35C3: Per Datenabfrage zum reißenden Amazon-Clickstream

Der breite Daten-Amazonas, den Nutzer der Handelsplattform generieren, enthält "sehr private Details", hat die Aktivistin Katharina Nocun herausgefunden.

In Pocket speichern vorlesen Druckansicht 122 Kommentare lesen
35C3: Per Datenabfrage zum reißenden Amazon-Clickstream

Katharina Nocun (rechts) bat die Webentwicklerin "Letty" (links) um Hilfe, die "Clickstream"-Daten von Amazon unter die Lupe zu nehmen.

(Bild: CC by 4.0 35C3 media.ccc.de)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Viele Online-Einkäufer dürften vor Weihnachten kaum an Amazon vorbeigekommen sein. Einige dürften sich beim Schauen oder Shoppen auf der US-Plattform auch bewusst sein, dass der Betreiber schon allein für die legendären Kaufempfehlungen ihre elektronischen Spuren umfangreich auswertet. Die Aktivistin Katharina Nocun wollte genau wissen, was der digitale Handelsriese über seine Kunden speichert. Sie shoppte sich daher 14 Monate lang durch das Sortiment und begab sich dann auf die Datenpirsch.

Über ihr Experiment berichtete die frühere politische Geschäftsführerin der Piratenpartei am Samstag auf dem 35. Chaos Communication Congress (35C3) in Leipzig. Sie hat demnach zwischen Anfang August 2016 und Ende Oktober 2017 "fast 60 Bücher" sowie "praktische Sachen" wie Sprühkreide für Protestaktionen, ein "Lavendel-Einschlaf-Kissenspray", einen Home-Trainer, eine Maus, einen Ordner, Schnürsenkel sowie Hausschuhe bei dem Online-Kaufhaus erworben und im Anschluss eine Datenabfrage gestellt.

Prinzipiell seien die Firmen seit Mai – im Gegensatz zu früher – zur Auskunft verpflichtet, erläuterte Nocun. Jeder Nutzer könne nach Artikel 15 Datenschutz-Grundverordnung (DSGVO) eine kostenlose Kopie seiner persönlichen Informationen verlangen. Amazon habe aber zunächst versucht, sie auf das eigene Profil und die dort verfügbare Historie zu verweisen, sodass das gestartete Verfahren den Beginn einer langen, noch andauernden "Brieffreundschaft mit der Datenschutzabteilung" markiert habe.

"Irgendwann" hat diese der Kampagnenkoordinatorin zufolge dann angefangen, CD-Roms zu schicken. Auf der ersten befand sich ein PDF mit Suchanfragen und Reaktionen etwa auf Werbe-E-Mails und Anzeigen. Die zweite habe schließlich eine Excel-Tabelle mit dem "unschuldigen Namen 'Clickstream'" enthalten, die sich aufgrund ihrer Größe nur schwer öffnen ließ und über 15.000 Zeilen mit bis zu 50 Spalten beziehungsweise Datenkategorien umfasste.

Die gesammelten Informationen von 14 Monaten durch Amazon, würden ausgedruckt eine enorme Papier-Menge benötigen.

(Bild: CC by 4.0 35C3 media.ccc.de)

Nocun bat die Webentwicklerin "Letty" um Hilfe, um die Datei unter die Lupe zu nehmen. Bewaffnet mit Python und dem "Pandas Package" für die genauere Analyse fand diese nach eigenen Angaben heraus, dass Amazon nicht nur die Käufe auswerte, sondern "alles, was wir auf der Seite machen". Jede Interaktion bis hin zu einer Bild-Vergrößerung werde mit dem privaten Konto über eine ID nebst Cookie verknüpft, über die sich der Nutzer über alle Amazon-Dienste wie etwa auch Prime oder Alexa hinweg identifizieren lasse. Mit Zeitangaben und Ortsbezug. Dieser sei mehr oder weniger gut nachvollziehbar, da der letzte Block der IP-Adresse weggeschnitten werde.

Durchschnittlich stieß Letty auf rund 78 Einträge in die Datenbank pro Tag, wozu aber auch angeforderte Buttons, Bilder oder Rezensionen zählten. An "realen Interaktionen" seien 3747 Einträge übrig geblieben. Etwas gekauft hat Nocun demnach an 24 Tagen, besonders oft im Dezember. Unter den besuchten Orten tauche Berlin am häufigsten auf, gefolgt von Bandenburg, Schleswig-Holstein, Nordrhein-Westfalen und Niedersachsen. Ein Abstecher auf die Bahamas sowie ein Sommeraufenthalt in Polen sei dazugekommen.

Als Provider war laut der Programmiererin oft das Deutsche Forschungsnetz erkennbar, was auf Aufenthalte etwa in einer Bibliothek hinweisen könnte. Dort habe die Ex-Piratin dann teils ganz kurz, teils eine Viertelstunde, einmal aber auch über anderthalb Stunden auf Amazon vorbeigeschaut, was die Frage einer Arbeitsstörung aufwerfe. Insgesamt habe das Versuchskaninchen über 500 mal nach Begriffen gesucht und sei 450 mal auf Produkte direkt zugegangen. Bei rund 300 Millionen Amazon-Kunden insgesamt könne man sich so zumindest vage vorstellen, welche Muster der Online-Gigant in den gesammelten Clickstreams ausmachen und welch umfangreiche Profile er anlegen könne.

Allein aus der Tabelle über sie könne man "sehr private Details rausfinden", zeigte sich Nocun überrascht über das Ergebnis. Es werde angesichts der Linkverweise deutlich, für welche Medien oder Inhalte sich jemand interessiere. Es sei auch verführerisch, Hinweise auf die politische Einstellung, den Gesundheitszustand, die politische Einstellung oder die Lebensplanung aus dem "Datenmüll" herauslesen zu wollen. Nur weil sie sich "unglaublich viele Bücher zum Thema AfD" oder über Krebs angeschaut habe, sei sie aber weder ein körperliches Wrack noch eine "rechte Person".

Amazon-Käufe könnten trotz "harmloser Erklärungen" falsche Rückschlüsse zulassen.

(Bild: CC by 4.0 35C3 media.ccc.de)

Beunruhigend empfindet es die Bürgerrechtlerin daher, dass sich für solche Daten insbesondere Behörden interessieren dürften: "Wenn der Clickstream da ist, wird er auch abgefragt." Die Polizei könnte sie so rasch als Cyberkriminelle oder gar Gefährderin einstufen, da auf ihrer Liste ein "Killer-Spiel", ein T-Shirt mit dem Aufdruck "Chemist", ein verdächtiger Kochtopf und eine Sturmmaske seien. Auch wenn es dafür lauter "harmlose Erklärungen" gebe, würde sie gern wissen, "in welchen Schubladen ich lande". Dabei habe sie sich bewusst dafür entschieden, den "Daten-Amazonas" nicht durch die Nutzung etwa von Alexa zu verbreitern. Eventuell hätte sie dann auch den Datensatz einer ganz anderen Person zugeschickt bekommen, wie es einem c't-Leser jüngst widerfuhr.

Ein Auskunftsersuchen lohnt sich laut Nocun auf jeden Fall, schon allein, um seinen "eigenen kaputten Schlafrhythmus" vor sich zu sehen. Insgesamt agiere Amazon ähnlich wie andere große Dienste, bei denen "die Überwachung längst zur Standard-Einstellung geworden ist". Die Hacker forderte sie dazu auf, mit dafür zu kämpfen, dass stattdessen Datensparsamkeit die Norm werde. (bme)