Ausgespäht durch Handy-Apps Gefahr für die innere Sicherheit
Viele Apps auf unseren Handys bestimmen Standorte – so lassen sich beispielsweise Fahrtrouten bequem berechnen. Das Problem: Plattformen im Internet bieten diese Daten zum Verkauf an. Wir konnten über solche frei verkäuflichen Daten mehrere Mitarbeiter von Ministerien und Nachrichtendiensten identifizieren.
Diese Recherche führt uns auf die Spur hochrangiger Sicherheitsbeamter in Deutschland. Eine Gefahr für die nationale Sicherheit? Es geht um Millionen Bewegungsdaten.
"Nach dem Essen war die Person im Kino und das ist hier. Das sieht man auch in den Daten."
report München
Später stellen wir fest: Es handelt sich um eine Top-Persönlichkeit des deutschen Sicherheitsapparats. Es geht um diesen Datensatz, den wir über einen Online-Marktplatz erhalten.
"Das ist ein krasser Fall - das Bundesamt für Verfassungsschutz. Das ist eine US-Militäranlage. Ramstein. Und von dort zum Geheimdienst gefahren. Okay, das ist krass."
report München
Riesiger Markt für Standort-Handydaten
Im Internet existiert ein riesiger Markt für Handydaten von Millionen Menschen, die wahrscheinlich keine Ahnung haben, dass ihre Bewegungsdaten gesammelt und verkauft werden. Daten, die zeigen, wo sich Menschen aufhalten.
In den Daten stehen zwar keine Namen, auf den ersten Blick sieht man also nicht, um wen es sich handelt. Aber wir sehen, wo Millionen Menschen ... arbeiten und wohnen, Sport machen, einkaufen. Besonders heikel: Bordellbesuche, Klinikaufenthalte. Können wir so die Personen dahinter identifizieren?
Die Recherche führt uns nach Berlin - hier im Regierungsviertel, liefert der Datensatz etliche Treffer aus Handys, die wir an brisanten Orten lokalisieren können:
- Im Bundeskanzleramt.
- Im Bundestag.
- Im Innenministerium.
- Im Verteidigungsministerium.
- Beim Bundesnachrichtendienst.
Personen in Bundesministerien lassen sich lokalisieren
Wir wollen wissen: Ist das ein Problem für die nationale Sicherheit. Wie viel können wir über Menschen herausfinden, die in den sensibelsten Bereichen arbeiten?
Wir zeigen unsere Recherchen Konstantin von Notz. Er ist Vorsitzender des Parlamentarischen Kontrollgremiums, das die Nachrichtendienste kontrolliert.
"Dafür könnten sich potenziell natürlich alle ausländischen Nachrichtendienste, vor allen Dingen die uns nicht freundlich gesonnenen, interessieren. Man denkt an Russland, China, Iran."
Konstantin von Notz, Bündnis90/Die Grünen, Vorsitzender Parlamentarisches Kontrollgremium
Die Daten eines Handys schauen wir uns genauer an. Wir können sie in einem sicherheitsrelevanten Bundesministerium und im Bundestag lokalisieren.
"Das ist ein maximales Sicherheitsproblem!"
Konstantin von Notz, Bündnis90/Die Grünen, Vorsitzender Parlamentarisches Kontrollgremium
Was werden wir noch über das Handy und die Person dahinter herausfinden? Es geht um mehr als 10.000 Datenpunkte. Die Person und ihr Alltag - für uns ein offenes Buch.
Die Person geht am Alexanderplatz in einem Elektromarkt und verschiedenen Kaufhäusern einkaufen Ihren Namen kennen wir noch nicht, dafür ihren Arbeitsweg. Sogar die exakte S-Bahnlinie, mit der die Person jeden Abend nach Hause pendelt.
Werden uns die Daten zur richtigen Wohnadresse führen?
Wer verbirgt sich hinter den Bewegungsdaten. Werden uns die Daten zur richtigen Wohnadresse führen? Tatsache ist: Fast jeder erzeugt solche Daten, die dann möglicherweise im Internet zum Kauf angeboten werden.
Viele Handy-Apps fragen nach dem Installieren nach Standortdaten. Wer zustimmt, gibt immer wieder Ortsdaten über das Handy preis. Das ist interessant für die Werbeindustrie - aber eben auch für Nachrichtendienste.
Bei unseren Recherchen haben wir mit dem Onlinemedium Netzpolitik.org, das sich für digitale Freiheitsrechte einsetzt, kooperiert. Sebastian Meineck hatte den Datensatz als Gratisprobe von einem der Händler im Netz erhalten.
"Es war verstörend einfach, an diesen Datensatz ranzukommen. Wir haben uns einfach mit echtem Namen und der Adresse der Redaktion auf einem deutschen Marktplatz registriert. Und wir haben gefragt: Wer hat Ortsdaten aus Deutschland. Und dann wurden wir blitzschnell mit mehreren Firmen verkoppelt, die genau sowas im Angebot haben."
Sebastian Meineck, Redakteuer Netzpolitik.org
Ein Abo mit Daten aus 150 Ländern kostet rund 14.000$ pro Monat. Daten nur für Deutschland gibt es schon ab 2000 Euro.
"Datenhändler haben gesagt: Das sind Standortdaten von allen möglichen Apps. Navigation, Wetter, Gaming, Dating, potenziell jede App auf dem Markt."
Sebastian Meineck, Redakteuer Netzpolitik.org
Wir sind weiter auf der Spur der Person aus dem Datensatz, die allem Anschein nach in einem sicherheitsrelevanten Ministerium arbeitet?
Die Bewegungsdaten führen uns in ein Wohngebiet im Großraum Berlin. Wir parken mehrere hundert Meter entfernt und warten. Wenige Minuten später....
Name leicht zu identifizieren
Reporterin: "Und?"
Reporter: "Ich hab den Namen. Steht auf dem Klingelschild."
Reporterin: "Bekannter Name?"
Reporter: "Beep! Kannst mal suchen!"
Wir suchen den Namen im Internet. Und finden ihn sofort.
Reporterin: "Ah ok!"
Reporter: "Ja, ist schon krass!"
Keine Einzelfälle
Tatsächlich handelt sich um eine Top-Persönlichkeit im deutschen Sicherheitsapparat. Jetzt haben wir ihren Namen, wissen, wo sie sich im Alltag und im Berufsleben aufhält. Für Konstantin von Notz ein untragbarer Zustand.
"Wenn Sie wissen, wie Menschen sich verhalten, und bewegen, dann sind sie ausspionierbar,... zu bestechen. Am Ende des Tages kann es so nicht sein und darf es so nicht sein."
Konstantin von Notz, Bündnis90/Die Grünen, Vorsitzender Parlamentarisches Kontrollgremium
Und es handelt sich mitnichten um einen Einzelfall. Die gleiche Recherche hätten wir mit Mitarbeitern aus allen möglichen sicherheitsrelevanten Behörden und Ministerien machen können:
- Am Hauptsitz des Bundesverfassungsschutzes in Köln Chorweiler fanden wir 2600 Standortdaten.
- Beim Militärischen Abschirmdienst sehen wir in unserem Datensatz rund 8000 Datenpunkte.
- Und auf dem NATO-Truppenübungsplatz in Grafenwöhr fanden wir fast 200.000 Standortsignale aus Handys.
Überall finden wir Ortsdaten, mit denen wir Personen mit wenig Aufwand identifizieren könnten.
Macht eine Gesetzeslücke den Datenhandel legal?
Der Betreiber der Internet-Plattform, über die der Datenhandel abläuft, die Firma Datarade, hat ihren Sitz in Berlin. Die Firma ließ mehrere Anfragen des BR und von netzpolitik unbeantwortet.
Wie kann es sein, dass so ein Geschäftsmodell mitten in der Hauptstadt betrieben wird? Wir zeigen unsere Recherche der designierten Bundesdatenschutzbeauftragten. Ist das nicht ein Verstoß gegen die Datenschutzgrundverordnung, die DSGVO?
"Da liegt der Hund tatsächlich begraben. Der Datenmarktplatz ist ja im Prinzip ein Makler, der verarbeitet keine personenbezogenen Daten selbst. Und wenn da keine personenbezogenen Daten selbst verarbeitet, dann gilt für ihn nicht die DSGVO. In gewissem Sinne ist das eine Regulierungslücke, die wir haben."
Prof. Louisa Specht-Riemenschneider - designierte Bundesdatenschutzbeauftragte
"Ich glaube, dass der Gesetzgeber hier eine Verantwortung hat, solche fragwürdigen Praktiken zu unterbinden."
Konstantin von Notz, Bündnis90/Die Grünen, Vorsitzender Parlamentarisches Kontrollgremium
Auf Anfrage schreiben uns mehrere betroffene Behörden, dass man sich der Gefahr bewusst sei: "Das Bundesamt für Verfassungsschutz trifft geeignete Maßnahmen zum Schutz seiner Mitarbeitenden."
Das Bundesinnenministerium konkretisiert: "Dazu gehört neben zahlreichen Schutzmaßnahmen auch die Sensibilisierung der Beschäftigten."
Und das Verteidigungsministerium versichert: "Alle Angehörigen der Streitkräfte werden regelmäßig (...) zur Nutzung von privater und dienstlicher IT (...) sensibilisiert und belehrt."
Unser Datensatz zeigt, dass diese Maßnahmen nicht ausreichen. Übrigens: Wir haben Kontakt zu der hochrangigen Sicherheitsperson aufgenommen um sie zu warnen, dass ihre Daten im Netz gehandelt werden. Sie hat unsere Recherchen zu ihren Aufenthaltsorten bestätigt. Bis der Gesetzgeber einschreitet, gibt es nur eine Alternative: Standortdaten am Handy möglichst ausschalten.
Kommentieren
Uhlenhorst, Samstag, 20.Juli 2024, 13:26 Uhr
7. Phantastische Möglichkeiten
Mit der Methode können Dumpfbackentreffen analysiert werden, Putin kann seine Agenten zielgenau steuern und überwachen, mit wem sie sich treffen, die Sekretärinnen für Romeo Aktionen auswählen. Natürlich auch ideal für Erpressungen aller Art, wenn der Herr Minister mal wieder auf der Reeperbahn einkehrt. Auch Lobbyistentreffs mit ihren "Kunden" lassen sich feststellen. Und endlich kann der Nachbar fernobservieren, wen der trifft und wo der sich so herumtreibt. Blöd, wenn dann die unangenehmeren Behandlungen wegen Drogen- oder Alkohol entlarvt werden. Ehefrauen können endlich auch die "Freizeitaktivitäten" ihrer Männer kontrollieren.
Vermutlich wird man bald Abfrageabos abschließen können, mit Timeline für 10 Personen je Monat für den Hammereinführungspreis von 100.- Euro! Wenn da Orwell nicht seine Freude daran hätte. Endlich Transparenz. Jeder überwacht jeden.
Das Gefühl von Freiheit und Abenteuer.
Macht Report München daraus eine Serie? Es hat den Stoff für Krimis. ;-)
Antworten
Fritz Wollert, Freitag, 19.Juli 2024, 01:55 Uhr
6. Spannende Reportage
Da braucht Putin nur ein Abo abschließen und kann von seinem Präsi-Sessel aus unsere Sicherheitsbehörden ausspähen. Gratulation! In der analogen Welt würde der Staatsanwalt anklopfen und wegen Hochverrat anklagen. Die Privatisierung der Spionage hat was. Fehlt nur noch die Frage: "Haben sie Kundenkarte?".
Antworten
Noske, Donnerstag, 18.Juli 2024, 13:29 Uhr
5. Limiting Location Data Exposure - NSA CSI (Cybersecurity Information)
Die NSA/DoD sind so freundlich, über die Risiken im Dokument U/OO/155603-20 PP20.0535 Aug. 2020 Geolocation Services aufzuklären.
Abrufbar über das Cybersecurity Requirements Center oder unter "CSI_Limiting_Location_Data_Exposure_Final.pdf" auffindbar.
Es weist klar darauf hin: GPS off, schaltet nur die App-Verwendungsebene ab. GPS bleibt ständig an. Weiter wird auf die Risiken der Verwendung zahlreicher weiterer Devices hingewiesen und unter "Mitigations" die Abwehrmassnahmen erklärt.
Zum Report aus München Beitrag muss die Konsequenz noch deutlicher dargelegt werden. Die frei verkauften Datenpunkte von Bewegungsprofilen ermöglichen noch wesentlich mehr Rückschlüsse als berichtet.
Die BT/Tag und Beacon Technologie könnte tatsächlich datenschutzrechtlich relevant sein, denn die UID (Unique IDs) der Tags werden über beliebige sich begegenende Smartphones oder andere Empfänger erhoben, weitergeleitet und in den Clouddiensten verarbeitet. Natürlich ohne Einwilligung.
Antworten
Noske, Mittwoch, 17.Juli 2024, 17:06 Uhr
4. Google / Apple Berechtigungen
Kurz gesagt, sind sie für den Normalanwender nicht durchschaubar. Googles Android nutzt ca. 125 - 130 verschiedene Berechtigungen für seine Anwendungen auf den Smartphones. Nutzer stehen vor Google (gilt für Apple gleichermaßen) nackt da. Will Google SMS oder Kontakte auslesen oder die Netzinfratruktur sehen, dann können sie das und tun das.
Dass Google eng mit amerikanischen Behörden zusammen arbeitet ist auch bekannt. Welche Daten mit dieser Macht aber an die Privatwirtschaft verkauft werden ist für den User schon eher bedeutsam.
Deshalb sind diese Datenerhebungen das digitale Gold der Zukunft.
Datenschutz ist und bleibt löchrig. Zudem riskant ist es, wie es Report aus München berichtet hat.
Antwort von Checkie, Montag, 22.Juli, 00:15 Uhr anzeigen
Der BR hat leider nur über die öffentlich frei erhältlichen Daten eines amerikanischen Datenbrokers berichtet und konzentriert auf diese Geodaten. Die vielfältigen weiteren Datenabflüsse bleiben unberücksichtigt.
Womöglich gibt es ja noch mehr Enthüllungen. Die breite Öffentlichkeit ist kaum informiert. Die Frage blieb unbeantwortet, ob nur deutsche Sicherheitsbehörden vor dieser Problematik stehen?
Antworten
Noske, Mittwoch, 17.Juli 2024, 16:54 Uhr
3. Ergänzung zum Kommentar der BT Beacon Technik
Die OS Hersteller Apple / Google beabsichtigen, die Bluetoothfunktion für User nicht mehr abschaltbar zu machen bzw. nur noch tief in den Systemeinstellungen zu verstecken. Sinn und Zweck ist die sehr einfach Ortungsfunktion über die Bluetoothschnittstelle. Beacons erlauben vielfältige Anwendungszwecke auch inhouse. Mittlerweile lassen sich diese Beacons seit einigen Jahren als Smarttags (Apple war Vorreiter) einsetzen. Logistik und Werbeindustrie waren die ursprünglichen Anwender. Andere Smartphones dienen dabei quasi als Signalerfassung und Relaisstelle, um die Daten in die Cloud einzuspeisen. Jeder Kontakt eines Tags in Funkreichweite eines Smartphones mit eingeschaltetem BT wird in weniger als 30 Millisekunden erhoben und verarbeitet. Jeder Kontakt bedeutet wiederum ein Datenpunkt mit Koordinaten und Zeitstempel. Auf diese Funktionen des "Datenvermittlers" haben die Nutzer keinen Einfluss, ausser sie schalten Bluetooth ab.
Weitere Ortungen wären noch via SS7 Protokoll möglich.
Antworten