TV-Bericht

NDR Panorama: Private Nutzerdaten kostenlos im Netz erhältlich

Der NDR berichtet, dass privateste Nutzerdaten wie Kontoauszug, Personalausweis, Krankheiten oder ein verräterischer Browser-Verlauf im Netz einfach und kostenlos zu bekommen sind. Der Bericht geht darauf ein, wie die Daten gesammelt und angeboten werden.
Von

NDR entdeckt private Daten im Netz NDR entdeckt private Daten im Netz
Bild: dpa Der NDR berichtet darüber, dass privateste Nutzerdaten recht einfach, nicht anonymisiert und vor allem kostenlos im Netz zu bekommen sind. In ihrem Vorab-Bericht Nackt im Netz erläutern die Redaktionen von NDR Panorama und ZAPP, wie sie ohne größere Probleme an die brisanten Informationen gekommen sind.

Die NDR-Reporter haben für ihre Recherchen eine Schein-Firma gegründet und sich so präsentiert, als seien sie im Datenhandel aktiv. Im Internet stießen sie gleich auf mehrere Firmen, die umfangreiche Datensätze über deutsche Internet-Nutzer verkaufen wollten. Eine der Firmen sandte den Reportern schließlich eine "kostenlose Probe" zu, die einiges an nicht anonymisierten Nutzerdaten enthielt. Auf diesem Datensatz beruhen die Recherchen der Journalisten.

An diese privaten Daten gelangten die Journalisten

NDR entdeckt private Daten im Netz NDR entdeckt private Daten im Netz
Bild: dpa Der Datensatz enthielt brisante Informationen von Managern, Polizisten, Richtern und Journalisten. Angefallen sind die Daten offenbar im Monat August und überwiegend durch Browser-Erweiterungen auf den Computern der Ausgespähten, zu denen auch das eigentlich seriöse "Web of Trust"-Addon gehört. Die Erweiterungen protokollieren zum Teil ungeniert das Surfverhalten des Nutzers mit und übermitteln den Browserverlauf an Server im Ausland. Von dort werden die Daten dann - außerhalb des deutschen Rechtsgebiets - an Datenhändler weiterveräußert.

In der kostenlosen Probe des Datensatzes fanden die Journalisten beispielsweise die Daten eines Managers aus Hamburg, die zu einem Cloud-Konto des Managers verwiesen. Dort hatte der Manager Kontoauszüge, Daten zu einem Hausbau-Kredit, eine Kopie des Personalausweises und Gehaltsabrechnungen abgelegt. Aus diesen Dokumenten waren dann auch Name und Anschrift des Managers und seiner Frau sowie Telefonnummern und E-Mail-Adressen recht einfach zu ermitteln.

Ebenfalls ohne Anonymisierung zugänglich waren Informationen zu laufenden Ermittlungen der Polizei, Web-Recherchen zu Krankheiten, Prostituierten und Drogen oder den sexuellen Vorlieben eines Richters. Allein die kostenlose Probe des Datensatzes enthielt bereits mehr als zehn Milliarden Web-Adressen, die von rund drei Millionen Usern aus Deutschland aufgerufen worden waren.

Das können Kriminelle mit den Daten anfangen

Das Problem derartiger Datensätze ist, dass sich damit komplette Identitäten von real existierenden Personen erstellen und für kriminelle Machenschaften nutzen lassen - dies nennt man Identitätsdiebstahl. Die Straftat wird dann vielleicht erst einmal der Person, deren Identität missbraucht wurde, zugerechnet und die Person muss darlegen, dass sie mit den kriminellen Tätigkeiten in ihrem Namen nichts zu tun hat.

Außerdem lassen sich die Ausgespähten mit den Details zu ihrem Surf-Verhalten leicht erpressen. Es muss gar nicht immer zu einer Veröffentlichung aller geheimen Geschäfte und Phantasien einer Person kommen, aber wenn die Person ein öffentliches oder gut bezahltes Amt bekleidet, kann schon allein eine Veröffentlichung des Browserverlaufs das Renommee des Ausgespähten dauerhaft beschädigen oder zerstören. Oder die Person bezahlt eben einen größeren Betrag an die Erpresser, um eine Veröffentlichung zu verhindern oder aufzuschieben.

Rechtliche Probleme und Selbstschutz

In der Regel liest der Nutzer, der ein Browser-Plugin installiert, in den seltensten Fällen die Nutzungsbedingungen der Software. Egal, ob die Protokollierung und Weitergabe der Daten in den Nutzungsbedingungen erwähnt wird oder nicht: Werden die Daten ins Ausland übertragen und haben Plugin-Anbieter sowie Adresshändler ihren Sitz im Ausland, ist die juristische Verfolgung schwer, wenn nicht sogar unmöglich.

Auch die massive Auswertung der Daten ist nach deutschem Recht nicht zulässig, erläutert der Datenschutzbeauftrage Hamburgs, Johannes Caspar, gegenüber dem NDR. Der Daten-Experte Andreas Dewes zeigte sich gegenüber dem Sender erschrocken darüber, wie einfach man einen Großteil der Daten deanonymisieren könne. Die Privatsphäre des Nutzers werde "in keinster Weise respektiert".

Gemeinsam mit dem Portal mobilsicher.de hat der NDR einen Leitfaden erstellt, wie man sich vor Ausspähung schützen kann. Genannt werden die richtige Browser-Wahl, eine korrekte Browser-Konfiguration, das Verbergen der IP-Adresse, die Nutzung vertrauenswürdiger Apps und Messenger, Apps gegebenenfalls Zugriffsrechte zu entziehen (falls möglich), sich mit Tracking zu befassen und sich die Datenerfassung der Plattformanbieter (Apple, Google, Microsoft) zu verinnerlichen.

Weitere Ergebnisse aus den Recherchen präsentiert der NDR in seiner am heutigen Dienstagabend ausgestrahlten Panorama-Sendung um 21:15 Uhr.

Mittlerweile gibt es weitere Enthüllungen des Senders zu diesem Thema: NDR: Auch führende deutsche Politiker wurden ausgespäht.

Mehr zum Thema Sicherheit im Internet lesen Sie auf unserem umfangreichen Portal zur Internet-Sicherheit.

Mehr zum Thema Datenschutz