Was würde man wohl tun, wenn jemand an die Tür klopfen und sagen würde: „Hey, ich hab hier Ihren kompletten Browser-Verlauf und weiß genau, was sie im Web im vergangenen Monat getan haben.“ Svea Eckert aus Hamburg hat diese Frage vergangene Woche auf der Hacker-Konferenz Def Con in Las Vegas an ihr Publikum gestellt. Seit mehr als einem Jahr recherchieren die NDR-Journalistin und ihr Kollege Andreas Dewes zum Thema Daten, und in der Tat, sie wären dazu in der Lage: Sie könnten an drei Millionen Türen in Deutschland klopfen.
Die Beiden analysierten Browser-Daten von drei Millionen Deutschen, die insgesamt neun Millionen verschiedene Homepages in 31 Tagen aufriefen. Eigentlich waren diese Daten anonym gesammelt worden, doch nachdem Eckert und Dewes sie ausgewertet hatten, waren sie es nicht mehr. Dazu nutzten Eckert und Dewes einen Trick.
Sie erstellten eine Homepage für eine gefakte Werbeagentur. Darauf behaupteten sie, einen Machine Learning-Algorithmus entwickelt zu haben, der für effektiveres Marketing eingesetzt werden könne. Er bräuchte dazu lediglich große Datenmengen. Solche Datenmengen, mit denen viele Unternehmen auf der ganzen Welt zu Werbezwecken Handel treiben – ganz legal. Eine dieser Firmen biss an.
Dabei sei es gar nicht so leicht gewesen, Daten aus Deutschland zu bekommen, sagt Eckert. Die meisten Angebote gebe es für Informationen aus den USA oder UK. Schließlich erhielt sie aber ein Set von Daten von einem Daten-Broker und das sogar umsonst. Alles nur, um den neuen Marketing-Algorithmus zu testen.
Um die Daten zu de-anonymisieren, gibt es zwei Möglichkeiten: Eine leichte und eine sehr leichte, abhängig davon welche Seiten der oder die User/in angeklickt hat. Die sehr leichte funktioniert, wenn ein User die Analytics-Seite auf Twitter (oder Xing) anklickt. Dann enthalten die Browser-Daten den Twitter-Namen, womit der Klarname nicht schwer herauszufinden wäre.
Personenbezogene Daten können zudem über Wahrscheinlichkeiten herausgefiltert werden. Z.B. dadurch, dass Informationen über Lieblingszeitung, Bank oder Mobilfunkanbieter mit öffentlicheren Daten wie Social Media-Accounts oder öffentlichen YouTube-Playlists abgeglichen werden. Laut Eckert reichen dafür ungefähr zehn URLs. Mit ihnen könnten bereits individuelle Profile über User erstellt werden.
