Missing Link: Wie Millionen BundesbĂĽrger kommerziell ausspioniert werden
Wie ist es trotz rigider Datenschutzgesetze möglich, mit brisanten Standortdaten von Millionen von Menschen viel Geld zu verdienen? Eine Spurensuche.
So manchen Menschen dürfte der internationale Handel mit Standortdaten diese Woche zum ersten Mal bewusst geworden sein. Reporter des Bayerischen Rundfunks (BR) und von Netzpolitik.org sind über einen in Berlin ansässigen Datenmarktplatz namens Datarade an einen Datensatz von knapp 3,6 Milliarden Standortdaten gelangt, die mit Mobile Advertising IDs (MAIDs) verknüpft sind. Über solche MAIDs werden Smartphone-Nutzer und Desktop-Rechnern gegenüber Apps und Webseiten individuell identifiziert. Die Daten stammen vom US-Unternehmen Datastream Group und wurden über den Berliner Marktplatz als Gratis-Kostprobe an die Journalisten verteilt, die sich als interessierte Käufer ausgegeben hatten.
Dass solche Daten gesammelt und international gehandelt werden, ist aber keine neue Erkenntnis. So hatte etwa die New York Times im Dezember 2019 Details über einen ähnlichen Datensatz offengelegt, den die Zeitung von anonymen Whistleblowern bekommen hatte. Danach berichtet der norwegische Rundfunk NRK über ähnliche Praktiken mit Daten aus Norwegen nach. Schließlich entdeckte im Januar der niederländische Radiosender BNR den Berliner Marktplatz Datarade und gelangte an 80 Gigabyte Daten niederländischer Smartphone-Nutzer. Alle diese Berichte summieren sich zu einer Art Snowden-Moment der digitalen Werbebranche: Sie bringen unweigerlich eine Praxis ans Licht der Öffentlichkeit, mit der Experten seit langem rechnen, die der Allgemeinheit aber bisher kaum bewusst war.
Wie brisant sind Standortdaten eigentlich?
Oft wird das Erheben von Standortdaten durch Smartphone-Apps damit abgetan, dass diese Daten nicht mit personenbezogenen Daten verknüpft seien. Anbieter argumentieren, so gut wie jede App wolle auf unseren Smartphones sekundengenau und sehr granular die GPS-Position unseres Gerätes wissen –, auch wenn viele Apps augenscheinlich gar keine Standortdaten benötigen und vor allem nicht in diesem Detailgrad. Diese Argumentation lässt allerdings außer Acht, wie viel Wissen aus der Analyse von Metadaten zu gewinnen ist. So ist etwa seit Jahren bekannt, dass Strafverfolgungsbehörden viele Mordfälle und sogar Terror-Pläne allein aufgrund von Metadaten erfolgreich aufdecken. Ermittler müssen oft gar nicht wissen, worüber in Telefonaten von Verdächtigen geredet wird, es reicht zu erfahren, wer mit wem wann und wie lange geredet hat. Und vielleicht, wo sich diese Leute aufgehalten haben.
Wer feinkörnige Standortdaten einer Person besitzt, kann allein daraus herauslesen, wo diese Person sich nachts aufhält und wo sie in der Woche die Zeit von 8 bis 17 Uhr verbringt, wo diese Person genau lebt und arbeitet. Mit diesen Informationen lässt sich in vielen Fällen die entsprechende Person über Posts in sozialen Medien oder aus anderen öffentlichen Quellen identifizieren. Genauso haben die Reporter von Netzpolitik.org in ihrer Recherche die anonymen Werbe-IDs mit echten Menschen verknüpft.
Im nächsten Schritt wird sichtbar, was diese Menschen so machen. Besuchen sie regelmäßig Krankenhäuser oder Ärzte? Besuchen sie Bordelle und Swinger-Clubs? Deuten lange Aufenthalte an anderen Wohnadressen an Wochenenden etwa auf eine geheime Affäre hin? Noch kritischer wird das, wenn die so verfolgte Person etwa beim Militär, einem Geheimdienst oder etwa für die Regierung arbeitet. Auch solche Datensätze haben die Reporter in der Standortdaten-Grabbelkiste gefunden; etwa von Menschen, die augenscheinlich beim Bundesnachrichtendienst (BND) arbeiten oder bei der Special-Operations-Truppe KSK der Bundeswehr. Es finden sich dort auch Daten von Personen, die auf dem hochsicheren [Camp Kherson" ein und aus gehen – dem Gelände auf dem Truppenübungsplatz im bayerischen Grafenwöhr, wo die US-Armee ukrainische Soldaten am Kronjuwel seiner Waffentechnik ausbildet, dem Kampfpanzer M1 Abrams.
Wie funktioniert der internationale Datenhandel?
Die Daten im Besitz der Reporter von BR und Netzpolitik.org stammen offenbar aus diversen Smartphone-Apps. Für Software-Entwickler auf Android und iOS ist es ziemlich leicht, solche Daten zu erheben. Dafür gibt es unzählige Software Development Kits (SDKs), die Entwickler solcher Apps in ihre Programme einbinden können. Es sind fertige Software-Bausteine, die Standortdaten vom Handy-Betriebssystem anfordern, wenn die entsprechende App läuft, und dann an Werbefirmen und Tracking-Netzwerke weiterschicken. Die App-Betreiber verdienen im Gegenzug Geld an der Übermittlung der Daten ihrer Nutzer.
Die von den Journalisten bezogenen Daten sind allerdings nur eine Momentaufnahme. Hätten sie bei dem Datenhändler in den USA ein Abo abgeschlossen, hätte dieser sie mit einem tagesaktuellen Strom aus Standortdaten versorgt; so verspricht es die Firma. Bei manchen Anbietern werden diese Daten sogar stündlich aktualisiert. Und sie sind für jeden erhältlich, der zu zahlen bereit ist: Firmen, Privatleute, Strafverfolgungsbehörden und Geheimdienste. Es ist zu vermuten, dass auch Regierungsorgane von repressiven, totalitären Staaten solche Datensätze kaufen und nutzen.
Da die Werbe-IDs im Betriebssystem zurückgesetzt werden können, lassen sie sich nicht eins zu eins auf Personen übertragen. Allerdings gibt es nicht nur Firmen, die mit diesen Daten handeln, sondern auch solche, die es sich zur Aufgabe gemacht haben, Datensätze aus verschiedenen Quellen zu vereinigen und wechselnde MAIDs einzelnen Nutzern zuzuordnen. So ist es denkbar, dass etwa zwei iOS-IDs und die Werbe-IDs von mehreren Windows-Rechnern ein und desselben Nutzers ebendieser einen Person zugeordnet werden können – allein wegen der zusammenhängenden Positionsdaten, die über die verschiedenen MAIDs verteilt sind. Mit modernen Big-Data-Analysetechniken und dem Einsatz von neuralen Netzen und anderen statistischen Algorithmen lassen sich solche Analysen im großen Stil und vollautomatisch in kurzer Zeit vollziehen. Bereits im Jahr 2021 hatte das US-Magazin Vice darüber berichtet, dass es eine ganze Reihe von Firmen gibt, die sich darauf spezialisiert haben, gegen Geld angeblich anonyme Werbe-IDs mit konkreten Personen zu verknüpfen.
Und auch Regierungen bedienen sich spezieller Dienstleister, die Personen auf Grund solcher Daten enttarnen und tracken. So hatte The Intercept vor zwei Jahren etwa über eine Firma namens Anomaly Six berichtet, die für die US-Regierung russische Soldaten in der Ukraine ausspioniert. Um ihre Fähigkeiten eindrucksvoll unter Beweis zu stellen und den lukrativen Regierungsvertrag zu erhaschen, hatte diese Firma eigene Spione der US-Regierung bei CIA und NSA über Smartphone-Daten verfolgt und enttarnt.