Editorial: Wenn das Sicherheitstool unsicher ist

Browser-Plugins sammeln Daten und telefonieren diese nach Hause. Dem steht der User fast wehrlos gegenüber. Was müsste sich ändern?

Von Kai Petzke

Editorial: Wenn das Sicherheitstool unsicher ist Editorial: Wenn das Sicherheitstool unsicher ist
(c) Tomasz Trojanowski - Fotolia.com An Datenskandale scheint sich die Öffentlichkeit bereits derartig gewöhnt zu haben, dass sie kaum noch wahrgenommen werden. Bei welcher prominenter Website wurde etwa zuletzt die User-Datenbank geknackt, so dass massenhaft Login-Daten abgegriffen werden konnten? War das Yahoo, Google, LinkedIn, Dropbox oder doch ein anderer prominenter Betreiber? Die meisten Anwender dürften weder diese Frage beantworten können, noch die drei Grundregeln für sichere Passwörter kennen.

Ab und zu schafft es dennoch eine Meldung über Datenhandel und Datenklau über die Fachmedien hinaus in den Mainstream. Letzte Woche gelang dem NDR dieser Coup, indem er die Surfprofile von nicht weniger als 3 Millionen Nutzern auskundschaftete. Diese waren dem NDR von einem dubiosen Datenhändler als kostenlose Vorschau auf den wohl noch deutlich umfangreicheren Komplett-Datenbestand übermittelt worden.

Das perfide an dem von dem NDR aufgedeckten Skandal: Ausgerechnet ein Browser-Plugin, das dem Nutzer mehr Sicherheit und Datenschutz verspricht, indem es den Nutzer vor betrügerischen und fragwürdigen Websites warnt, hatte die Daten abgegriffen. Wenn man schon Datenschutz-Tools nicht mehr glauben kann, wem dann überhaupt?

Kleingedrucktes

Editorial: Wenn das Sicherheitstool unsicher ist Editorial: Wenn das Sicherheitstool unsicher ist
(c) Tomasz Trojanowski - Fotolia.com Zwar hatte sich der Anbieter des "Web of Trust" genannten Plugins in den Lizenzbedingungen die Erstellung von Nutzerprofilen und die Datenweitergabe vorbehalten. Doch erfolgte die Datenweitergabe in einer derart hohen Detaillierung, dass die versprochene Anonymisierung vom Erwerber der Daten ganz einfach ausgehebelt werden konnte. Dazu musste der Erwerber lediglich die angesurften URLs auswerten: In vielen URLs steckte ein Klarname, oft dürfte das der des ausgespähten Nutzers oder eines engen Bekannten von diesem sein. Zwar lässt sich so nur ein Teil der Daten deanonymisieren. Betreibt der Datenkäufer aber selber eine große Internetplattform und "kennt" daher die Nutzer, dann muss er lediglich die in den gekauften Daten registrierten Klicks der User auf seine Internsetseite mit den Daten der eigenen Server abgleichen. Und schon weiß beispielsweise Amazon als möglicher Datenkäufer, wer ihrer Kunden wie oft "fremdshoppt", oder eine Fitness-Kette, welche ihrer Kunden sich im Web über Anabolika informieren.

Nun ist es nach deutschem AGB-Recht schlicht und einfach unzulässig, einen Vertrag per Kleingedrucktem ins Gegenteil zu verkehren. Ein Sicherheitstool, dass die Anonymität des Users aushebelt, ist kein Sicherheitstool mehr. Das sahen auch die großen Browser-Hersteller allesamt so, und haben das Web-of-Trust-Plugin von den Download-Servern für Plugins verbannt. Nur: Nach den Recherchen des NDR war "Web of Trust" anscheinend nur eines der Datenlecks, aber das einzige, das identifiziert werden konnte. Die anderen sammeln also fleißig weiter.

Hinzu kommt, dass das, was die Browser und Betriebssysteme von Google, Apple und Microsoft an Nutzerdaten nach Hause telefonieren, noch deutlich über das hinaus geht, was "Web of Trust" überhaupt gesammelt hat: Nicht nur angesurfte URLs, sondern beispielsweise auch die Liste aller installierten Programme, An- und Abmeldungen von Nutzern oder die Namen und Titel der mit "Word" oder "Excel" bearbeiteten Dokumente. So lange die genannten Unternehmen Milliardengewinne einfahren, werden sie den Datenschatz, auf dem sie sitzen, bestens hüten, und vermeiden, dass allzu viele Nutzer durch die Datensammlung Schaden erleiden. Sollte es den genannten Hütern der Datenberge aber mal schlechter gehen, ist zu fürchten, dass genau dieser Datenschatz bei dubiosen Händlern im Darknet als Hehlerware auftaucht.

Zwar lässt sich die Geschwätzigkeit von Windows 10 durchaus reduzieren, indem man die Enterprise-Version erwirbt und diese dann entsprechend konfiguriert. Nur summieren sich für einen einfachen Office-PC während dessen Nutzungszeit die Lizenzkosten für die jeweiligen Enterprise-Versionen von Windows auf einen Wert, der die Anschaffungskosten deutlich übersteigt! Microsoft weiß also, was dem gewerblichen Nutzer seine Daten wert sein sollten.

Politik und Regulierung?

In Deutschland dreht sich die Datenschutzdiskussion seit Jahren um die Frage, ob IP-Adressen für ein paar Tage gespeichert werden dürfen. 2011 urteilte diesbezüglich der BGH, 2014 dann erneut der BGH, und vor wenigen Tagen sogar der EuGH. Doch um das vielfach größere Problem, dass Plugins, Apps und Betriebssysteme massenhaft Daten auf den Endgeräten der Kunden abgreifen und zu den Servern der Herausgeber transferieren, scheint sich niemand zu kümmern. Leider.

Weitere Editorials

31.03.24 - Editorial: Die klare Strategie fehlt bei Sky
03.12.23 - Abschaltdatum für DSL 2032: Chancen und Risiken
22.10.23 - Editorial: Diskussion um UKW-Abschaltung völlig unnötig
15.10.23 - Editorial: Darum muss das Handy zwingend geschützt sein
25.06.23 - Editorial: Das muss bei der eSIM künftig besser laufen
29.05.23 - Glasfaser: Angst vor strategischem Überbau
16.04.23 - Warum ein Ende von DVB-T2 HD fahrlässig wäre
19.03.23 - Editorial: Warum Amazon gegen Roku und Google gewinnt
05.03.23 - Editorial: freenet wirft Kunden Tarifwechsel-Faulheit vor?
12.02.23 - Editorial: Kurswechsel bei RTL unausweichlich
15.01.23 - Mobilfunk: Mehr Wettbewerb ist nötig
01.01.23 - Editorial: Trotziger 1&1-Netzstart - Enttäuschung zu erwarten
18.12.22 - Editorial: Bringt Werbung für Disney+ die Wende?
06.11.22 - Editorial: Prime Music kaputt - Amazon als Kulturbanause?
23.10.22 - Editorial: Huawei - Technik vs. Politik
25.09.22 - Editorial: Wende im Mobilfunkmarkt?
18.09.22 - Editorial: Alles muss vernetzt sein?
31.07.22 - Editorial: Wer braucht noch Fernsehen?
24.07.22 - Editorial: Viel Wind um "Nichts"
18.07.22 - "Gemeine Schnittstellen": Zusätzliche Abwehrstrategien geboten
19.06.22 - Editorial: Warum findet die BNetzA teure Drossel-Tarife toll?
12.06.22 - Editorial: StreamOn- & Vodafone-Pass-Ersatz? Das war nix!
05.06.22 - Editorial: Gebrauchtes Handy? Ja, aber bitte neue Software!
22.05.22 - Editorial: EDGE statt 5G SA - Realität vs. Vodafone-Werbung
15.05.22 - Editorial: Streit um UHF-Frequenzen - Kompromisse möglich
01.05.22 - Nach StreamOn-Aus: Die harte Daten-Drossel muss weg
19.04.22 - Neuer Vodafone-Chef: Zeit für echten Wandel?
27.03.22 - Editorial: Es gibt keine Höhepunkte mehr
20.03.22 - Vier Netze in Deutschland: Wie lange wird das so bleiben?
06.03.22 - Editorial: Wir brauchen eine neue Bundesnetzagentur
27.02.22 - Editorial: Wann kommt das nächste große Ding?
20.02.22 - Editorial: Wer zahlt?
13.02.22 - Editorial: Drohen ja, abschalten nein
06.02.22 - Editorial: Integrieren statt Abschalten
30.01.22 - Editorial: Längere Smartphone-Lebensdauer!?
23.01.22 - Editorial: 5G verhindert Chemtrails
16.01.22 - Editorial: App statt Bank!?
09.01.22 - Editorial: 600 Millionen Euro Verlust!?
02.01.22 - Editorial: Weg von Weihnachten!
26.12.21 - Editorial: Zahlen wird teurer