Studie zeigt, wie einfach sich persönliche Daten von US-Soldaten kaufen ließen

Inhaltsverzeichnis

Für nur 12 US-Cent pro Datensatz verkaufen Data Broker in den USA sensible Daten auch von Militärangehörigen und Veteranen. Dazu gehören Namen, Wohnadressen, Geodaten, Nettovermögens, Religionszugehörigkeit und sogar Informationen über ihre Kinder und ihren Gesundheitszustand. Das zeigt eine neue Studie von Forschern der Duke University, die die vorhandenen Informationen bei zwölf solcher Anbieter abgefragt hat. Das Team wandte sich zunächst einfach an die Firmen und fragte, was denn notwendig wäre, um diese Art von Informationen zu kaufen. Das Ergebnis war der Erwerb von Tausenden privater Datensätze über amerikanische Militärangehörige. Viele Data Broker rückten die Daten mit minimaler Überprüfung heraus – Geschäfte wurden sowohl mit Anfragenden aus den USA als auch mit ausländischen Domains aus Asien getätigt.

Die über ein Jahr laufende Studie, die zum Teil von der US-Militärakademie in West Point finanziert wurde, verdeutlicht die extremen Risiken für Privatsphäre und damit auch nationale Sicherheit, die von solchen Informationshändlern ausgehen. Diese Unternehmen sind Teil einer Multimilliarden-Dollar-Industrie, die Daten sammelt, bündelt, kauft und verkauft – Praktiken, die in den USA derzeit legal sind und im Schatten geschehen. Viele Firmen werben damit, dass sie über Hunderte von individuellen Datenpunkten zu jeder Person in ihrer Datenbank verfügen. Die Branche ist außerdem dabei, die Aushöhlung der Privatsphäre der Verbraucher sogar noch zu verschärfen, sagen Kritiker.

Die Duke-Forscher berichten, sie seien "schockiert" gewesen, wie leicht sie an hochsensible Daten von Militärangehörigen gelangen konnten. "In der Praxis sieht es so aus, als ob jeder, der über eine E-Mail-Adresse, ein Bankkonto und ein paar hundert Dollar verfügt, die gleiche Art von Daten wie wir erhalten kann", sagt Hayley Barton, Mitautorin der Studie und Doktorandin. Das Team hofft, dass ihre Arbeit dem Gesetzgeber als Warnung dient. Es fordert den US-Kongress auf, ein umfassendes Datenschutzgesetz zu verabschieden, das die Data-Broker-Branche reguliert.

"Was wir wirklich brauchen, ist eine Regulierung dieses Ökosystems", sagt der Hauptautor der Studie, Datenschutzforscher Justin Sherman. "Letztlich ist dies ein Problem des US-Kongresses, denn wir brauchen neue gesetzliche Befugnisse, um mit diesen Risiken umgehen zu können. Die Überwachungsbehörden benötigen mehr Ressourcen." Senatorin Elizabeth Warren, die die Studie gesehen hat und Mitglied des Streitkräfteausschusses des US-Senats ist, stimmt dieser Darstellung im Wesentlichen zu. "Data Broker verkaufen sensible Informationen über Militärangehörige und ihre Familien für wenig Geld, ohne die ernsthaften Risiken für die nationale Sicherheit zu berücksichtigen", erklärte die Demokratin aus Massachusetts, in einer Erklärung gegenüber MIT Technology Review. "Die Untersuchung macht deutlich, dass wir richtige Leitplanken brauchen, um die persönlichen Daten von Militärangehörigen, Veteranen und ihren Familien zu schützen."

Verkauf von sensiblen Informationen

Die Gefahr, die von kommerziell verfügbaren Daten über aktive Militärangehörige ausgeht, ist ein bekanntes Problem. So enthüllten schon 2018 Daten über Laufstrecken, die in der Fitness-Tracking-App Strava aufgezeichnet wurden, den Standort von US-Militärstützpunkten und Patrouillen in Übersee. Die Duke-Forscher waren schon früher auf Data Broker gestoßen, die mit dem Verkauf von Informationen über Militärangehörige warben, sagt Sherman.

Sherman weist auch darauf hin, dass die Firmen behaupten, über strenge Überprüfungsprozesse zu verfügen, die verhindern, dass Daten an kriminelle oder anderweitig gefährliche Personen verkauft werden. Sie sollen sicherstellen, dass die erworbenen Daten verantwortungsvoll verwendet werden. Die Duke-Studie zeigt, dass dies die Ausnahme und nicht die Regel ist. Das Team durchforstete zunächst das Internet, um sich einen Überblick darüber zu verschaffen, wie viele der Tausenden von Data-Broker-Firmen in den USA mit der Verfügbarkeit personenbezogener Daten über die Mitglieder der US-Streitkräfte werben. Es fand "7.728 Treffer für das Wort 'Militär' und 6.776 Treffer für das Wort 'Veteran' auf 533 Websites von Data Brokern", heißt es in dem Papier. Große Unternehmen wie Oracle, Equifax, Experian, CoreLogic, LexisNexis und Verisk warben alle mit militärbezogenen Daten.

Anschließend setzten sich die Forscher mit zwölf dieser Datensammler in Verbindung, um die Informationen zu kaufen. Sie "fanden einen Mangel an robusten Kontrollmechanismen", als sie einige von ihnen nach dem Kauf von Daten über das US-Militär fragten. Es kam nicht zu Identitätschecks oder Hintergrundüberprüfungen, wie zu erhoffen war. Auch der beabsichtigte Verwendungszweck wurde nicht überprüft. (Die Forscher nennen die Data Broker, die sie kontaktiert haben, nicht öffentlich, die ethischen Forschungsrichtlinien der Duke University wurden eingehalten.)

Einige Data Broker verfügten zwar über Kontrollen – zwei der zwölf verweigerten den Verkauf, weil sie nicht davon überzeugt waren, dass die Forscher ein verifiziertes Unternehmen waren. Viele der Firmen taten dies aber nicht. Ein Händler, mit dem die Forscher Kontakt aufnahmen, sagte sogar, dass sie eine Hintergrundprüfung vermeiden könnten, wenn sie die Daten per Überweisung statt per Kreditkarte bezahlten.

Die potenzielle Bedrohung aus dem Ausland

Ein besonders beunruhigendes Ergebnis war, dass einer der Datenhändler den Forschern sogar Daten über das Alter und das Geschlecht von Kindern aktiver Militärangehöriger verkaufte, die in Washington, D.C., Maryland und Virginia lebten. Auch gab es Infos dazu, ob es Kinder im Haushalt gibt. Dieser Datensatz, der auch die Wohnadressen der Militärangehörigen enthielt, wurde den Forschern verkauft, als sie sie sowohl mit US-E-Mail-Domain als auch asiatischer Domain abfragten. Sarah Lamdan, Juraprofessorin an der City University of New York und Autorin von "Data Cartels", einem Buch über die Branche, sagt, dass die Praxis nicht illegal zu sein scheint. Selbst der Verkauf von Daten über Kinder verstoße nicht gegen den Children's Online Privacy Protection Act, allgemein bekannt als COPPA, bei dem es um Online-Aktivitäten Minderjähriger geht.

Mehrere Data Broker verlangten außerdem, dass die Forscher Vertraulichkeitsvereinbarungen unterzeichnen. "Kunden zu zwingen, Geheimhaltungsvereinbarungen zu unterzeichnen, verstößt nicht nur gegen die Transparenzvorgaben", sagt Lamdan. "Vielmehr ist es ein Schleier der Geheimhaltung, den die Data Broker über ihre Praktiken und die gigantischen Datenmengen legen." Das gelte für Verkäufer und Käufer.

Am Ende kauften die Forscher acht Datensätze von drei verschiedenen Brokern, die jeweils zwischen 4.951 und 15.000 identifizierbare Datensätze enthielten. Das gelang über E-Mail-Adressen mit Domains in den USA und Asien. Die endgültigen Kosten beliefen sich auf 0,12 bis 0,32 Dollar pro Datensatz für jeden Militärangehörigen. Die Forscher haben aber keine Geheimhaltungsvereinbarungen unterzeichnet. Um das Ausmaß des Risikos für die nationale Sicherheit zu ermitteln, wollten die Forscher insbesondere testen, ob die Händler auch Daten an Käufer außerhalb der USA verkaufen würden.

Unter Verwendung eines .asia-Domain-Namens und einer E-Mail-Adresse sowie einer IP-Adresse in Singapur konnten die Forscher tatsächlich individuell identifizierte Informationen über aktive Militärangehörige abfragen. Dazu gehörten auch Daten über ihren Familienstand, ihren Status als Hausbesitzer oder Mieter, ihre ethnische Zugehörigkeit, ihre Muttersprache, ihre Religion, ihre Kreditwürdigkeit sowie viele andere Datenpunkte.

Ernüchternder Weckruf

Der Studie zufolge versäumten es die Datenhändler weitgehend, die Forscher zu überprüfen, wenn sie von einer in Asien ansässigen E-Mail aus anfragten. Ähnlich war es mit US-Domain. Ein Data Broker schränkte zwar einige Datenfelder ein, wenn die Anfrage von der .asia-Domain kam, aber die meisten Firmen reagierten ähnlich, unabhängig davon, woher die Anfrage kam.

"Wir waren in der Lage, ohne jegliche Überprüfung Daten von Brokern zu kaufen, obwohl es sich um Angehörige des Militärs handelte, obwohl wir eine .asia-Domain benutzten, obwohl wir Daten aus dem Land heraus gesendet haben wollten", sagt Sherman. Das sei "wirklich beunruhigend". Das US-Verteidigungsministerium hat auf mehrfachen Bitten um Stellungnahme nicht reagiert.

Senator Ron Wyden, der dem Geheimdienstausschuss des US-Senats angehört, schloss sich Shermans Einschätzung in einer Erklärung gegenüber MIT Technology Review an. "Die Ergebnisse der Forscher sollten ein ernüchternder Weckruf für die politischen Entscheidungsträger sein, dass die Data-Broker-Industrie außer Kontrolle geraten ist und eine ernsthafte Bedrohung für die nationale Sicherheit der USA darstellt", sagte er.

"Die Vereinigten Staaten brauchen eine umfassende Lösung, um die Daten der Amerikaner vor uns nicht wohl gesonnenen Nationen zu schützen, anstatt sich auf unwirksame 'Pflaster' wie das Verbot von TikTok zu konzentrieren", fügt Wyden, ein Demokrat aus Oregon, hinzu. "Und ich will nicht wie eine kaputte Schallplatte klingen, aber unser Land benötigt hier dringend ein umfassendes Verbraucherschutzgesetz, um die Sammlung, Speicherung und den Verkauf sensibler persönlicher Daten von Anfang an zu begrenzen."

(jle)