Wie eine Jogging-App die Sicherheit einer Organisation kompromittiert
– oder warum Corporate Privacy mehr ist als der Schutz von Mitarbeiterdaten. Nach einem Vortrag von Marc Al-Hames, Geschäftsführer von Cliqz „Unsafe at any speed“ mit Fragen von Ulrich Theilacker, Vorstand planet 33 AG.
Marc Al-Hames sensibilisiert in seinem Vortrag „Unsafe at any speed“ seine Zuhörer für die Datenspuren, die man im Alltag hinterlässt und beschreibt, welche Rolle der Cliqz Browser bei diesem Thema spielen kann. Im ersten Teil möchte ich den Vortrag von Dr. Al-Hames mit meinen eigenen Worten und Schwerpunkten wiedergeben und im zweiten Teil Fragen an Dr. Al-Hames stellen, die für unsere Kunden im Hinblick auf die Verwendung von Cliqz in der Firmen-IT interessant sind.
Dr. Al-Hames eröffnet den Vortrag mit dem Donnerschlag des Strava-„Leaks“ – ein schönes Beispiel, wie ein vermeintlicher harmloser Datenpool einer Jogging App mit der richtigen Auswertung zu einem massiven Sicherheitsproblem werden kann. Was war passiert?
Am 2. November 2017 kommt Strava auf die Idee mit einer Pressemeldung 3 Milliarden GPS Datenpunkte seiner Nutzer anonymisiert zu veröffentlichen. Tolles Marketing! Man sieht, dass unsere Münchener Isar tatsächlich ein absoluter Jogging-Highway ist. Ein Sachverhalt der von den Rauchschwaden der Grills im Sommer tatsächlich oft vernebelt wird.
„Strava, the social network for athletes, has launched its global heatmap, a striking visualization of over one billion activities from Strava athletes across a wide variety of activities, both on land and in the sea. The activities logged covered nearly 17 billion miles. You can explore and search for your own area here“
Was man bei Strava nicht bedacht hatte: Jede Menge Strava Nutzer arbeiten in einem Umfeld, bei dem Angaben zur eigenen Position gerne mit einer gewissen Unschärfe beantwortet werden. Auf jeden Fall konnte der gemeine Taliban an diesem Wochenende recht präzise Erkenntnisse über die Außenposten der freiheitlich-westlichen Soldaten vor Mosul im Irak gewinnen.
Quelle: Washington Post
Oder aber einen guten Grundriss einer Militärbasis in Helmand, Afghanistan erkennen.
Quelle: Washington Post
Seit diesem Vorfall ist die Nutzung von Strava und vergleichbaren Apps für Militärs verboten. Vorsichtige Schätzung gehen davon aus, dass knapp 10000 Datenpunkte geheime Standort-Informationen offengelegt haben. Das sind nur 0,003 Promille der Gesamtinformation, aber die Auswirkungen dieser Veröffentlichung sind enorm. Jede Menge Stellungswechsel!
Dr. Al-Hames zieht hier eine Parallele zu unserem Internet-Surfverhalten. Natürlich können unser Tracker-Informationen nur anonymisiert weitergegeben werden. Aber die Such– und Auswertungsmethoden der Käufer dieser Information sind mächtig. Und 0,003 Promille kritische Informationen sind sehr viele DatenGAUs bei Milliarden von Datenpunkten, die monatlich generiert werden.
Unser Umgang mit diesen Daten erinnert Dr. Al-Hames auf jeden Fall an die Debatte um die Sicherheit von Autos in der amerikanischen Automobilindustrie der 70er Jahre. Das Produktmarketing der Automobilindustrie war damals auf Motorleistung und schnittige Konstruktionen fokussiert, die weder aktiv noch passiv Sicherheitsmaßstäben der heutigen Zeit entsprachen.
Der amerikanische Verbraucherschutzanwalt Ralph Nader veröffentlicht sein Buch „Unsafe at any speed“ in dem er den Automobilherstellern und vor allem der Firma Chevrolet vorwirft, bei Ihren Entwürfe die Sicherheit der Fahrer und anderen Verkehrsteilnehmer trotz besseren Wissens vernachlässigt zu haben.
Sind also Google, Facebook und die Adnetzwerke heute wie die Automobilehersteller von damals, die Ihren Kunden die Parameter und Werte liefern (PS und Chromleisten), ohne die Auswirkungen zu bedenken? Sind die Surfer von heute wie die Fahrer von damals, Opfer eines noch nicht entwickelten Sicherheitsverständnisses der Industrie?
Ein entscheidender Unterschied ist auf jeden Fall, dass heute nur noch wenige Chevrolet Corsair auf den Straßen der Welt rollen, wohingegen die Datenpunkte seit 2008 relativ sicher nicht mehr gelöscht werden – unabhängig von allen Datenschutzbemühungen.
Hier sind die Top Ten der Datensammler, so wie sie auf der Whotracks.me Webseite von Cliqz gelistet werden – seriöse Firmen, die sicherlich auf Legalität und Reputation achten.
Auf die vollständige Liste der Adtracker zwischen Platz 11 und 100 wird hier verzichtet – nur eine kleine Kostprobe der Dienstenamen auf den folgenden Plätzen: Nugg.Ad , CrazyEgg, mail.ru, PornHub, DoublePimp, Rambler, xHamster. Alle diese Firmen besitzen Milliarden von Datenpunkten in Ihrem Bestand – im Falle Ihrer Insolvenz gibt es sicher einen interessanten Sekundärmarkt für Ihre Datenbanken. Ob man sich dann noch an die Bedingungen gebunden fühlt, unter denen diese Daten eingesammelt worden sind, ist fraglich.
Datenpunkte sind in diesem Zusammenhang URLs die einem Cookie eines Adnetzwerkes oder eines großen Datensammlers zugeordnet werden:
Der User mit dem Cookie fiktiven Cookie 1984 war auf folgenden drei Webseiten (es war Werbung des gleichen Adnetzwerkes eingeblendet)
Das erneute googlen dieser drei Urls gibt in der Praxis und in dem Vortrag von Dr. Al-Hames ein relativ eindeutigen Treffer ohne dass die hier ausgegrauten Informationen einen Klartextnamen enthalten. Hm. In der Regel reichen zwischen drei und sieben dieser Datenpunkte um einen Nutzer eindeutig zu identifizieren.
Für die Leute, die ungern Detektiv spielen, gibt es dann bei Cookie 1985 auch solche “golden Nuggets” – da die Daten nicht nach dem Klartextname durchsucht werden können, gilt der Datenpunkt als anonym.
Hallo Karl Chef – muss man das so lösen?
Ach ja, wir sorgen übrigens für immer mehr Datenpunkte:
Oder auch nett – nicht uninteressant für den Einbrecher – time_stamp_door_opened
Die Antwort von Dr. Marc Al-Hames basiert ganz wesentlich auf Cookie – Blocking und die Rolle eines vorgelagerten Caches. Ohne technisch zu werden, ist der Grundanspruch des Cliqz-Browser der Schutz der Privatsphäre:
Und genau zu diesem Anspruch befrage ich Dr. Al-Hames nach seinem Vortrag:
UTHE-P33: „Dr. Al-Hames, wie setzt Cliqz „privacy by design“ technisch um“?
MALH-CLIQZ: „Cliqz bietet diverse Privatsphäre- und Sicherheitsfunktionen wie Anti-Tracking und HTTPS Everywhere sowie nützliche Zusatzfeatures. Dazu zählt ein Werbeblocker, ein Video Downloader, ein automatischer Vergessenmodus (Inkognitomodus), die P2P-basierte Synchronisierungsfunktion Connect sowie die anpassbare Neue-Tab-Seite Cliqz Tab mit Direktlinks zu meistbesuchten bzw. favorisierten Websites und kuratierten Nachrichten. Natürlich ist standardmäßig auch die hauseigene anonyme Schnellsuchmaschine an Bord, die noch während der Eingabe der Suchanfrage passende Webseiten-Vorschläge liefert. Und all das zunächst ohne Informationen online weiterzureichen an die üblichen Verdächtigen. Natürlich betreiben wir den dafür erforderlichen Cache, die individuelle Profil-Informationen verlassen den Browser und damit den Rechner des Nutzers aber nie. Das ist schon ein entscheidender Unterschied zu dem bestehenden Paradigma“
UTHE-P33: „Die Konsequenzen des Cookie-Trackings für einen Privatnutzer sind recht offensichtlich. Was sind die möglichen Implikationen für eine Organisation, wenn man hier nicht eingreift?“
MALH-CLIQZ: „Grundsätzlich sehe ich zwei Punkte, die für den CTO oder CISO einer größeren Organisation interessant macht. Zum einen können natürlich die individuellen Daten der Mitarbeiter ohne Probleme auf die Firma als ganze aggregiert werden. Das Beispiel mit der StravaApp zeigt sehr schön, wie die völlig private Entscheidung für eine Fitness-App die Sicherheit einer großen Organisation gefährden. Wir wissen heute noch nicht, welchen Nutzen unsere alltäglichen Datenpunkte schon morgen für die dunkle Seite der Macht haben können. Wenn zwei Drittel der Belegschaft rege Aktivitäten auf einschlägigen Job-Portalen zeigt, könnten sich hier Rückschlüsse auf die aktuelle Situation der Firma ergeben.Das bringt der gemeinsame Arbeitsplatz und die gemeinsame Datenleitung so mit sich. Zum anderen können CTO’s besser schlafen, die User können keine Plugins installieren, das verhindert Wildwuchs.”
UTHE-P33: „Cliqz ist sehr restriktiv bei dem Thema Plugins. Gegenwärtig sind nur 2 Plug-ins erlaubt.Das dürfte einer der Hauptkritikpunkte an Cliqz sein. Warum sind sie hier so vorsichtig?“
MALH-CLIQZ: „Wegen der Risiken für die Privatsphäre und Sicherheit haben wir uns bewusst entschieden in Cliqz die Installation von Add-Ons zu unterbinden. Einige handverlesene und von uns streng geprüfte Add-Ons bieten wir aber vorinstalliert an. Solange die nicht Open-Source (wie Ghostery) sind, ist es fast unmöglich zu prüfen, welchen Unfug die auf dem Rechner anstellen. Web of Trust wurde ja z.B. überführt alle Daten der Nutzer zu verkaufen (MALH verweist hier auf seinen Firmenblog:https://cliqz.com/magazine/sicherheitsalbtraum-browser-erweiterungen-so-kannst-du-dich-schuetzen). Viele Plugins laden die URLs der Nutzer hoch und verraten somit die Angriffsvektoren für Firmenclouds oder Intranets der Firmen.”
UTHE-P33: „Ja, wir hätten da auch einen Kandidaten für die Integration in Cliqz: Den Password-Safe SSO Client – vielleicht wird das ja etwas in der nächsten Zukunft?“
MALH-CLIQZ: „Stand heute kann ich da noch keine Hoffnung machen, aber wir nehmen jede Anregung auf.“
UTHE-P33: „Vielen Dank für das Gespräch – wir schauen in der Zukunft auf Cliqz!“
Marc Al-Hames, Managing Director Cliqz GmbH
Seit 2013 leitet Marc Al-Hames gemeinsam mit Gründer Jean-Paul Schmetz als Geschäftsführer die Cliqz GmbH. Das Startup-Unternehmen mit Sitz in München ist eine Beteiligung von Hubert Burda Media und Mozilla. Zuvor war er als Leiter der Unternehmensentwicklung bei der TOMORROW FOCUS AG und als Engagement Manager bei McKinsey & Company tätig. Der Doktor der Elektro- und Informationstechnik ist Absolvent der TU München und glaubt fest daran, dass Daten für den Internet-Nutzer arbeiten sollten und nicht umgekehrt. Mit dem Browser Cliqz und der integrierten Schnell-Suchmaschine zeigen er und sein Team, wie es geht: Surfen und Suchen ohne Preisgabe persönlicher Daten.
Ulrich Theilacker, Vorstand planet 33 AG
Ulrich Theilacker hat mit Martin Endres 1998 die planet 33 AG gegründet und zunächst Faxe über das Internet übertragen. Aus dem Netzkopplungsgeschäft wurde dann ein vollwertiger Serviceprovider für alle Kommunikationsdienste, die heute überwiegend aus der Cloud erbracht werden. Die Sicherheit unserer Dienste war schon immer ein zentrales Thema – Ulrich war immer fasziniert von der großen Bedeutung, die deutsche Gerichte vergilbten Faxprotokollen zumaßen oder Jahre später ausgedruckten emails ohne zusätzliche Protokollinformationen. Im Cloudzeitalter müssen Identitäten viel besser geschützt und validiert werden. Das ist eines der Themen, das Ulrich mit der planet 33 AG vorantreibt.
* * *
In eigener Sache:
Ihnen gefallen Themen wie dieses und Sie möchten mehr relevante Informationen haben? Einmal im Monat gibt es genau dafür ‘planet 33 WISSEN’. In einer sehr persönlichen Email bekommen Sie eine Liste mit Beiträgen, Videos oder Buchempfehlungen zu Themen, die uns bei planet 33 gerade bei der täglichen Arbeit, in der Freizeit und mit einem strategischen Blick in die Zukunft beschäftigen. Hier können Sie sich anmelden:
