Montag, 28. November 2022

Cookies, Phishing, Spam
Daten als Währung  

Cyberattacken auf Unternehmen nehmen zu - und auch normale User stehen zunehmend im Fokus Krimineller. Doch auch legale Anbieter im Netz nutzen die Daten ihrer Kunden für zielgenaue Werbung. Für vieles, was im Internet scheinbar kostenlos ist, zahlen die User mit ihren Daten. Doch was passiert genau damit?

Von Tom Schimmeck | 20.04.2022

Meta-Chef Mark Zuckerberg spricht und gestikuliert auf einem Bildschirm
Bei Datenschützern besonders umstritten: Mark Zuckerberg und sein Konzern Meta (dpa / picture alliance / Eric Risberg)
Alltag im Internet: Die Emails checken. Wieder ist allerlei Spam dabei – unerwünschte Mail-Nachrichten, die zweifelhafte Waren anpreisen, heiße Börsentipps, verlockende Bekanntschaften, üppige Erbschaften.
„Im Wesentlichen ist das eine gut organisierte Cyberkriminellen-Welt, die typischerweise mit der Schrotflinte auf ganz viele zielen – in der Hoffnung, dass ein getroffenes Opfer sich nicht so verhält, wie ist der gesunde Menschenverstand vorsieht", beobachtet Gerhard Schabhüser, Vizepräsident des BSI, des Bundesamtes für Sicherheit in der Informationstechnik. Der gesunde Menschenverstand würde sagen: Finger weg! Sofort löschen. Keinesfalls einen Link anklicken oder gar die angeheftete Datei öffnen. Um einen vermeintlichen Online-Zugang zum eigenen Konto zu bestätigen. Oder um eine angebliche „letzte Mahnung“ zu lesen. Mit Online-Videos und leicht verständlichen Texten versucht das BSI, die immer noch oft arglosen User zu schulen. „Einfach absichern“ heißt die Kampagne der deutschen Cyber-Sicherheitsbehörde, Viele Privatnutzer seien nicht hinreichend „ertüchtigt“, meint Schabhüser.
Das Symbol "Neue E-Mail-Nachricht" wird auf einem Computer Monitor angezeigt.
Hinter jeder Mail kann sich Spam verstecken (picture-alliance/dpa/Jan-Philipp Strobel)
„Erstens: E-Mails, die zu viel versprechen, zunächst kritisch hinterfragen: Kann das überhaupt so ein tolles Angebot sein? Ja, und wenn es verlockend aussieht, bitte doch mal die E-Mail-Adresse genau ansehen."

Zwei Drittel des gesamten globalen Email-Verkehrs unerwünscht

Im harmloseren Fall wollen Versender solcher Spam-Mails nur irgendeine Wundermedizin verkaufen. Im Ernstfall geht es oft darum, per „Phishing“ an Passwörter zu kommen – um das Girokonto abzuräumen oder den Email-Account des Opfers zu kapern. Mit dem die Täter sogleich diverse weitere Zugänge übernehmen können, zum Beispiel zu Social Media Netzwerken wie Facebook und Twitter. „Und dann sind Sie raus. Dann haben Sie Ihre Identität verloren.“ 
Weltweit kursieren gigantische Mengen an Spam. Diversen Untersuchungen zufolge sind bis zwei Drittel des gesamten globalen Email-Verkehrs unerwünscht. Viele Milliarden Mails tagtäglich. In Deutschland ermittelt das BSI für die Wirtschaft die sogenannte „Spam-Ratio“ – die Anzahl an Spam-Mails im Verhältnis zu legitimen E-Mails. Im Mai 2021 wurde ein Spitzenwert von bis zu 34 zu 1 gemessen.
Das Gros wird schon auf dem Weg zum Empfänger herausgefiltert. Google Mail etwa erkennt nach eigenen Angaben gut 99,9 Prozent aller auf seine Nutzer zielenden Spam-, Phishing- und Malware-Angriffe und blockiert diese. Viele Emailprogramme auf Computern und Smartphones haben ebenfalls Spamfilter. Dezidierte Schutzprogramme gegen Spam und Malware aller Art sind längst ein Milliardengeschäft. Doch die Absender bleiben erfinderisch. Ihre Fälschungen werden immer raffinierter. Sie lernen schnell.
„In der letzten Woche sahen wir täglich 18 Millionen Malware- und Phishing-E-Mails im Zusammenhang mit Covid-19", berichteten Google-Experten im Frühjahr 2020, zu Beginn der Corona-Krise. „Hinzu kommen mehr als 240 Millionen Covid-bezogene täglichen Spam-Nachrichten.“ Die Kriminalität im Netz nimmt zu. Die Gefährdungslage im Cyber-Raum bleibe „angespannt bis kritisch“, meldete das BSI in seinem Lagebericht 2021. Etwa bei Lösegeld-, Schweigegeld- und Schutzgelderpressungen. Schad-Software erlebe einen regelrechten Boom. Täglich tauchten fast 400 000 neue Varianten auf.
„Immer weitere Betrugsszenarien wurden um aktuelle Themen herum aufgebaut: Angreifer nutzten die Gewährung von Soforthilfen mit Hilfe von Fake-Webseiten aus, nahmen die Senkung der Mehrwertsteuer als Vorwand, Änderungen der Kontoführungsgebühren vorzutäuschen und entwickelten immer neue fiktive Online-Systeme.“

Kriminelle setzen zunehmend auf aktuelle Themen

Email ist nicht der einzige Kanal. Spam kommt auch via Facebook und Instagram. Wahlweise auch – der neue Trend – per „Smishing“, als Locknachricht per SMS: Angeblich ist ein Paket auf dem Weg. Die vermeintliche Hausbank wünscht – natürlich aus Sicherheitsgründen – die Bestätigung irgendeines Vorgangs. Ein Link führt auf eine gefälschte Webseite. Wo weitere Daten abgefischt, Trojaner installiert werden, die vielleicht Kreditkartendaten abgreifen. Oder gar die Zugangsdaten zum Firmennetzwerk.
Die Täter gehen mit der Zeit. Frohe Botschaften über angeblich verwaiste Erbschaften aus fernen Ländern kommen seltener, beobachtet der Hamburger Datenschutzbeauftragte Thomas Fuchs. "Die sind weg. Dafür gibt es jetzt sehr viele Phishing-Mails: ‚Unterstützen Sie ukrainische Geflüchtete!‘ Das Fiese ist eben, dass dieses System ja immer auch auf aktuelle Themen aufsetzt. Wir haben jetzt eine Zunahme von betrügerischen Mails, die die Spendenbereitschaft ausnutzen, um dann das Geld für andere Zwecke zu verwenden.“
Alltag im Internet: Ein Klick auf einen Link. Eine Webseite erscheint. Ein Fenster schiebt sich davor: Der Cookie-Banner. "Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.“ Der Cookie – zu deutsch: „Keks“ – ist eine kleine Textdatei, die auf dem Gerät des Nutzers abgelegt wird, sobald sein Internetbrowser eine Webseite ansteuert. Wird diese Seite erneut aufgerufen, sendet der Cookie seine Informationen zurück an den Server der Anbieters. Cookies, behaupten Anbieter gern, böten dem Nutzer viele Vorteile.

Cookies und die halbe Welt liest mit

Es scheint, als wollten die Anbieter ihre Kunden nur glücklich machen. „Bei dem ‚glücklich machen‘ würde ich einhaken und widersprechen. Diese ganzen ‚Verbesserungen‘ zielen auf die Maximierung der Käufe, der Klickzahlen. Darauf, dass Sie mehr konsumieren", kontert Miriam Ruhenstroth vom Institut für Technik und Journalismus in Berlin.
"Wir informieren über alles, was so rund um Smartphones in Sachen Sicherheit und Privatsphäre zu wissen ist.“ Dazu zählt das Projekt „Mobil sicher“, ein „Internetportal für sichere Handynutzung“, finanziert vom Ministerium für Umwelt und Verbraucherschutz. Notwendige Cookies, Funktionale Cookies, Session-Cookies, Analyse-Cookies…
In den Verästelungen dieser Cookie-Einstellungen beschleicht die Kundin womöglich eine Ahnung davon, dass die halbe Welt mitliest, während sie surft. Dass Dutzende Konzerne ihr auf die Finger schauen, unablässig bemüht, via Tastatur, Kamera und Mikrofon Informationen über sie zu sammeln. „Es ist schon sehr, sehr viel. Der Datenschweif ist riesig. Ich würde sagen: Amazonasbreit.“
Cookies im Internet
Zulassen oder nicht? Cookies-Button im Internet (pa/Catherine Waibel/dpa-tmn)
Kunden sind keine Kunden mehr. Sie sind selbst das Produkt, zahlen mit ihren Daten. Wie finde ich heraus, wohin die eigenen Daten fließen? „Da haben Sie keine Chance. Sie können nicht sehen, ob eine App ganz, ganz viele Daten an Drittanbieter sendet oder nicht. Jede einzelne App, die wir auf dem Smartphone haben – außer, Sie haben Sie sorgfältig ausgesucht nach Privacy-Kriterien – will etwas über Sie wissen.“
Für den „Appchecker“ von mobilsicher.de überprüfen Experten, ob eine App als heimliche Datenschleuder agiert.  Die Tester leiten den Datenstrom zum Beispiel eines Android-Smartphones über einen Computer "auf einen sogenannten Proxy, den haben wir unter Kontrolle. Und auf diesem Computer können wir den ganzen Datenstrom sozusagen angucken.“

Datengroßhändler verkaufen Profildaten

Die Datenbank liefert mittlerweile Ergebnisse für rund 30.000 Android-Apps. Und tiefe Einblicke in das Universum der Datensammler und -jäger. "Mobilsicher.de" hat bereits an die 2500 Drittanbieter erfasst, bei fast jedem App-Test kommen neue hinzu. Neben den üblichen Verdächtigen – Facebook, Google, Amazon – finden sich hier Spezialisten wie Appsflyer, Adjust oder Mopub.  
Der Datengroßhändler Acxiom soll höchst präzise Profile über zwei Milliarden Menschen speichern. Oracle Data Cloud rühmt sich für den Besitz der „…weltweit größten Sammlung von Daten Dritter. Diese Daten stammen von branchenführenden Marken- und Nichtmarken-Datenanbietern und bieten Nutzern Zugriff auf eine Milliarde Profile in 30.000 Kategorien, die für Anzeigen-Targeting, Webseitenoptimierung, benutzerdefinierte Segmentierung und vieles mehr genutzt werden können.“
Die Welt dieser „Drittanbieter“ ist ein zunehmend verschachteltes System, in dem gigantische Datenmengen abgegriffen, analysiert, segmentiert, verwaltet und mit passender Werbung angereichert werden. Viele Unternehmen nutzen etliche dieser Dienste gleichzeitig, um beispielsweise Werbung möglichst zielgenau zu platzieren. Der „Werbedienstleister“ AppsFlyer etwa findet sich – Stand April 2022 – in fast 3200 von mobilsicher getesteten Apps.

"Es ist ein Wahnsinnsmarkt entstanden"

„Wenn Sie einwilligen in die Nutzung Ihrer Daten, willigen Sie darin ein, dass bis zu 180 Dienstleisterfirmen mit Ihren Daten spielen.“ Der Hamburger Datenschützer Fuchs: „Das heißt, die werden ausgetauscht, gegenseitig verkauft, zu Paketen geschnürt und weiterverarbeitet. Im „real time bidding“, in Zehntelsekunden-Schnelle wird ermittelt, welche Werbung Sie wahrscheinlich in drei Sekunden sehen wollen. Es ist ein Wahnsinnsmarkt, der entstanden ist. Mit sehr viel Startups, sehr viel Intelligenz auch. Und es kann sein, dass sich dieser Markt jetzt drastisch verändert.“
Seit 2018 gilt die DSGVO, die Datenschutzgrundverordnung der EU. Sie zwingt die Anbieter, vorab die Einwilligung der Kunden einzuholen. Wer nicht gedankenlos auf „Alles akzeptieren“ klickt, muss sich häufig auf kilometerlange Datenschutzhinweise mit endlosen Unterpunkten und Spiegelstrichen gefasst machen, formuliert in staubigstem Juristendeutsch. Hinzu kommt, seit Ende 2021 das deutsche TTDSG, das Telekommunikation-Telemedien-Datenschutz-Gesetz. „Da geht es um die Integrität der Endgeräte. Darum, dass die Nutzung des Handys schon in sich datenschutzkonform sein muss und insofern schon eine Stufe früher geprüft wird, ob diese Einwilligungen wirksam ergangen sind.“
Verboten ist beispielsweise das trickreiche Lenken der Kundschaft, durch verwirrende Formulierungen oder – ganz simpel – die Größe und Farbe der Schaltflächen. Das sogenannte „Nudging“. „Also, dass man unbewusst die Nutzer in eine Richtung lenkt, die sie eigentlich nicht wollen. Diese Dinge werden jetzt durch neue europäische Gesetze verboten. Hinzukommt, dass wir jetzt auch aus rechtlichen Gründen sagen: Wir wollen, dass bei jedem Cookie-Banner eine Alles-ablehnen-Option da ist. Also, dass ich auch mit einem einfachen Klick das Tracking meiner Daten ablehnen kann. Das wird eine Sache sein, die wir jetzt in den nächsten Monaten durchsetzen.“

EU will Werbetracking mit sensiblen persönlichen Daten verbieten

In der EU sei man sich einig, sagt Fuchs. Zunehmend würden vielerorts Bußgelder verhängt – nicht nur gegen Google und Facebook. Auch gegen Banken, Energiekonzerne, Callcenter und Dating-Plattformen. Die Bremer Datenschutzbeauftragte verhängte im März ein Bußgeld in Höhe von 1,9 Millionen Euro gegen eine Wohnungsbaugesellschaft, die bei Bewerbern auch Hautfarbe, Religion, sexuelle Orientierung und den Gesundheitszustand registriert hatte. „Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich.“
„Also, ich würde sagen: Dieses System ist gerade mächtig unter Druck. Weil es ja nicht nur darum geht, Werbung schwierig zu machen, sondern weil diese ganzen Folgeprobleme – politische Werbung, Desinformation, Ausnutzen dieser Daten auch für andere Zwecke – ja darauf basieren. Das ist, glaube ich, ja genau jetzt der Moment, wo man sagen muss: euer Geschäftsmodell ist nicht redlich und das muss sich verändern.“ Ende März einigten sich Kommission, Rat und Parlament der EU auf einen Entwurf für ein Digitale-Märkte-Gesetz. Die Nutzung sensibler persönlicher Daten für das Werbetracking soll verboten werden. Genau wie das manipulative Design.

Facebook weiter größte Datenkrake

„Man muss, glaube ich sagen: Die hartnäckigste Datenkrake ist Facebook, die nach unserer Auffassung sich eigentlich nicht an europäisches Datenschutzrecht hält und die sehr wenig Anpassungsbereitschaft zeigt. Insofern ist das sicherlich das problematischste Unternehmen, was Datenschutz und faire Verwendung von Daten anbelangt.“ Zentrales Problem sei hier die Verknüpfung der Daten innerhalb des Konzerns – zwischen Facebook, Whatsapp und Instagram. Und genau dies ist der Kern des Geschäfts.
Ein Handy mit der Messenger-App "Whatsapp"
Whatsapp - Kern des Geschäftsmodells: Austausch von Daten (imago stock&people)
„Das hat natürlich unweigerlich einen Einfluss auf die Logik, mit der diese Orte agieren und auf die Art und Weise, wie diese Orte gestaltet sind“, meint Frederike Kaltheuner, Expertin für neue Technologien und Menschenrechte bei Human Rights Watch in Deutschland. „Ich habe mir eben Mittagessen geholt. Ich gehe einfach davon aus, dass der Salat jetzt nicht verschimmelt ist oder irgendwie gesundheitsschädlich. Weil es Regeln gibt und gleichzeitig gibt es in Mechanismen, die das kontrollieren, sodass im Großen und Ganzen wir einen sehr hohen Lebensmittel-Sicherheitsstandard haben. Wenn es um digitale Produkte und Dienstleistungen geht, ist dies oft nicht der Fall."
Noch immer, beobachtet Kaltheuner, seien „soziale Medien“ auf Streit, Erregung und Aufstachelung ausgerichtet. Weil solche Kommunikation für viel Interaktion sorge – und damit für mehr Klicks und Einnahmen. „Ich bin wirklich der felsenfesten Überzeugung, dass es nicht meine Aufgabe ist, permanent darauf zu achten, dass Daten nicht gesammelt werden. Sondern dass das eine kollektive Aufgabe ist.“
Letztlich ginge es um die demokratische Gestaltung unserer digitalen Zukunft. „Keine Firma sollte soviel Verantwortung haben. Das Betreiben der Infrastruktur, auf der die weltweite digitale Öffentlichkeit basiert, das ist eine Verantwortung, der ein börsennotiertes Unternehmen nicht gerecht werden kann.“ Und darum, meint die Aktivistin, dass Demokratien die Souveränität über ihre digitale Infrastruktur erlangen.
Der Ire Johnny Ryan war einst Teil des Geschäfts. Er arbeitete für eine Zeitung, dann für ein Unternehmen, das die digitale Infrastruktur für Anzeigen lieferte. „Da habe ich gesehen, wie Daten sich hinter den Kulissen bewegen. Es gibt in der Datenschutzgrundverordnung einen wunderschönen Satz: ‚Die Verarbeitung personenbezogener Daten sollte im Dienste der gesamten Menschheit stehen.‘ Also, das ist sicher nicht der Fall. So weit sind wir noch nicht. Die Wahrheit ist natürlich, dass große Firmen, die mit dem unbegrenzten Datenhandel eine Menge Geld verdienen, einen Teil davon benutzen, um diesen Zustand zu erhalten.“

„Das Perverse ist das System"

Beim Datenschutz habe Europa in der Vergangenheit durchaus Ehrgeiz gezeigt, als eine Art Soft-Power, die auf Werte und Regeln drängt. Die 2018 verabschiedete Grundverordnung sei ein Juwel in Europas Krone. „Ich arbeitete damals für eine US-Firma und erinnere mich, wie die Kollegen fragten: Meinen die das ernst? Wenn ja, müssten wir die Art und Weise, wie wir unser Geschäft betreiben, ändern.“ Ryan hat die Frage damals bejaht. „Ich lag falsch. Europa meinte es und meint es nicht ernst.“
Inzwischen engagiert er sich als Senior Fellow beim Irish Council for Civil Liberties, Die NGO legte 2021 ein Gutachten vor, das aufzeigt, wo die Schwachstellen liegen: bei den nationalen Behörden, die für die Kontrolle zuständig sind. Besonders in Ryans Heimat Irland, das Internetkonzerne wie Apple, Google, Facebook, Microsoft, eBay, TikTok und Twitter mit Steuerdeals und anderen Anreizen ins Land gelockt hat. Von 164 grenzüberschreitenden Verfahren hatte die irische Datenschutzbehörde bis Mai 2021 in gerade einmal vier Fällen Entscheidungsentwürfe an die EU-Datenschutzaufsicht weitergeleitet – 98 Prozent der Fälle waren offen.
EU-Wettbewerbskommissarin Margarete Vestager.
Hat sich den Kampf gegen die Techkonzerne auf die Fahnen geschrieben: EU-Wettbewerbskommissarin Margarete Vestager (imago / Zuma Press)
„Die Europäische Kommission lässt einfach zu, dass Länder wie meines, Irland, bei Firmen, die Irland als Stützpunkt in Europa nutzen, die Regeln nicht durchsetzen. Sie kontrolliert nicht einmal, ob das versucht wird.“ Die neuen Gesetze, fürchtet Ryan, werden nur auf dem Papier gut aussehen. Das Problem seien nicht die skandalösen Einzelfälle, sagt auch der Hamburger Datenschützer Fuchs. „Das Perverse ist das System. Da gibt es jetzt nicht den Einzelfall. Das Absurde ist das System, was in den letzten zehn Jahren entstanden ist. Und ich persönlich glaube, wir werden Ende dieses Jahrzehnts sagen: Was haben wir in den Zehner Jahren zugelassen!“