Bei Rechtsbrüchen selbst filmen: Selten eine gute Idee. Aber auch ohne solche offensichtlichen Fehler lassen sich viele Angreifer über ihre Smartphone-Daten identifizieren.

Foto: AP / John Minchillo

Es war einer jener Momente, die sich in das kollektive Gedächtnis einbrennen: Als rechtsextreme Trump-Anhänger am 6. Jänner das US-Kapitol stürmten, sorgte dies weltweit für schockierte Reaktionen. Dabei war der erste Eindruck sogar noch harmlos im Vergleich zu dem, was in den kommenden Tagen und Wochen offenbar wurde. Nämlich, dass es nur dem Zufall sowie dem beherzten Handeln einzelner zu verdanken ist, dass dabei nicht mehr Personen getötet wurden.

Spurensuche

In der Aufarbeitung dieser Vorgänge spielten digitale Spuren schnell eine entscheidende Rolle. Hatten doch viel der Angreifer ihre Aktivitäten stolz auf sozialen Medien dokumentiert. Gerade dank der Auswertung von auf Parler geposteten Videos und mit Standortdaten versehenen Fotos gelang es Timelines für die Aktivitäten einzelner zu erstellen – und sie zu identifizieren. Nun ist ein weiterer Datensatz aufgetaucht, der bei der Spurensuche hilfreich ist – der aber gleichzeitig zeigt, wie weit das, was Kritiker als "Überwachungskapitalismus" bezeichnen, mittlerweile ausgeartet ist.

Die New York Times hat von einer anonymen Quelle Daten aus der Sammlung eines auf Smartphones-User-Tracking spezialisierten Unternehmens erhalten – und zwar speziell auf den räumlichen und zeitlichen Kontext des Angriffs beschränkt. Darin sind mehr als 100.000 "Location Pings" enthalten, also Momente, in denen ein Smartphone der Personen in diesem Bereich seinen Standort gemeldet hat.

Eindeutige Schlüsse

Daraus lassen sich durchaus interessante Rückschlüsse ziehen: So zeigt sich etwa, dass 40 Prozent jener, die zuvor der Ansprache des damals noch amtierenden US-Präsidenten Donald Trump gelauscht haben, danach zum Kapitol gegangen sind. Vor allem aber ließen sich über den Datensatz 130 Angreifer, die innerhalb des Kapitols waren, eindeutig identifizieren. War es doch mit einer Ausdehnung des zeitlichen Rahmens ein leichtes sie bis nach Hause zu verfolgen – alle Zwischenstopps bei Tankstellen und Restaurants fein säuberlich dokumentiert.

Datenhändler betonen in solchen Fällen gerne, dass die von ihnen gesammelten Informationen anonymisiert sind. Dass solche Versprechen im Zusammenhang mit Standortdaten schlicht Unsinn sind, haben aber schon frühere Recherchen eindeutig belegt. So hatte die New York Times bereits Ende 2019 einen größeren Datensatz mit Standortdaten von 12 Millionen Geräten zugespielt bekommen. Mit dessen Hilfe konnte man zahlreiche Personen eindeutig identifizieren, tauchen doch Wohn- und Arbeitsort naturgemäß besonders oft in der Sammlung auf. So konnte etwa auch ein Mitarbeiter des Secret Service ausgemacht werden, bei anderen wurden sensible Informationen wie Arztbesuche offenbar.

Im aktuellen Fall soll der Datensatz sogar noch umfassender gewesen sein, da er auch die eindeutige Werbe-ID von iPhones und Android-Geräten enthielt, was die Zuordnung vereinfacht. Gibt es doch Firmen, die exakt jene De-Pseudonymisierung von Smartphone-Usern als Service anbieten.

Ein System

Gesammelt werden solche Daten über vermeintlich harmlose Apps zu Werbezwecken – aber es gibt auch andere Interessenten. So zeichnete erst vor wenigen Wochen eine Recherche des norwegischen Rundfunks die Spur der Standortinformationen der Nutzer einer Wetter-App über Datenhändler zu US-Behörden nach. Dass all dies in Europa angesichts der Datenschutzgrundverordnung einen klaren Rechtsverstoß darstellt, hat an dieser Praxis bisher wenig geändert. Handelt es sich dabei doch um ein ziemlich einträgliches Geschäft für alle Beteiligten, das von außen kaum zu durchschauen ist.

Sowohl Apple als auch Google haben in den vergangenen Jahren einige Verschärfungen bei ihren mobilen Betriebssystemen vorgenommen, die der Standortspionage eigentlich einen Riegel vorschieben sollen. Und tatsächlich haben Untersuchungen bereits im Vorjahr gezeigt, dass dadurch die Sammlung von Standortdaten durch Apps zurückgegangen ist. Der aktuelle Vorfall zeigt aber auch, dass es hier weiter einiges zu tun gibt – und im Endeffekt natürlich auch die Nutzer darauf achten müssen, welchen Apps sie Zugriff auf solch sensible Informationen gewähren. (Andreas Proschofsky, 7.2.2021)