Ausspioniert vom eigenen Internet-Browser
Vertrauliche Daten von Millionen von Internetnutzern, darunter Passwörter und Steuerunterlagen, sind im Internet verkauft worden. Betroffen sind Anwender, die Zusatzprogramme in ihrem Browser installiert haben. Es ist das jüngste Beispiel dafür, wie Nutzer unwissentlich vertrauliche Informationen im Netz preisgeben.
Nichts bleibt verborgen: Arbeitsplätze in einem Coworking Space in Zürich. (Bild: Gaetan Bally / Keystone)
Erneut sorgen Meldungen für Aufsehen, wie ahnungslose Internetnutzer Opfer von Datenmissbrauch geworden sind. Wie die «Washington Post» jüngst berichtete, wurden vertrauliche Daten von Millionen Personen über Sicherheitslücken in den Browsern Firefox, Opera und Chrome entwendet. Die Nutzer hatten zuvor kleine Zusatzprogramme in ihrem Browser installiert, sogenannte Add-ons oder Browser-Extensions, also Erweiterungen, die dem Nutzer etwa dabei helfen, Videos der Plattform Youtube herunterzuladen oder Fotos zu vergrössern.
Passwörter entwendet
Doch wie so häufig im Dilemma zwischen Datenschutz und Bequemlichkeit ziehen die Zusatzprogramme Informationen ab: welche Websites jemand aufruft, welche Inhalte man anklickt, bisweilen gar die eingegebenen Zugangsdaten, Passwörter und in einer Cloud gespeicherte Dokumente. Im nun publik gewordenen Fall enthielten die entwendeten Daten Passwörter für Online-Banking, Patienteninformationen, Flugbuchungen und Steuerunterlagen. Die Meldungen dürften auch Unternehmen alarmieren: Die Recherchen der «Post», in Kooperation mit einem Datenschutzexperten, brachten Informationen über interne Projekte von fünfzig Unternehmen zutage, inklusive Projektnamen und Zugangsdaten für interne Netzwerke und Firewalls.
Die Zusatzprogramme deklarierten zwar in den Nutzungsbedingungen, dass sie «alle Daten zu den Seiten, die man besucht, sowie die Chronik der besuchten Seiten abgreifen und ändern» können. Doch wie so oft dürften das die wenigsten Nutzer tatsächlich gelesen haben – geschweige denn sich der Tragweite bewusst gewesen sein.
Eine der Websites, die die so gewonnenen Informationen zum Verkauf anboten, ist jene der Marketingfirma Nacho Analytics, die mit dem Spruch wirbt: «Erfahre die Geheimnisse der Besten in der Welt.» In Echtzeit können zahlende Kunden Datenbanken nach Schlüsselbegriffen durchsuchen oder sehen, wie viele Personen gerade auf einer beliebigen Website surfen. Die angebotenen Informationen sind nicht gestohlen, weil die Nutzer der Verwendung zustimmten, als sie die Browser-Erweiterung installierten. Laut der Firma werden alle Daten anonymisiert; die von der «Post» gefundenen Dokumente und Flugdaten zeigen aber, dass dem offenbar nicht so ist. Nach Veröffentlichung des Artikels entfernten Mozilla, Opera und Chrome zahlreiche der fraglichen Browser-Erweiterungen. Nacho Analytics fror kurz darauf seine Dienste ein.
Die von der «Post» entdeckten Probleme dürften jedoch nur die Spitze des Eisbergs sein: Forscher der North Carolina State University warnen schon seit längerem vor den Sicherheitsrisiken durch Browser-Erweiterungen. Von knapp 180 000 Zusatzprogrammen für den weltweit gängigsten Browser, Chrome, zögen mindestens 3800 Daten der Nutzer ab. Allein die zehn populärsten Erweiterungen würden von 60 Millionen Nutzern verwendet, heisst es in einer Publikation der Universität.
Andere Firmen umgarnen Kunden mit eigenen Lockangeboten: Der Internetkonzern Amazon etwa bietet seinen Kunden in den USA 10 Dollar dafür, dass sie eine Browser-Erweiterung installieren. Diese soll den Nutzern dabei helfen, Preise im Internet zu vergleichen. Erst im Kleingedruckten erfährt man, dass das Programm das komplette Surfverhalten des Nutzers auswertet.
Das Smartphone als Spion
Der nun bekanntgewordene Vorfall ist nur ein Beispiel dafür, wie vertrauliche Daten und Informationen durch neue Technologien kompromittiert werden können, ohne dass es den Konsumenten bewusst ist. Sprachassistenten wie Alexa von Amazon oder der Home Assistant von Google, die in den USA inzwischen allgegenwärtig sind, sorgen immer wieder für negative Schlagzeilen, weil die aufgezeichneten Gespräche in die falschen Hände geraten – etwa in jene von anderen Konsumenten oder Drittfirmen.
Die «Washington Post» zeigte jüngst auch, wie selbst die Firma Apple, die sich vor Jahren den Datenschutz auf die Fahnen geschrieben hat, Anwendungen von Drittanbietern erlaubt, die das Smartphone zum Spion in der Hosentasche machen. Ohne das Wissen oder das Einverständnis der Nutzer übermitteln manche Apps etwa alle fünf Minuten den Standort des Besitzers. Die Betreiber der Programme kooperieren meist mit Google und Facebook, den zwei weltweit führenden Anbietern für Digitalwerbung, und helfen ihnen nachzuvollziehen, wie effektiv die geschaltete Werbung war. «Das sind deine Daten, warum sollten sie jemals dein Handy verlassen?», fragt Patrick Jackson, ein früherer Mitarbeiter des amerikanischen Geheimdienstes NSA, der heute Cheftechnologe bei der Firma Disconnect ist. Diese bietet ein Programm an, das solches Tracking unterdrückt.
Nicht zu vergessen ist auch der Datenmissbrauch durch die Firma Cambridge Analytica, welche die Informationen von 87 Millionen Facebook-Nutzern ohne deren Wissen abgezogen hatte. Der Fall hatte eindrücklich demonstriert, wem solche entwendeten Informationen dienlich sein können – nämlich nicht nur Marketingfirmen, sondern auch Wahlkampfstäben von Politikern wie Donald Trump.
Der NZZ-Korrespondentin Marie-Astrid Langer auf Twitter folgen.
