NDR: Angeblich anonymisierte Daten sind leicht zuzuordnen

Welche Webseite wurde um wie viel Uhr und an welchem Tag besucht? Oft werden solche Daten gespeichert – angeblich anonym. Der NDR fand in einer Recherche heraus, wie leicht diese Daten Personen zugeordnet werden können.

Die angebliche anonymen Daten können intime Details von Personen enthalten.
Die angebliche anonymen Daten können intime Details von Personen enthalten. – CC BY-SA 2.0 via flickr/taedc

Die angeblich anonymen Daten können intime Details von Personen enthalten.
Die angeblich anonymen Daten können intime Details von Personen enthalten. –
CC BY-SA 2.0 via flickr/taedc

Redakteure des NDR gründeten für eine Recherche zum Thema Handel mit Nutzerdaten eine Scheinfirma. Sie gaben sich als „Big Data“-Unternehmen aus, um an Nutzerdaten zu kommen. Dabei gelangten sie an einen kostenlosen Probedatensatz mit angeblich anonymisierten Daten von drei Millionen deutschen Internetnutzern. Darin waren alle von ihnen aufgerufenen Webseiten aus dem Monat August enthalten – insgesamt mehr als zehn Milliarden.

Durch die URL konnten unter anderem E-Mail-Adressen und Anmeldenamen ausgelesen und konkreten Nutzern zugeordnet werden. So ließen sich in einer Stichprobe 50 Personen identifizieren. Auch Rückschlüsse auf zum Beispiel Krankheiten, sexuelle Vorlieben und Drogenkonsum waren möglich.

Die Gefahr von „anonymisierten“ Datensätzen besteht darin, dass sie dennoch relativ leicht Personen zugeordnet werden können: datenschutztechnisch sehr bedenklich. Der NDR weist auch auf die rechtliche Problematik hin. Da die Daten von deutschen Nutzern auf ausländischen Servern gespeichert werden, fehlt die juristische Handhabe.

Aufpassen bei Browser-Addons

Der Inhalt dieser Datensätze stammt oft aus unterschiedlichen Quellen, beispielsweise unscheinbaren Browser-Addons. Im Zuge der Recherche wurden die Redakteure etwa auf das Browser-Addon „Web of Trust“ (WOT) aufmerksam. WOT soll über die Vertrauenswürdigkeit von Internetseiten informieren. Die Nutzer werden zwar darauf hingewiesen, dass ihre Daten in anonymisierter Form gespeichert und an Dritte weitergegeben werden. Der NDR deckte auf, dass trotzdem Rückschlüsse auf die konkrete Person möglich sind.

Laut dem Bericht speichert WOT alle besuchten Seiten inklusive Datum und Uhrzeit auf einem Server im Ausland. Aus den gespeicherten Daten wird anschließend ein Profil erstellt. Diese Profile werden dann zu Datenpaketen geschnürt und verkauft. Die Einträge aus dem erworbenen Datenpaket wurden laut den Recherchen des NDR vermutlich durch Browser-Addons wie WOT erhoben.

Es ist daher ratsam, vorsichtig beim Installieren von Drittsoftware zu sein. Selbst Add-ons, die vorgeben, für mehr Sicherheit zu sorgen, spionieren das Nutzerverhalten aus. Wer in der Weihnachtszeit eine gute Tat verrichten will, kann Freunde und Verwandte auf das Risiko aufmerksam machen.

Update: Hier der knapp 10-minütige Fernsehbeitrag des NDR:

Hier klicken, um den Inhalt von www.youtube-nocookie.com anzuzeigen

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

16 Ergänzungen

    1. Es ist schon mal schön, dass einigen Nasen mal gezeigt wird, was sie alles nicht zu verstecken hatten. Und, wie genau mit diesem Müll ein schwunghafter Handel betrieben wird.

  1. Spannend finde ich allerdings die Tipps und Tricks hier:
    https://netzpolitik.org/2016/tracking-unter-ios-abstellen-leicht-gemacht/

    Generell kann ich in diesem Artikel alles unterstützen – hier wird Adguard und Adblock empfohlen. Das sorgt bei vielen Lesern hier bestimmt für das Gefühl „Oh, alles richtig gemacht.“ Ich habe jetzt nicht alle Nutzungsbedingungen der beiden Tools gelesen – bin aber bei Tools / Addon’s von Drittherstellern skeptisch. Ich persönlich bleibe bei den Dingen, die ich im Betriebssystem abstellen kann. Aber ein Hinweis in dem Artikel wäre sicherlich nicht verkehrt…

  2. Was macht denn Vorratsdatenspeicherung da anders? Außer dass man dafür noch nicht mal nen Plugin installieren muss.

    1. Die Vorratsdatenspeicherung läßt man mit dem Tor – Webbrowser oder nicht ganz so perfekt mit einer VPN einfach links liegen. Eine VPN schützt nicht vor den selbst installierten Trecking – Diensten. Da geht alles an der VDS vorbei, getrackt wird man trotzdem. Da die Schnüffeldienste wie auch z.B. HSTS eindeutige und „ewige“ ID vergeben, ist man für die Datensammler mit dem betroffenen Browser eindeutig identifizierbar. Es gibt noch reichlich andere Methoden zur Nutzerverfolgung, wie bestimmte Pixel oder auch digitale Fingerabdrücke. Zu prüfen unter https://panopticlick.eff.org
      Wie geschrieben, Tor – Webbrowser mit Privatsphäre höchste Stufe, wenn eine Seite nicht kommt, einfach eine Sicherheitsstufe tiefer und beim Verlassen wieder hochstellen. Da treckt niemand und da speichert auch niemand „Vorratsdaten“. Jedenfalls nicht die richtigen.

  3. Na aber sicher doch, man muss wissen, jeder möchte etwas vom Kuchen haben und man verdient schließlich Geld damit. Dieser Text ist ebenfalls im Archiv, man möchte nichts verpassen ;-) Mit Textanalyseverfahren kann man dann quasi alles zuordnen was einen interessiert, sobald eine Person es irgendwo im Netz geschrieben hat und die Software das Textmuster als Fingerabdruck erfasst hat.

    Das Internet ist und bleibt kaputt und ist weiterhin unvereinbar mit unserer Gesetzgebung. Man müsste den Datenschutz komplett abschaffen und das gesamte GG abändern, damit die Gesetzgebung der Realität im Netz gerecht werden würde. Die meisten wollen das auch so haben. Mal schauen wann sie alles durchgedrückt haben. Deutschland, insbesondere seine Verwaltungsbereiche hinken ja gewaltig hinterher. So braucht es die rasche Digitale Agenda damit auch jeder Gerichtsbeschluß online geklaut werden kann ;-)

  4. Interessantes Geschäftsmodell. Mit jahrelangem Facebook- und Google-Bashing werden Angst und Hysterie der Nutzer geschürt, und die installieren sich dann auf einem Open Source Browseraus Angst oder aus Hysterie Add Ons wie WOT, mit denen sie dann ausspioniert werden. Da will ich lieber gar nicht drüber nachdenken, wer so unkoschere Geschäftsmodelle verbal mit Angstmacherei ermöglicht hat.
    Jetzt fehlt nur noch, dass das BSI (die ehemalige Abteilung 6 des BND und mit einem Vizepräsidenten, der erst vor wenigen Jahren vom BND zum BSI gewechselt ist, also ein Spion ist) unsere „sichere“ Tools anbietet, die so etwas unmöglich machen. Catch 22 :-)

  5. Mit dem Produkt „Sicherheit“ lässt sich trefflich Profit generieren!
    Mit geschürter Angst als Katalysator … lässt sich da vieles schnell bewerkstelligen!
    Es gab hier schon einen Artikel, der sich mit „Angst“ beschäftigte!

    Profit muss nicht immer Geld bedeuten, es kann auch Wissen sein … das es dem VS bzw. BND z.B. für Erpressungen zur Verfügung stehen könnte …

    1. Wenn man das so, wie dort beschrieben (am Besten gleich die Zusammenfassung ansehen) macht, kriegt man tatsächlich auch die lästigen Verbindungen von Firefox abgeschaltet. Ganz prima, herzlichen Dank! Andere add ones habe ich gelöscht, weil sie eher kontraproduktiv waren.

  6. WOT wurde schon ab 2011 von einigen Usern dazu benutzt, um missliebige Webseiten durch gezielte, verabredete Abwertungen („Kindergefährdend“) in Misskredit zu bringen. Damals haben sich einige „Spezialisten“ aus den Bereich evidenced based medicine verabredet, das Netz zu scannen und vor allem Anbieter alternativmedizinischer Methoden massenhaft mit negativen Warnungen (s.o.) bis hin zur Unterstellung krimineller Methoden zu überziehen.

    Ich konnte eine Zeit lang schön mitverfolgen, wie in einem gewissen Blog der Aufruf erfolgte, etwas zu unternehmen und darauf hin eine bestimmte Webseite in den Bewertungen in den Keller rauschte, bis sie als gefährlich und verwanzt angezeigt wurde.

    Damals habe ich mir die Kommentare auf deren WOT-Forum angesehen, und bin zu dem Schluss gekommen, dass es sich hier vor allem um ein Instrument der Schikane handelt. Anscheinend hat sich das dann auch auf andere Bereiche ausgeweitet.

  7. Das passt ja schön mit den Bestrebungen zusammen, AdBlocker zu verbieten.
    Zusammen mit VDS und BigData, bekommt die StaSi3.0 ein schönes Bild von Ihren Bürgern.
    73% der Wähler (außerhalb der Filterblase) gefällt das.

  8. > Wer in der Weihnachtszeit eine gute Tat verrichten will, kann Freunde und Verwandte auf das Risiko aufmerksam machen.
    Der ist gut….habe am 01.11. eine Mail an alle aus meinem Adressbuch mit dem Link zum NDR und heise Beitrag versendet. Dann gestern nochmal den Link zum Video (NDR)
    Reaktion, keine bzw. einer wollte das ich mir seine Rechner mal zur Brust nehme.
    Ich bin zu dem Schluss gekommen das ich eigentlich nur Leute kenne die sich absolut nicht dafür Interessieren.
    Und es werden immer mehr, mein Sohn und seinen Freunden denen ist Datenschutz völlig egal.
    Und in meinem Bekanntenkreis bekomme ich oft zu hören bohaa du mit deinem Aluhut, mach dich mal locker…
    Wer nicht will der hat schon, hat meine Oma immer gesagt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.