Profilingvortrag zu #nacktimNetz beim 33C3

Beim Chaos Communication Congress stellten Andreas Dewes und Svea Eckert ihr Profiling-Experiment vor, in welchem sie Datensätze kauften und deanonymisierten.

2016 33c3 Vortrag Andreas Dewes und Svea Eckert

Dass Geheimdienste und Firmen Daten der Bürger sammeln, sollte inzwischen bekannt sein. Dies geschieht bei den Erstgenannten im Kontext der Überwachung, während Unternehmen Profiling und Social Engineering (Beeinflussung von Verhaltensweisen) benutzen, um gezielt angepasste Werbung zu schalten. Auf dem letzten Chaos Communication Congress erklärten Andreas Dewes und Svea Eckert mit ihrem Profiling-Experiment wer, wie und warum Firmen sich für die Daten der Benutzer interessieren.

Um an Daten zu gelangen, gründeten die beiden eine Firma, welche Customised Campaigns (zielgruppenbasierte Werbung) anbot, forderten bei Dienstleistern kostenlose Samples von Nutzerdaten an und kamen insgesamt an Daten von drei Millionen deutschen Nutzern und deren Click-Stream-Daten (auch bekannt als Browserhistorie) von einem Monat. Daraufhin begannen die beiden, ihre Datensätze zu deanonymisieren: Sie glichen die anonymisierten Nutzerdaten so lange mit öffentlichen Personendaten ab, beispielsweise mit Namen oder Adressen, bis man mit absoluter oder relativ hoher Wahrscheinlichkeit einen anonymen Datensatz einer Person zuteilen kann.

Im Falle des Profiling-Experiments identifizierten sie über 100.000 Personen, darunter auch Politiker und Beamte. Für Werbefirmen sind solche Datensätze von großem Interesse, da sie mit mehr Informationen über die Konsumenten gezielter Werbung schalten können. Im Hinblick auf den Datenschutz und die Privatsphäre deckten die Journalisten damit allerdings einen Skandal auf.

Wer waren die Späher?

Schnell kamen Andreas Dewes und Svea Eckert zu dem Schluss, dass die Quelle der Daten Browser-Plug-ins waren, in diesem Fall „Web of Trust“ oder aber auch „proxtube“. Die Datenhändler bleiben bis auf weiteres unbekannt, ihre Namen können derzeit aus juristischen Gründen nicht veröffentlicht werden.

Wie kann man sich davor schützen?

Hinsichtlich der Prognose von Dewes, dass es in naher Zukunft immer schwieriger werden wird, „ungetrackt“ (nicht nachverfolgt) im Internet zu surfen, und schon wenige Datenpunkte ausreichen, um eine Person zu identifizieren, wird geraten, wechselnde IP-Adressen und VPNs (Virtual Privacy Networks) zu benutzen, welche jedoch keine Garantie sind, um vor Tracking und der Deanonymisierung sicher zu sein. Generell gilt es wohl, den eigenen Verstand zu benutzen und nicht alles, was kostenlos ist, zu installieren, ohne es vorher zu hinterfragen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Die Browserhersteller müssen auch mehr aufpassen was sie an Addons in ihre Stores aufnehmen.
    Vor allem Firefox die sich ja Privatsphäre auf die Fahnen geschrieben haben.

    1. Mit dem Schutz vor „betrügerischen Inhalten“ ist die Überwachung im Firefox bereits ab Werk vorhanden. Das finde ich viel schlimmer als ein paar ranzige Add-ons.

    1. Nein, wäre das Addon installiert gewesen.
      Lösung: Keine Addons, keine PlugIns, Javascript aus.
      Damit wären dann aber 90% der Websites nicht mehr nutzbar.

  2. Wäre das nicht mal was?
    Man deanonymisiert ein paar von den Politikern die täglich neue Überwachungsgesetze fordern und stellt ihr Surfverhalten und Vorlieben ins Netz.
    Sollen sie doch dann mal nach Persönlichkeitsrechten rufen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.