Eine Datenhandelsfirma mit Profilen von mehr als 200 Millionen Menschen musste in der vergangenen Woche ein großes Datenleck eingestehen. Medienberichten zufolge war die Datenbank des US-Vertriebsdienstleisters Apollo offenbar wochenlang frei im Internet zugänglich. Zu den vermutlich abgegriffenen Daten gehören mehr als 125 Millionen E-Mailadressen.
Der Nachrichtenseite Techcrunch zufolge bestand die Sicherheitslücke seit Juli. Entdeckt wurde das Datenleck von dem IT-Sicherheitsunternehmer Vinny Troia im August. Gegenüber seinen Geschäftskunden hat Apollo inzwischen eingestanden, dass es mindestens einen unbefugten Zugriff auf die Daten gab. Das geht es aus einem Schreiben des Gründers Tim Zheng hervor, aus dem Wired zitiert.
Apollos Geschäftsmodell basiert darauf, Unternehmen zur Optimierung von Marketing und Vertrieb Kontaktdaten und Analysen über potenzielle Kunden zur Verfügung zu stellen. Dem Brief zufolge sammelt die Firma für dieses Microtargeting personenbezogene Daten aus öffentlichen und nicht-öffentlichen Quellen. Unter anderem werden mit Webcrawlern Daten aus dem offenen Netz in Profilen zusammengeführt. Dazu gehören Informationen wie Namen und E-Mailadressen und Daten aus Twitter-Profilen. Doch auch LinkedIn-Profile, die nicht offen zugänglich sind, wurden von der Firma im großen Stil ausgelesen. „Ermöglichen Sie Ihrem Team, die richtigen Kontakte zur richtigen Zeit zu erreichen, mit der perfekten Botschaft, die intelligent, schnell und reichweitenstark umgesetzt wurde“, wirbt die Firma auf ihrer Webseite. Je mehr Daten Apollo hat, desto genauer kann die Ansprache zugeschnitten werden.
Neben den Daten von Endverbrauchern sind jedoch auch hunderte Firmen betroffen, die eigene Vertriebsdaten über potenzielle Kunden in das System von Apollo gespeist haben.
Verantwortungslose Datenindustrie
Für Betroffene ergibt sich aus dem Malheur unter anderem das Risiko, dass sie Opfer gut gemachter Betrugsversuche werden. Kriminelle könnten die erbeuteten Informationen für ihr eigenes Microtargeting in Form von Scam- und Phishing-Mails nutzen, bei denen Menschen beispielsweise auf Fake-Versionen bekannter Webseiten gelockt werden, um dort ihre Kontodaten oder Passwörter abzugreifen. Mit der Kombination aus Name, E-Mailadresse, Arbeitgeber und weiteren Daten kann die Zielgenauigkeit solcher Angriffe erhöht werden.
Nach einer Einschätzung zu dem Vorfall gefragt, verweist der Wiener Privacy-Forscher Wolfie Christl auf die lange Geschichte von Datenlecks bei Big-Data-Firmen:
Dass hier durch eine Sicherheitslücke digitale Profile von über 100 Millionen Menschen frei zugänglich waren, ist natürlich ein Desaster. Aber das war nicht die erste derartige Datenpanne und wird wohl auch nicht die letzte sein. Wo Fahrlässigkeit im Spiel ist, muss es hohe Strafen geben, anders wird sich hier nichts ändern. Datensammelfirmen handeln oft völlig verantwortungslos. Die Nutzung von Daten, die durch Sicherheitsprobleme für andere zugänglich geworden sind, muss klar als illegal betrachtet werden.
Wer ist betroffen?
Die Kunden von Apollo sitzen überwiegend in den USA. Dass auch Menschen in Europa betroffen sind, ist angesichts der Größe des Datenlecks und der weiten Verbreitung von LinkedIn in Europa jedoch wahrscheinlich. Wer prüfen möchte, ob sich auch die eigene Mailadresse in dem Apollo-Datensatz befindet, kann dies bei HaveIBeenPwned checken. Der Dienst gleicht eingegebene E-Mailadressen mit dutzenden Datenlecks wie jenen von Yahoo, Adobe, Dropbox, Adult Friend Finder oder Kickstarter ab. Über den aktuellen Fall sagt HIBP-Betreiber Troy Huntt zu Wired, es handele sich um einen der größten in der Geschichte: „Es ist eine geradezu atemberaubende Menge an Daten. Insgesamt geht es um 125.929.660 eindeutige E-Mail-Adressen. Das werden wahrscheinlich die meisten E-Mail-Benachrichtigungen sein, die HaveIBeenPwned je für einen Verstoß gesendet hat.“
Der Fall wirft ein erneutes Schlaglicht auf die Schattenindustrie, die mit Daten über Menschen auf der ganzen Welt Milliarden verdient. Apollo betont, dass durch das Datenleck keine Informationen über die finanzielle Situation von Menschen oder ihre Sozialversicherungsnummern kompromittiert wurden. Andere Firmen aus der Branche sammeln auch solche Informationen, wie ein Bericht der US-Federal Trade Commission über das Databroker-Business [PDF] 2014 feststellte. Sie können aus den Daten Rückschlüsse über deren Vorlieben, Interessen und Lebenssituation ziehen und verkaufen diese Analysen ebenso wie die Originaldaten. E-Mail-Adressen sind dabei besonders begehrt, weil sie als Identifier dienen, mit denen Daten aus unterschiedlichen Quellen in individuellen Profilen zusammengeführt werden können. Gegenüber netzpolitik.org problematisiert Wolfie Christl die Undurchsichtigkeit dieser Branche:
Sicherheitspannen sind das eine. Viel problematischer allerdings die Tatsache, dass es überhaupt derartige Firmen gibt, von denen noch kaum jemand gehört hat, die aber hunderte Millionen von Datensätzen sammeln und kommerziell verwerten. Die umfangreichen Verbraucherdatenbanken von sogenannten Drittparteien, die keine direkten Beziehungen mit Kundinnen und Kunden haben, müssen dringend systematisch rechtlich unter die Lupe genommen werden.
„Die umfangreichen Verbraucherdatenbanken von sogenannten Drittparteien, die keine direkten Beziehungen mit Kundinnen und Kunden haben, müssen dringend systematisch rechtlich unter die Lupe genommen werden.“
An dieser Stelle wäre anzumerken, dass die europäische DSGVO genau dafür auch Vorkehrungen hat, unter anderem müssen auch Drittparteien alle Betroffenen 1x jährlich informieren, die in ihrer Datenbank stehen.
Das heißt, eine gute Rechtsgrundlage haben wir bereits, ausreichend hohe Strafen auch. Es fehlt nur noch die Durchsetzung.
Hi Heinz, kannst du mir die Stelle in der DSGVO nennen, an der das steht? Wäre mir nämlich neu. Ich kenne das nur aus der Debatte um die ePrivacy-Verordnung.