Volle Datensouveränität für Nutzer

In der Debatte über die potenzielle Smartphone-Schnüffelsoftware von Carrier IQ fordert der Harvard-Jurist Jonathan Zittrain eine Funktion, mit der Nutzer den Datenfluss von ihren Geräten verfolgen können.

Die Entdeckung, dass die Smartphone-Diagnose-Software der US-Firma Carrier IQ auch ein erstklassiges Überwachungswerkzeug sein könnte, hat vor allem in den USA hohe Wellen geschlagen. Das Programm läuft auf 141 Millionen Smartphones und soll offiziell für die Netzbetreiber nur die Performance der Geräte messen. Tatsächlich kann es aber auch jede Menge persönliche Daten erfassen. Der Harvard-Jurist Jonathan Zittrain hat deshalb nun die Industrie aufgefordert, den Nutzern eine simple Lösung anzubieten, um den Datenverkehr ihrer Geräte verfolgen zu können.

„Eine eingebaute Transparenz-Funktion wäre gut“, sagt Zittrain, der das Berkman Center for Internet and Society mitgegründet und sich in seinen Büchern und Aufsätzen für ein unzensiertes Internet eingesetzt hat. „Sie kann von Apple und den Herstellern von Android-Geräten implementiert werden, zum Beispiel als Bestandteil des 'About'-Tabs.“ Die Funktion könnte Nutzern zeigen, mit wem ihr Smartphone kommuniziert und welche Daten es herausschickt.

Carrier IQ war ins Zwielicht geraten, nachdem der IT-Sicherheitsexperte Trevor Eckhart kürzlich in seinem Blog beschrieben hatte, dass die Software unter anderem Ortsdaten, Zeicheneingaben und den Nutzungsverlauf übermittelt. Eckhart hatte dies auch in einem Video mit einem Beispiel von seinem eigenen Smartphones belegt: Obwohl er die GPS-Positionsbestimmung ausgeschaltet hatte, übertrug die Software seine Position – ebenso wie einen zuvor geschriebenen SMS-Text und Google-Suchbegriffe.

Carrier IQ verlangte von Eckhart daraufhin zuerst eine Unterlassungserklärung, ließ dann aber davon ab, nachdem die Electronic Frontier Foundation Eckhart unterstützte. Carrier IQ betont seitdem, dass das Programm persönliche Daten nicht „aufzeichne, speichere oder übertrage“. Zudem seien für die Implementierung auf den Geräten die Hersteller zuständig. Dies immerhin haben verschiedene Sicherheitsexperten bestätigt. Allerdings stimmen sie Zittrain zu, dass das Erfassen und Senden von Daten in mobilen Geräten transparent gemacht werden müsse.

Inzwischen hat sich auch der US-Kongress der Sache angenommen. Al Franken, Senator für den Bundesstaat Minnesota, fordert eine lückenlose Aufklärung darüber, welche Daten erfasst würden, wer Zugriff auf sie habe und ob Strafverfolgungsbehörden die Software bereits als Hintertür zur Überwachung genutzt hätten. Carrier IQ muss diese Fragen dem Senat nun bis zum 14. Dezember beantworten.

Bislang können Nutzer die Software nicht ohne weiteres von ihren Geräten entfernen. Einige Smartphone-Hersteller, darunter HTC, prüfen derzeit, ob sich eine Opt-Out-Möglichkeit einrichten lässt, um die Datensammlung durch Carrier-IQ-Programm zu unterbinden. Die IT-Sicherheitsfirma Bitdefender hat bereits eine App veröffentlicht, mit der Nutzer überprüfen können, ob das Programm auf ihrem Gerät installiert ist. Whisper Systems bietet für das Mobilbetriebssystem Android außerdem Apps an, mit denen sich die Datenverarbeitung anderer Anwendungen verfolgen lässt.

Eine echte Transparenz-Funktion für ausgehende Daten müsste allerdings in den Betriebssystemen selbst implementiert werden, betont Catalin Cosoi, Leiter der Abteilung Online-Gefahren bei Bitdefender. Apple müsste sein iOS umrüsten, HTC, Samsung und andere das Android-System.

Solange das nicht geschehe, hätten Nutzer noch eine weitere Möglichkeit zu überprüfen, welche Daten ihre Geräte rausschicken. Dazu müssten sie ihr Smartphone an einen Laptop oder einen PC anschließen und mit Traffic-Sniffing-Programmen wie Wireshark analysieren. Diese Prozedur könnte aber so manchen Nutzer überfordern, so Cosoi.

Weder Netzbetreiber noch Hersteller, darunter Apple, haben sich bislang zu Anfragen von Technology Review geäußert, was sie von der von Zittrain vorgeschlagenen Transparenz-Funktion halten. AT&T wiederholte lediglich seine schon zuvor abgegebene Erklärung, man setze die Software von Carrier IQ nur zur Netzwerk-Wartung ein.

Es sei noch zu früh, um zu beurteilen, wie gefährlich das Programm tatsächlich sei, sagt Jonathan Zittrain. „Es gibt offenbar widersprüchliche Angaben, was die Software wirklich macht.“ Solange dies unklar sei, seien Spekulationen wenig hilfreich. „Sonst könnte man auch sagen, dass jedes Programm, jeder Prozess auf einem PC potenziell die Festplatte löschen oder Bits überwachen könnte“, beschwichtigt Zittrain.

Eine leicht zu handhabende Smartphone-Funktion, die in einem eigenen Fenster aufgerufen wird, könnte solche Kontroversen in Zukunft vermeiden helfen, betont Zittrain jedoch. Und fügt hinzu: „Warum sollten wir nicht wissen, was unsere Telefone machen?“

(nbo)