Security

Mit Werbung Geheimdienste enttarnen

Dass Google-Maps mir Restaurants in meiner Umgebung empfehlen kann, und welche Auswirkungen dieser Komfort hat, sehen wir hier genauer...

Michael Meister

5 min read
Mit Werbung Geheimdienste enttarnen
Photo by Leon Seibert / Unsplash

Im digitalen Zeitalter, in dem Daten als das neue Öl gelten, sind die Informationen, die wir täglich produzieren, von unschätzbarem Wert. Einer der meist übersehenen und gleichzeitig am häufigsten missbrauchten Datenpunkte sind Werbe-IDs. Diese kleinen, unscheinbaren Identifikatoren, die vor allem in mobilen Apps und Online-Diensten verwendet werden, können erhebliche Sicherheitsrisiken bergen.

Was früher beim Ferienworkshop von Metaversa von Jugendlichen ausprobiert wurde, ist mit den hier vorgestellten Datensätzen ungleich mächtiger, wie wir sehen werden.

Die unsichtbare Bedrohung

Werbe-IDs sind dazu gedacht, Nutzer über verschiedene Plattformen hinweg zu verfolgen, um personalisierte Werbung zu ermöglichen. Doch die wenigsten wissen, dass diese IDs leicht mit anderen persönlichen Daten kombiniert werden können. Ich habe für meine Analyse mal ein paar Daten beschafft und genauer angeschaut. An solche Daten heranzukommen ist nicht wirklich schwer. Also mal kurz gesucht und ein Sample von hier heruntergeladen:

What is Location Data? Examples, Datasets and Providers | Datarade
Discover the power of location data with examples of datasets, types, and uses. Explore a vast selection of location datasets, databases, and providers on Datarade.
Group 9 Created with Sketch.Factori

Diese Daten, in Kombination mit Werbe-IDs, können ein erschreckend genaues Bild der Bewegungen und Aktivitäten einzelner Personen zeichnen.

Advertising Data: Best Datasets & Databases 2024 | Datarade
Discover the best advertising datasets and databases for 2024. Access valuable advertising data on Datarade.ai. Explore datasets, databases, and providers now.
Group 9 Created with Sketch.QuoteWay

Wie genau können Individuen identifiziert werden?

Die Kombination von Werbe-IDs mit anderen Datenquellen ermöglicht eine detaillierte Identifikation von Individuen.

Man kann zum Beispiel auf OpenStreetMaps nachschauen:

Hier sieht man, dass es verschiedene Layer gibt, die zum Beispiel die Nutzung der Landfläche enthalten. So läßt sich schnell eine Datenbankabfrage bauen, die mir alle Koordinaten ausgibt, deren Nutzung militärisch ist:

Trage ich dies wieder auf einer Karte ein, habe ich einen guten Überblick:

Will ich nun wissen, wer zum militärischen Sektor gehört, kann ich schnell eine Suche bauen, welche Werbe-IDs sich an diesen Orten lange aufhalten.

Es leuchtet sicherlich schnell ein, welche Macht diesen Daten innewohnt. Denn ich kann den Spieß auch umdrehen, wenn ich den Wohnort einer Person ausfindig gemacht habe und mein Interesse an seinen Aufenthaltsorten besteht (Arbeitsplatz, Krankheitsaufenthalte, Psychothearpie, ...).

Wie kann man interessante Informationen extrahieren?

Hier sind einige offensichtliche Beispiele, wie spezifische Informationen ermittelt werden können:

  1. Wohnort: Durch die Analyse der Standortdaten und Bewegungsmuster einer Werbe-ID über einen längeren Zeitraum lässt sich der Wohnort relativ einfach ermitteln. Wenn die Standortdaten zeigen, dass ein Gerät jede Nacht an einem bestimmten Ort verweilt und sich tagsüber bewegt, ist dies ein starkes Indiz für den Wohnort. Durch eine Rückwärtssuche im Telefonbuch kann man häufig bereits daraus eine Person ermitteln.
  2. Arbeitsplatz: Ähnlich wie der Wohnort kann der Arbeitsplatz identifiziert werden, indem die regelmäßigen Aufenthaltsorte während der Arbeitszeiten analysiert werden. Wenn ein Gerät an Wochentagen zu bestimmten Zeiten an einem Ort bleibt und sich zur Mittagszeit kurz bewegt, kann man davon ausgehen, dass dies der Arbeitsplatz ist.
  3. Krankenhausaufenthalte und ableitbare Gesundheitsprobleme: Wenn Standortdaten zeigen, dass eine Person wiederholt oder für längere Zeiträume ein Krankenhaus oder eine Arztpraxis besucht, kann dies auf gesundheitliche Probleme hinweisen. Die Kombination dieser Aufenthaltsmuster mit den Suchverläufen im Internet oder App-Nutzungsdaten, wie z. B. Gesundheits-Apps, kann weitere Hinweise auf spezifische Gesundheitsprobleme geben oder auf Drogen/Suchtprobleme hinweisen.
  4. Sexuelle Vorlieben: Diese sensiblen Informationen können durch die Analyse von Standortdaten und der Nutzung bestimmter Apps oder Webseiten ermittelt werden. Wenn ein Gerät häufig an Orten wie bestimmten (Swinger-)Clubs oder Veranstaltungsorten auftaucht, oder wenn bestimmte Dating-Apps genutzt werden, können Rückschlüsse auf die sexuellen Vorlieben der ermittelten Person gezogen werden.
  5. Miltärische Geheimnisse: Man kann gut sehen, wann ein Standort schlecht bewacht ist, oder auch wann regelmäßig Wachwechsel stattfinden. Auch die Ukraine hat die Position von Soldaten genutzt, um über die Werbe-IDs deren Wohnorte ausfindig zu machen. Später wurden diese Soldaten erpresst, da man ihre Familien bedrohen konnte. (Dieser Vorgang wurde zwar berichtet, ist für mich jedoch nicht direkt beweisbar. Daher nur als Punkt, über den man mal nachdenken sollte.) Gerade Personen, die Zugang zu besonders gesicherten Orten haben - also irgendeiner besonderen Sicherheitsstufe zugeordnet sind - lassen sich so besonders leicht ermitteln. Einfach auf der Karte nachsehen!
Luftwaffenstützpunkt Büchel. Hier sollen US-Atomwaffen stationiert sein. 189 Werbe-IDs halten sich tagsüber dort auf. Die meisten fahren abends nach Hause. Gut zu erkennen: Wer gehört zum Wachpersonal (anhand der Patrouillengänge entlang des Grenzzaunes), oder wer ist Pilot (auf dem Runway).

Wo finde ich meine mobile Advertising-ID?

Auf Android-Geräten:

Die mobile Advertising-ID wird auf Google-basierten Android-Geräten als "Werbe-ID" bezeichnet. Du findest sie, indem du folgende Schritte befolgst:

  1. Öffne die Einstellungen.
  2. Gehe zu Google (Google-Dienste).
  3. Wähle Alle Dienste.
  4. Klicke auf Werbung.

Hier kannst du auch die Werbe-ID zurücksetzen oder löschen. Der genaue Pfad kann je nach Android-Version variieren.

Auf iOS-Geräten:

Auf Apple-Geräten mit iOS heißt die mobile Advertising-ID "IDFA" (Identifier for Advertisers). Sie ist jedoch nicht direkt zugänglich. Um sie auszulesen, benötigst du eine Drittanbieter-App wie My Device ID oder Adjust Insights. Diese Apps erfordern die Erlaubnis zum App-Tracking. Sobald du deine ID herausgefunden hast, ist es empfehlenswert, diese Apps wieder zu löschen.

Es ist dennoch das Wichtigste, dass man versteht, wie man aus belanglosen Daten bares Geld macht, und welches Risiko diese Daten für einen persönlich darstellen.

Eigentlich ist es ja auch kein neues Thema. Ich hatte es hier bereits angesprochen:

OSINT
OSINT (Open Source Intelligence) bezeichnet die Sammlung und Analyse von Informationen aus öffentlich zugänglichen Quellen, um Erkenntnisse über Personen, Organisationen oder Ereignisse zu gewinnen. Dies umfasst die Auswertung von Daten aus sozialen Medien, Nachrichtenartikeln, öffentlichen Aufzeich…
Meister-Tech-BlogMichael Meister

Wer weitere Beispiele des BR anschauen möchte, dem sei eine gute Recherche empfohlen:

Ausspioniert mit Standortdaten
Spitzenbeamte, Soldaten, Nachrichtendienstler: Recherchen von BR und netzpolitik.org zeigen, wie fremde Staaten Mitarbeitende deutscher Sicherheitsbehörden ausspähen können - mit Standortdaten aus Smartphone-Apps, die im Internet gehandelt werden.
BRBR Data

Fazit

Die scheinbar harmlosen Werbe-IDs bergen für mich ein erhebliches Risiko für die Privatsphäre und Sicherheit jedes Einzelnen. Es ist wichtig, dass Nutzer sich der Gefahren bewusst werden und geeignete Maßnahmen ergreifen, um ihre Daten zu schützen. Denn in einer Welt, in der Daten das wertvollste Gut sind, kann der Schutz dieser Daten nicht ernst genug genommen werden.