Fünf Fragen an … Hermann Sauer 


Der Newsletter „unverschluesselt.net“ hatte mich die Tage interviewed. Dabei wurden mir fünf Fragen gestellt, in denen ich meine Meinung zum Problem der alltäglichen und zukünftigen Massenausspähung zum Ausdruck bringen durfte. Hier der Link zu dem Interview:

https://klartext.unverschluesselt.net/fuenf-fragen-an-hermann-sauer/

Neue deutsche Daten-Allianzen

Bündnis gegen Facebook und Google: RTL, ProSiebenSat.1, Zalando und United Internet starten Datenallianz.

„Deutsche Fernsehkonzerne und Internetfirmen wollen sich mit einer Datenallianz gegen Facebook, Google und Co positionieren. RTL Deutschland, ProSiebenSat.1 Media sowie die United Internet AG mit web.de und gmx schaffen ein übergreifendes Registrierungs- und Anmeldeverfahren im Internet, wie die Unternehmen am Freitag mitteilten. Zuvor hatten Axel Springer, Deutsche Bank, Daimler und Allianz bereits ebenfalls eine Datenallianz angekündigt….Erster Partner ist der Berliner Versandhändler Zalando“

http://meedia.de/2017/07/28/buendnis-gegen-facebook-und-google-rtl-prosiebensat-1-zalando-und-united-internet-starten-datenallianz/

Eine Meldung, die sich zunächst für Anwender als Vereinfachung anhört. Denn damit kann man die Login-Daten eines Anbieters dazu nutzen, sich bei einem anderen Anbieter anzumelden. Und wir alle haben doch immer wieder Probleme uns an die Login-Daten für das Portal zu erinnern, bei dem man sich gerade einloggen möchte. Und solche „Singel-Sign-On“ Dienste nutzen heute schon viele.

Aber raten uns Sicherheitsexperten nicht immer, bei jedem Anbieter eine andere User-Id und ein anderes Passwort zu wählen? Hier möchte ich beschreiben, was die Gefahr solcher Allianzen ist und warum man einen solchen Dienst nicht nutzen sollte.

Um was geht es wirklich?

Weitere Details und um welche Strategie es diesen Firmen wirklich geht, kann man diesem Artikel entnehmen:

http://www.horizont.net/medien/nachrichten/Datenallianz-gegen-US-Digitalriesen-RTL-Gruppe-P7S1-und-United-Internet-gruenden-Stiftung–Zalando-erster-Partner-159918

Es geht also um die Unabhängigkeit Deutscher Firmen von Google, Facebook und Co. Das ist nachvollziehbar, denn bisher mussten Medienvermarkter mit diesen US-Marktführern kooperieren um ihre Daten zu „veredeln“.

Sobald man eine Web-Seite aufruft, werden wir im durchschnitt von 9 Trackerfirmen „beobachtet“. Machmal können es auch bis zu 40 verschiedene Trackingfirmen sein, die unsere Nutzerprofile sammeln. Eine einzelne kleine Tracking-Firma, die uns nur auf wenigen Webseiten beobachten kann, bekommt natürlich nur einen sehr kleinen Ausschnitt unserer Interessen geliefert. Grosse Firmen, wie Google, die auf 87% aller Webseiten unser Nutzerverhalten analysieren, bekommen da ein viel genaueres und vor allem umfangreicheres Profil von uns.

Warum möchten die Tracking-Firmen die Daten untereinander abgleichen?

Auch die Profil-Daten, die von kleinen Firmen gesammelt werden, haben ihren Wert. Auch wenn es sich bei diesen Daten nur um weitere kleine Puzzleteile unseres Profils handelt, so werden auch diese gerne mit Puzzleteilen großer Trackerfirmen verknüpft. Hier hat sich im Hintergrund in den letzten Jahren ein riesiger Markt aus über 80.000 Firmen entwickelt, die direkt oder indirekt mit unseren Daten gute Geschäfte machen. Noch wertvoller werden die Daten, wenn man sie mit schon gesammelten Daten verknüpft. Auch mit Daten die nicht aus dem Internet stammen. Solche Off-Line Daten kommen z.B

  • von Loyalty-Karten, sogenannte Payback oder Kundenkarten (immerhin haben 37% aller Deutschen schon eine Payback-Karte),
  • von Kreditkarten,
  • Daten, die seit vielen Jahren von der Post gesammelt werden,
  • von Einwohnermeldeämtern, die Bürgerdaten an Daten-Sammler verkaufen,
  • von Firmen, die unseren Fernsehkonsum beobachten können,
  • zukünftig auch von unserem Auto, oder Diagnosedaten die die Werkstatt ermittelt,
  • usw.

Hier kommen sogenannte „Onboarding-Firmen“ ins Spiel. Das sind Unternehmen, die solche Offline-Daten mit den Online-Daten aus dem Internet verknüpfen. Eine der größten Onboarding-Firmen ist z.B. die Firma Acxiom, die bis zu 3000 Attribute (Eigenschaften) von 700 Millionen Konsumenten besitzt. 2004 hatte Acxiom schon Informationen über 44 Millionen Deutsche.

Für weitere Informationen zu diesen Themen kann ich „Networks of Control – A Report on Corporate Surveillance, Digital Tracking, Big Data & Privacy“ empfehlen: http://crackedlabs.org/en/networksofcontrol.

Wie werden Profildaten-Daten verschiedener Tracking-Firmen miteinander verknüpft?

Die Verknüpfung wird in vielen Fällen direkt online durchgeführt, noch während man sich die Seite gerade anschaut. Um Daten von Trackingfirma-A mit den Daten von Trackingfirma-B zusammen zu führen benötigt man allerdings ein einheitliches Attribut, das einem Gerät oder einer Person zugeordnet werden kann.

Nutzer-Daten, die „anonym“ über einen Browser gesammelt werden, sind recht schwer einer Person zuzuordnen. Noch schwieriger wird es für die Tracking-Firmen, wenn man verschiedene Geräte benutzt oder auch Daten aus der realen offline-Welt mit den Internet-Daten zusammenfügen möchte.

Profildaten von mobilen Geräten verknüpfen

Tracking-Daten, die bei mobilen Geräten von verschiedenen Firmen gesammelt werden, können recht einfach miteinander verknüpft werden. Sowohl Apple (IDFA) als auch Android (AAID) stellen dem Programmierer zu diesem Zweck eine eindeutige ID, die dem mobilen Gerät zugeordnet ist, zur Verfügung. Die Tracking-Firmen können ihre Daten recht einfach über diese eindeutige ID einem Gerät zuordnen und somit untereinander abgleichen.

Browser-Daten verknüpfen

Bei Verwendung eines Browsers unter Windows oder MacOS müssen zu diesem Zweck Fingerprint-Technologien oder Cookies eingesetzt werden. So kann z.B. die Web-Seite eines Online-Shops, auf dem man sich gerade anonym Waren anschaut, direkt mit Facebook oder einem anderen Tracking-Partner Kontakt aufnehmen. Diesem Partner, bei dem man sich irgendwann einmal angemeldet hatte und der dazu auf dem genutzten Gerät einen Cookie gespeichert hat, ist in der Lage, die persönlichen realen Daten an den Shop übermitteln. Ein solcher Partner des Shops, bei dem man sich schon einmal angemeldet hatte, kann z.B.

  • ein Mail-Account (z.B. bei t-online, yahoo, gmx oder web.de),
  • ein anderer Shop wie eBay, Amazon, Autoscout24, Otto oder Quelle,
  • ein soziales Netzwerk wie Facebook/Whatsapp, Snappchat oder Google+ sein,
  • oder auch eine Online-Zeitung/Zeitschrift, die man abonniert hat.

In all diesen Fällen kann die De-Anonymisierung und der Datenabgleich mit Hilfe des Login-Cookies sofort in Realtime zwischen den Partnern stattfinden.

Wenn man allerdings verschiedene Devices nutzt, dann funktioniert der Datenabgleich mit Cookies, Fingerprinting oder Geräte-Ids nicht mehr so einfach. Auch bei der Verknüpfung der Online- mit den Offline gesammelten Daten ist der Datenabgleich recht schwierig.

Gleiche Login-Daten sind optimal für den Datenaustausch der Tracker-Firmen

Ganz einfach funktioniert ein solcher Datenabgleich sowohl Geräteübergreifend als auch mit offline-Daten, wenn man die gleichen Login-Daten für mehrere Portale nutzt. Und genau das ist der Vorteil eines solchen Single-Logon-Netzwerks verschiedener Tracking-Firmen.

Dabei ist Single-Sign-On nicht neu. Viele Portale bieten heute schon an, dass man sich mit dem Twitter, Facebook. oder Google+ Konto einloggen kann. Bei Single-Sign-On Diensten besitzt Facebook heute schon einen Marktanteil von 66%, Goggle 10%.

Allerdings muss der Portal-Betreiber zunächst mit einem dieser grossen US-Tracker-Monopolisten einen Vertrag abschliessen und dann leitet er diesem auch noch Informationen der eigenen Nutzer zu. Das kann nicht im Interesse der Tracking-Firmen sein, die in der zweiten Reihe stehen, also nicht zu den ganz Grossen gehören.

Dazu befürchten diese deutschen Firmen mit ihrer Datensammel-Leidenschaft Probleme mit der zukünftigen E-Privacy-Verordnung zu bekommen, wenn sie weiterhin mit Facebook und Google kooperieren.

Projekt DIPP: Wie Springer, Deutsche Bank und Daimler Google & Co. den Kampf um Nutzerdaten ansagen

Schon im Mai 2017 haben sich die Firmen Deutsche Bank, Daimler, BMW, Audi, Springer, die Allianz-Versicherung und der Kartendienst Here zu einer ähnlichen Allianz zusammen geschlossen. http://meedia.de/2017/05/08/projekt-dipp-wie-springer-deutsche-bank-und-daimler-google-co-den-kampf-um-nutzerdaten-ansagen/

Gerade der Kartendienst Here, der von Audi, BMW und Daimler gekauft wurde, ist optimal positioniert Fahrzeug-Positionen und -Fahrstrecken zu erfassen. Zusammen mit den Fahrzeugdaten können daraus wertvolle Nutzer-Profile ermittelt werden, an denen auch ein DIPP-Partner wie z.B. die Allianz-Versicherung Interessiert ist. Denn Fahrzeug-Versicherungen möchten nicht nur wissen, ob wir Drängler, Trödler oder Raser sind. Über Bewegungsprofile, die heute schon mit Hilfe von Smart-Phones und zukünftig dann auch von unseren Auto-Navigationssystemen ermittelt werden, kann man einfach feststellen, ob und wie oft ich bei diesem Facharzt, dem Scheidungsanwalt, der Moschee oder dieser Demonstration war. Alles Daten, die bei der Einschätzung eines Versicherungs-Risikos wertvolle Dienste leisten können. Und bevor eine Rechtsschutzversicherung eine Deckung zusagt, könnte sie sich auch noch für das Geschwindigkeitsprofil meines Fahrzeugs interessieren.

 

Hier noch einmal eine Übersicht der beiden Allianzen:

Was kann das für mich bedeuten?

Man könnte nun als Nutzer eines dieser Dienste nutzt denken: das ist mir egal, ich bin doch nur BMW-Kunde, habe gar kein Konto bei der Deutschen Bank. Deshalb bekommen die anderen Partner meine Daten nicht wenn ich nur auf den BMW-Seiten surfe. Ob das wirklich so kommen wird, muss man abwarten. Zumindest ist es technisch einfach möglich, die Tracking-Daten auch den Partnern weiterzugeben, bei denen man kein Kunde ist. Und wer liest schon die Datenschutzbestimmungen mit denen man automatisch seine Zustimmung zur Datenweitergabe gibt.

Oder sogar umgekehrt: wenn ich z.B. ein Login bei United Internet (also bei web.de oder gmx.de) habe und bei rtl.de Web-Seiten aufrufe, dann wäre es technisch möglich, dass RTL meine Identität erfährt, obwohl ich kein Login bei rtl.de habe. RTL muss dazu nur seinen Partner United Internet fragen, wer sich seine Seite gerade anschaut.

Schöne neue Datensammelwelt.

 

 

PrivacyScore: Compare Websites

Hier mal etwas positives. Ich möchte die Web-Seite PrivacyScore empfehlen: https://privacyscore.org/.

Was ist PrivacyScore?

PrivacyScore ist ein automatisierter Website-
Scanner, mit dem Sie Websites für Datenschutz- 
und Sicherheitsfragen untersuchen können. Sie 
können einzelne Webseiten scannen oder eine 
Liste verwandter Webseiten eingeben, um sie 
zu vergleichen.

Die Entwickler der Seite haben sich wirklich viel Mühe gegeben, alle derzeit erkennbaren Sicherheits-Aspekte einer Web-Seite zu prüfen. Einfach den Link zu einer Web-Seite eingeben und  PrivacyScore prüft die Web-Seite auf Herz und Nieren. Obwohl die Seite noch recht neu ist, gibt es doch schon einige recht interessante Listen, die z.B. die Web-Seiten

  • Deutsche Krankenkassen und Krankenversicherungen
  • Fahrzeug Hersteller
  • Europäischen Datenschutzbehörden
  • grössten Deutschen Banken

vergleichen (https://privacyscore.org/browse/)

 

Mein Gespräch mit Interview-Radio zum Thema „Service-Sicherheit und Spuren im Internet“

Ich hatte vor einigen Tagen Besuch von „Interview-Radio“ und wurde zum Thema „Service-Sicherheit und Spuren im Internet“ befragt. Daraus hat der Sender, der derzeit nur unter DAB+ ausgestrahlt wird, eine vierteilige Interview-Serie geschnitten. Diese Interview Serie wird die nächste Zeit in unregelmässigen Abständen wiederholt gesendet.

Der Sender hat mir freundlicherweise erlaubt, diese auch hier zum Download zur Verfügung zu stellen.

Wo und wie wir im Internet Spuren hinterlassen:

Kommerzielle Trackingfirmen:

Nutzer Profile aus Daten im Internet bilden:

Wie Firmen mit Nutzer Profilen im Internet Geld verdienen:

Browser Plugins, die im Hintergrund mehr machen als dem Nutzer Recht ist

Wie einfach sich Tracking-Daten, die angeblich anonym erfasst werden, „konkreten Personen zuordnen lassen und wie umfangreich sie intime Details aus dem Leben der Nutzer preisgeben.“ wissen wir spätestens, seit dies eine NDR Sendung in einem „Selbstversuch“ veröffentlichte: http://www.ndr.de/nachrichten/netzwelt/Nackt-im-Netz-Millionen-Nutzer-ausgespaeht,nacktimnetz100.html

Eine der Daten-Sammler waren in deren Beispiel das Browser-Plugin WoT (Web-of-Trust). Dieses Plugin überprüfte nicht nur aufgerufene Server auf ihre Vertrauenswürdigkeit, es sammelte komplette Seitenaufrufe mit samt ihren Parametern und gab diese Daten jedem weiter, der dafür bezahlte.

Bei meinen Recherchen bin ich immer wieder auf solche unerwartete Datensammler gestossen. Unter anderem ist mir jetzt das Browser Plugin „Erweiterter Cookie Manager“ unangenehm aufgefallen. Dieses Plugin, das ich regelmässig in Firefox nutze um die Cookies zu verwalten, baut immer wenn ich es aufrufe, eine Verbindung zu Facebook auf (zu https://www.facebook.com/cookiemanager/).

Das besonders bedenklich daran ist, dass dabei ein Facebook-Cookie, an Facebook übertragen wird. Falls ich zuvor in Facebook eingeloggt war, wird dabei sogar meine Facebook-Id mit übergeben. D.H. Facebook weiss jetzt, dass ich dieses Plugin gerade nutze. Es findet somit eine de-anonymisierung statt.

Hier im TrutzBox-Status kann man nicht nur den Facebook Aufruf sehen, sondern man sieht auch, welche Daten an Facebook übergeben werden:

Da fragt man sich doch, wieso werden hier bei der Nutzung eines Plugins meine Facebook-Daten mitsamt der Information, dass ich gerade dieses Plugin benutze an Facebook übermittelt.

Ich würde mir zumindest wünschen, dass ich zuvor über diesen „Vorgang“ um Erlaubnis gebeten würde.

 

Ergänzung vom 17.7.17

Es gibt einen sehr aufschlussreichen Artikel, der das Tracking-Verhalten von Browser-Plugins analysiert:
Extended Tracking Powers: Measuring the Privacy Diffusion Enabled by Browser Extensions„:

 

Eine interessante Erkenntnis aus dem Artikel ist, dass auch Browser-Extensions, die der Sicherheit dienen wollen, unnötigerweise Daten an Tracker-Firmen liefern. Ganz vorne dabei ist ein Plugin der Firma Avast.

Firefox Klar: Kostenloser Content-Blocker von Mozilla. Schützt „Klar“ wirklich die Privatsphäre?

Laut https://support.mozilla.org/de/kb/was-ist-firefox-klar dient die neue iPhone App dem „.. Schutz Ihrer Privatsphäre..„, stellt „einen Browser mit eingebautem Schutz vor Aktivitätenverfolgung zur Verfügung und ermöglicht auch das Blockieren von Inhalten.“ Wie gut schützt die App wirklich die Privatsphäre?

Ich habe „Firefox Klar“ auf meinem iPhone installiert und erstaunliches festgestellt. „Firefox Klar“ analysiert meine Browser-Aktivitäten und schickt diese Daten in Echtzeit dann auch noch an die Marketing-Firma Adjust GmbH (adjust.com). Dabei schreibt Mozilla doch „Wann immer Sie privat, werbefrei und vor Verfolgung (Tracking) geschützt surfen wollen, ist Firefox Klar für Sie da.„. Wie kann es dann sein, dass diese App meine Browser-Aktivitäten protokolliert und dann auch noch an einen Dritten weitergibt?

Wer ist diese Firma adjust? Auf adjust.com stellt sich das Unternehmen als Tracking-Unternehmen vor:

„adjust is the business intelligence platform mobile app marketers love: we combine attribution for advertising sources with advanced in-app analytics and store statistics for unbeatable marketing insights.“

Und ein Kunde schreibt dort: „With adjust, we can track and measure whatever we want in real time. It’s a fully flexible solution that gives us insight beyond just click and install: we can investigate all our downstream events and optimize towards our goals.

Ob und an welche ihrer über 700 Werbe-Partner die Firma Adjust diese Daten weiter gibt, wird nicht verraten. Aber in der Liste ihrer Partner findet man alles was Rang und Namen in der Tracking-Industrie hat: https://www.adjust.com/integrated_partners/.

Da möchte ich mich vor Tracking schützen, vertraue Mozilla, installiere Firefox Klar und dann werden Aktivitäten analysiert und dieser Tracking-Firma überlassen.

Wenn ich mein iPhone im Transparent-Mode an das TrutzBox-Netzwerk anschließe, zeigt mir die TrutzBox im Status-Menü den Aufruf des Adjust-Servers: Aber nicht nur Adjust bekommt meine Daten. Jede mit dem Firefox Klar Browser aufgerufene Web-Seite bekommt über den http-Header „User-Agent“ die Information, dass ich Firefox Klar benutze, mich also schützen möchte. Aber glücklicher Weise kann das die TrutzBox verhindern.

Darf Mozilla denn einfach so mein Nutzerverhalten protokollieren und an die Firma Adjust weitergeben? Ich bin kein Jurist, aber dass Mozilla diese Daten erfasst und ohne meine Vorab-Zustimmung weiter gibt, halte ich zumindest für fragwürdig. Ganz zu schweigen von diesem „Schutz Ihrer Privatsphäre“ Werbeversprechen. Warum fragen sie mich nicht vorab, ob sie die weiter geben dürfen?

Aber eines muss man Mozilla dann doch zu Gute halten. Wenn man lange genug auf den Mozilla Seiten sucht, findet man den allgemeinen Hinweis, dass Mozilla auf Mobil-Geräten wohl immer Nutzungsdaten an die Adjust GmbH übermittelt: https://support.mozilla.org/de/kb/anonyme-nutzungsdaten-zu-firefox-auf-mobilgeraten-

Dort ist auch beschrieben, wie man diese Übermittlung ausschalten kann. Aber selbst wenn man diese ausschaltet, wird über den http-Header natürlich weiterhin die Information, dass ich Firefox Klar benutze, an alle angesteuerten Server übermittelt.

Fazit: falls Sie Firefox Klar nutzen möchten, immer erst mal die standardmäßig eingeschaltete Übermittlung der Tracking-Daten (Menüpunkt „Benutzungsdaten senden“) ausschalten.

Nachtrag vom 14.7.17

Weniger Werbung, mehr Privatsphäre: Firefox Klar jetzt auch für Android

Mozilla hat mittlerweile auch eine Android-Version bereit gestellt. Dabei schreibt Mozilla, dass sie „…auf die Einbindung der Drittanbieter-Lösung Adjust verzichtet haben.“ 

Weiter schreiben sie: „Zu diesem Schritt haben wir uns aufgrund des Feedbacks entschieden, das wir im Nachgang des Launchs von Klar für iOS insbesondere von unseren deutschsprachigen Nutzern erhalten haben und wir freuen uns, hierauf an dieser Stelle einzugehen. Auch aus der iOS-Version von Klar werden wir Adjust entfernen.“

Ich konnte für die iOS Version wirklich feststellen, dass ein Tracking durch Adjust nicht mehr statt findet. Die Android Version habe ich nicht getestet.

Hermann Sauer