Der IT-Sicherheitsexperte Mike Kuketz war an der Recherche des NDR über die Geschäfte der Datensammler beteiligt. Er fand heraus, in welchem Umfang die Browser-Erweiterung „Web of Trust“ (WOT) Nutzerdaten sammelt und an einen Server im Ausland weiterleitet. WOT basiert darauf, dass Nutzer Websites bewerten. So soll das Surfen angeblich sicherer gemacht werden.

Wie sind Sie WOT auf die Spur gekommen?

Es gab mehrere verdächtige Browser-Erweiterungen, die als Datensammler in Betracht kamen. Die wurden dann nacheinander deaktiviert, um zu schauen, welche kritisch sein könnten. Um zu beweisen, dass WOT die von den Nutzern erfassten Surfdaten tatsächlich an Dritte weitergibt, mussten wir eine Falle stellen.

Wie sah diese Falle aus?

Ich habe extra einen Testrechner eingerichtet und eine bis dato unbekannte Website und bin ein paar Tage mit WOT gesurft. Ich habe mich dabei auch in verschiedene Online-Konten eingeloggt. Dabei wurden die komplette URLs übertragen, und mit ihnen auch Informationen, mit denen man mich identifizieren kann. Sie fanden sich später in den Datensätzen, die dem NDR angeboten wurden. Diesen Vertrauensbruch zu sehen, hat mich ehrlich gesagt schockiert, auch wenn ich schon einiges gewohnt bin. Das war einfach gruselig.

Ist es nicht nachvollziehbar, dass WOT die angesurften Seiten erheben und übertragen muss, um seine Dienste zu erbringen? Immerhin geht es darum, dass Nutzer Websites bewerten sollen.

WOT übermittelt weit mehr Daten, als es für diesen Zweck erforderlich wäre. Dafür würde der Domainname ausreichen, also etwa twitter.com, nicht aber die komplette URL, die sehr viel mehr Informationen enthält, zum Beispiel Anmeldeinformationen. Diese auffällige Änderung des Programmcodes wurde im April 2015 vorgenommen. Bei meinem ersten Datenmitschnitt des Netzwerkverkehrs habe ich aufgrund von „Code-Verschleierungen“ noch nichts gesehen außer irgendwelchen Zahlenreihen ohne Aussage. Erst eine Änderung des Programmcodes hat mir eine Analyse dessen ermöglicht, was WOT tatsächlich an die Server übermittelt.

War das eine bewusste „Code-Verschleierung“ oder könnte das auch einem anderen Zweck gedient haben?

Das könnte theoretisch einem anderen Zweck dienen, zum Beispiel der Vermeidung doppelter Einträge in einer Datenbank durch die Verwendung kryptografischer Verfahren. Allerdings ging es nicht darum, den kompletten Quelltext zu verstehen und zu analysieren, sondern um die Offenlegung jener Daten, die WOT während der Nutzung überträgt.

Hat Sie das Ergebnis überrascht?

Dass Daten übertragen werden, steht in der Datenschutzerklärung, zumindest in der aktuellen Version. Der eigentliche Skandal ist, dass diese dazu verwendet werden können, um Nutzer zu enttarnen. Laut der Datenschutzerklärung soll das nämlich nicht möglich sein.

WOT hatte offenbar einen guten Ruf. Deshalb sind viele Nutzer nun enttäuscht und wütend. Wer prüft solche Browser-Erweiterungen, bevor sie zum Download freigegeben werden?

Mozilla (Hersteller des belibeten Browsers Firefox) signiert Add-ons, bevor sie zum Download angeboten werden. Allerdings kenne ich die Sicherheitsrichtlininen nicht, die Addons vor der Veröffentlichung einhalten müssen. Offenbar sind diese Prüfungen nicht ausreichend. Immerhin ist der Programmcode von WOT für jedermann einsehbar.

Sogenannte Open-Source-Software gilt als vertrauenswürdig, weil angeblich tausende Fachleute den Code überprüfen können. Trotzdem hat das bei WOT jahrelang nichts geholfen.

Der Fall WOT zeigt, dass Open Source nicht zwangsläufig sicher und vertrauenswürdig ist. Trotzdem bin ich ein Verfechter von Open Source. Meine Untersuchung wurde dadurch erst ermöglicht. So konnte ich den Code verändern und mit ihm experimentieren und dadurch die Datensammlung sichtbar machen. Bei einer proprietären Software, deren Quellcode nicht vorliegt, wäre mir das womöglich nicht gelungen.

Könnte nicht jemand eine Art Qualitätssiegel für solche Software vergeben?

Im Apple-Store ist das teilweise schon umgesetzt. Entwickler müssen sich dort registrieren und die Apps zur Prüfung einreichen. Während dieses Vorgangs prüft Apple jede App, um sicherzustellen, dass diese nicht abstürzt und den entsprechenden Standards des App-Stores entspricht. Im Rahmen dieses Prozesses wird zum Beispiel auch geprüft, ob Apps private Daten auslesen können, die den Entwicklern eigentlich unzugänglich bleiben sollen. Ein ähnliches Modell könnten sich auch die Browser-Hersteller überlegen. Aber dahinter steckt natürlich ein großer Aufwand. Und wie immer gilt: Auch ein solches Modell bietet keinen hundertprozentigen Schutz. Noch ein Tipp zum Abschluss: Wenn ich sehe, dass ein Unternehmen etwas kostenlos anbietet, ohne ein nachvollziehbares Geschäftsmodell zu haben, werde ich misstrauisch.