Ausgespäht durch Handy-Apps Gefahr für die innere Sicherheit
Viele Apps auf unseren Handys bestimmen Standorte – so lassen sich beispielsweise Fahrtrouten bequem berechnen. Das Problem: Plattformen im Internet bieten diese Daten zum Verkauf an. Wir konnten über solche frei verkäuflichen Daten mehrere Mitarbeiter von Ministerien und Nachrichtendiensten identifizieren.
Diese Recherche führt uns auf die Spur hochrangiger Sicherheitsbeamter in Deutschland. Eine Gefahr für die nationale Sicherheit? Es geht um Millionen Bewegungsdaten.
"Nach dem Essen war die Person im Kino und das ist hier. Das sieht man auch in den Daten."
report München
Später stellen wir fest: Es handelt sich um eine Top-Persönlichkeit des deutschen Sicherheitsapparats. Es geht um diesen Datensatz, den wir über einen Online-Marktplatz erhalten.
"Das ist ein krasser Fall - das Bundesamt für Verfassungsschutz. Das ist eine US-Militäranlage. Ramstein. Und von dort zum Geheimdienst gefahren. Okay, das ist krass."
report München
Riesiger Markt für Standort-Handydaten
Im Internet existiert ein riesiger Markt für Handydaten von Millionen Menschen, die wahrscheinlich keine Ahnung haben, dass ihre Bewegungsdaten gesammelt und verkauft werden. Daten, die zeigen, wo sich Menschen aufhalten.
In den Daten stehen zwar keine Namen, auf den ersten Blick sieht man also nicht, um wen es sich handelt. Aber wir sehen, wo Millionen Menschen ... arbeiten und wohnen, Sport machen, einkaufen. Besonders heikel: Bordellbesuche, Klinikaufenthalte. Können wir so die Personen dahinter identifizieren?
Die Recherche führt uns nach Berlin - hier im Regierungsviertel, liefert der Datensatz etliche Treffer aus Handys, die wir an brisanten Orten lokalisieren können:
- Im Bundeskanzleramt.
- Im Bundestag.
- Im Innenministerium.
- Im Verteidigungsministerium.
- Beim Bundesnachrichtendienst.
Personen in Bundesministerien lassen sich lokalisieren
Wir wollen wissen: Ist das ein Problem für die nationale Sicherheit. Wie viel können wir über Menschen herausfinden, die in den sensibelsten Bereichen arbeiten?
Wir zeigen unsere Recherchen Konstantin von Notz. Er ist Vorsitzender des Parlamentarischen Kontrollgremiums, das die Nachrichtendienste kontrolliert.
"Dafür könnten sich potenziell natürlich alle ausländischen Nachrichtendienste, vor allen Dingen die uns nicht freundlich gesonnenen, interessieren. Man denkt an Russland, China, Iran."
Konstantin von Notz, Bündnis90/Die Grünen, Vorsitzender Parlamentarisches Kontrollgremium
Die Daten eines Handys schauen wir uns genauer an. Wir können sie in einem sicherheitsrelevanten Bundesministerium und im Bundestag lokalisieren.
"Das ist ein maximales Sicherheitsproblem!"
Konstantin von Notz, Bündnis90/Die Grünen, Vorsitzender Parlamentarisches Kontrollgremium
Was werden wir noch über das Handy und die Person dahinter herausfinden? Es geht um mehr als 10.000 Datenpunkte. Die Person und ihr Alltag - für uns ein offenes Buch.
Die Person geht am Alexanderplatz in einem Elektromarkt und verschiedenen Kaufhäusern einkaufen Ihren Namen kennen wir noch nicht, dafür ihren Arbeitsweg. Sogar die exakte S-Bahnlinie, mit der die Person jeden Abend nach Hause pendelt.
Werden uns die Daten zur richtigen Wohnadresse führen?
Wer verbirgt sich hinter den Bewegungsdaten. Werden uns die Daten zur richtigen Wohnadresse führen? Tatsache ist: Fast jeder erzeugt solche Daten, die dann möglicherweise im Internet zum Kauf angeboten werden.
Viele Handy-Apps fragen nach dem Installieren nach Standortdaten. Wer zustimmt, gibt immer wieder Ortsdaten über das Handy preis. Das ist interessant für die Werbeindustrie - aber eben auch für Nachrichtendienste.
Bei unseren Recherchen haben wir mit dem Onlinemedium Netzpolitik.org, das sich für digitale Freiheitsrechte einsetzt, kooperiert. Sebastian Meineck hatte den Datensatz als Gratisprobe von einem der Händler im Netz erhalten.
"Es war verstörend einfach, an diesen Datensatz ranzukommen. Wir haben uns einfach mit echtem Namen und der Adresse der Redaktion auf einem deutschen Marktplatz registriert. Und wir haben gefragt: Wer hat Ortsdaten aus Deutschland. Und dann wurden wir blitzschnell mit mehreren Firmen verkoppelt, die genau sowas im Angebot haben."
Sebastian Meineck, Redakteuer Netzpolitik.org
Ein Abo mit Daten aus 150 Ländern kostet rund 14.000$ pro Monat. Daten nur für Deutschland gibt es schon ab 2000 Euro.
"Datenhändler haben gesagt: Das sind Standortdaten von allen möglichen Apps. Navigation, Wetter, Gaming, Dating, potenziell jede App auf dem Markt."
Sebastian Meineck, Redakteuer Netzpolitik.org
Wir sind weiter auf der Spur der Person aus dem Datensatz, die allem Anschein nach in einem sicherheitsrelevanten Ministerium arbeitet?
Die Bewegungsdaten führen uns in ein Wohngebiet im Großraum Berlin. Wir parken mehrere hundert Meter entfernt und warten. Wenige Minuten später....
Name leicht zu identifizieren
Reporterin: "Und?"
Reporter: "Ich hab den Namen. Steht auf dem Klingelschild."
Reporterin: "Bekannter Name?"
Reporter: "Beep! Kannst mal suchen!"
Wir suchen den Namen im Internet. Und finden ihn sofort.
Reporterin: "Ah ok!"
Reporter: "Ja, ist schon krass!"
Keine Einzelfälle
Tatsächlich handelt sich um eine Top-Persönlichkeit im deutschen Sicherheitsapparat. Jetzt haben wir ihren Namen, wissen, wo sie sich im Alltag und im Berufsleben aufhält. Für Konstantin von Notz ein untragbarer Zustand.
"Wenn Sie wissen, wie Menschen sich verhalten, und bewegen, dann sind sie ausspionierbar,... zu bestechen. Am Ende des Tages kann es so nicht sein und darf es so nicht sein."
Konstantin von Notz, Bündnis90/Die Grünen, Vorsitzender Parlamentarisches Kontrollgremium
Und es handelt sich mitnichten um einen Einzelfall. Die gleiche Recherche hätten wir mit Mitarbeitern aus allen möglichen sicherheitsrelevanten Behörden und Ministerien machen können:
- Am Hauptsitz des Bundesverfassungsschutzes in Köln Chorweiler fanden wir 2600 Standortdaten.
- Beim Militärischen Abschirmdienst sehen wir in unserem Datensatz rund 8000 Datenpunkte.
- Und auf dem NATO-Truppenübungsplatz in Grafenwöhr fanden wir fast 200.000 Standortsignale aus Handys.
Überall finden wir Ortsdaten, mit denen wir Personen mit wenig Aufwand identifizieren könnten.
Macht eine Gesetzeslücke den Datenhandel legal?
Der Betreiber der Internet-Plattform, über die der Datenhandel abläuft, die Firma Datarade, hat ihren Sitz in Berlin. Die Firma ließ mehrere Anfragen des BR und von netzpolitik unbeantwortet.
Wie kann es sein, dass so ein Geschäftsmodell mitten in der Hauptstadt betrieben wird? Wir zeigen unsere Recherche der designierten Bundesdatenschutzbeauftragten. Ist das nicht ein Verstoß gegen die Datenschutzgrundverordnung, die DSGVO?
"Da liegt der Hund tatsächlich begraben. Der Datenmarktplatz ist ja im Prinzip ein Makler, der verarbeitet keine personenbezogenen Daten selbst. Und wenn da keine personenbezogenen Daten selbst verarbeitet, dann gilt für ihn nicht die DSGVO. In gewissem Sinne ist das eine Regulierungslücke, die wir haben."
Prof. Louisa Specht-Riemenschneider - designierte Bundesdatenschutzbeauftragte
"Ich glaube, dass der Gesetzgeber hier eine Verantwortung hat, solche fragwürdigen Praktiken zu unterbinden."
Konstantin von Notz, Bündnis90/Die Grünen, Vorsitzender Parlamentarisches Kontrollgremium
Auf Anfrage schreiben uns mehrere betroffene Behörden, dass man sich der Gefahr bewusst sei: "Das Bundesamt für Verfassungsschutz trifft geeignete Maßnahmen zum Schutz seiner Mitarbeitenden."
Das Bundesinnenministerium konkretisiert: "Dazu gehört neben zahlreichen Schutzmaßnahmen auch die Sensibilisierung der Beschäftigten."
Und das Verteidigungsministerium versichert: "Alle Angehörigen der Streitkräfte werden regelmäßig (...) zur Nutzung von privater und dienstlicher IT (...) sensibilisiert und belehrt."
Unser Datensatz zeigt, dass diese Maßnahmen nicht ausreichen. Übrigens: Wir haben Kontakt zu der hochrangigen Sicherheitsperson aufgenommen um sie zu warnen, dass ihre Daten im Netz gehandelt werden. Sie hat unsere Recherchen zu ihren Aufenthaltsorten bestätigt. Bis der Gesetzgeber einschreitet, gibt es nur eine Alternative: Standortdaten am Handy möglichst ausschalten.
Kommentieren
Jerry G., Mittwoch, 17.Juli 2024, 10:41 Uhr
2. Unglaublich schlecht recherchiert
Dass Sicherheitsbehörden nicht ausreichend für dieses Problem sensibilisiert sind, ist bekannt und dennoch schockierend. Aber für den Durchschnittsnutzer sind diese Informationen einschließlich Empfehlung völlig überzogen.
Location-Services komplett zu deaktivieren, ist für den Normalanwender völliger Unsinn. Man deaktiviert damit einen Großteil wichtiger Funktionen des Gerätes, die in einigen Fällen sogar lebensrettend sein können. Vielmehr sollte man darauf achten, welche Apps von welcher Quelle man installiert und welche Rechte man ihnen gibt. Und veretraut man Apple bzw. Google hier nicht, dann gibt einem die komplette Deaktivierung auch nicht mehr Sicherheit.
Die Aussage der Datenschutzbeauftragten ist bedenklich, denn auch Daten, anhand derer Personen indirekt identifiziert werden können, fallen unter die DSGVO. Mag aber auch an der Fragestellung der Reporter gelegen haben.
Antwort von Die Redaktion, Mittwoch, 17.Juli, 13:46 Uhr anzeigen
Es geht nicht darum, die Standortfreigabe komplett zu deaktivieren, sondern sparsam mit der Weitergabe der eigenen Daten umzugehen. Wie Sie schreiben, sollte man darauf achten, welche Apps aus welcher Quelle man installiert und welche Rechte man vergibt.
Die Aussage der designierten Bundesdatenschutzbeauftragten haben Sie offenbar missverstanden: Es geht nicht darum, dass die Daten an sich nicht der DSGVO unterliegen, ihre Aussage war bezogen auf den Datenmarktplatz. Dort besteht ihrer Meinung nach eine Regelungslücke, da der Marktplatz die Daten nicht selbst verarbeitet, sondern nur als Makler zwischen Käufer- und Verkäufer der Daten auftritt und deshalb die DSGVO nicht greift. Weitere Informationen dazu finden Sie auch unter folgendem Link bei "Fragen und Antworten zur Recherche": https://interaktiv.br.de/ausspioniert-mit-standortdaten/
Antwort von Noske, Mittwoch, 17.Juli, 16:34 Uhr anzeigen
@Jerry G.
Halbwissen bringt uns hier nicht weiter. Juristisch gesehen besteht diese Regelungslücke in der DSGVO, da diese Daten weder erhoben, verarbeitet oder verändert werden (vgl. Art 2 DSGVO i. V. mit Erwägungsgrund 21). Auch der Anwendungsbereich des § 1 BDSG betrifft ein Vermitteln von Daten nicht.
Ausserdem werden die eher illegal erhobenen Daten sehr häufig ausserhalb des Unionsgebietes verarbeitet bzw. aufbereitet.
Weiterhin ist im Report München nur von einer Variante der Standortdatenerhebung durch Apps die Rede. Vielleicht ist in Vergessenheit geraten, dass Google im OS die Abschaltung der Standortdienste für den User zwar vorsieht, diese aber im baseband-transceiver eben nicht abgeschaltet werden. Location based services ist die Variante der Funkzellenortung, die bereits nach alten GSM-Spezifikationen implementiert sind. Netzbasierte Ortung findet durch erkannte Wifi-Hotspots statt.
BluFis / UWB nutzt Bluetooth-Beacons, ursprünglich für Werbezwecke.
Antwort von Jerry G, Mittwoch, 17.Juli, 18:09 Uhr anzeigen
Die Redaktion sollte sich vielleicht ihren eigenen Beitrag noch einmal genauer ansehen - oder vielleicht für den Zuschauer erklären, was sie denn mit „Standortdaten ausschalten“ genau meint.
Im übrigen wäre bzw. ist es in der Tat bedenklich, wenn quasi Hehlerei mit illegalen Daten erlaubt ist. Dabei ist es völlig unerheblich, mit welcher Technologie diese Daten erfasst wurden.
Für den Normalverbraucher sind weder unspezifische Panikmache noch technische Details wirklich hilfreich. Dieser Beitrag verunsichert mehr als er hilft.
Antwort von Die Redaktion, Donnerstag, 18.Juli, 13:50 Uhr anzeigen
Mit „Standortdaten möglichst ausschalten“ ist gemeint, wenn möglich, die Standortfreigabe für Apps zu deaktivieren.
In unserem Beitrag kommt die designierte Datenschutzbeauftragte Prof. Louisa Specht-Riemenschneider zu Wort, die beim Thema Datenhandel eine Regelungslücke sieht. Es geht nicht darum, wie die Daten erhoben werden, sondern konkret um die Datenmarktplätze. Da der Marktplatz die Daten nicht selbst verarbeitet, sondern nur als Makler zwischen Käufer- und Verkäufer der Daten auftritt, greift die Datenschutzgrundverordnung hier nicht. Specht-Riemenschneider sieht hier den Gesetzgeber gefordert. Weitere Informationen dazu finden Sie auch unter folgendem Link bei "Fragen und Antworten zur Recherche": https://interaktiv.br.de/ausspioniert-mit-standortdaten/
Antwort von Noske, Donnerstag, 18.Juli, 16:04 Uhr anzeigen
Gerade die Kenntnis technischer Möglichkeiten bietet den Nutzern die Chance einer Risikoeinschätzung. Die Hersteller diverser "smarter Technologie" bauen ja genau darauf, dass der Laie damit überfordert ist und nur das nette Spielzeug vor Augen hat. Die allermeisten Datenabflüsse geschehen mit Einwilligung der Anwender in die "license agreements".
Panikmache erkenne ich im Beitrag nicht, eher aus meiner Sicht noch zu oberflächlich. Die Analyse der Datenpunkte lassen einige weitere Rückschlüsse zu. So kann damit festgestellt werden, wer, sich wann, wo und mit welchen Personen trifft, regelmässig trifft und welchen Hintergrund die Treffpersonen haben. Das ist ganz nützlich, wenn man Kontakte von Gegnern abklären möchte. Für die Strafverfolgung gibt es hilfreiche Ansätze und für zivile Anwender, z.B. Versicherungen könnte Risikomanagement betrieben werden. Der Artikel oben gibt einen Eindruck der "capabilties" von guten und bösen Anwendungen.
Report sollte durchaus noch vertiefen.
Antwort von Kurt T., Freitag, 19.Juli, 10:44 Uhr anzeigen
Was erlauben sich manche Leute für ein Urteil, wenn sie keine Ahnung haben? Ich finde den Bericht erschreckend und kann nur die Dimensionen erahnen. Was tun sich da für zukünftige Geschäftsmodelle auf, wenn die Daten KI-unterstützt in Echtzeit verkauft werden oder Auskunftsdienste as a service eingerichtet werden?
Schlimm genug, dass Kontaktdaten von Whatsup und Co. geklaut und verkauft werden.
Antworten
Rene K., Mittwoch, 17.Juli 2024, 01:24 Uhr
1. Neuland - Medienkompetenz - Snowden
Sehr guter Bericht, der im Grunde aber nichts Neues ist. Die Taschenlampen-App mit Internetzugangsberechtigung ist der uralte Zopf der App-Geschichte. Das Thema Berechtigungen bei Android-Apps ist in aller Regel ein Buch mit sieben Siegeln. Kleingedrucktes interessiert den Normalnutzer sowieso nicht, bzw. kann sie ohne technisches und juristisches Wissen nicht einordnen. AGBs sind deshalb bewusst ausführlich gehalten.
User freuen sich über tolle, neue Funktionen und verdängen das Thema mit der Begründung: "Ich habe ja nichts zu verbergen". Falsch, denn sie wissen nicht, was sie verbergen sollten bzw. müssen.
Snowden hat einen kleinen Einblick über die staatlichen Möglichkeiten gegeben. So gesehen weniger ein Problem. Private Adress- und Datenhändler sehe ich dagegen als weit größere Gefahr, da sie kaum Regeln unterliegen und Daten an x-beliebige interessierte Kreise verkauft werden. Spionage von fremden Mächten über frei erhältliche, sensible Daten.
Respekt!
Dran bleiben, BR.
Antworten