Von Arthur Končar am Mittwoch, November 02 nd, 2016 · no Comments · Unter

Web of Trust

Logo Web of Trust

Web of Trust

Web of Trust. WOT. Ein klingender Name. Die Plattform, die in den Sprachen englisch und polnisch angeboten wird, sollte Benutzer auf vertrauensunwürdige Websites hinweisen. Dies geschieht einerseits mittels Online-Überprüfung durch diverse andere Sicherheitsplattformen, andererseits durch Benutzerbewertungen. Umgesetzt wird das ganze über Plugins für Browser.

Das geschieht auch und funktioniert, wenn man einmal davon absieht, dass WOT auch missbräuchlich zur Anschwärzung der Konkurrenz verwendet werden kann.

Was das Redaktionsteam des NDR, Svea Eckert, Jasmin Klofta und Jan Lukas Strozyk, jüngst offengelegt hat, ist allerdings ein Schlag mitten ins Gesicht aller Benutzer der Plattform. In der Sendung „panorama 3“ vom 2016-11-01, 21:15 Uhr (zum Beitrag) berichten sie über den Verkauf der Benutzerdaten an Drittfirmen.

Das alleine ist schon schlimm genug, aber noch nicht ungewöhnlich; schließlich tun das viele andere Betreiber im Web ebenso, für viele von Ihnen ist das ihr offen deklariertes Geschäftsmodell. Fragen Sie Google.

Was sagen die Allgemeinen Geschäftsbedingungen (AGB)?

In den Allgemeinen Geschäftsbedingungen (AGB von WOT Services LTD.) führt WOT Services LTD., so der Betreibername mit Sitz in Iso Roobertinkatu 21 A, 4th floor Helsinki, 00120 Finnland, an, welche Daten als ‚Non-Personal‘ zu betrachten sind und welche als ‚Personal‘:

  • ‚Non-Personal‘ (nicht-personenbezogen): IP-Adresse, Standort (geogr.), technische Daten (Gerätetyp, Betriebssystem, Browser etc.), Datum und Uhrzeit, Browsernutzung inkl. besuchte Webseiten, Streams oder sonstige besuchte Webadressen, Browser- und Benutzerkennung. Diese Daten sind – lt. AGB – anonymisiert.
  • ‚Personal‘ (personenbezogen): Alle Daten, die Benutzerinnen und Benutzer für die Anmeldung an der Plattform selbst und freiwillig eingegeben haben (Vorname, Nachname, Ort, Email-Adresse etc.).
    Achtung: Wenn man sich über ein Soziales Netzwerk (Facebook, Google+, Pinterest etc.) anmeldet, werden die dort gespeicherten persönlichen Angaben übernommen!

Es besteht auch die Möglichkeit, die Plattform über das Browser-Plugin ohne Anmeldung – also ‚anonym‘ – zu nützen, allerdings ist es dann nicht möglich, Kommentare und/oder Bewertungen abzugeben und andere Benutzer über die eigenen Erfahrungen zu informieren. Was ja eigentlich eines der Standbeine des Bewertungssystems ist (‚join the community‘).

WOT gibt an, dass diese Benutzerdaten für die Bewertung von im Netz verfügbaren Angeboten sowie zur Verbesserung des Produkts herangezogen werden, aber keinen Benutzer beschreiben oder identifizieren.

Gleich im nächsten Absatz der AGB wird beschrieben, dass personenbezogene Daten (‚Personal Data‘) nicht an Dritte weitergegeben werden, außer im Falle der missbräuchlichen Verwendung der Plattform, zur rechtlichen Absicherung, zum Schutz geistigen Eigentums oder bei der Übernahme von WOT Services LTD. durch eine andere Firma. Außerdem gibt WOT an, nicht-personenbezogene Daten mithilfe von Cookies mit Dritten zu teilen, z. B. mit Google Analytics. Wie man sich dagegen schützen kann, wird ebenfalls in den AGB beschrieben.

Soweit die Angaben der Allgemeinen Geschäftsbedingungen. Der Text ist in englischer Sprache abgefasst, ist aber erträglich lang, sprachlich simpel formuliert und somit auch für Nicht-Juristen mit Englischkenntnissen auf Gymnasiumsniveau verständlich. Es zahlt sich also aus, einmal Blick drauf zu werfen.

Wo liegt das Problem?

Die Journalistinnen des NDR haben nun versucht, über eine Scheinfirma an die Benutzerdaten von WOT heranzukommen, um deren Angaben zu überprüfen. Und siehe da, die Scheinfirma konnte doch tatsächlich die Benutzerdaten käuflich erwerben, obwohl hier keine der in den AGB angeführten Geschäftsverhältnisse für die Datenübernahme vorlagen. Ja, was jetzt?

Viel schlimmer allerdings wiegt, dass sämtliche gesammelten Informationen relativ leicht einzelnen Benutzern zugeordnet werden konnten vorlagen und somit von ausreichender Anonymisierung oder nicht möglicher Rückbezüglichkeit keine Rede sein konnte. Ganz im Gegenteil: als eines von mehreren Beispielen wird das Benutzerverhalten eines Richters genannt, der sich tagsüber in einem Online-Shop eine neue Robe kaufte und abends auf Porno-Seiten für exklusiven Vorlieben unterwegs war. Diese Daten waren also sehr wohl auf eine Einzelperson zurückzuführen. Auch eine der beiden Reporterinnen rekonstruiert anhand der Daten einen Teil eines Arbeitstags in der Vergangenheit.

Laut NDR war WOT Services LTD. bislang nicht bereit, eine Stellungnahme zu dem Thema abzugeben.

Der Wolf im Schafspelz

Ist der geübte Internet-User ein solches Verhalten von Dienstleistern wie Facebook und Google hinlänglich gewohnt, ist dieses Vorgehen gerade von einer Firma, die sich für Sicherheit im Web stark macht, gelinde gesagt eine Frechheit. Es führt dazu, dass das Vertrauen sogar zu Anbietern, die nach außen hin Vertrauen zum Geschäftsmodell machen (‚Web of Trust‘!), nachhaltig und irreversibel verloren geht. Wie dieses Vertrauen wiederhergestllt werden soll, darüber schweigt WOT sich (derzeit noch) aus.

Was mit den erfassten Daten mittlerweile geschehen ist, wissen wir nicht. Klar ist aber, das unser Surfverhalten wieder einmal aufgezeichnet und an Dritte verkauft wurde, und zwar von einer Plattform, die sich Sicherheit und Vertrauen im Web als Existenzgrund und oberste Maxime auf ihre Fahnen geheftet hat. Klar ist auch, dass wir diese Daten unwiederbringlich verloren haben, sie jetzt in unbekannten fremden Händen und somit unserer Kontrolle dauerhaft entzogen sind. Manche der Informationen hätten laut NDR sogar zur Übernahme der Identität einzelner Individuen ausgereicht.

Damit ist das Benutzervertrauen in WOT als Sicherheitsplattform nachhaltig beeinträchtigt und das Firmenimage schwer in Mitleidenschaft gezogen. Auch hat sich das Krisenmanagement bislang nicht gerade mit Ruhm bekleckert, eine aktive Informationspolitik hat sich seither noch nicht öffentlich bemerkbar gemacht.

Fazit

Der Fall macht folgendes klar: auch bei vermeintlichen ‚Freunden‘ macht sich ein Blick hinter die Kulissen manchmal bezahlt. Unreflektiertes Vertrauen kann auch (oder besser: vor allem) im Web schwer bestraft werden.

Darüber hinaus hilft es immer wieder, die Dokumentation zu lesen. Denn für WOT gilt: der Dienst kann nur dann persönliche Daten aufzeichnen, wenn:

  • das Browser-Plugin installiert und aktiviert ist und
  • es nicht anonym, also in an der Plattform angemeldeten Zustand verwendet wird.

Außerdem muss im Browser die Verwendung von Cookies aktiviert sein. Sind diese Einstellungen deaktiviert, sollte anonymes Browsen mit WOT dennoch möglich sein.
Sollten Sie, werte Leserinnen und Leser, über andere Informationen verfügen, freuen wir uns über Ihren Kommentar. Und bis dahin:

Stay tuned!

Quellen / Weiterführende Informationen:

NDR, 2016-11-01, 06:00 Uhr: Nackt im Netz: Millionen Nutzer ausgespäht (Autor: NDR)
ARD, 2016-11-01, 14:59 Uhr: „Web of Trust“ späht Nutzer aus (Autoren: Svea Eckert, Jasmin Klofta und Jan Lukas Strozyk, NDR)
ORF, 2016-11-01: NDR: Beliebte Browsererweiterung spionierte User aus (Autor: ORF)
heise.de, 2106-11-02, 16:24 Uhr: Millionen Surf-Profile: Daten stammen angeblich auch von Browser-Addon WOT (Autor: Martin Holland, heise)
mobilsicher, 2016-11-01: Datenhandel aufgedeckt (Autor: Miriam Ruhenstroth)
kuketz, 2016-11-01: WOT-Addon: Wie ein Browser-Addon seine Nutzer ausspäht (Autor: Mike Kuketz)

Bild: pixabay

[update 2016-11-04, 13:00 Uhr]

Gegenüber spiegel online entkräftet WOT nicht etwa die Vorwürfe der illegalen Datenweitergabe, sondern rechtfertigt sich viel mehr mit der Ausrede, die Aktualisierung der Datenschutzrichtlinien vom August 2016 hätte einzig die Mozilla-Plattform nicht erreicht. Dies solle jetzt nachgezogen werden (zum Artikel). Mozilla, die Plattform hinter dem Browser ‚Firefox‚, hat das Plugin mittlerweile offline genommen und aus den Browsern entfernt.

Im eigenen Forum wendet sich WOT an die User und behauptet sinngemäß, die Privatsphäre der Nutzerinnen und Nutzer sehr ernst zu nehmen und große Anstrengungen zur Anonymisierung der Benutzerdaten unternommen zu haben. Die Vorwürfe würden jetzt geprüft und im Falle ihrer Nachweisbarkeit adäquate Schutzmaßnahmen zu ergreifen.

Dies dürfte derzeit die einzige offizielle Darstellung der Firma sein. Auf der Facebbok-Seite des Unternehmens wird jedenfalls so getan, als wäre nichts geschehen. Auf beiden Plattformen finden sich mittlerweile viele Reaktionen teils verunsicherter oder erzürnter ehemaliger Benutzer.

[/update]

Share

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Title
Caption
File name
Size
Alignment
Link to
  Open new windows
  Rel nofollow