Profilingvortrag zu #nacktimNetz beim 33C3

Beim Chaos Communication Congress stellten Andreas Dewes und Svea Eckert ihr Profiling-Experiment vor, in welchem sie Datensätze kauften und deanonymisierten.

2016 33c3 Vortrag Andreas Dewes und Svea Eckert

33C3-Vortrag: Andreas Dewes und Svea Eckert.

Dass Geheimdienste und Firmen Daten der Bürger sammeln, sollte inzwischen bekannt sein. Dies geschieht bei den Erstgenannten im Kontext der Überwachung, während Unternehmen Profiling und Social Engineering (Beeinflussung von Verhaltensweisen) benutzen, um gezielt angepasste Werbung zu schalten. Auf dem letzten Chaos Communication Congress erklärten Andreas Dewes und Svea Eckert mit ihrem Profiling-Experiment wer, wie und warum Firmen sich für die Daten der Benutzer interessieren.

Um an Daten zu gelangen, gründeten die beiden eine Firma, welche Customised Campaigns (zielgruppenbasierte Werbung) anbot, forderten bei Dienstleistern kostenlose Samples von Nutzerdaten an und kamen insgesamt an Daten von drei Millionen deutschen Nutzern und deren Click-Stream-Daten (auch bekannt als Browserhistorie) von einem Monat. Daraufhin begannen die beiden, ihre Datensätze zu deanonymisieren: Sie glichen die anonymisierten Nutzerdaten so lange mit öffentlichen Personendaten ab, beispielsweise mit Namen oder Adressen, bis man mit absoluter oder relativ hoher Wahrscheinlichkeit einen anonymen Datensatz einer Person zuteilen kann.

Im Falle des Profiling-Experiments identifizierten sie über 100.000 Personen, darunter auch Politiker und Beamte. Für Werbefirmen sind solche Datensätze von großem Interesse, da sie mit mehr Informationen über die Konsumenten gezielter Werbung schalten können. Im Hinblick auf den Datenschutz und die Privatsphäre deckten die Journalisten damit allerdings einen Skandal auf.

Wer waren die Späher?

Schnell kamen Andreas Dewes und Svea Eckert zu dem Schluss, dass die Quelle der Daten Browser-Plug-ins waren, in diesem Fall „Web of Trust“ oder aber auch „proxtube“. Die Datenhändler bleiben bis auf weiteres unbekannt, ihre Namen können derzeit aus juristischen Gründen nicht veröffentlicht werden.

Wie kann man sich davor schützen?

Hinsichtlich der Prognose von Dewes, dass es in naher Zukunft immer schwieriger werden wird, „ungetrackt“ (nicht nachverfolgt) im Internet zu surfen, und schon wenige Datenpunkte ausreichen, um eine Person zu identifizieren, wird geraten, wechselnde IP-Adressen und VPNs (Virtual Privacy Networks) zu benutzen, welche jedoch keine Garantie sind, um vor Tracking und der Deanonymisierung sicher zu sein. Generell gilt es wohl, den eigenen Verstand zu benutzen und nicht alles, was kostenlos ist, zu installieren, ohne es vorher zu hinterfragen.

9 Kommentare

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert. Die Kommentar-Regeln findest Du hier.

Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden