Facebook – der Staatssicherheit kühnster Traum?

In unserem täglichen Diskurs ist sich eine Mehrheit der Deutschen einig: Die Deutsche Demokratische Republik (DDR) und ihre ausgedehnte Überwachung durch das Ministerium für Staatssicherheit (Stasi) war und ist Unrecht. Doch Erich Mielke, der Minister für Staatssicherheit in der DDR, würde sich heute begeistert die Hände reiben. Wir geben Daten in einem Umfang und einer Tiefe bei Facebook preis, welche die Stasi nur schwer hätte sammeln können.

Aus aktuellem Anlass

Am 27. März 2018 treffen mehrere hochrangige Manager von Facebook im Bundesministerium der Justiz in Berlin ein. Sie haben einen Termin bei der Justizministerin Katarina Barley (SPD). Termin ist dabei eher galant formuliert. Vorgeladen wäre der passendere Ausdruck. Doch was war passiert? Wieso zitiert die frisch konstituierte Bundesregierung Unternehmensvertreter von Facebook in das Justizministerium?

Der Fall „Cambridge Analytica“

Den Stein ins Rollen brachte die Causa „Cambridge Analytica“. Begonnen hatte alles mit einer App eben dieser Organisation mit gleichem Namen. Vereinfacht formuliert ging es dabei um eine App für psychologische Befragungstests. Pikant wird die App im Zusammenspiel mit der Facebook-App. Nutzer, welche die Apps installiert hatten, wurden damit unfreiwillig zum Datenlieferanten für Cambridge Analytica. Datenanalysten der Organisation haben 2014 etwa 50 Millionen (* Nachtrag des Redakteurs: Zum Stand 05.04.2018 berichten mehrere Quellen, dass nicht 50 Millionen Nutzerdaten, sondern bis zu 87 Millionen Datensätze betroffen sein sollen.) private Nutzerdaten des sozialen Netzwerks gesammelt und darauf aufbauend eine Analysesoftware entwickelt. Diese sollte das Verhalten von US-Wählern vorhersagen und deren Vorlieben und Ängste herausfinden, um den damaligen Präsidentschaftskandidaten und heutigen US-Präsidenten Donald Trump beim Wahlkampf zu unterstützen. Die Daten seien jedoch unrechtmäßig weitergegeben worden, wie Online-Magazine der New York Times und auch Facebook selbst mitteilten. Über eine separate App mit Namen „thisisyourdigitallife“ konnten die Datenanalysten an die eigentlich geschützten persönlichen Daten gelangen. Dazu wurden mehrere Hunderttausend US-Bürger für eine Studie bezahlt, die ihre Daten preisgaben. Die App musste als Teil der Studie auf den Geräten der Nutzer installiert werden und arbeitete ähnlich wie Spyware. Sie sammelte die Daten der Facebook-Freunde der Probanden unbemerkt und ohne Erlaubnis. Wie die Firma an die Daten kam, das beschäftigt nun Gerichte und Staatsanwälte in mehreren Ländern. Ob Facebook von dem Datenleck wusste, wann man es wusste oder die Daten vielleicht sogar bereitwillig herausgegeben hat – all das ist aktuell noch Spekulation. Die Spekulationen reißen aber nicht ab. Es steht der nächste Verdacht im Raum: Nicht nur die Präsidentschaftswahlen in den USA habe man dadurch beeinflusst, auch der Entscheid zum BREXIT, also dem Ausscheiden Großbritanniens aus der Europäischen Union, sei davon betroffen. Die Ausmaße steigern sich stetig, ein Ende ist aktuell nicht in Sicht.

Lange unbeachtet

All das macht deutlich, welchen Einfluss man gewinnen kann, wenn man Daten von Usern sammelt und auswertet. Allerdings muss man erwähnen, dass in diesen Fällen nur von den Daten die Rede ist, welche die User freiwillig bei Facebook preisgegeben haben. Selbst das, was wir heute freiwillig in eine Datenbank eingeben, hätte die Stasi niemals über alle heutigen User sammeln können. Die Datenmengen sind extrem. Durch diese Daten lassen sich bereits detaillierte Profile von einzelnen Nutzern erstellen. Wer arbeitet und lebt wo, wer mag welche Sportmannschaft, wer hört welche Musik oder wer folgt eben welcher politischen Partei oder Strömung.

Bereits seit geraumer Zeit warnen Datenschützer davor, derart viele Informationen über sich preiszugeben. Im gleichen Atemzug warnten einige Experten auch davor, welche tiefgreifenden Überwachungs- und damit auch Missbrauchsmöglichkeiten diese Apps bieten. Totalüberwachung? Ausspioniert vom eigenen Smartphone? Das klang für viele damals nach Panikmache, nach Verschwörungstheorie oder nach Spinnerei.

Was weiß Facebook alles von mir?

Diese Frage treibt mich schon seit einiger Zeit um. Dabei geht es nicht darum, was ich alles auf meinem persönlichen Profil angegeben habe. Es geht darum, was Facebook von mir und meinen Aktivitäten sammelt, ohne das ich dies weiß oder jemals genehmigt habe.

Bei meinen Recherchen zu diesem Thema stoße ich auf den Studenten Dylan McKay aus Neuseeland. Dieser hat seine ganz persönlichen Daten von Facebook angefordert – und erhalten. Was er darin nach einiger Suche fand, war ernüchternd. Nicht nur alle Aktionen auf Facebook, jedes Bild, jeder Kommentar oder jede Statusmeldung, sondern auch eine detaillierte Anrufliste über ein- und ausgehende Telefonate seines Smartphones fanden sich dort.

Das jedermann diese Daten anfordern kann, das wurde ebenfalls von einem Studenten vor Gericht erstritten, ist aber bereits so lange her, dass sich kaum noch jemand daran erinnert. Bereits 2011 erstreitet der damalige Jurastudent Max Schrem aus Wien die bedingungslose Herausgabe aller über eine Person gespeicherten Daten von Facebook. Inzwischen gibt es eine Funktion auf Facebook, womit jeder seine gespeicherten Daten anfordern kann. Wie das funktioniert können Sie hier in einem Tutorial des PC-Magazins CHIP nachlesen.

Der Selbstversuch startet

Das möchte ich genau wissen. Über meine Facebook-Seite fordere ich die über mich gespeicherten Daten an. Einige Klicks und Passworteingaben später bekomme ich die Nachricht, dass meine Daten nun zusammengestellt werden und ich eine Nachricht erhalte, wenn diese fertig sind.

Diese Nachricht flatterte nach der Bestellung meiner Daten bei Facebook in mein Postfach.

Einige Zeit später bekomme ich die erwartete E-Mail mit einem Downloadlink darin. Nochmals muss ich meine Identität via Passwort bestätigen, dann beginnt der Download einer ZIP-Datei. Mein Datenarchiv umfasst 215 MB. „Gar nicht mal so viel“, höre ich mich noch sagen. Als ich das Archiv öffne, bereue ich die Aussage bereits. Die Daten sind derart sparsam gepackt und zusammengestellt, dass 215 MB im nächsten Moment wie eine Komplettbiografie wirken. Bilder sind extrem klein gerechnet, viele Textdokumente sind nur wenige KB groß, umfassen aber viele Tausend Textzeilen. Jede Menge HTML-Dateien sind enthalten, diese verweisen auf Netzquellen und belegen so gut wie gar keinen Speicherplatz. Nachdem ich einige Zeit alte Fotos und Meldungen durchforstet habe, finde ich in dem Verzeichnis-Gewirr zwar das, was ich gesucht, dennoch aber irgendwie gehofft hatte nicht zu finden – eine detaillierte Auflistung wann ich wie lange mit wem telefoniert, geschrieben oder eine SMS verschickt oder empfangen habe. Überraschend kommt das zwar nicht, schließlich habe beim Installieren der App auf meinem Smartphone eben dieser ja umfassende Zugriffsrechte (Standort, Kontaktliste, Bilder, Kamera, Mikrofon) gegeben, aber wer liest schon immer das komplette Kleingedruckte? Ich. Ab sofort. Immer.

Wer sucht, der findet – eine detaillierte Übersicht getätigter Anrufe.

Von wegen Panikmache

Genau an dieser Stelle schließt sich der Kreis. Zuvor als Verschwörungstheoretiker belächelt, dürfte sich der ein oder andere Warner und Datenschutzexperte nun zurücklehnen und denken: „Habe ich Euch doch gleich gesagt!“. Wer sich die App-Berechtigungen nochmals genauer durchliest, der bleibt beim Punkt „Berechtigung: Zugriff auf Mikrofon & Kamera“ hängen. Tragen wir etwa alle unsere ganz persönliche Wanze mit uns spazieren? Immer mehr Indizien sprechen dafür, dass wir genau dieses tun.

Bei meiner Recherche zu diesem Thema stoße ich auf einen Selbstversuch eines Redaktionsnetzwerks der Welt. Ausschlaggeber für diesen Selbstversuch, war ein Erlebnis mit einer Detox-Behandlung. Von einer Freundin dazu eingeladen, sich vorher niemals im Netz drüber informiert, aber anschließend oft darüber unterhalten, bekommt die Autorin plötzlich Werbung bei Facebook angezeigt für eben jene Behandlungsmethode. Annelie Naumann wird misstrauisch, beginnt nachzuforschen und wird schnell fündig. Urlaubsziele, über die man gesprochen hatte, tauchten kurze Zeit später in der Facebook-App auf, Gleiches bei Supermarktketten oder Steuerkanzleien. Auch auf Reddit, einem Internetforum, das vor allem in den USA beliebt ist, finden sich haufenweise Erlebnisberichte zu diesem Verdacht. Im Herbst 2017 schreibt die Journalistin dem Hamburger Datenschutzbeauftragen eine E-Mail. Weil Facebook seinen deutschen Dienstsitz in der Hansestadt angemeldet hat, ist Johannes Caspar für das Unternehmen zuständig. Die Antwort seiner Behörde kommt schnell: Ja, es seien bereits mehrere Eingaben von Bürgern mit „Indizien und damit einhergehenden Vermutungen“ eingegangen. Es sei aber für seine Behörde sehr schwer, klare Antworten zu finden – auch weil es schlicht an Personal fehle. Mit dieser unbefriedigten Antwort konfrontiert, startet sie einen größer angelegten Versuch.

Das Experiment startet

Zusammen mit der Axel-Springer-Akademie und dem Digitalwirtschaftsmagazin „t3n“ starten mehrere Journalisten Ende 2017 das Experiment. Fünf Journalisten erhalten je zwei Smartphones, sechs typengleiche iOS- und vier Android-Geräte. Die Smartphones werden mit drei Apps bespielt: Facebook, Instagram und Messenger – alles gehört zum Facebook-Konzern. Die fünf Tester richten sich auf ihren zwei Geräten jeweils ein neues, ausgedachtes Facebook-Profil ein. Jeder Tester schafft sich also zwei Alter Egos mit denselben Interessen, demselben Geschlecht, denselben Freunden in derselben Stadt, mit dem Geburtstag im identischen Geburtsjahr und im selben Monat. Ebenfalls werden auch die Aktivitäten der zwei Profile angeglichen: Gefällt einem User etwas, gefällt es zeitgleich auch dem anderen. Nur die hinterlegten E-Mail-Adressen, die Namen und die Profilbilder unterscheiden sich. Die Bewegungsprofile werden einem normalen Alltag angepasst. Die Geräte fahren mit zur Arbeit, begleiten die Tester an den Wochenenden. Mögliche störende Einflüsse werden gezielt minimiert. Die Geräte surfen nicht im Internet, nichts wird bei Ebay oder Amazon gesucht oder bestellt, geladen werden die Geräte nur an Steckdosen und nicht über den USB-Anschluss des Computers. Jeden Tag sind die Geräte den exakt gleichen Testbedingungen ausgesetzt – bis zu den entscheidenden Testreihen, mit denen das Team feststellen wollte, ob Facebook seine Gespräche auswertet. In drei Testphasen finden die Journalisten Indizien, durchschlagende Beweise können sie aber nicht sichern. Allerdings bleibt das Ergebnis, dass die Tester auf dem isolierten Gerät Werbung für Produkte und Dienstleistungen bekommen haben, die sie niemals gesucht oder bestellt, wohl aber sich im Beisein des mit der App bespielten Telefons unterhalten hatten. Im März bitten die Journalisten Facebook um eine Stellungnahme. Eine Sprecherin weist den Vorwurf zurück und erklärt: „Facebook erstellt keine Mikrofonaufnahmen, um Werbung oder Beiträge im News-Feed in irgendeiner Weise zu beeinflussen.“ Dem Hamburger Datenschutzbeauftragten Caspar sind ähnliche Erklärungen aus anderen Fällen bekannt. „Ein Verdacht, wie der vorliegende, löst kaum mehr als ein qualifiziertes Dementi des Unternehmens aus“, sagt der Datenschützer.

Unsere eigenen Erfahrungen

Das Recherchenetzwerk der Welt ist allerdings nicht die einzige Quelle für diese Vermutung. Am „International Institute for Counter Terrorism“ in Herzliya (Israel) hatten wir die Gelegenheit mit führenden Anti-Terror-Experten aus Israel zu sprechen. Im Gespräch erwähnt einer unserer Gesprächspartner die Möglichkeiten, welche soziale Netzwerke und Apps heute bieten. Man habe sich diese Möglichkeiten angeschaut und mit zwei Mitgliedern des israelischen Parlaments nachgeprüft. Das Muster war auch hier das Gleiche: Die beiden Parlamentarier unterhielten sich in abgeschirmten Bereichen über ein bestimmtes Thema. Wenige Stunden später bekamen beide die identischen und passenden Werbeangebote auf einem sozialen Medium präsentiert. Am Institut stellt man sich also die berechtigte Frage, ob man diese Technologie nicht nur zu Werbezwecken, sondern eben auch zur Terror- und Kriminalitätsbekämpfung einsetzen kann und soll.

Im Gespräch am IDC bestätigt unser Gesprächspartner, was wir schon lange vermuten.

Unbeachtet kann natürlich nicht die Gegenseite der Medaille bleiben. Wenn die Unternehmen diese Technologie für gezielte Werbung einsetzen, dann sehen Sicherheitsexperten die Gefahr, dass diese Möglichkeiten auch für Kriminelle nutzbar werden. Da liefert der Vorfall „Cambridge Analytica“ den berühmten Tropfen, der das Fass zum Überlaufen bringt. Facebook kann offenbar die Daten der Nutzer, ob wissentlich oder unwissentlich gesammelt, nicht schützen. Das ist ein großes Problem. Für die Nutzer, mehr noch für das Unternehmen selbst. Es könnte der Moment gekommen sein, an welchem das Geschäftsmodell von Facebook und anderen sozialen Netzwerken auf dem Prüfstand steht. Seit dem Bekanntwerden der Vorfälle um „Cambridge Analytica“ haben große Unternehmen wie Tesla, Space X, Mozilla oder Sonos ihre Werbeaufträge bei Facebook storniert und ihre Facebook-Seiten gelöscht. Das Unternehmen hat in den letzten Wochen circa 50 Milliarden US-Dollar Börsenwert verloren. Seit einigen Tagen schießen Anleitungen im Internet aus dem Boden, wie man seinen Facebook-Account löschen und gespeicherte Daten bei Facebook abfragen kann. Wer dem Risiko also entgehen möchte, dass ihn Facebook über das Mikrofon seines Smartphones eventuell abhört, dem bleibt wohl nichts anderes übrig, als das Löschen der App von seinem Telefon.

Quellen:

http://www.handelsblatt.com/politik/deutschland/datenskandal-whistleblower-erhebt-schwere-vorwuerfe-gegen-cambridge-analytica-und-facebook/21119264.html

http://www.zeit.de/digital/datenschutz/2018-03/cambridge-analytica-facebook-peter-thiel-investor-palantir

http://www.spiegel.de/netzwelt/netzpolitik/facebook-cambridge-analytica-investor-peter-thiel-geraet-in-den-datenskandal-a-1200222.html

http://www.sueddeutsche.de/wirtschaft/datenskandal-um-cambridge-analytica-facebook-grosskunden-drohen-mit-dem-exodus-1.3921611

http://www.dw.com/de/facebook-wei%C3%9F-wann-deine-schwiegermutter-angerufen-hat/a-43138618

https://www.welt.de/wirtschaft/article174722839/Facebook-Ueberwacht-Facebook-unsere-Gespraeche-Ein-Versuch.html

http://www.t-online.de/digital/internet/id_50124872/facebook-student-erzwingt-herausgabe-persoenlicher-daten.html

https://praxistipps.chip.de/facebook-gesammelte-daten-anfordern_30626

https://www.golem.de/news/cambridge-analytica-wahlkampf-fuer-trump-mit-50-millionen-facebook-profilen-1803-133390.html

*Quellen zum Nachtrag:

http://www.itmagazine.ch/Artikel/66894/Facebook_korrigiert_nach_oben_Cambridge_Analytica_bekam_wohl_87_Millionen_Daten.html

https://www.computerbase.de/2018-04/facebook-cambridge-analytica-87-millionen/