimmen. Nur ganz wenige machen sich die Mühe, die meist unendlich langen, kompliziert formulierten und bewusst schlecht lesbar angezeigten Texte zu lesen, und noch weniger verstehen diese auch wirklich. Privatsphäre ist zur Handelsware geworden und Betroffenen haben meist keine Ahnung davon.
Dass naive Mitmenschen in sozialen Netzwerken ihre Privatsphäre öffentlich zugänglich machen, weil sie zum Exhibitionismus verleitet werden, zeugt zwar nicht unbedingt von deren Intelligenz, erfolgt aber mehr oder weniger aktiv und ist für die Betroffenen selber nachvollziehbar. Ganz anders hingegen ist das heimliche Ausspionieren der Privatsphäre durch Software oder die unautorisierte Weitergabe solcher Daten an Dritte zu bewerten. Hier haben die Betroffenen kaum eine bis gar keine Möglichkeit, von Rechtsverletzungen Kenntnis zu nehmen oder sie zu unterbinden.
Ignoranz auch unter Profis
Schon seit längerem diskutiere ich auch mit Informatiker-Kollegen die Risiken der unkontrollierbaren Apps auf Smartphones mit Internetverbindung und stosse immer wieder auf eine wahrlich erschreckende Ignoranz. Manchmal stehen mir echt die Haare zu Berge. Vieles wird lediglich als hypothetische Bedrohung oder potenzielles Risiko eingestuft und nicht ernst genommen. Dabei kann man kaum noch von „Risiken“ sprechen, denn diese sind bereits Realität. Anhand von ein paar ausgewählten Szenarien werde ich im Folgenden die bestehenden Sicherheits- und Datenschutzprobleme erläutern.
Phishing via Browser-Erweiterung
Der sicherheitsbedürftige Benutzer lädt sich eine Erweiterung zur Kontrolle von JavaScript, Flash-Inhalten oder Cookies herunter. Sobald er beim Online Shopping seine Kreditkartendaten eingibt oder sich beim E-Banking einloggt, werden diese Daten dem Urheber der installierten Erweiterung mitgeteilt. Falls diese Daten vom Spion nicht direkt genutzt werden können, weil zum Beispiel für den Abschluss einer Transaktion zusätzlich eine („zufällig“ generierte) TAN nötig ist, bleibt noch die Möglichkeit einer „man in the middle“ Attacke, was die Latte zwar etwas höher setzt, für versierte Cyberkriminelle aber kaum ein ernsthaftes Hindernis darstellt. Dagegen hilft auch eine verschlüsselte Verbindung nichts, denn der Spion sitzt bereits auf dem eigenen Rechner und erlauscht die Daten, noch bevor sie verschlüsselt werden. Bis der Benutzer den „Datenklau“ bemerkt, hat der Betrüger und Dieb dessen Konto bereits leer geräumt, das Geld über mehrere Konten, Länder und Plattformen elektronisch verschoben und dadurch die Verfolgung des Geldflusses praktisch unmöglich gemacht.
Genau so können auch alle im Browser gespeicherten Zugangsdaten (Benutzername und Passwort) zu Websites und Intranetzugängen ausspioniert werden. Im besten Fall hat man kurz darauf in einer virtuellen Online-Spielwelt all sein Spielgeld verzockt und ist auf die hintersten Ränge zurückgerutscht. Etwas blöder ist es, wenn der Spion Zugang zum Webserver erhält und den Webauftritt eines Unternehmens mit imageschädigenden und rechtswidrigen Inhalten verschandelt. Im schlimmeren Fall hat der Betrüger die Zugangsdaten zum Firmenrechner und kann die Geschäftsgeheimnisse, Patienten- und Kundendaten an den Meistbietenden verhökern. Ganz kritisch wird es, wenn es sich um den Zugang zu nicht ausreichend gesicherten Kraftwerken, Verkehrsleitzentralen, Kläranlagen oder Chemiewerken handelt.
Addons für die Marktdatenerhebung
Die Software-Erweiterung registriert alle aufgerufenen Websites, die Verweildauer auf diesen sowie die Sicherheitseinstellungen, mit denen die Websites besucht wurden. Die Erweiterung für den Email-Client protokolliert den gesamten Email-Verkehr und verschickt eine Kopie des gesamten Adressbuches. Der Datensammler kann aus diesen Daten ein sehr genaues und detailliertes Persönlichkeitsprofil des Nutzers erstellen. Er weiss, für welche Themen sich dieser interessiert, woher er seine Informationen bezieht, wem beziehungsweise welchen Websites er vertraut, wo er seine Online-Einkäufe tätigt und allenfalls sogar, mit welchen Leuten er in welcher Verbindung steht. Je genauer und detaillierter das aus diesen Daten gewonnene Persönlichkeitsprofil ist, desto höher ist dessen Marktwert. Da sowohl die Erhebung als auch die Auswertung der Daten vollautomatisch erfolgt, skalieren solche Aktionen sehr gut und generieren mit einem verhältnismässig geringen Aufwand sehr viel Daten und Geld. Das wohl meistverbreitete und prominenteste Beispiel für einen solchen Spion ist die Google Toolbar, die sich immer noch grosser Beliebtheit erfreut.
Jemand weiss, wo du gerade bist und was du tust und suchst
Nach dem nächstgelegenen Bancomat oder Restaurant über ein iPhone App zu suchen und Fahrpläne und Telefonnummern abzufragen, mag komfortabel sein, denn mit den übermittelten GPS-Informationen wird der aktuelle Standort des Benutzers bei der elektronischen Anfrage gleich mitgeliefert. Doch gerade das führt dazu, dass das Smartphone des Benutzers zum Echtzeit-Bewegungs-, Aktivitäts-, Such- und Absichtsmelders und der Benutzer gläsern wird. So lassen sich sehr aktuelle und situativ kurzfristig angepasste Persönlichkeits- und Nutzerprofile erstellen. Solche Informationen sind für Werbetreibende, Erpresser und Einbrecher gleichermassen interessant und nützlich. Wer glaubt, nur exhibitionistisch veranlagte Naivlinge würden ihren aktuellen Status im Minutentakt in die grosse, weite Welt hinaus twittern, sollte vielleicht sein Smartphone etwas genauer unter die Lupe nehmen.
Online-Überwachung leicht gemacht
Wie bei der Verhaltensanalyse zur Erstellung eines Konsumenten- beziehungsweise Persönlichkeitsprofils kann mit der Übermittlung der Benutzeraktivitäten in Echtzeit eine Personenüberwachung realisiert werden. Der Überwacher sieht alles, wie wenn er dem Überwachten über die Schulter schauen und dessen Bildschirm und Tastatureingaben beobachten würde. Zusätzlich liegen diese Informationen auch noch in digitaler Form vor und können für spätere Verwendungen gespeichert werden.
Wie bringt man die Spione unters Volk?
Nicht alle Softwareerweiterungen bergen von Anfang an Spionage- oder Schadsoftware. Manche leisten zuerst wirklich nützliche und unterhaltsame Dienste und warten ab, bis sie einen grossen Nutzerkreis erreicht haben, bevor sie bei einem Update zum Bösewicht mutieren. Haben sie sich erst einmal auf einem Gerät eingenistet, laden sie weitere Schadsoftware nach, sofern es das Gerät erlaubt, was meist der Fall ist. Braucht es zur Installation die Einwilligung des Benutzers, wird diesem ein zumindest für die meisten Laien plausibler Grund vorgegaukelt. Da viele Benutzer von der ständig steigenden Anzahl von Hinweisen und Warnmeldungen eh schon genervt sind und die Schnauze voll haben, werden sie der Installation meist zustimmen, ohne den Text vorher gelesen zu haben. Für die Spione und Schädlinge heisst es dann: „Freie Bahn mit Marzipan!“.
Auch Netzwerkgeräte telefonieren nach Hause
Wer nun denkt, das sei schon alles gewesen, sollte einmal seine übrigen im Computer-Netzwerk angeschlossenen Geräte etwas genauer unter die Lupe nehmen. Wer einen Netzwerkdrucker angeschlossen hat, kann (entsprechende Software und Kenntnisse vorausgesetzt) beobachten, dass diese Geräte oft keine stummen Diener sind. Regelmässig nehmen sie Kontakt mit einem Server ihrer Hersteller auf, um diesem Daten über die Nutzung des Gerätes zu übermitteln. Was sollte einen Multifunktions-Scanner daran hindern, Kopien an eine Adresse ausserhalb des lokalen Netzwerks zu verschicken?
Während man Geräten innerhalb eines lokalen Netzwerks – entsprechende technische Kenntnisse vorausgesetzt – via Firewall einen Maulkorb verpassen kann, lassen sich die Geräte am äussersten Rand des Netzwerks von innerhalb des Netzwerks überhaupt nicht kontrollieren. Wer weiss schon, welche Daten sein ADSL-Modem verschickt? Wieso sollte ein solches Ding nicht ein Duplikat eines Datenpaketes an eine Sicherheitsbehörde verschicken, wenn es terrorismusnahe Begriffe im Datenstrom findet? Na, werden wir endlich langsam paranoid?
Wie schütze ich mich?
Auf diese Frage gibt es leider keine befriedigende Antwort. Wie schon oben erwähnt sind die Sicherheitslücken systembedingt. Wollte man sich vor Spionage, Überwachung und Betrug effektiv schützen, müsste man auf all die Annehmlichkeiten der kleinen Helfer gänzlich verzichten. So bleibt einem nur, nicht jeden Mist herunterzuladen und zu installieren und zu hoffen, dass einem die Helferchen und deren Entwickler wohlgesinnt sind. Andernfalls hilft nur Abstinenz, was für manch einen ein Problem darstellt. Sind wir wirklich schon so süchtig nach und abhängig von den Errungenschaften der Technik?
Hier ein aktuelles Beispiel, wie aus Daten Profile für die „Markt- bzw. Kundenbearbeitung“ erstellt werden:
Die Hamburger Sparkasse (Haspa) hat Finanzberatern zwischen 2005 und 2010 einen weitgehenden Zugriff auf Kontodaten von Kunden eröffnet. Unter Nutzung der Kundendaten, d.h. sowohl soziodemographische Daten als auch Produktnutzungsdaten der Kunden wie Salden von Girokonten oder die Anzahl von Buchungen, wurden Charakterprofile der Kunden erstellt, die auf Erkenntnissen der modernen Hirnforschung beruhen. Der Einsatz dieser modernen Methoden des Neuromarketing erfolgte unter Ausserachtlassung des Datenschutzes und hat gläserne Bankkunden geschaffen.
Die meisten Unternehmen wollen einfach nur Marktdaten (d.h. aktuelle Konsumentenprofile) sammeln, damit sie wissen, wie die Nachfrage aussieht und wen sie als hochpotenziellen Kunden konkret bewerben können. Wenn ein Anbieter dadurch seine Werbekosten um 60% senken kann, hat er eine Menge Geld gespart.
Einige Unternehmen hingegen setzen ganz auf Cyberspionage und versuchen, ihre Konkurrenten bzw. deren Mitarbeiter auszukundschaften oder gleich deren Infrastrukur zu sabotieren. Hier tut sich gerade ein zunehmend lukrativer Markt für kriminelle Hacker auf.
Und dann gibt es natürlich auch noch militärische Szenarien. Über die kann man mittlerweile sogar immer wieder etwas in den Massenmedien lesen.
Das Motiv von Phishing kann ich nachvollziehen. Ebenso kann ich nachvollziehen, dass allenfalls eine staatliche Behörde mich aushorchen will.
Was ich jedoch bis heute noch nie so richtig verstanden habe, ist, was denn irgendein Unternehmen mit meinen Daten konkret anfangen will, zumal ich ja nur Otto Normalverbraucher und kein Promi bin, bei welchem es ja vielleicht noch interessant wäre zu erfahren, wo er was anschaute.
Worin liegt der Nutzen meiner Daten bei irgendeinem Unternehmen?
Dein Fazit trifft ins Schwarze. Man kann eben nicht „s Füfi und s Weggli“ haben.
Doch eine kritische Haltung und ein Bewusstsein, dass die ungezügelte Datensammelwut und das entsprechende Profiling der Firmen via elektronischer Vernetzung existiert, helfen mit, einerseits nicht in Ignoranz zu verfallen, aber andererseits auch nicht an Paranoia zu ersticken. Der Mittelweg heisst: „Think before click“ oder so.
Ich habe mich nun endlich nach langem Zaudern zum Online-Banking durchgerungen. Für die Annehmlichkeit, jederzeit Transaktionen vom Schreibtisch aus zu tätigen, muss ich einfach dem Sicherheitssystem meiner Bank vertrauen. Dafür speichere ich keine Passwörter im PC und lege den USB-Stick schön brav unter die Matratze. 😉