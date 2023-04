Die US-Firmen Monument und Tempest gaben unwissentlich per Tracking-Tool auf ihrer Website sensible Informationen von 100.000 Personen weiter

Tempest und Monument bieten Onlinetherapie für Menschen mit Alkoholproblemen an. Foto: APA/dpa/Alexander Heinl

Über Probleme mit häufigem Alkoholkonsum zu sprechen oder gar von einer Sucht loszukommen ist nicht leicht. Bei Schritten in diese Richtung oder als Unterstützung für eine Therapie bieten in den USA verschiedene Firmen Onlinedienste an. Beispielsweise das Start-up Monument.

Das Angebot umfasst Videochats mit Therapeuten, optionale Medikamentenverschreibung, ein anonymes Forum und Unterstützungsgruppen, in denen man sich online mit anderen Betroffenen über Herausforderungen und Fortschritte austauschen kann. Wie das Unternehmen nun allerdings bekanntgab, wurden jahrelang Daten von Patienten an Werbefirmen übermittelt.

Tracking-Tool als Quelle des Leaks

Gegenüber "Techcrunch" spricht Firmenchef Mike Russell von rund 100.000 betroffenen Personen. Die Weitergabe sei allerdings nicht mit Absicht erfolgt, betont man, sondern durch ein auf der Website eingebettetes Tool zur Auswertung des Seitentraffics geschehen.

Die Daten, die dabei abflossen, sind umfangreich. Sie enthalten Namen, Geburtsdaten, Wohnadressen und Telefonnummern und Mitgliedsnummern. Darüber hinaus wurden noch Fotos, Angaben zu den genutzten Diensten bei Monument, damit verbundene Termine und Antworten auf Erhebungsbögen und Umfragen geleakt. Diese enthalten mitunter detaillierte Angaben zum Alkoholkonsum der Patienten und dienen zur Planung der Therapie.

Auf den zugehörigen Websites wird erklärt, dass die eingegebenen Daten geschützt seien und ausschließlich von Monuments "Care Team" genutzt werden. Sozialversicherungsnummern und Kreditkartendaten sollen nicht betroffen sein.

Bei interner Kontrolle entdeckt

Entdeckt wurden die Probleme, nachdem die US-Regierung Ende 2022 neue Empfehlungen zum Umgang mit Tracking-Tools lanciert und Monument infolge dessen eine interne Überprüfung der eigenen Praktiken begonnen hatte. Anfang Februar dieses Jahres kam man zu dem Schluss, dass es zur nicht vorgesehenen Übermittlung verschiedener Daten gekommen war, ehe man schließlich das tatsächliche Ausmaß ermitteln konnte.

Dabei betont man, dass man die meisten betroffenen Tracking-Tools bereits seit Ende 2022 nicht mehr verwende und im Februar die Monument-Website auch von den restlichen entkoppelte. Die Weitergabe war zu diesem Zeitpunkt aber bereits seit Jahren im Gange. Bei Monument seit Jänner 2020, bei Tempest – ein 2022 übernommener Konkurrent – sogar seit 2017.

Man habe bislang keine Hinweise darauf, dass die Daten für Identitätsdiebstahl missbraucht wurden, und rechnet auch nicht damit, dass sie für Geldbetrug eingesetzt werden. Dennoch bietet man allen Nutzern eine kostenlose Mitgliedschaft bei einem Finanzmonitoring-Dienst an. (gpi, 6.4.2023)