Locate XDie verstörend leichte Massenüberwachung mit Standortdaten

Mit kommerziellen Überwachungstools lassen sich die Bewegungen von Abermillionen Handys verfolgen. Möglich ist das durch Standortdaten aus der Werbeindustrie. Nun konnten Datenschutz-Fachleute ein solches Tool selbst in die Finger bekommen – und das ohne große Hürden.

- - in Datenschutz - 4 Ergänzungen
Illustration im Bauhaus-Stil. Ein großes Auge wacht über einem Zebrastreifen. Im Vordergrund läuft eine Frau mit Handy.
Bewegungen von Handys sind Bewegungen von Menschen. – Public Domain DALL-E-3 („big eye watching walking woman with smartphone, bauhaus style reduced minimalist geometric shape“)

Die Massenüberwachung von Abermillionen Handys ist nun auch per Gratis-Demo möglich, wie Recherchen aus den USA zeigen. Das Werkzeug heißt „Locate X“, angeboten von der US-Firma Babel Street. Die Bedienung ist offenbar kinderleicht. Auf einer digitalen Karte, ähnlich wie Google Maps, lassen sich beliebige Orte auswählen, zum Beispiel Moscheen oder Abtreibungskliniken. Dann zeigt das Tool an, welche Handys auf dem ausgewählten Gelände geortet wurden – und auf Wunsch, wo sich ein ausgewähltes Gerät noch überall hinbewegt hat.

Datenschutz-Fachleute der US-Firma Atlas Privacy konnten dieses Werkzeug zwei Wochen lang kostenlos testen, und zwar als Demo-Version für ein Bezahlprodukt. Atlas unterstützt Menschen darin, ihre Datenschutz-Rechte einzufordern. Deshalb recherchiert die Firma zu Datenhändlern und Überwachungstools.

Um Zugang zu „Locate X“ zu bekommen, musste ein von Atlas beauftragter Rechercheur lediglich behaupten, eventuell künftig für eine staatliche Stelle arbeiten zu wollen. Weitere Sicherheitsprüfungen habe es nicht gegeben. Bildschirmaufnahmen, die „Locate X“ in Aktion zeigen, teilte Atlas mit mehreren Medien: der New York Times, 404 Media, Notus und Brian Krebs aus den USA sowie der israelischen Tageszeitung Haaretz.

Atlas hat in New Jersey Klage gegen Babel Street eingereicht. In dem US-Bundesstaat soll ein Gesetz namens „Daniel’s Law“ die persönlichen Daten von unter anderem Richter*innen, Staatsanwält*innen und deren Angehörigen schützen. Wenn die Betroffenen das möchten, ist die Veröffentlichung ihrer Anschrift oder Telefonnummer verboten. Das Unternehmen Babel Street habe sich auf Anfragen der Medien nicht geäußert, auch eine kurzfristige Anfrage von netzpolitik.org blieb unbeantwortet.

Besuche in Abtreibungskliniken aufdecken

Die Gefahren von Tools wie „Locate X“ sind vielfältig. 404 Media und Notus beschreiben, wie das Werkzeug beispielsweise Besucher*innen von Abtreibungskliniken exponieren kann. In vielen US-Bundesstaaten wurden Abtreibungen inzwischen kriminalisiert. Betroffene reisen deshalb teils in andere US-Staaten – und selbst das könnte bald kriminalisiert werden. Die reproduktiven Rechte von Schwangeren sind auch eines der wichtigsten inhaltlichen Themen im aktuellen US-Wahlkampf.

Mithilfe von „Locate X“ lassen sich die kriminalisierten Besucher*innen der Kliniken aus der Vogelperspektive verfolgen. Atlas hat das getestet: Demnach kann das Werkzeug zeigen, wie Handys – und ihre Besitzer*innen – von einer Wohnadresse zu einer Klinik in einem anderen Bundesstaat reisen und wieder zurück. Über die Wohnadresse wiederum könnten Polizeibehörden einfach die Identität der überwachten Menschen ermitteln.

In weiteren Beispiel-Fällen fand Atlas die Bewegungsprofile von Geschworenen eines Gerichtsprozesses oder von Besucher*innen einer Synagoge und einer Moschee. Selbst internationale Reisen kann das Werkzeug mithilfe einer globalen Suche sichtbar machen. Ausdrücklich schreibt etwa Notus, dass mit „Locate X“ sogar Suchanfragen für Deutschland möglich waren.

Auch Handys in Deutschland überwacht

Auch wenn sich die Recherchen um „Locate X“ auf die USA fokussieren: Das Problem ist längst in der EU und in Deutschland angekommen. Im Sommer zeigten die Databroker-Files-Recherchen von netzpolitik.org und dem Bayerischem Rundfunk (BR), wie einfach es ist, die Handy-Ortsdaten von Millionen Geräten in Deutschland zu bekommen. Solche Daten stammen aus der Werbeindustrie und werden angeblich nur für Werbezwecke erfasst, beispielsweise Standort-basierte Online-Werbung. Über Datenhändler werden sie jedoch zur Handelsware und können praktisch überall landen.

Die große Datenhändler-Recherche im Überblick

Von einem solchen Datenhändler erhielt das Recherche-Team rund 3,6 Milliarden Standortdaten von Handys aus Deutschland. Im Angebot hatte der Händler jedoch Daten aus aller Welt, erhältlich per Monats-Abo für rund 14.000 US-Dollar. Ähnliche Angebote gibt es von etlichen weiteren Händlern. Vieles spricht also dafür, dass auch ein Tool wie „Locate X“ schlicht auf Standortdaten aus der Werbeindustrie basiert, die offen auf Datenmärkten gehandelt werden.

Dass es solche kommerziellen Überwachungs-Werkzeuge gibt, war bereits vor den Enthüllungen um „Locate X“ bekannt. Zum Beispiel verkaufte die US-Firma Venntel Standortdaten vom Werbemarkt an US-Behörden, Berichte hierzu gab es bereits 2020. Anfang dieses Jahres gab es zudem Berichte über das Werkzeug „Patternz“, das offenbar Verbindungen zur israelischen Firma Nuviad hat. Damals mussten sich die Journalist*innen jedoch nur auf Werbematerial stützen. Was den Fall von „Locate X“ so brisant macht: Hier ließ sich das Werkzeug sogar in Aktion beobachten. Und der Zugang zu dem Tool war offenbar kaum geschützt.

Werkzeuge lassen sich einfach nachbauen

Der BR und netzpolitik.org haben im Sommer ein eigenes, internes Recherche-Tool entwickelt, um die 3,6 Milliarden Handy-Standortdaten aus Deutschland zu analysieren. Letztlich ist dieses Recherche-Tool nichts anders als eine rudimentäre Version von „Locate X“. Der Vergleich zeigt: Um ein derart mächtiges Massenüberwachungstool zu basteln, braucht es nicht mehr als ein kleines Team mit IT-Kenntnissen. Die für die Überwachung nötigen Daten wiederum lassen sich online über Datenhändler besorgen.

Andere verdienen ihr Geld mit euren Daten, wir nicht!

Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.

In Folge der Recherchen zu den Databroker Files warnten Bundestagsabgeordnete vor einer Gefahr für die nationale Sicherheit, schließlich können auch fremde Geheimdienste solche Daten nutzen. Fachleute für digitale Gewalt mahnten zudem, dass sich auch Stalker*innen für diese Form von Handy-Überwachung interessierten dürften. Unter anderem das Verbraucherschutzministerium und der Verbraucherzentrale Bundesverband sprachen sich für ein generelles Verbot der Datensammelei zu Werbezwecken aus.

Zugleich dürften auch deutsche Geheimdienste mindestens damit liebäugeln, solche Werkzeuge selbst zu nutzen. Eine von der Bundesregierung formulierte Gesetzesbegründung bei der BND-Reform deutet darauf hin. Dort wird der Ankauf von Daten aus Werbedatenbanken beschrieben als Informationsbeschaffung aus „allgemein zugänglichen Quellen“.

Handy-Nutzer*innen aus Deutschland können testen, ob ihr Gerät zumindest im Datensatz von netzpolitik.org und BR auftaucht. Mehrere Betroffene haben den Databroker Checker bereits genutzt und sich bei der Redaktion gemeldet.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, KI und Jugendmedienschutz. Er interessiert sich besonders für Methoden der Online-Recherche; darüber schreibt er einen Newsletter und gibt Workshops an Universitäten. Zu seinen vorigen Stationen gehören VICE (Senior Editor), Motherboard (Editor-in-chief), der SPIEGEL (Autor) und die Deutsche Journalistenschule München. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt. Seine Arbeit wurde zwei Mal mit dem Grimme-Online-Award prämiert.

Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon

Veröffentlicht 24.10.2024 um 14:02
Kategorie
Schlagworte
Weitere Artikel
Ein Smartphone mit Werbeanzeigen, dahinter ein Auge. Nebel. Im Hintergrund Zahlenkolonnen, die Standortdaten darstellen.
Datenschutz

Databroker FilesADINT – gefährliche Spionage per Online-Werbung

Die Technologie hinter Online-Werbung lässt sich für Überwachung und Spionage missbrauchen. Um diese Risiken sichtbar zu machen, prägten Forschende vor sieben Jahren den Begriff ADINT. Unsere jüngsten Recherchen mit dem BR zeigen: Ihre Warnungen waren berechtigt, die Gefahr wird noch immer unterschätzt.

Lesen Sie diesen Artikel: ADINT – gefährliche Spionage per Online-Werbung
Die Collage zeigt eine Frau, die auf ihr Handy schaut. Wie geht einen Wanderweg entlang. Hinter ihr auf dem Weg erstrecken sich Ortsmarken, die zeigen, dass sie getrackt wurde. Vom Handy gehen Signale aus. Am Horizont ist ein Auge.
Datenschutz

Databroker FilesFirma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland

Datenhändler verbreiten die Standorte von Menschen in Deutschland – teils sogar kostenlos, wie Recherchen von netzpolitik.org und BR zeigen. Ein Datensatz mit 3,6 Milliarden Einträgen offenbart genaue Bewegungsprofile und eine neue Dimension der Massenüberwachung.

Lesen Sie diesen Artikel: Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland

4 Ergänzungen

  1. «Standortdaten von Schweizer Handys? Kriegt man nicht.» Das sagten Datenschutzcracks gegenüber Datenjournalist Julian Schmidli zu Beginn seiner Recherche. SRF Data beweist das Gegenteil: Bewegungsprofile von Millionen von Schweizer Geräten stehen im Internet zum Verkauf – ein riesiger Schattenmarkt.

    Mit diesen Daten lassen sich beliebige Leute tracken. So findet Julian Schmidli anhand der Standortdaten von Pia Kiefer-Vogel aus Alpnach deren Frauenarzt, den Coiffeur und er kann sie auf dem Weg in die Ferien verfolgen. Ist das wirklich nur möglich, weil Pia auf «alles akzeptieren» gedrückt hat? Ist die Weitergabe dieser Daten legal? Und: Was können wir unternehmen, damit unsere Standortdaten safe sind?

    https://www.srf.ch/audio/news-plus-hintergruende/die-cookiefalle-2-4-standortdaten-for-sale?id=12669188

    Antworten

  2. Warum man Bluetooth, WLAN, GPS Ortungssensor und Internet, beim Handy deaktivieren sollte, wenn nicht gebraucht werden.

    Wir haben aber ja, nichts zu verbergen! Gelle?

    Antworten

  3. Gruselig, einfach Gruselig.
    Gibt es eigentlich eine Daternbank mit sämtlichen (zumindest Europäischen) Datenhändlern?
    Man müsste genug Leute ( ein paar Tausend oder mehr) finden, die die Händler min. 1x im Quartal anschreiben und zur Löschung der eigenen Daten auffordern.
    Es macht echt keinen Spaß mehr, das Hinz und Kunz mit wenig Aufwand jeden überwachen können.

    Antworten

    1. Guter Gedanke, wird aber nicht leicht. Dazu als Lesetipp: „“Mit den Akteuren in der Branche verhält es sich in etwa so wie mit den Blobs in einer Lavalampe: Sie sind ständig in Bewegung, verändern ihre Form, verschmelzen miteinander und trennen sich wieder. Unsere Recherchen spiegeln nur einen kleinen Ausschnitt der Online-Werbebranche wieder. Sie ist ein verzweigtes System, in dem tausende Firmen verschiedene Aufgaben erfüllen: Daten sammeln, Daten zusammenführen, datenbasierte Zielgruppen erstellen, Online-Werbeflächen verwalten, diese Werbeflächen verkaufen – und vieles mehr.“
      https://netzpolitik.org/2024/databroker-files-adint-gefaehrliche-spionage-per-online-werbung/

      Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.