VPN-Anbieter: Aktivisten beklagen Datenmissbrauch

Die Bürgerrechtsorganisation Center for Democracy and Technology (CDT) beschuldigt die Software-Firma AnchorFree, mit ihrem kostenlosen VPN-Client Hotspot Shield Daten für kommerzielle Zwecke abzugreifen. Sie beschwerte sich bei der US-Handelsbehörde.

In Pocket speichern vorlesen Druckansicht 29 Kommentare lesen
Daten-Lager

(Bild: dpa, Christian Charisius/Archiv)

Lesezeit: 2 Min.
Von
  • Olivia von Westernhagen

Die Datenschützer des Center for Democracy and Technology (CDT) haben sich bei der US-amerikanischen Federal Trade Commission über die Geschäftspraktiken des VPN-Providers AnchorFree beschwert. In ihrer Beschwerde beschreiben sie diese als unfair und betrügerisch ("deceptive"). Das AnchorFree-Angebot Hotspot Shield Free nutze demnach JavaScript, um iFrames mit personalisierten Werbeanzeigen in die Gratis-Version seines VPN-Clients zu injizieren und außerdem den Standort des Nutzers zu tracken. Das sei ein deutlicher Verstoß gegen Absatz 5 des Federal Trade Commission Act.

Neben dieser an sich schon sicherheitsanfälligen Vorgehensweise kritisiert die Organisation aber auch die starke Diskrepanz zwischen der Erhebung werberelevanter Daten und AnchorFrees Marketing. Screenshots in CDTs Beschwerde belegen, dass das Unternehmen sowohl im Play Store als auch bei iTunes mit Aussagen wie "Your security and privacy are guaranteed!" oder "Enjoy complete anonymity" wirbt. In Wirklichkeit würden jedoch weit mehr Daten erhoben, als für den Betrieb des VPN-Clients nötig seien.

Um Hotspot Shields interne Funktionsweise zu untersuchen, beauftragte CDT Forscher der Carnegie Mellon University mit einer statischen Code-Analyse. Sie ergab, dass sich unter den von Hotspot Shield gesammelten Daten eindeutige Identifikationsmerkmale wie MAC-Adressen und IMEI-Nummern befinden – und dass der Client sie mit Werbenetzwerken teilt. Zusätzlich stießen die Forscher auf mehrere externe Tracking Libraries sowie auf eine Funktion, die Nutzer beim Aufruf kommerzieller Websites auf Partnerseiten von AnchorFree umleitet.

Die Analyse zeigt: Werbenetze haben Zugriff auf sensible Daten.

(Bild: Klage der CDT )

Die Aktivisten kamen zu dem Schluss, dass die eingebauten Werbe- und Trackingfunktionen sowie die Weiterleitung von Daten und Traffic an Drittanbieter die Anonymität, Privatsphäre und Sicherheit der Nutzer gefährden. Bei einer Software, die eben jene Dinge gewährleisten soll, wiegt diese Einschätzung umso schwerer.

In der Konsequenz fordern die Aktivisten von CDT die US-Handelsbehörde zur Überprüfung von AnchorFrees Datensicherheitskonzept. Die Behörde soll den VPN-Provider unter anderem dazu veranlassen, irreführende Aussagen in Werbestrategien, Nutzungsbedingungen und Datenschutzbestimmung zu reduzieren, für mehr Transparenz bei der Datennutzung zu sorgen und das Sicherheitskonzept der Software zu verbessern.

Eine Reaktion der Behörde steht noch aus. AnchorFree-CEO David Gorodynasky zeigte sich in einer E-Mail an ZDNet überrascht. Er hält die Vorwürfe der Aktivisten für unbegründet.
(ovw)