Offline-Tracking Die Wanze in der Hosentasche

Saarbrücken · Viele Apps auf dem Smartphone spionieren ihre Nutzer heimlich aus. Sie sammeln Daten und geben sie an Unternehmen weiter – die diese wiederum für personalisierte Werbung missbrauchen.

 Über die WLAN- oder Bluetooth-Verbindung des Smartphones können Verbraucher beim Einkaufen identifiziert und verfolgt werden.

Über die WLAN- oder Bluetooth-Verbindung des Smartphones können Verbraucher beim Einkaufen identifiziert und verfolgt werden.

Foto: dpa/Oliver Berg

Viele Anwendungen eines Smartphones lassen sich nur nutzen, wenn die jeweilige App weiß, wo sich der Nutzer gerade befindet. Apps, die das örtliche Wetter anzeigen, zum Beispiel. Oder solche, die Routen vom aktuellen Standort zum Ziel berechnen. „Eine Standortfreigabe kann durchaus ihre Berechtigung haben“, sagt Julian Graf von der Verbraucherzentrale Nordrhein-Westfalen. Doch gebe es viele unseriöse Apps, die sensible Daten für die Erstellung von Bewegungsprofilen sammeln – etwa, um maßgeschneiderte Werbung anzuzeigen. Nutzer müssen sich deswegen immer fragen, ob eine App diese Daten wirklich braucht und ob sie ausreichend über deren Verwendung aufklärt.

Während sich Verbraucher vor dieser Form der Schnüffelei schützen können, indem sie solche Apps gar nicht erst verwenden oder ihnen die entsprechende Berechtigung entziehen, wiegt der Fall beim sogenannten Offline-Tracking („tracking“; „verfolgen“) schwerer. Unter dem Begriff wird eine Gruppe von Techniken zusammengefasst, die das Verhaltensmuster von Smartphone-Nutzern analysieren und auswerten können. Daraus stricken Unternehmen im Anschluss detaillierte Persönlichkeitsprofile. So können sie zum Beispiel die Interesse, Vorlieben und Abneigungen eines Kunden erfahren. Für die Werbeindustrie ist das Gold wert.

Laut einer Umfrage des Verbraucherzentrale Bundesverbands (vzbv) sind 54 Prozent der deutschen Internetnutzer dafür, dass Offline-Tracking generell verboten werden sollte. 34 Prozent finden es akzeptabel, wenn die Daten mit ihrer Erlaubnis genutzt werden. Nur neun Prozent sind grundsätzlich damit einverstanden.

Wie können sich Verbraucher gegen diese heimliche Spionage wehren? Auf ortsbasierte Dienste zu verzichten, stellt keinen ausreichenden Schutz gegen Offline-Tracking dar, wie Miriam Ruhenstroth vom Fachportal mobilsicher.de erklärt. „Auch wenn die Ortung im Smartphone selbst deaktiviert ist, kann sein Standort von außen erfasst werden“, so ihre Einschätzung. Ben Stock, Sicherheitsexperte beim Saarbrücker Center for IT-Security, Privacy and Accountability (Cispa), teilt diese Ansicht. Er erklärt, dass es verschiedene Arten von Offline-Tracking gibt: Die erste Methode funktioniert über den WLAN-Anschluss des Smartphones. Bei aktivierten WLAN sucht das Handy ständig nach Netzwerken in seiner Umgebung. Mit jeder dieser Suchanfragen sende es die sogenannte MAC-Adresse des Gerätes mit, sagt Stock. Dies ist die Seriennummer des Netzwerkadapters des Geräts. Und damit könne das Smartphone, und somit auch der Besitzer, eindeutig identifiziert werden. „Moderne Router können ermitteln, in welcher Richtung und in welchem Abstand ein Smartphone zu finden ist“, sagt Miriam Ruhenstroth. So könnten etwa problemlos alle Bewegungen von Kunden in einem Geschäft metergenau aufgezeichnet werden. Wer etwa länger vor einem Paar Schuhen stehenbleibt, bekommt dann künftig im Browser oder sogar per Post Werbung für Schuhe. „Nutzer haben absolut keine Möglichkeit, das herauszufinden, da die Tracking-Geräte nur passiv die Suchanfragen der Smartphones aufzeichnen“, sagt Stock. Zwar gibt es laut Ruhenstroth bei moderneren Smartphones Funktionen, die die MAC-Adresse verschleiern sollen. „Untersuchungen zeigen aber, dass sie sich relativ leicht umgehen lassen.“

Die zweite Tracking-Technik macht sich die Bluetooth-Funktion des Handys zunutze und funktioniert ähnlich wie das WLAN-Tracking. „Auch Bluetooth verwendet eine eindeutige Seriennummer, die sich nicht ohne Weiteres ändern lässt“, sagt Miriam Ruhenstroth. So funktioniere das Tracking prinzipiell bei jedem Bluetooth-fähigen Gerät, also auch bei Autoradios, Freisprechanlagen oder kabellosen Musikboxen.

Die dritte Möglichkeit stellt das sogenannte Ultraschall-Tracking dar. Hier wird das Handy mit Tonfrequenzen beschallt, die das menschliche Ohr nicht hören kann. Über das Mikrofon könnten diese Ultraschall-Signale von jeder App erfasst werden, die die entsprechende Berechtigung dafür besitzt, sagt Daniel Arp, IT-Sicherheitsexperte an der Technischen Universität Braunschweig. Er und sein Team haben kürzlich 223 Apps identifiziert, die im Hintergrund auf solche Signale warten. Bei Stichproben haben die Forscher zudem in vier von 35 Geschäften nachweisen können, dass die Betreiber ihre Kunden mit Ultraschall-Tracking verfolgen. Diese Signale könnten auch unbemerkt über Fernsehsendungen oder aus dem Internet übertragen werden, sagt Arp. Befinde sich ein Mobilgerät in der Nähe, könne es dem Besitzer auf diese Weise eindeutig zugeordnet werden. Apps könnten die Signale auch selbst aussenden, die dann wiederum von anderen Geräten aufgefangen würden. „So kann ein umfassendes Nutzerprofil erstellt werden“, warnt Arp. Dieses könne dann nicht nur das Einkaufsverhalten des Nutzers, sondern auch sämtliche Mobilgeräte in seinem Besitz sowie seine Surf- und Fernsehgewohnheiten enthalten.

Die Frage, ob das heimliche Tracking legal ist, lässt sich pauschal schwer beantworten. „Es kommt darauf an, ob die Daten personenbezogen ausgewertet werden können“, sagt Christoph Sorge, Professor für Rechtsinformatik an der Universität des Saarlandes. „Beim Tracking in Einkaufszentren können wir davon ausgehen, dass die Daten einzelnen Personen zugeordnet werden können.“

Damit falle das Tracking derzeit noch unter das Bundesdatenschutzgesetz, das solche Methoden nur mit ausdrücklicher Einwilligung erlaube. Hat der Nutzer nicht eingewilligt, müssen Betreiber dann einen triftigen Grund haben, der die Erhebung und Speicherung der Daten rechtfertigt. Ein solcher könne etwa die Wahrung des Hausrechtes sein.

Dennoch überwiegt laut vzbv hier grundsätzlich das Persönlichkeitsrecht des Nutzers. Der Verband warnt allerdings davor, dass die europäische „E-Privacy-Verordnung“, die 2018 in Kraft treten und das Bundesdatenschutzgesetz in weiten Teilen ablösen soll, Tracking weniger stark einschränkt als das bestehende deutsche Recht.

Das könne dazu führen, „dass die Technik dann auf breiter Basis eingeführt wird", sagt Miriam Ruhenstroth. Unternehmen, die ihren Geschäftskunden Tracking-Lösungen anbieten, finden sich im Internet schon jetzt zuhauf. Mit Versprechen wie „Lernen sie ihre Kunden noch besser kennen“ oder „Analysieren, Besucherfrequenz steigern, Umsatz erhöhen“ werben sie unverhohlen für diese Technik.

Verbraucher können die Gefahr, zum Opfer von Offline-Tracking zu werden, minimieren. „Die WLAN- und Bluetooth-Funktionen des Mobilgeräts sollten nur solange aktiviert sein, wie sie auch gebraucht werden“, rät Ben Stock. Um sich vor Ultraschall-Tracking zu schützen, dürfe nur solchen Apps Zugriff auf das Mikrofon gestattet werden, die dieses auch wirklich benötigten. „Ein klassisches Beispiel ist die Taschenlampen-App, die braucht nun wirklich keinen Zugang zum Mikrofon“, sagt Stock. Nutzer sollten sich im Zweifel besser nach alternativen Apps umsehen, die weniger Berechtigungen einfordern, so die Empfehlung des Experten.

Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort