Web of Trust: Browser-Erweiterungen gefährden Anonymität

Eigentlich verspricht die Browser-Erweiterung „Web of Trust“ (WOT) mehr Schutz für die Nutzer. Doch laut einer Recherche des NDR sammelt die Erweiterung zahlreiche Daten, die nur vermeintlich anonymisiert an Dritte weitergegeben werden. Die Folge: Es lässt sich das Surfverhalten einzelner Nutzer identifizieren.

Per se prüft Web of Trust die Integrität von Webseiten. Wenn Nutzer die Erweiterung installiert haben, wird anhand eines Farbschemas in der Adressleiste angezeigt, wie vertrauenswürdig eine Webseite ist. Allerdings sammelt die Erweiterung auch Informationen über das Surfverhalten der Nutzer und schickt die Daten laut der NDR-Recherche an einen Server im Ausland. Anhand einer Nutzererkennung wird dann ein Profil erstellt, das unter anderem erfasst, zu welchem Zeitpunkt eine bestimmte Webseite aufgerufen wurde. Die Web-of-Trust-Betreiber betonen allerdings, dass die Daten nur anonymisiert weitergegeben werden.

Datensatz über drei Millionen Nutzer als kostenloses Probepaket

Nun zählen die WOT-Daten zu einem umfangreichen Datensatz, den die NDR-Magazine Panorama und Zapp infolge einer monatelangen Recherche von einem Zwischenhändler erhalten haben. Web of Trust ist dabei nicht die Ausnahme, sondern sei beispielhaft für diverse Erweiterungen, die Daten – vermeintlich anonymisiert – sammeln und an Zwischenhändler verkaufen. Um an die Daten zu gelangen, gründeten die Reporter eine Scheinfirma, die angeblich im Big-Data-Geschäft aktiv ist. So erhielt man dann einen kostenlosen Probe-Datensatz, der Informationen über das Surfverhalten von drei Millionen deutschen Nutzern im August beinhaltet.

Reporter identifizieren 50 Nutzer samt intimer Details

Weil die Datenpakete nur anonymisiert verkauft werden, sollten eigentlich keine Rückschlüsse auf einzelne Nutzer möglich sein. In einer Stichprobe ist es dem NDR nach eigenen Angaben jedoch gelungen, 50 Nutzerinnen und Nutzer persönlich zu identifizieren. Ausgewertet wurden dafür etwa die E-Mail-Adressen mit einem realen Namen sowie Anmeldenamen und weitere Bestandteile einer der aufgerufenen URLs.

Und die Datensätze verraten viel Intimes über die Nutzer, zu denen auch öffentliche Personen wie Manager, Richter und Polizisten zählen. Neben Webseiten-Recherchen zu den Themen wie Krankheiten, Prostituierten und Drogen spricht der NDR auch von Informationen über laufende Polizei-Ermittlungen sowie die Sadomaso-Vorlieben eines Richters.

Wenig Verständnis auf Seiten der Experten

Dass so etwas überhaupt möglich ist, wird von Experten scharf kritisiert. So erklärt der Big-Data-Forscher Andreas Dewes gegenüber dem NDR: „Für mich war sehr überraschend, wie einfach man einen Großteil der Daten deanonymisieren konnte.“ Ebenso erklärt der Hamburger Datenschutzbeauftragte Johannes Caspar, dass Unternehmen personenbezogene Daten nur dann weitergeben dürfen, wenn Nutzer eingewilligt haben. Dafür müsse der Nutzer aber auch präzise Informationen erhalten, was bei der WOT-Erweiterung nicht der Fall sei. Deswegen verstoße das Vorgehen der Betreiber nach Ansicht von Caspar auch gegen deutsches Recht.

Die WOT-Betreiber wollten sich auf Anfrage des NDR nicht zu der Sache äußern.