Tracking beim Einkaufen: Wie Shopping-Apps unsere Daten ausspionieren

Rabatte, Bonuspunkte, Gutscheine – Einkaufs-Apps locken mit Vergünstigungen. Doch während wir fleißig aufs Smartphone tippen und Barcodes scannen, nutzen die Anbieter unsere Daten für Kundenprofile, die immer detaillierter werden.

Eine klassische Einkaufspassage – und immer wieder meldet sich das Smartphone, zumindest wenn die App „Shopkick“ installiert ist. Das Programm macht so auf spezielle Angebote aufmerksam.

Punkte gegen Daten

Um in bestimmte Läden zu locken, bietet „Shopkick“ Bonuspunkte an, sogenannte Kicks. Die gibt es bei Karstadt und Kaufhof genauso wie bei Netto und Penny, den Modeketten H&M, Esprit und Zara, bei OBI, Media Markt und Saturn. Beim jedem Gang durch die jeweilige Ladentüre landen Punkte auf dem Konto. Will man die Punkte behalten und irgendwann gegen einen Shoppinggutschein eintauschen, braucht man ein „Shopkick“-Konto. Dabei muss man seine E-Mail Adresse angeben oder den Facebook-Account verraten. Die App als eine Art Kundenkarte will den Nutzer kennen lernen. Die Datenschutzverwendungsrichtlinie der App ist daher auch gezielt darauf abgestimmt, Daten zu sammeln. Mit denen ist vieles möglich. Etwa mit der angewendeten Funk-Technologie genaue Bewegungsprofile erstellen. Also feststellen, in welchen Läden ist der Nutzer gewesen, an welchen Regalen ist er vorbeigegangen und wo ist er besonders lange stehen geblieben. Über die Kombination mit einer Zahlungsfunktion – also Handy hinhalten, Betrag wird vom Konto abgebucht – könnte „Shopkick“ alle Einkäufe einer Person genau aufzeichnen und auswerten.

Shopkick – Erfolgsstory aus den USA

Bislang haben die Shopkick-App gut eine Million Nutzer in Deutschland herunter geladen, in gerade mal einem knappen halben Jahr. In den USA ist das Programm ein Renner; und zwar bei Kunden und bei Ladenbesitzern gleichermaßen. Die Nutzer stören sich offenbar nicht daran, dass sie die App auf Schritt und Tritt verfolgt, ihr Verhalten aufzeichnet und sie außerdem manipuliert. „Shopkick“ berichtet selbst, dass Konsumenten zwischen 50 und 100 Prozent mehr Geld in Läden ausgeben würden, wenn die App auf dem Smartphone läuft. „Shopkick“ wiederum profitiert von den willigen Klienten, denn je mehr Bonuspunkte die im jeweiligen Laden erreichen, umso mehr muss der Händler dort für das Programm bezahlen.

Den Originalartikel finden Sie im Bayern 2-Notizbuch auf der Webseite des Bayerischen Rundfunks.

BR

Datenschutz im Netz: Verschlüsselung für alle!

Eigentlich sollte man seine Kommunikation im Netz ja verschlüsseln – aber das ist aufwändig. Viele tüfteln deshalb an einer nutzerfreundlichen Lösung: die einen an einem Plugin, die anderen an einem Mini-Rechner. Wir haben drei Ideen getestet.

Liest jemand mit? Seit der NSA-Affäre bleibt ein ungutes Gefühl beimKommunizieren im Netz. Viele würden ihre Nachrichten lieber verschlüsseln – aber Kryptographie ist umständlich und benötigt Zeit, die man im Alltag oft nicht hat. Also lassen es viele ganz bleiben.

Zahlreiche Projekte wollen das Verschlüsseln nun nutzerfreundlicher machen. Sie haben drei Dinge gemeinsam: Erstens gehen die Macher davon aus, dass Provider angreifbar sind. Deshalb setzen sie auf Ende-zu-Ende-Verschlüsselung, das heißt, dass die verschlüsselten Nachrichten direkt von Gerät zu Gerät wandern. Der Grund: Viele E-Mail-Provider bieten zwar automatische Verschlüsselung an. Kritiker wenden aber ein, dass die Daten nur auf dem Weg zum Rechenzentrum verschlüsselt werden – auf dem Server selbst liegen sie unverschlüsselt herum. Zwar nur für kurze Zeit, dennoch könnten sie dadurch unter Umständen mitgelesen werden.

Zweitens greifen die Projekte auf bereits vorhandene Verschlüsselungsprogramme zurück – das heißt auf solche mit einem öffentlichen und einem persönlichen Schlüssel. Diese Systeme funktionieren vereinfacht gesagt so: Den öffentlichen Schlüssel (public key) kann man sich wie ein offenes Vorhängeschloss vorstellen. Der Sender kann es schließen – allerdings nicht wieder öffnen. Mit diesem public key codiert der Sender seine Nachricht, er kann sie aber nicht wieder decodieren. Das geht nur mit dem persönlichen Schlüssel (private key), und den hat nur der Empfänger. Asymmetrische Verschlüsselung nennt sich das.

Die dritte Gemeinsamkeit: Die Projekte legen aus Prinzip ihren Quellcode offen, um Missbrauch vorzubeugen. Wir stellen euch drei der neuen Verschlüsselungsideen vor.

Das Plugin „Pretty Easy Privacy“ (PEP)

Klar gibt es bereits Messenger mit Ende-zu-Ende-Verschlüsselung – man denke an Threema und Co. Nur was nützt das, wenn die meisten Freunde weiterhin bei den großen Anbietern wie Whatsapp bleiben? Volker Birk, Softwarearchitekt und Aktivist des Schweizer Chaos Computer Club, hat deshalb ein Plugin entwickelt, das die Chats und Nachrichten bei Whatsapp, Facebook, Instagram und Co. verschlüsseln soll. Sobald „Pretty Easy Privacy“ (PEP) installiert ist, läuft es im Hintergrund und durchforstet den Rechner nach bereits vorhandenen Kryptographie-Systemen. Wenn es nichts findet, greift es zum Beispiel auf das freie System GNU-Privatsphärenschutz zurück und besorgt das benötigte Schlüsselpaar selbst. Nur wenn PEP gar nichts findet, werden die Daten unverschlüsselt gesendet. Birk plant, dass der offene Quellcode regelmäßig von Experten gecheckt wird. So soll ein Hintertürchen verhindert werden. Das Crowdfunding für PEP läuft noch.

Der Minirechner „Kinko“

Kinko ist ein Minirechner, der als eigener kleiner E-Mail-Server samt dynamischem Domainnamen fungiert. Die kleine Box soll zwischen Computer und Internet geschaltet werden und dann automatisch alle ausgehenden E-Mails codieren. Kinko verwendet dafür kryptographische Programme wie GnuPG, OpenSSL und SSH. Auch Smartphone oder Tablet sollen über das Internet auf die Kinko-Box zugreifen können. Die Software hinter Kinko ist frei und Open Source. Das Crowdfunding für das Projekt aus Berlin läuft noch.

Die Software „Qabel“

Das Projekt „Qabel“ aus Hannover soll Chats, geteilte Dateien und Adressbuch verschlüsseln, später soll auch E-Mail dazukommen. Alles, was der Nutzer aus der Software heraus verschickt, wird asymmetrisch verschlüsselt – und zwar direkt auf dem Rechner des Senders. Die Macher versprechen, dass so an keiner Schnittstelle mitgelesen werden kann. „Auf unseren Servern und im Internet erscheinen die Daten aller unserer User nur als sinnlose Bithaufen, mit denen niemand etwas anfangen kann“, heißt es auf der Projektseite. Falls Qabel einen Text nicht verschlüsseln kann, fragt das Programm, ob es ihn mit dem freien Kryptographie-System PGP codieren soll. Geht auch das nicht, werden die Daten unverschlüsselt verschickt. Qabel läuft aus Prinzip nicht auf dem iOS, weil die Macher die Plattform von Apple für zu unsicher halten. Qabel ist Open Source, das Crowdfunding bereits abgeschlossen. Die Software läuft jetzt in der Beta-Phase.

NSA überwacht Erlanger Student: Mit TOR auf die Überwachungsliste

Er will anderen helfen, im Netz anonym zu bleiben – und wird deswegen selbst von der NSA ausspioniert. Kein Politiker, kein Lobbyist, sondern einer von uns: Ein Student aus Erlangen ist nach der Kanzlerin das zweite namentlich bekannte deutsche NSA-Opfer. Ein Beitrag von Max Muth.

Eigentlich kennt er sich aus mit der Abhör-Abwehr im Netz: Sebastian Hahn studiert Informatik in Erlangen. Im Herbst entwickelte er das Sicherheitskonzept für die Tagung seiner Fakultät. Darin ist er Experte und betreibt selbst einen Server im Netzwerk des Internet-Anonymisierers TOR.

TOR steht für „The Onion Router“, also Zwiebel-Router, und das beschreibt eigentlich ganz gut, wie TOR funktioniert. Informationen, die über TOR transportiert werden, befinden sich im Inneren von mehreren Zwiebelschichten. Jede Zwiebelschicht ist dabei ein Server, über den der Internetverkehr geleitet wird. Wenn in Nürnberg jemand den TOR-Browser benutzt, dann kann es sein, dass seine Anfrage zuerst an einen Server in Schweden, dann über Russland nach Südafrika zu seinem Endpunkt geleitet wird. Dort ist nicht mehr nachzuvollziehen, wer das Signal urspünglich geschickt hat.

Sebastian Hahn wollte also anderen helfen, im Netz anonym zu bleiben und hat sich selbst damit auf die Überwachungsliste der NSA gebracht. Denn TOR oder ähnliche Dienste sind für Menschenrechtsaktivisten in Ländern mit autoritären Regimen wie Iran und Syrien unverzichtbar. Sie können Leben retten. Der NSA aber sind sie ein Dorn im Auge. Eine Präsentation aus dem Fundus von US-Whistleblower Edward Snowden befasst sich komplett mit Möglichkeiten, TOR auszuspähen. Überschrieben ist das Paper mit „TOR stinks“.

Um trotzdem an Informationen über TOR-Nutzer zu kommen, überwacht die NSA laut Informationen von NDR und WDR mehrere Server, die TOR-Sympathisanten zur Verfügung stellen. Menschen, denen Privatsphäre und Freiheit wichtig sind. Menschen wie Sebastian Hahn. Die IP-Adresse des von ihm betriebenen Servers taucht im Quell-Code der NSA-Software XKeyscore auf. In dem stehen die Regeln, nach denen das Programm das Internet nach Informationen absucht. Der Server mit dem Namen „gabelmoo“ und der IP-Nummer 212.112.245.170:443 gehört Sebastian Hahn.

„Dass alle Verbindungen, die ich mit einem Server, den ich selber in Deutschland betreibe, von einem ausländischen Geheimdienst mitgeschnitten werden, ist ein Rieseneingriff in meine Privatsphäre“, sagte Sebastian dem ARD Morgenmagazin.

Weitere Interviews will Sebastian jetzt nicht mehr geben, im Internet hat er aber auf die wichtigsten Fragen geantwortet. Dort schreibt er, dass er nicht besonders überrascht ist, dass das TOR-Netzwerk Ziel der NSA-Agenten wurde. Aber dass einfach alle Serverbetreiber überwacht werden, findet er ziemlich dreist. Von den Medien wird Sebastian jetzt als zweites namentlich bekanntes Opfer der NSA nach Angela Merkel bezeichnet. Den Vergleich mit der Bundeskanzlerin findet er nicht sehr gelungen, schließlich wurde nicht sein Handy abgehört. Aber mit welcher Selbstverständlichkeit Geheimdienste Unschuldige in den Fokus nehmen, das schockiere ihn schon.

Weitermachen mit seinem Engagement für das freie Internet will Sebastian trotzdem. Auf die Frage, was er für Konsequenzen aus dem Angriff auf seine Privatsphäre zieht, schreibt er: „Ich fühle mich bestätigt auf meinem Weg. Nur durch aktives Handeln lässt sich unsere Demokratie langfristig verteidigen. Demokratie braucht Privatsphäre und Sicherheit in der Kommunikation.“

Autor dieses Beitrages ist Max Muth. Den Original-Artikel finden Sie bei PULS, dem jungen Programm des Bayerischen Rundfunks.

 

Wer bin ich? Was bin ich eigentlich wert? Wer mit unseren Daten Geld verdient

Wir werden gefilmt, getrackt, vermessen und kategorisiert und das ständig und vor allem ohne dass wir es so richtig bemerken. Und das nicht nur von Google, Facebook und Co, sondern auch von so scheinbar altmodischen Unternehmen, wie der guten alten Deutschen Post.

Nugg.ad heißt ein Unternehmen, das Online-Werbefirmen hier seine neuen Methoden der Kundenanalyse anpreist. Nugg.ad analysiert, wie wir uns durch die Online-Portale der großen Nachrichtenseiten wie Süddeutsche.de, Zeit.de oder bild.de, klicken. Aus diesen Daten werden Profile von uns erstellt, mit deren Hilfe entschieden wird, welche Werbung wir auf der Seite sehen. Daten über uns werden praktisch bei jedem Klick in der Online-Welt gesammelt, aber auch bei immer mehr Schritten in der Offline-Welt.

Es geht nicht um Google

Wer jetzt glaubt, dass Nugg.ad eine total heißes New-Economy, super neues Start-Up-Unternehmen ist, der liegt allerdings falsch. Nugg.ad ist die Tochterfirma eines scheinbar ganz und gar langweiligen Unternehmens der Old-Economy. Der Deutschen Post. Die Post ist einer der größten Datenhändler in Deutschland,  und mischt fleißig beim Online- und Email-Marketing mit.

Vor allem aber verfügt die Deutsche Post über 37 Millionen Adressen, die sie mit über einer Milliarde zusätzlichen Informationen  – vom Alter über Einkommen bis zum eigenen Auto – anreichern kann und an die Werbeindustrie verkauft. Den Handel mit den Daten übernimmt eine Tochterfirma, die Deutsche Post Direkt. Auf der Webseite der Post Direkt, kann sich dann jeder die passenden Adressen mit Zusatzinformationen raussuchen.

Post Direkt ist nicht die einzige Firma, die ein solches Datenhandelsportal im Netz betreibt. Auch die schwäbische Firma Schober, die auch mit der Post zusammen arbeitet, bietet ihre Daten im Netz feil. Bei Schober ist die Auswahl bei den Zusatzinformationen nicht ganz so umfangreich, wie bei der Post. Aber auch hier wird man sicher fündig. Nach eigenen Angaben, stehen der Schober Information Group 50 Millionen Adressen zu Verfügung.

Personenbezogene Daten, also etwa unsere Namen oder Adressen, mit denen wir uns eindeutig identifizieren lassen können, sind besonders sensible Daten. Eigentlich darf mit diesen Daten nichts gemacht werden, ohne dass wir unsere Einwilligung dazu geben. Doch in Deutschland gibt es das so genannte Listenprivileg. Das erlaubt es, das bestimmte Daten wie: Name, Adresse, Geburtsjahr, Beruf sowie eine weitere Information der Wahl, weitergegeben werden dürfen, ohne dass man seine Einwilligung gibt.

Das Listenprivileg

Personenbezogene Daten, also etwa unsere Namen oder Adressen, mit denen wir uns eindeutig identifizieren lassen können, sind besonders sensible Daten. Eigentlich darf mit diesen Daten nichts gemacht werden, ohne dass wir unsere Einwilligung dazu geben. Doch in Deutschland gibt es das so genannte Listenprivileg. Das erlaubt es, das bestimmte Daten wie: Name, Adresse, Geburtsjahr, Beruf sowie eine weitere Information der Wahl, weitergegeben werden dürfen, ohne dass man seine Einwilligung gibt.

Eigentlich sollte 2009 das Datenschutzgesetz so verändert werden, dass dieser Handel nicht mehr möglich ist. Eine Lobby aus großen Datenhändlern, Versandhändlern und auch Zeitungsverlegern brachte die Gesetzesänderung zu Fall. Und so dürfen in Deutschland weiter auch unsere Namen und Adressen gehandelt werden, ohne dass man seine Zustimmung gibt.

Zusammenwachsen von On- und Offline-Tracking

Wenn man also in Deutschland über Datenschutz und -handel spricht, muss man eben nicht nur über Google, Facebook und Co. sprechen, sondern auch über die gute alte Deutsche Post. Wenn nicht sogar noch mehr, denn die Post und andere deutsche Datenhändler haben Zugriff auf einen Offline-Datenschatz von dem ein Unternehmen wie Google im Moment nur träumen kann. Und Post und Co. arbeiten hart daran ihre Off- und Online-Aktivitäten zu verbinden, damit man uns in Zukunft noch besser über unsere Lieblingsprodukte informieren kann.

Autor dieses Beitrags ist Sebastian Strube aus der Zündfunk-Redaktion beim Bayerischen Rundfunk. Den Original-Artikel finden Sie hier.

Newer Posts
Older Posts