Wollen Behörden wissen, wo sich ein Mobiltelefonnutzer gerade aufhält, so war der erste Schritt lange der Gang zum jeweiligen Netzbetreiber. Über die "Lawful Interception" genannten Schnittstellen lässt sich der aktuelle Standort der Nutzer bestimmen – wenn auch eher ungenau. Also griff man vor allem in den USA zuletzt immer öfter zu richterlichen Anordnungen, um Firmen wie Google dazu zu zwingen, den mitgeloggten Standortverlauf preiszugeben. Doch auch dies hat natürlich den Nachteil, dass hier zumindest eine gewisse unabhängige Prüfung des Ansuchens stattfindet. Also scheinen sich die Behörden zunehmend nach alternativen Quellen umzusehen, die keinerlei solche Hürden aufweisen, wie nun ein aktueller Bericht von Protocol aufdeckt.

Locate X

Unter dem Namen "Locate X" verkauft die Firma Babel Street die Standortdaten von Smartphone-Nutzern – und das unter strenger Geheimhaltung offenbar schon seit Jahren. Zu den Kunden sollen mehrere große US-Behörden gehören, darunter etwa die Einwanderungsbehörde ICE oder auch der Zoll- und Grenzschutz. Beide sollen sie jährliche mehrere Millionen US-Dollar für die Nutzung von "Locate X" zahlen.

Die Software erlaubt es den Behörden laut dem Bericht etwa einen geografischen Bereich zu definieren, für den sie Informationen über sämtliche verbundenen Geräte haben sollen. Anschließend soll es dann möglich sein, einzelne Devices auszuwählen und zu sehen wo diese zuvor waren – und zwar über einen Zeitraum von mehreren Monaten zurück.

Smartphone-Apps

Als Quelle für all das nutzt Locate X angeblich Daten, die über Smartphone-Apps eingesammelt werden, und dann von deren Betreibern an Dritte weiterverkauft wurden. Das bedeutet, dass die Nutzer zwar prinzipiell die Berechtigung für den Zugriff auf den eigenen Standort erteilt haben, ihnen aber wohl kaum klar war, was mit diesen Daten dann jenseits der Nutzung für die App selbst passiert.

Vorgeschichte

Welche Ausmaße die Sammlung von Standortdaten über solche Apps mittlerweile angenommen hat, hatte erst vor einigen Monaten ein Bericht der New York Times aufgezeigt. Die Zeitung war an einen riesigen Datensatz von Standortinformationen über Smartphone-User gekommen. Mit diesem gelang es aus der angeblichen anonymen Sammlung einzelne Nutzer und deren Bewegungen einwandfrei zu identifizieren, auch ein Mitarbeiter des Secret Service, der zum Schutz von US-Präsident Trump eingeteilt war, konnte damit geortet werden.

Spurensuche

Einer der Zulieferer für Locate X soll eine Marketingfirma namens Gravy Analytics sein. Ein Sprecher des Unternehmens wollte das Verhältnis zu Babel Street nicht kommentieren. Allerdings bestätigt man, dass man über eine Tochterfirma namens Venntel "Initiativen aus dem öffentlichen Bereich" unterstützt. In der eigenen Privacy Policy versichert man, dass man die Privatsphäre der Konsumenten sehr ernst nehme und dabei sämtliche rechtlichen Rahmenbedingungen erfüllt.

Dass man sich der problematischen Natur des eigenen Tuns durchaus bewusst ist, zeigt aber ein anderer Umstand: In den Nutzungsbedingungen für Locate X schreibt der Hersteller seinen Kunden nämlich eine strikte Geheimhaltung vor. Diese dürfen die Software niemals öffentlich erwähnen, und müssen auch sicherstellen, dass sie niemals in Gerichtsdokumenten erwähnt wird. Eine Formulierung, die bei der Bürgerrechtsorganiation ACLU alle Alarmglocken schrillen lässt. Diese Regeln seien "äußerst verstörend", da sie gezielt darauf abzielen, Transparenz über behördliche Ermittlungen zu verhindern.

Empfehlungen

Für Smartphone-Nutzer ist der Vorfall eine weitere Erinnerung daran, dass sie vorsichtiger bei der Vergabe von sensiblen Berechtigungen wie jener zum Zugriff auf den eigenen Standort sein sollten. Ist nicht direkt nachvollziehbar, dass eine App die Locationdaten unbedingt für die eigenen Dienste benötigt, sollten solche Anfragen abgelehnt werden. Dass hier ein echtes Problem besteht, haben mittlerweile auch Apple und Google verstanden, die in den aktuellsten Versionen ihrer Betriebssysteme die Nutzung der Standortberechtigung immer weiter beschränkt haben. So können die User etwa die Vergabe dieser Berechtigung mittlerweile auf die aktive Nutzung einer App beschränken, womit keine durchgängige Datensammlung mehr möglich ist. Auch die Möglichkeit den Zugriff überhaupt nur einmal zu vergeben, gibt es mittlerweile bei iPhones, unter Android folgt diese Funktion mit der nächsten Betriebssystemgeneration. (apo, 08.03.2020)