Panoramas Panikmache: Surfprotokollierung durch »Web of Trust«

In einer, nach eigenen Angaben monatelangen Recherche, haben Journalisten des NDR herausgefunden, »dass die Browser-Erweiterung ›Web of Trust‹ (WoT) im großen Stile Nutzerdaten ausspäht und offenbar an Dritte weitergibt«. Ausweislich ihrer Website wurde WoT mehr als 140 Millionen Mal heruntergeladen. Die meisten Nutzer gibt es vermutlich in Russland, denn die beiden größten Internetfirmen, Yandex und Mail.ru, haben WoT in ihre Browser »Yandex.Browser« und »Internet/Amigo« integriert. Eine weitere Partnerschaft besteht, wie aus dem bei GitHub veröffentlichten Quelltext hervorgeht, mit der russischen Medien Gruppe Rambler, die eine Suchmaschine, einen Messenger-Dienst und verschiedene Werbe-Portale betreibt.

Ironie am Rande: im Yandex-Browser sind offenbar Werbeblocker und Tracker standardmäßig blockiert, der WoT-Datensammler jedoch standardmäßig aktiviert, ein Umstand, der die Jubelarien in diesem »Marketer-Blog«, wonach Google weit über 90% ihres Umsatzes durch Werbung erwirtschafte, Yandex aber ganz klar Stellung gegen Werbeeinblendungen beziehe, leicht verfrüht klingen lässt. Diese Strategie, basierend auf vordergründigem Datenschutz und hintergründigem Datensammeln, dürfte sich im Wettbewerb um Marktanteile im Marketinggeschäft positiv auswirken. Doch zurück zum NDR.

Das Plugin "Web of Trust" soll User schützen. @ZappMM und Panorama konnten Daten aber kaufen + Personen idenfizieren

–  @NDRnetzwelt, 16:40 - 1. Nov. 2016

 twitterte der NDR zur Ankündigug des Beitrags.

Im Teasertext zum Beitrag heißt es reißerisch:

»Was wir im Internet tun, wird protokolliert. Und über diese Protokolle verfügen Datenhändler und verkaufen sie.«

Und Panorama-Moderatorin Susanne Stichler stellt in der Anmoderation fest: »Nichts ist mehr geheim«. Dass das nur für Anwender der Erweiterung WoT gilt, bleibt erst mal außen vor.

Um an die Daten zu kommen, hatte sich die NDR-Journalistin Svea Eckert als Mitarbeiterin eines fiktiven israelischen Start-Up-Unternehmens ausgegeben. Sie nahm Kontakt zu verschiedenen Datenhändlern auf, und bekam schließlich eine Stichprobe zugesendet, die anschließend von einem »Big Data Scientist« analysiert wurde. Dessen Fazit: Man kann in URLs personenbezogene Daten packen. Zur Veranschaulichung wird der Nutzerin Julia Weigelt ihre Surfhistorie präsentiert. Sie kommentiert:

»Ich glaube es ist auch so, dass wir das alles schon ein stückweit geahnt haben.«

Nicht bloß geahnt, sondern gewusst haben muss sie es, denn als Nutzerin der WoT-Erweiterung hat sie diesem Verhalten ausdrücklich zugestimmt. Die Datenschutzerklärung von WoT ist eindeutig. Demnach gespeichert werden die Adresse der aufgerufenen Webseite, Datum und Uhrzeit des Aufrufs, verwendete IP-Adresse, verwendetes Betriebssystem und Browser, sowie eine interne WoT-Nutzer-ID. Im Begleittext zum Panorama-Beitrag vermerkt der NDR, dass WoT auf seiner Webseite darauf hinweise, »dass die Erweiterung Daten wie etwa Web-Adressen abgreift und an Dritte weitergibt«. Im Panorama-Fernsehbeitrag fehlt diese Information dagegen völlig.

Dass im URL der aufgerufenen Webseite personenbezogene Informationen wie z.B. eine E-Mail-Adresse oder, wie im Falle des Polizisten, der Google Translate für Dienstpost verwendete, sogar ganze E-Mails enthalten sein können, nimmt WoT bestimmt gerne in Kauf. Einfluß darauf hat das Unternehmen jedoch nicht. Üblich ist die Übermittlung von personenbezogenen Daten per URL auch nicht, und es wirft eher ein schlechtes Licht auf die E-Mailanbieter beziehungsweise Google Translate, die ein solches Informationsleck verursachen, als auf WoT. Auf diesen Umstand geht der Panorama-Beitrag leider nicht ein. Und dass beim Aufruf eines XING-Profil-URLs, wie im Beitrag dargestellt, der Name des Profilbesitzers erscheint, dürfte nun wirklich nicht überraschen.

Konflikte für die Quote

Bedeutungsschwanger, als sei man einer großen Verschwörung auf der Spur, verkündet die Reporterin aus dem Off:

»Denn welche Daten genau gesammelt werden, daraus macht die Branche ein Geheimnis.«

Nein, tut sie nicht, jedenfalls nicht WoT, die genau das sammeln, was sie auch in ihrer Datenschutzerklärung angeben. Der Panorama-Bericht fügt hier nichts Neues hinzu. Im Gegenteil, mit keiner Silbe wird erwähnt, dass die Nutzer der Sammlung ihrer Daten zugestimmt haben. Diese Auslassung ist problematisch: Die Nutzer werden als wehrlose Opfer der großen datenstaubsaugenden Firmen inszeniert, die schamlos die intimsten Geheimnisse ihrer vertrauensseligen Kundschaft ausforschen. Das ist zwar eine Geschichte, die journalistisch toll funktionieren mag, richtig ist sie deshalb nicht.

Ohne die Sammelwut der Firmen verteidigen zu wollen: Es ist nicht im Sinne des Programmauftrages des öffentlich-rechtlichen Rundfunks, Nutzer von Dienstleistungen von ihrer Verantwortung zu entbinden, sich über die von ihnen genutzten Produkte zu informieren. Dazu gehört eben auch das Lesen von Nutzungsbedingungen und Datenschutzerklärungen, bevor man sich ein Programm installiert. Der im Beitrag geäußerte Wunsch nach neuen Gesetzen gleicht daher dem Ruf nach einem Nanny-Staat, der Eigenverantwortung zugunsten staatlicher Regulierung ablehnt. Gerade aber mit Blick auf die Steigerung von Internet-, Medien-, und grundlegender Lesekompetenzen wäre ein solcher Hinweis an die Nutzer sinnvoll. Das beste Gesetz nützt nichts, wenn Nutzer blind irgendwelchen Vereinbarungen zustimmen, oder vertrauliche Informationen an Google oder DropBox schicken.

Sensibilisierung ja, Panikmache nein

Und genau in diesem Punkt versagt Panorama. Nicht nur wird WoT fälschlicherweise als Werbeblocker bezeichnet (die Journalistin war wohl so fasziniert von ihrer geglückten Undercover-Recherche, dass sie vergaß die Website von WoT nach dem Zweck des Services zu befragen), das die »die Integrität von Webseiten« prüft (es sind Nutzerbewertungen, die ausschlaggebend sind), es wird auch der Eindruck erweckt, man handele sich bei der Installation von Browsererweiterungen, mit dem Zweck Werbung zu blockieren, mit hoher Wahrscheinlichkeit »unbemerkt kleine Spionageprogramme« ein. Diese Behauptung wird nicht nur nicht belegt, sondern sie suggeriert erneut, dass WoT seine Nutzer über die Erhebung der Daten täusche. Das ist, wie oben bereits gesagt, falsch.

Mystifizierung von Internet und Daten

Verstärkt wird der Eindruck des Geheimnisvollen durch den abenteuerlichen Vergleich mit Ex-NSA-Mitarbeiter und Überläufer Edward Snowden, den Dirk von Gehlen, Leiter des Bereichs »Social-Media/Innovation« der »Süddeutschen Zeitung« und ehemaliger WoT-Nutzer [Update: In seinem Blog gibt von Gehlen an, er habe die Erweiterung WoT nicht genutzt. Welche anderen Add-Ons sein Surfverhalten aufgezeihnet haben können, sagt er leider nicht. Update 2: In einem weiteren Post macht von Gehlen nun das Add-On »Proxtube« für die Datensammlung verantwortlich. Proxtube sammelt allerdings nur dann Daten, wenn die Option »Preisvergleich anzeigen«, standardmässig deaktiviert, aktiviert ist.], anstrengt. Es mache ihm bewusst, was er »schon immer geahnt habe, spätestens seit Snowden es offengelegt hat«, ohne zu erläutern, was Snowden denn mit der Installation von Browserplugins zu tun hat, um dann im nächsten Moment eine Katastrophe für den Journalismus zu befürchten, wenn der Datenhandel nicht verboten würde. Statt für Klarheit zu sorgen, kippt der NDR also einen guten Schuß Nachrichtendienst-Verschwörung und Drama in den Brei, kräftig umrühren, fertig ist der »Tatort Internet«. Das ist kein ausgewogener Journalismus, sondern tendenziöse Berichterstattung.

Die Mystifizierung von Internet und Daten ist kontraproduktiv. Sie erzeugt ein diffuses Gefühl des Ausgeliefertseins an eine höhere Macht, die wir nicht kontrollieren können. Das ist fatal, denn es behindert einen verantwortungsbewussten, vorurteilsfreien Umgang mit zukünftig anfallenden Datenmengen.

Digitale Kluft: Schuld sind die anderen

Spätestens jetzt lesen sich die Beiträge wie eine Apologie des Unvermögens von Leuten, die im Umgang mit vertraulichen Informationen ein Mindestmaß an »Operational Security« vermissen ließen. Denn versagt haben nicht Gesetze, Behörden oder Unternehmen. Nein, versagt hat der Leiter des Bereichs »Social-Media/Innovation« der »Süddeutschen Zeitung«, der freiwillig und ohne Not sein Surfverhalten an WoT meldet, und sich damit möglicherweise erpressbar macht. Versagt hat die »sicherheitspolitische Referentin« Julia Weigelt, die Nutzungsbedingungen zustimmt, ohne sie zu lesen. Und versagt hat letzlich der NDR, der sich daran macht die Nutzer freizusprechen, anstatt aufrichtig aufzuklären und bei den Fakten zu bleiben.

Diese Fakten sind nun mal, dass ein Großteil der Internetnutzer, darunter unter anderen Staatsminster im Bundeskanzleramt Helge Braun, der grüne Europaabgeordnete Martin Häusling, sowie Waltraud Wolff, Mitglied im Fraktionsvorstand der SPD, völlig ahnungslos und blauäugig, aus freien Stücken Software installieren, die intime und vertrauliche Informationen Datenhändlern frei Haus liefert. Der eigentliche Skandal ist diese bis zur Ignoranz reichende Unbedarftheit und Naivität von Deutungs- und Machteliten im Umgang mit einer Technologie, deren Einfluß auf unser Leben im 21. Jahrhundert weiter zunehmen wird.

Wenigstens das hat der NDR nun offengelegt.

Und um eine Frage von Mike Kuketz zu beantworten: Ja, auch das Chrome-Addon sendet fleißig dieselben Daten nach Hause. Wie sollte es auch anders sein, schließlich gilt die Datenschutzerklärung von WoT nicht per Browser.


Bis zur Veröffentlichung dieses Beitrags lag eine Antwort auf eine Anfrage an den NDR, mit der Bitte zu einigen Fragen Stellung zu nehmen, nicht vor. Diese wird nachgereicht, sobald sie eintrifft.


Changelog

04.11.2016: Angabe zu Dirk von Gehlen ergänzt

18.11.2016: Angabe von Gehlens zu »Proxtube« ergänzt

Anmelden