Sicherheitsrisiko: So einfach können Handy-Nutzer heimlich verfolgt werden
Ein niederländischer Radiosender bekam 80 Gigabyte an Standortdaten von der Berliner Plattform Datarade in die Hände und konnte so etwa Offiziere beschatten.
(Bild: fizkes/Shutterstock.com)
Ein neuer Leak von Geodaten und mobilen Werbekennungen wirft Fragen der inneren Sicherheit auf. Der niederländische Nachrichtensender BNR hat mehr als 80 Gigabyte an Standortdaten und zusätzliche Messwerte von Datenhändlern in die Finger bekommen und ausgewertet. Der Satz enthielt unter anderem die Koordinaten von Millionen von Mobiltelefonen, die oft Dutzende Male am Tag registriert wurden. Auch Bewegungen von Personen mit Sicherheitsfunktionen waren auf diese Weise ersichtlich. So konnten die Journalisten etwa die Fortbewegung eines hochrangigen Armeeoffiziers nachvollziehen, als er von seinem Zuhause in der westlichen Metropolregion Randstad zu verschiedenen Militärstandorten fuhr.
Demnach besuchte der Soldat oft die Frederik-Kazerne in Den Haag, das Hauptquartier des Militärischen Nachrichten- und Sicherheitsdienstes (MIVD). Später bestätigte der Offizier dem BNR die Echtheit der Daten. Das Set enthüllte auch die Privatadresse einer Person, die häufig die Strafanstalt in Vught besucht, wo Terroristen und Schwerverbrecher einsitzen.
Die Liste potenzieller Ziele ist lang, schreibt der Sender: Bis zu 1.200 Telefone in dem Datensatz seien in einem Bürogebäude in der Stadt Zoetermeer registriert worden, in dem sich Kräfte der nationalen Polizei, der Staatsanwaltschaft und von Europol befinden. Im Wohnpalast des Königs, dem Huis ten Bosch, waren bis zu 70 Handys eingeloggt. Auf dem Luftwaffenstützpunkt Volkel, einem Atomwaffenlager, wurden bis zu 370 Smartphones gezählt.
Berliner Plattform Datarade fungiert als Umschlagplatz
Zugang zu den brisanten Informationen erhielt BNR über den Online-Marktplatz Datarade.ai mit Sitz in Berlin, wo Hunderte von Unternehmen personenbezogene Daten feilbieten. Neben Standortdaten stehen dort auch medizinische Informationen und Bonitätsauskünfte zum Verkauf. Der Betreiber erklärte gegenüber dem Sender, dass Händler auf seiner Plattform "vollumfänglich" für die von ihnen angebotenen Daten hafteten. Über ein Online-Formular könnten illegale Praktiken gemeldet werden. Die Firma ließ aber offen, ob sie Maßnahmen gegen den Verkauf von Standortdaten ergreifen werde.
Die meisten Akteure auf Datarade bieten kostenlose Datenproben an, darunter die Firmen Factori und Datastream. Diese sandten dem BNR auf Anfrage die in einem Monat angefallenen Daten von niederländischen Telefonen zu. Die Messwerte waren zwar "anonymisiert", da sie keine Telefonnummern enthielten. Einzelne Handys konnten die Reporter aber anhand einer eindeutigen Kennung ausfindig machen. Ebenso gelang es, über die Verknüpfung von Schlafplätzen mit Daten aus öffentlichen Registern wie dem Grundbuchamt und von Arbeitsplätzen mit LinkedIn-Profilen, einzelne Personen zu identifizieren.
Die entsprechende Mobile Advertising ID verwenden Apple und Google für die Anzeige gezielter Werbung. Sie ermöglicht es Werbenetzwerken in Form eines Supercookies, Nutzer im Internet und auf Apps zu verfolgen. Das damit verknüpfte Versprechen der Anonymität halten Datenschützer für eine Farce. Mehrere Firmen bieten Werkzeuge an, mit denen jeder, der Zugriff auf Standortinformationen hat, die IDs mit anderen Datenbanken abgleichen kann. Dienstleister wie Cuebiq veröffentlichen auch Listen mit Kunden, die solche IDs zusammen mit genauen Ortsangaben erhalten können.
Ärger mit der Mobile Advertising ID
Die genaue Herkunft der online gehandelten Daten ist unklar. Nach Angaben der Anbieter stammen sie von Anwendungen, bei denen Nutzer die Verwendung von Standortinformationen erlaubt haben. Dazu gehören etwa Fitness- und Navigations-Apps, die Daten verkaufen. Diese landen schließlich bei Händlern wie Factori und Datastream. Durch die anschließende Kombination mit Messwerten aus anderen Quellen entstehen riesige Dateien. Allein Factori wirbt mit dem Angebot von über einer Viertelmillion mobiler Werbe-IDs.
Solche Praktiken bezeichnete Ralph Moonen, technischer Direktor des Sicherheitsdiensts Secura, gegenüber BNR als "extremes Sicherheitsrisiko" mit weitreichenden Auswirkungen. Die Leitung der Landespolizei gab an, sich des Problems bewusst zu sein und Gegenmaßnahmen zu prüfen. Die Technologie zur Verfolgung von Mobiltelefonen sei für den Einsatz durch Werbetreibende konzipiert, eigne sich aber auch für andere Zwecke, sagt Paul Pols, früherer Berater des niederländischen Kontrollgremiums für die Geheimdienste. Es sei bekannt, dass der MIVD und andere Sicherheitsbehörden diese Art von Daten ebenfalls erwürben. Ihm sei aber nicht bewusst gewesen, "dass man problemlos auf große Datenmengen niederländischer Bürger zugreifen kann".
Die New York Times bekam 2019 die Standortdaten von mehr als 12 Millionen Smartphone-Nutzern zugespielt, die etwa von Wetter-Apps und Kartendiensten erfasst wurden. Damals gelang es den Auswertern auch, Wege von Ex-US-Präsident Donald Trump nachzuzeichnen. 2021 erhielt die Zeitung rund 100.000 Ortsinformationen vom Tag des Sturms auf das Kapitol von tausenden Trump-Anhängern, Randalierern und Passanten. Das zweite Set enthielt auch mobile Werbe-IDs. Zuvor war bekannt geworden, dass US-Behörden Bewegungsprofile etwa von der Firma Anomaly Six kaufen und ohne Richtergenehmigung nutzen.
(mack)
