Datenabfluss bei Gravy Analytics

Ich hatte hier ja ein paar Vorträge vom 38C3 empfohlen - darunter befand sich unter anderem der Vortrag "Databroker Files: Wie uns Apps und Datenhändler der Massenüberwachung ausliefern"

Darin haben Rebecca Ciesielski (Bayrischer Rundfunk) sowie Ingo Dachwitz und Sebastiak Meineck (beide von Netzpolitik) sich als Interessierte ausgegeben und mal bei kommerziellen Anbietern von Daten um Pröbchen gebeten was man denn so bei ihnen geliefert bekäme, wenn man einen Vertrag mit ihnen abschließen würde.

Ergebnis: Im Datenpaket, dass 3 Wochen Handystandorte beinhaltete, lässt sich über Millionen Menschen durch ihre Standortdaten praktisch alles relevante über ihr Leben rausfinden. Wo wohnt die Person? Wo wohnt die Geliebte? Wer kommt zu Besuch, wenn der Partner aus dem Haus ist? Wo arbeiten die Leute? Wer parkt täglich auf einem BND-Gelände? Wer fährt wöchentlich zu den anonymen Alkoholikern? Mit wem trifft sich welcher Politiker, etc… pp…

Warum erzähle ich euch das? Nun… vor einer Woche wurde bekannt, dass einer der weltweit größten Data Broker, Gravy Analytics, offenbar gehackt wurde, und nicht in der Größe bezifferte Datenmengen rausgetragen wurden.

Betroffen sind Menschen weltweit, es geht dabei mehr darum welche Apps diese auf ihren (euren) Smartphones installiert haben betroffene Apps sind laut ersten Berichten wohl z.B. Tinder, Spotify, diverse sudoku und solitair Spiele, aber auch Krams wie flightradar24, regenradar, und diverse andere

Warum erzähle ich euch das? Nun, die Hacker haben angekündigt die Daten zu veröffentlichen.

Also wer dann schon immer mal wissen wollte wo die süsse Nachbarin eigentlich arbeitet, oder in welchem Verein sie tätig ist, ob sie nen Freund oder ne Freundin hat, … kann sich dann mal selbst informieren.

Für das Thema ISMS halt auch immer relevant… ist geregelt welche Apps installiert werden dürfen? Welche Berechtigung die Apps haben dürfen? Ist mit den Beschäftigten mal darüber gesprochen worden was ihr privates Handy eigentlich über sie verrät? Sollte man das in Erwägung ziehen? Ich bin ja bekanntermaßen ein starker Vertreter dafür dass Beschäftigte, die sich privat für das Thema sensibilisiert haben, dies dann automatisch auch beruflich tun werden.

Und natürlich - wie kann es sein, dass eine durch nichts legitimierte Privatfirma soviel über uns sammelt? Müssen wir da wirklich mal einen gordischen Knoten durchschlagen um uns keine großen Sorgen zu machen?

Die Liste der Apps ist im Netz aufgetaucht (link geht zu google docs).

Der Großteil entfällt auf generische Spiele, aber auch Wetter-Apps, Dating-Apps, Shop-Apps.

Unter den häufigsten deutschen Plattformen finden sich da insbesondere:

Ebenfalls enthalten übrigens Microsoft

Also das gute ist, wobei auch nicht zufriedenstellend, es sind NUR 3 Apps, die ich nutze, die auf der Liste stehen. Gut weil, hätte ja auch wesentlich mehr sein können. Aber nicht gut, weil es 3 sind und allein das nervt.

Aber was für ein Dilemma. Diese Excel-Tabelle ist ja schier unendlich und bei der Masse kann es gar nicht anders sein, dass man betroffen ist. Selbst bei sehr zurückhaltender Nutzung, bei der das Smartphone eben nur mit den notwendigsten Apps ausgestattet ist, findet man mindestens eine App, die gelistet ist. Was als tun?

• Back to the Roots und zurück zum guten alten Nokia 3610? - Geht nicht!
• Mindset ändern?: Egal, ich hab nichts zu verbergen! - Nicht gut! Muss aber jeder selbst entscheiden
• Auf Funktionen und nützliche Apps verzichten? Schwere Entscheidung und ist echt nicht zufriedenstellend.
• Alternative suchen? Fällt schwer bei der Liste und wenn dann sind die Apps eben nur eine Alternative.

Beispiel CapCut und da bin ich betroffen: Die App ist für Videoschnitt fast unschlagbar und im Zeitalter von Social-Media Content-Creation kaum verzichtbar.

Ich merke gerade… je mehr ich hier schreibe, ich finde auch für mich keine geeignete Lösung. Was ist Eure?