US-Mobilfunker verkaufen Standortdaten ihrer Kunden

    9. Jänner 2019, 18:13
    12 Postings

    Auf einschlägigen Portalen gibt es Echtzeitinfos für 13 Dollar – fragwürdige Praxis läuft trotz Versprechungen weiter

    Die Entdeckung von Carrier IQ Ende 2011 sorgte für massive öffentliche Empörung. Die auf zahlreichen Smartphones vorinstallierte Software wertete Nutzerverhalten aus und soll es den Mobilfunkern auch ermöglicht haben, den Standort ihrer Kunden zu ermitteln und auf verschiedene Weise zu Geld zu machen. US-Kongress und Senat schritten ein, die Provider gelobten Besserung.

    Doch offenbar hat sich seit damals nicht all zu viel geändert. Laut einem Bericht von Motherboard vermarkten die amerikanischen Provider nach wie vor in großem Umfang Standortdaten. Das führt dazu, das im Prinzip jeder herausfinden kann, wo seine Mitmenschen sind, wenn er ihre Handynummer kennt.

    Standort auf wenige Häuserblöcke eingegrenzt

    Zum Test buchte man die Dienste eines "Kopfgeldjägers". Dieser verkehrte auf einem "zwielichtigen Dienst", der auch Privatpersonen offen steht, und gab an, den Aufenthaltsort hinter den meisten US-Handynummern ermitteln zu können. Gegen 300 Dollar lieferte er schließlich einen Ausschnitt auf Google Maps, auf dem ein blauer Kreis, der die Position des Test-Smartphones auf wenige Häuserblöcke eingrenzte.

    Um diese Informationen zu erhalten, musste er allerdings nicht widerrechtlich IT-Systeme knacken, sondern er bediente sich einfach eines Angebots, das dank der Datenpraxis von T-Mobile US, Sprint und AT&T möglich ist. Diese verkaufen ihren Informationsfundus, darunter Echtzeit-Standorte, an andere Firmen, die diese wiederum weiterveräußern.

    Letztlich landen diese dann auch bei Plattformen, die sie mit solchen Trackingdiensten zu Geld machen. Genutzt werden solche Positionsauskünfte etwa von Kautionsbüros, die versuchen, ihre Schuldner im Auge zu behalten. Und von privaten Schnüfflern, die die Informationen abgreifen und für einen saftigen Aufpreis weitergeben.

    Laxer Umgang mit Daten

    Die CTIA, ein Branchenverband, dem AT&T, Sprint und T-Mobile US angehören, hat Richtlinien für den Umgang mit Kundendaten erarbeitet. Dort heißt es, dass die Verwendung "standortbasierte Dienste" nur mit Wissen und Zustimmung der Kunden erfolgen könne. Doch in der Praxis geschieht dies offensichtlich nicht. Die Datenschützer von Privacy International kritisieren mangelnde Regulierung für den Handel mit Daten in den USA.

    In den Fokus rückt dabei ein Anbieter namens Microbilt. Dieser soll die bei ihm gelandeten Daten unter anderem an Interessenten in der Kautionsbranche weitergeben. Getarnt als potenzieller Kunde konnte "Motherboard" eine Preisliste erhalten. Den groben Standort einer Handynummer zu erhalten, ist demnach bereits für fünf Dollar möglich. Echtzeitinfos gibt es für etwa 13 Dollar.

    Microbilt erklärt in einer Stellungnahme, dass man den Einsatz der Daten nur für Betrugsprävention, Notfallhilfe oder etwa behördliche Strafverfolgung gestatte. Man habe den Zugang zur Handelsplattform nun deaktiviert und werde die Vorwürfe untersuchen.

    Leere Versprechen

    Im Juni hatten die US-Provider angekündigt, die Weitergabe ihrer Standortdaten zu unterbinden, passiert ist das bei den genannten offenbar noch nicht. Lediglich Verizon soll den Handel mit dubiosen Brokern eingestellt haben. T-Mobile US erklärte, dass die Praxis im kommenden März eingestellt werde.

    Die Kunden müssen hoffen, dass die Provider ihren Versprechungen Folge leisten, denn auf politischer Ebene hat sich nicht viel bewegt. Im Gegenteil: Wie The Verge anmerkt, hat der damals noch von den Republikanern dominierte Kongress 2017 sogar Privatsphäre-Regulierungen der Obama-Regierung widerrufen, die Providern den Verkauf von Kundendaten erschwerten.

    Österreich

    In Österreich erklärten A1, T-Mobile und "3" im Jahr 2011 zu Carrier IQ, dass das fragwürdige Programm nicht eingesetzt werde. Auf STANDARD-Nachfrage zur aktuellen Datenpraxis sagt, man bei A1, dass man keine Kundendaten an Dritte verkauft. Allerdings erstellt man "anonymisierte und aggregierte Analysen", die auch verkauft werden. Zusammengefasst werden hier Verkehrsdaten, um Erkenntnisse über die Bewegungsströme von Menschenmengen zu gewinnen. Rückschlüsse auf individuelle Personen könnten hierdurch aber nicht gezogen werden. Kunden können sich zudem per Widerruf von dieser Datenverarbeitung ausnehmen lassen.

    Auch bei "3" erstellt man "anonymisierte Analysen zu Verkehrsdaten", wobei man betont, dies als einziger Betreiber mit einem TÜV-zertifizierten Verfahren zu tun. Die Analysen seien "insbesondere für die Netzwerkplanung" erforderlich. "Spezielle Produkte und Services" beinhalteten zudem "anonymisierte Bewegungsdaten" aus dem eigenen Netzwerk.

    T-Mobile erfasst die Daten seiner Kunden laut eigener Angabe nur um Rahmen der technischen Notwendigkeit und für Rechnungslegung, eine Vermarktung findet nicht statt. Standortdaten werden nur in Notfällen – etwa für Bergungen bei Lawinenabgängen – eingeholt und Behörden sonst nur gegen richterlichen Beschluss übermittelt. In solchen Fällen erhalten Betroffene eine SMS-Benachrichtigung. (gpi, 09.01.2018)

    • Die Kenntnis der Handynummer reicht aus, um für wenig Geld den Aufenthaltsort des Telefonbesitzers auf wenige hundert Meter eingrenzen zu können.
      foto: google maps, montage: standard

      Die Kenntnis der Handynummer reicht aus, um für wenig Geld den Aufenthaltsort des Telefonbesitzers auf wenige hundert Meter eingrenzen zu können.

    Share if you care.