Browser-Erweiterungen als Sicherheitslücke

Der Handel mit Daten steht im Fokus der aktuellen Debatte um den Datenschutz. Grund dafür sind die Recherchen der Panorama-Redaktion, die vermeintlich anonymisierte Datensätze aus Browser-Erweiterungen kaufen und dann analysieren konnte.

Sobald man im Internet surft, legt der eigene Browser (z.B. Internet Explorer, Firefox, Google Chrome) einen sogenannten Browser-Verlauf an. Dieser zeigt, auf welchen Seiten man sich wann und wie oft aufgehalten hat. Solche Aufzeichnungen des digitalen Wanderwegs sind an sich harmlos und bleiben auch nur solange gespeichert, bis man diesen selbst über den Browser löscht. 

Der Browser ist jedoch nicht zwingend das einzige Programm, welches diesen Verlauf akribisch dokumentiert. Kleine Erweiterungen des Browsers, sog. Browser-Plug-Ins, können unter Umständen diese Daten ebenfalls erfassen und dann weiterleiten. Wohin diese dann später gelangen und wer damit hantiert, bleibt für den Nutzer verborgen.

Mit einem Experiment deckten hierzu die Journalisten des Magazins Panorama einen großen Missstand auf. Um an diese Daten von Dritten zu gelangen, gründeten die Reporter des NDR eine Scheinfirma. Schon nach kurzer Zeit wurden ihnen Datensätze kostenlos zur Probe durch mehrere Unternehmen angeboten. Ohne viel Aufwand gelangten die Redakteure der Panorama-Redaktion so an die Browser-Verläufe vieler deutscher Internetnutzerinnen und Nutzer. 

Die enthaltenen Daten hatten die Internetfirmen aus Browser-Plug-Ins gewonnen. Hierbei handelt es sich um kleine Erweiterungen im Browser, die der Nutzer selbst bei sich installieren kann. Diese kleinen Zusatzprogramme gibt es in einer breiten Auswahl. Einige von ihnen sind harmlos was die Daten ihrer Nutzer betrifft. Der NDR konnte durch seine Recherche hierbei jedoch das Programm "Web of Trust" (WOT) ausmachen, welches die URL-Verläufe seiner Nutzer sammelte und wohl auch weitergab.

Der Haken liegt in den AGBs
Der Service, den diese Erweiterungen anbieten, ist nur auf den ersten Blick kostenlos. Im Austausch für diesen Service bezahlt ein Nutzer mit seinen Daten, indem er dem Plug-In erlaubt den eigenen Browser-Verlauf anonymisiert an den Anbieter der Erweiterung zu übermitteln. Diesem werden dann zusätzlich die Rechte dazu eingeräumt, diese Daten an Dritte weiterzugeben, somit also zu handeln. 

Diese Vorgehensweise ist grundsätzlich legal. Problematisch wird es allerdings, wenn man trotz der Anonymisierung des digitalen Bewegungsprofils auf den Nutzer schließen kann. So gelang es dem NDR im Laufe der Recherche, verschiedene Datensätze zu deanonymisieren. Da durch eine solche Identifizierung auch intimste Details bekannt werden können, wäre es leicht, beispielsweise einfache Bürger, Richter oder hochrangige Politiker zu erpressen.

Die Aufdeckung des NDR belegt, dass man auch bei vermeintlichen Helfern genau aufpassen sollte, welche man sich in den eigenen Browser installiert. Generell gilt, dass man möglichst wenige Erweiterungen installieren sollte. Gerade bei vermeintlich kostenlosen Plug-Ins sollte man ohnehin immer die Frage stellen, wie die Anbieter wohl damit Geld verdienen.
 

Weitere Informationen