Es war eine Meldung, die an vielen wohl vorbeigegangen ist: Vor einigen Wochen haben sich sowohl Mozilla als auch Google dazu entschlossen, die Browsererweiterungen des Antivirensoftwareherstellers Avast und dessen Tochterfirma AVG aus ihren jeweiligen Web Stores zu entfernen. Dem waren Berichte vorangegangen, dass die kostenlose Software massiv Daten über ihre Nutzer sammelt und gewinnbringend weiterverkauft. Eine gemeinsame Recherche von "Motherboard" und "PC Mag" bringt nun mehr Licht in die Angelegenheit – und erhebt dabei gleich neue Vorwürfe.

Deanonymisierung

Avast erfasse nämlich nicht nur bis ins letzte Detail die Webaktivitäten seiner Nutzer und verkaufe diese Informationen weiter, im Gegensatz zu den Angaben des Herstellers seien diese Daten sehr wohl auf einzelne Nutzer zurückführbar. Damit widerspricht der Bericht früheren Aussagen, in denen das Unternehmen betonte, dass die betreffenden Daten ohnehin anonymisiert werden und somit nicht auf einzelne Personen zurückführbar seien.

Spurensuche

Diese Behauptung widerlegt der Bericht nun. Die von der Avast-Tochter Jumpshot erfassten Daten seien nämlich dermaßen detailliert, dass eine echte Anonymisierung gar nicht möglich sei. Zwar würden eindeutige Identifikatoren wie Name, Mail- oder IP-Adresse tatsächlich entfernt, dafür würden sämtliche Datensätze aber mit einer eindeutigen Geräte-ID versehen, die gleich bleibt, solange man die Software von Avast nutzt. Das führt dazu, dass die Deanonymisierung recht einfach ist: In dem Moment, wo die Nutzer die Server eines der Datenkäufer besuchen, könnten diese die ID mit ihren eigenen Daten abgleichen und so herausfinden, wer sich hinter dem angeblich anonymen Profil versteckt. Jumpshot hat nach eigenen Angaben Daten von mehr als 100 Millionen Geräten.

Betont sei dabei, dass offenbar nicht alle dieser Unternehmen auch den gesamten Datensatz von Avast zukaufen. Jumpshot bietet nämlich unterschiedliche Produkte an, so bekommen manche etwa "nur" sämtliche Suchmaschinenabfragen, während andere sich wiederum ausschließlich für die Videointeressen der Nutzer interessieren. Andere kaufen hingegen sehr wohl den "All Clicks Feed", wie er bei Jumpshot heißt. Im Handbuch des Unternehmen ist die Rede davon, dass diese Daten eigentlich ohne der kritisierten Device ID verkauft werden, dem Unternehmen dürfte also die Problematik der potentiellen Deanonymisierung durchaus bewusst sein. Aus einem Vertrag mit der Omnicom Media Group, der den beiden Medien vorliegt, geht aber klar hervor, dass in dem betreffenden Fall die Device ID sehr wohl mitübertragen wird.

Viele offene Fragen

Auch sonst zeigt dieses Dokument gut, wie detailliert die Informationen sind, die Avast hier liefert. So gehören etwa Zeitstempel bis auf die Millisekunde zum gelieferten Datensatz. Auch Referer-URLs, also Informationen dazu, woher ein Link kam, sowie Vermutungen über Alter und Geschlecht der User werden geliefert. Omnicom wollte sich auf Nachfrage übrigens nicht zur Frage äußern, wozu man solch detaillierte Daten benötigt. Die weiteren Spuren verheißen aber nichts gutes: Wandern die Daten doch zu einem Subunternehmen namens Annalect weiter, das anderen Firmen dabei hilft, ihre Daten mit Informationen aus Drittquellen abzugleichen – es liegt also der Verdacht nahe, dass dieser Datensatz noch einmal weiterverkauft wird.

Unklar bleibt dabei, wer aller diese Daten erwirbt. Auf der Webseite von Avast wird mit allerlei großen Partnern geprahlt, darunter auch IBM, Microsoft und Google. Allerdings muss das nicht bedeuten, dass diese auch über Daten von dem Antivirenhersteller zugekauft haben, es kann dabei auch um komplett andere Partnerschaften gehen. So bestreitet denn auch IBM je Daten von Jumpshot erworben zu haben, bei Microsoft heißt es hingegen etwas vage, dass man "derzeit" kein Verhältnis zu der Firma habe. Google reagierte auf eine Anfrage zunächst nicht. Die Marketing-Materialien von Avast nennen noch andere potentielle Partner von Pepsi bis zu Nestle und der GfK, wirkliche Belege, dass hier Daten gewandert sind gibt es aber auch da nicht.

Lediglich der Medienkonzern Condé Nast ist als Kunde bestätigt, da Jumpshot diesen sogar als Fallstudie ausweist. Das Unternehmen soll mithilfe der Daten versucht haben, herauszufinden, ob die eigene Werbung zu Käufen auf Amazon geführt hat.

Reaktion

Bei Avast betont man auf die Kritik, dass man den Weiterverkauf der über die Browsererweiterungen gesammelten Daten mittlerweile eingestellt hat. Diese Informationen würden nun nur mehr zur Verbesserung der eigenen Antivirensoftware genutzt. Ganz freiwillig hat man diesen Schritt aber wohl nicht vorgenommen, immerhin dürfte dies die Voraussetzung dafür gewesen sein, dass Google und Mozilla die Rückkehr in ihr Erweiterungsangebot erlauben.

Neuer Weg, alte Sammelei

Vor allem aber ist das nur die halbe Geschichte. Denn laut dem Bericht sammelt Avast nämlich weiter all diese Daten – nur auf anderem Weg. So nutze man jetzt einfach die am Rechner installierte Antivirensoftware, um die Webaktivitäten der Nutzer mitzuprotokollieren. Das mögen manche Nutzer daran bemerkt haben, dass Avast den Benutzern seiner freien Antivirenprodukte seit kurzem einen Dialog anzeigt, bei dem der Datensammlung explizit zugestimmt werden muss.

Genau darauf verweist Avast nun, und betont, dass es hier um ein "Opt-in" geht. Motherboard berichtet hingegen von zahlreichen Nutzern, die betonen, dass sie keinem solchen Dialog und schon gar nicht dem Verkauf der Daten zugestimmt haben. Das mag auch daran liegen, dass der "Opt-in" erst im Juli 2019 eingeführt wurde, zuvor war die Zustimmung implizit. Zudem informiert der aktuelle Dialog nur sehr bruchstückhaft darüber, was mit den Daten passiert. So ist hier zwar zu lesen, dass die Surfgewohnheiten an die Tochterfirma Jumpshot weitergegeben werden, um dann dort Markttrends zu analysieren. Von einem Weiterverkauf dieser Informationen ist hingegen nicht die Rede. (Andreas Proschofsky, 28.1.2020)