Neue deutsche Daten-Allianzen

Bündnis gegen Facebook und Google: RTL, ProSiebenSat.1, Zalando und United Internet starten Datenallianz.

„Deutsche Fernsehkonzerne und Internetfirmen wollen sich mit einer Datenallianz gegen Facebook, Google und Co positionieren. RTL Deutschland, ProSiebenSat.1 Media sowie die United Internet AG mit web.de und gmx schaffen ein übergreifendes Registrierungs- und Anmeldeverfahren im Internet, wie die Unternehmen am Freitag mitteilten. Zuvor hatten Axel Springer, Deutsche Bank, Daimler und Allianz bereits ebenfalls eine Datenallianz angekündigt….Erster Partner ist der Berliner Versandhändler Zalando“

http://meedia.de/2017/07/28/buendnis-gegen-facebook-und-google-rtl-prosiebensat-1-zalando-und-united-internet-starten-datenallianz/

Eine Meldung, die sich zunächst für Anwender als Vereinfachung anhört. Denn damit kann man die Login-Daten eines Anbieters dazu nutzen, sich bei einem anderen Anbieter anzumelden. Und wir alle haben doch immer wieder Probleme uns an die Login-Daten für das Portal zu erinnern, bei dem man sich gerade einloggen möchte. Und solche „Singel-Sign-On“ Dienste nutzen heute schon viele.

Aber raten uns Sicherheitsexperten nicht immer, bei jedem Anbieter eine andere User-Id und ein anderes Passwort zu wählen? Hier möchte ich beschreiben, was die Gefahr solcher Allianzen ist und warum man einen solchen Dienst nicht nutzen sollte.

Um was geht es wirklich?

Weitere Details und um welche Strategie es diesen Firmen wirklich geht, kann man diesem Artikel entnehmen:

http://www.horizont.net/medien/nachrichten/Datenallianz-gegen-US-Digitalriesen-RTL-Gruppe-P7S1-und-United-Internet-gruenden-Stiftung–Zalando-erster-Partner-159918

Es geht also um die Unabhängigkeit Deutscher Firmen von Google, Facebook und Co. Das ist nachvollziehbar, denn bisher mussten Medienvermarkter mit diesen US-Marktführern kooperieren um ihre Daten zu „veredeln“.

Sobald man eine Web-Seite aufruft, werden wir im durchschnitt von 9 Trackerfirmen „beobachtet“. Machmal können es auch bis zu 40 verschiedene Trackingfirmen sein, die unsere Nutzerprofile sammeln. Eine einzelne kleine Tracking-Firma, die uns nur auf wenigen Webseiten beobachten kann, bekommt natürlich nur einen sehr kleinen Ausschnitt unserer Interessen geliefert. Grosse Firmen, wie Google, die auf 87% aller Webseiten unser Nutzerverhalten analysieren, bekommen da ein viel genaueres und vor allem umfangreicheres Profil von uns.

Warum möchten die Tracking-Firmen die Daten untereinander abgleichen?

Auch die Profil-Daten, die von kleinen Firmen gesammelt werden, haben ihren Wert. Auch wenn es sich bei diesen Daten nur um weitere kleine Puzzleteile unseres Profils handelt, so werden auch diese gerne mit Puzzleteilen großer Trackerfirmen verknüpft. Hier hat sich im Hintergrund in den letzten Jahren ein riesiger Markt aus über 80.000 Firmen entwickelt, die direkt oder indirekt mit unseren Daten gute Geschäfte machen. Noch wertvoller werden die Daten, wenn man sie mit schon gesammelten Daten verknüpft. Auch mit Daten die nicht aus dem Internet stammen. Solche Off-Line Daten kommen z.B

  • von Loyalty-Karten, sogenannte Payback oder Kundenkarten (immerhin haben 37% aller Deutschen schon eine Payback-Karte),
  • von Kreditkarten,
  • Daten, die seit vielen Jahren von der Post gesammelt werden,
  • von Einwohnermeldeämtern, die Bürgerdaten an Daten-Sammler verkaufen,
  • von Firmen, die unseren Fernsehkonsum beobachten können,
  • zukünftig auch von unserem Auto, oder Diagnosedaten die die Werkstatt ermittelt,
  • usw.

Hier kommen sogenannte „Onboarding-Firmen“ ins Spiel. Das sind Unternehmen, die solche Offline-Daten mit den Online-Daten aus dem Internet verknüpfen. Eine der größten Onboarding-Firmen ist z.B. die Firma Acxiom, die bis zu 3000 Attribute (Eigenschaften) von 700 Millionen Konsumenten besitzt. 2004 hatte Acxiom schon Informationen über 44 Millionen Deutsche.

Für weitere Informationen zu diesen Themen kann ich „Networks of Control – A Report on Corporate Surveillance, Digital Tracking, Big Data & Privacy“ empfehlen: http://crackedlabs.org/en/networksofcontrol.

Wie werden Profildaten-Daten verschiedener Tracking-Firmen miteinander verknüpft?

Die Verknüpfung wird in vielen Fällen direkt online durchgeführt, noch während man sich die Seite gerade anschaut. Um Daten von Trackingfirma-A mit den Daten von Trackingfirma-B zusammen zu führen benötigt man allerdings ein einheitliches Attribut, das einem Gerät oder einer Person zugeordnet werden kann.

Nutzer-Daten, die „anonym“ über einen Browser gesammelt werden, sind recht schwer einer Person zuzuordnen. Noch schwieriger wird es für die Tracking-Firmen, wenn man verschiedene Geräte benutzt oder auch Daten aus der realen offline-Welt mit den Internet-Daten zusammenfügen möchte.

Profildaten von mobilen Geräten verknüpfen

Tracking-Daten, die bei mobilen Geräten von verschiedenen Firmen gesammelt werden, können recht einfach miteinander verknüpft werden. Sowohl Apple (IDFA) als auch Android (AAID) stellen dem Programmierer zu diesem Zweck eine eindeutige ID, die dem mobilen Gerät zugeordnet ist, zur Verfügung. Die Tracking-Firmen können ihre Daten recht einfach über diese eindeutige ID einem Gerät zuordnen und somit untereinander abgleichen.

Browser-Daten verknüpfen

Bei Verwendung eines Browsers unter Windows oder MacOS müssen zu diesem Zweck Fingerprint-Technologien oder Cookies eingesetzt werden. So kann z.B. die Web-Seite eines Online-Shops, auf dem man sich gerade anonym Waren anschaut, direkt mit Facebook oder einem anderen Tracking-Partner Kontakt aufnehmen. Diesem Partner, bei dem man sich irgendwann einmal angemeldet hatte und der dazu auf dem genutzten Gerät einen Cookie gespeichert hat, ist in der Lage, die persönlichen realen Daten an den Shop übermitteln. Ein solcher Partner des Shops, bei dem man sich schon einmal angemeldet hatte, kann z.B.

  • ein Mail-Account (z.B. bei t-online, yahoo, gmx oder web.de),
  • ein anderer Shop wie eBay, Amazon, Autoscout24, Otto oder Quelle,
  • ein soziales Netzwerk wie Facebook/Whatsapp, Snappchat oder Google+ sein,
  • oder auch eine Online-Zeitung/Zeitschrift, die man abonniert hat.

In all diesen Fällen kann die De-Anonymisierung und der Datenabgleich mit Hilfe des Login-Cookies sofort in Realtime zwischen den Partnern stattfinden.

Wenn man allerdings verschiedene Devices nutzt, dann funktioniert der Datenabgleich mit Cookies, Fingerprinting oder Geräte-Ids nicht mehr so einfach. Auch bei der Verknüpfung der Online- mit den Offline gesammelten Daten ist der Datenabgleich recht schwierig.

Gleiche Login-Daten sind optimal für den Datenaustausch der Tracker-Firmen

Ganz einfach funktioniert ein solcher Datenabgleich sowohl Geräteübergreifend als auch mit offline-Daten, wenn man die gleichen Login-Daten für mehrere Portale nutzt. Und genau das ist der Vorteil eines solchen Single-Logon-Netzwerks verschiedener Tracking-Firmen.

Dabei ist Single-Sign-On nicht neu. Viele Portale bieten heute schon an, dass man sich mit dem Twitter, Facebook. oder Google+ Konto einloggen kann. Bei Single-Sign-On Diensten besitzt Facebook heute schon einen Marktanteil von 66%, Goggle 10%.

Allerdings muss der Portal-Betreiber zunächst mit einem dieser grossen US-Tracker-Monopolisten einen Vertrag abschliessen und dann leitet er diesem auch noch Informationen der eigenen Nutzer zu. Das kann nicht im Interesse der Tracking-Firmen sein, die in der zweiten Reihe stehen, also nicht zu den ganz Grossen gehören.

Dazu befürchten diese deutschen Firmen mit ihrer Datensammel-Leidenschaft Probleme mit der zukünftigen E-Privacy-Verordnung zu bekommen, wenn sie weiterhin mit Facebook und Google kooperieren.

Projekt DIPP: Wie Springer, Deutsche Bank und Daimler Google & Co. den Kampf um Nutzerdaten ansagen

Schon im Mai 2017 haben sich die Firmen Deutsche Bank, Daimler, BMW, Audi, Springer, die Allianz-Versicherung und der Kartendienst Here zu einer ähnlichen Allianz zusammen geschlossen. http://meedia.de/2017/05/08/projekt-dipp-wie-springer-deutsche-bank-und-daimler-google-co-den-kampf-um-nutzerdaten-ansagen/

Gerade der Kartendienst Here, der von Audi, BMW und Daimler gekauft wurde, ist optimal positioniert Fahrzeug-Positionen und -Fahrstrecken zu erfassen. Zusammen mit den Fahrzeugdaten können daraus wertvolle Nutzer-Profile ermittelt werden, an denen auch ein DIPP-Partner wie z.B. die Allianz-Versicherung Interessiert ist. Denn Fahrzeug-Versicherungen möchten nicht nur wissen, ob wir Drängler, Trödler oder Raser sind. Über Bewegungsprofile, die heute schon mit Hilfe von Smart-Phones und zukünftig dann auch von unseren Auto-Navigationssystemen ermittelt werden, kann man einfach feststellen, ob und wie oft ich bei diesem Facharzt, dem Scheidungsanwalt, der Moschee oder dieser Demonstration war. Alles Daten, die bei der Einschätzung eines Versicherungs-Risikos wertvolle Dienste leisten können. Und bevor eine Rechtsschutzversicherung eine Deckung zusagt, könnte sie sich auch noch für das Geschwindigkeitsprofil meines Fahrzeugs interessieren.

 

Hier noch einmal eine Übersicht der beiden Allianzen:

Was kann das für mich bedeuten?

Man könnte nun als Nutzer eines dieser Dienste nutzt denken: das ist mir egal, ich bin doch nur BMW-Kunde, habe gar kein Konto bei der Deutschen Bank. Deshalb bekommen die anderen Partner meine Daten nicht wenn ich nur auf den BMW-Seiten surfe. Ob das wirklich so kommen wird, muss man abwarten. Zumindest ist es technisch einfach möglich, die Tracking-Daten auch den Partnern weiterzugeben, bei denen man kein Kunde ist. Und wer liest schon die Datenschutzbestimmungen mit denen man automatisch seine Zustimmung zur Datenweitergabe gibt.

Oder sogar umgekehrt: wenn ich z.B. ein Login bei United Internet (also bei web.de oder gmx.de) habe und bei rtl.de Web-Seiten aufrufe, dann wäre es technisch möglich, dass RTL meine Identität erfährt, obwohl ich kein Login bei rtl.de habe. RTL muss dazu nur seinen Partner United Internet fragen, wer sich seine Seite gerade anschaut.

Schöne neue Datensammelwelt.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.