App Tracking: Podcast-Transkription

In dieser Folge unseres Podcasts sprechen Moritz und ich darüber wie wir durch App Tracking von unseren Apps auf dem Smartphone überwacht werden und was wir dagegen machen können.

App Tracking Episode: Transkription der Zusammenfassung

Diese Transcription wurde mit TurboScribe.ai erstellt, dem Lieblings-Transkriptionsservice von Tobias.

[Moritz]
Also heute haben wir ein Thema angesprochen, das besonders dem Tobias wichtig war. Es ging um App Tracking, natürlich nicht nur um App Tracking, sondern auch darum, wenn man im Internet unterwegs ist, was da alles für Daten gesammelt werden. Und wir haben euch Tipps gegeben, wie ihr sicherstellen könnt oder worauf ihr achten könnt, damit weniger Daten von euch gesammelt werden.

[Tobias]
Und meine Empfehlung ist einfach, installiert die Software, die ihr in den Shownotes findet. Auf Android ist das bisher kostenlos, obwohl das definitiv Geld wert wäre, meiner Meinung nach, durch DuckDuckGo. Ich habe für die Vorbereitung der Folge auf iOS auch nochmal nachgeschaut, da gab es eine kostenlose Lösung, die gibt es inzwischen leider nicht mehr.

Das ist ein Abo, schicke ich euch aber auch rein. Und damit wünsche ich euch eine gute Zeit. Bewertet uns gerne auf den Plattformen, die ihr so habt.

Wir empfehlen als Podcast App – dazu kommt auch noch eine Folge – Snipd, da kann man sich nämlich kleine Passagen rausschneiden, die man spannend findet und teilen.

Transkription des eigentlichen Gesprächs

Diese Transcription wurde mit TurboScribe.ai erstellt, dem Lieblings-Transkriptionsservice von Tobias.

[Moritz]
Heute geht es um ein Thema, was dich schon etwas länger umtreibt und wo du gesagt hast, Mensch, darüber würdest du gerne mal mit einem Normalos sprechen.

[Tobias]
Genau und wir schauen mal, was dabei rauskommt, ob es normale Menschen auch tatsächlich verstehen können.

[Moritz]
Ich bin ganz sicher, wenn der Nerd in der Lage ist, mal einen Gang runter zu schalten, dann können es auch normale Menschen verstehen.

[Tobias]
Also, Apptracking, worum geht es? Es ist etwas, was vielen Menschen gar nicht bewusst ist. Und mir war es auch nicht in diesem Ausmaß bewusst, bis ich in der New York Times einen Artikel gelesen habe, den wir natürlich auch verlinken.
In diesem Artikel wurde beschrieben, wie im Nachgang zu dem Angriff auf das Kapitol in Amerika nach dem 6.1., ich glaube 2020 muss es gewesen sein, genau, nee 2021, also ist ja bald Wahl wieder, ja, also quasi ziemlich genau vor 4 Jahren, als eben Präsident Trump sich nicht so sicher war, ob er die Macht wieder abgibt. Und da sind Menschen ins Kapitol eingebrochen, haben Sachen gemacht, die nicht okay sind und die wurden nachher dadurch identifiziert, dass zwar nicht irgendeine ganz konkrete App verraten hat, wer sie sind, aber die Daten, die mehrere verschiedene Apps gesendet haben, miteinander kombiniert, haben dazu geführt, dass die, die da eingebrochen sind, eindeutig identifiziert werden konnten.

[Moritz]
Wow, das ist also schon ziemlich krass, dass wir heutzutage eigentlich ein Device, ein Gerät in Form eines Smartphones mit uns herumtragen, wo wir wirklich sichtbar sind. Wahrscheinlich selbst, wenn wir gewisse Einstellungen vorgenommen haben, die uns das Gefühl geben, wir werden nicht durchsucht, gibt es von den ganz intelligenten Menschen, den Ultranerds, die irgendwo in der NSL sitzen und darüber hinaus, doch Möglichkeiten, mich zu identifizieren.

[Tobias]
Es kommt unter anderem dadurch, dass immer wenn ein Produkt kostenlos ist, bist du der Preis oder deine personenbezogenen Daten. Und jede App hat gewisse Zugriffsmöglichkeiten auf die Daten, die das Smartphone speichert. Das kann der Ort sein, das kann die Telefonnummer sein, das können diverse unterschiedliche Dinge sein.
Und das Kritische bei dieser Situation war eben, und es geht mir nicht darum, Kriminellen zu erleichtern, natürlich nicht gefunden zu werden, sondern es geht mir darum, dass ich daraus gesehen habe, wie viel Daten wir rausposaunen, die wir eigentlich nicht rausposaunen wollen, die auch keinem außer uns gehören. Es sei denn, sagt einem jemand bei der Installation hier, tatsächlich eine realistische Zahl, 128 Parteien bekommen deine personenbezogenen Daten, wenn du diese App startest. Müsst ihr mal darauf achten, wenn ihr die nächste App installiert oder auf eine Website geht, wenn ihr nicht ja ich akzeptiere oder nein ich lehne alles abwählt, sondern mal konfiguriert und reinguckt, wie viele Firmen Daten von euch bekommen.
Das ist irre. Das sind über 100, die du einzeln an- und abschalten kannst.

[Moritz]
Okay, und ich glaube, diesen Schuh können wir uns fast alle anziehen. Also ich ganz bestimmt, obwohl ich wahrscheinlich, gerade wenn es um Cyber Security geht, schon sicher unterwegs bin als viele, viele andere. Und selbst du, der das weiß und die Probleme kennt, wirst wahrscheinlich hin und wieder auch den einfachen Weg gehen.

Und es ist, glaube ich, so ein bisschen wie mit anderen Abschlüssen, die wir machen, wo es AGBs gibt, wo wir irgendwie noch 10, 20 Seiten haben, die wir eigentlich durchlesen müssten, wo wir unter Unterschrift drunter setzen, aber wir machen es nicht. Und das ist halt im Bereich von Apps, im Bereich vom Internet, egal wo wir da unterwegs sind, dieser Klick ist extrem schnell gesetzt und wir wissen in der Regel nicht, was die Konsequenzen davon sind.

[Tobias]
Ja, was kann man dazu machen? Das ist ja das Schräge. Also ich habe das gelesen und gedacht, oh, das finde ich aber nicht so cool, weil es muss irgendwie nicht so eine Unmenge von Leuten, müssen nicht mal eine Daten haben.

Fälle ich ganz kurz nochmal auf die technische Seite zurück. Das Spannendste ist, dass die verschiedenen Anbieter, je nachdem, was sie abgreifen, vielleicht teilweise gar nicht den Satz an Daten haben, der euch eindeutig identifiziert. Wenn man aber weiß, das ist das Smartphone, Anbieter A hat das, Anbieter B hat das und man matcht das miteinander, dann können die das eindeutig identifizieren, eine dritte Partei, die auf alle Daten Zugriff hat.

Und ich habe dann natürlich recherchiert und gedacht, nein, finde ich nicht so geil und habe dann für Android eine Lösung gefunden, die wir natürlich verlinken in den Shownotes. Der DuckDuckGo Browser bringt neben einem Browser, den ich nicht benutze, nebenher auch noch eine Option mit, einen Virtual Private Network, dazu gab es eine eigene Episode, das nur dazu da ist, auszufiltern solche Informationen, die die Apps senden. Das heißt, jede App wird überwacht.

Die Sachen, die für die Funktionen notwendig sind, gehen raus und rein. Die Sachen, die nicht für die Funktionen notwendig sind, die werden ausgefiltert. Es gibt das auch auf iOS.

Also auch wenn Apple euch jederzeit gerne verkauft, dass sie maximal datenschutztechnisch sauber unterwegs sind. Kurzes Beispiel, wie Realität und tatsächliche Fakten abweichen. Apple hat jahrelang unverschlüsselt durch die Welt gefunkt, welche App auf jedem Mac der Welt geöffnet wird.

Unverschlüsselt. Ich weiß nicht, ob es inzwischen gefixt wurde, es wird nämlich nicht berichtet von Apple. Also nur ein bisschen zu relativieren.

Und ich kann mal kurz in meine App reinschauen, was denn da aktuell aufgelaufen ist. Erzähl du mal derweil was, Moritz.

[Moritz]
Ja, also ich glaube, wir wissen zum Teil schon, dass es Dinge gibt, die wir machen, die nicht optimal sind, aber wir sind uns deren Konsequenzen nicht bewusst. Und wir wollen mit dieser Episode auf keinen Fall in die Richtung gehen, dass wir sagen, ladet keine Apps mehr runter. Wir wollen einfach nur, dass ihr wisst, was die Konsequenzen sein können.

Es werden gerade bei kostenlosen Apps, geben wir eine ganze Menge Datenpreis. Und selbst wenn das bei einer App nur ein überschaubarer Datensatz ist, kann die Kombination aus den verschiedenen Datensätzen über verschiedene Apps gefährlich werden. Und wenn wir davon ausgehen, dass wir es nur mit guten Menschen zu tun haben, die das Beste für uns wollen, der Staat, Sicherheitsdienste, dann könnte man sagen, na gut, da kann ja nichts passieren.

Es werden nur die bösen Menschen herangenommen. Aber Privatsphäre ist ein hohes Gut. Und wir wissen nicht, wie sich die Welt weiterentwickelt und wer irgendwann derjenige ist, der diese Daten hat und ob es uns dann immer noch gefällt.

[Tobias]
Ich habe jetzt mal die Einstellung aufgerufen und kann euch mal kurz sagen, wie die Daten bei mir sind. Also in den letzten sieben Tagen, in den letzten sieben Tagen, eine Woche, wurden 36.059 Tracking-Versuche geblockt durch diese App bei mir. Über 36 Apps.

Von denen, die mir angezeigt werden, führt die App der Firma URA. Ich habe so einen Schlaftracking-Ring. Da müssen wir auch mal noch eine Episode machen zum Thema Schlaf.

Warum ist das wichtig? Und das versucht, einfach mal das Beispiel zu sagen, diese App versucht über einen Dienst namens segment.io folgende Dinge anzufragen. Auswahl, Sprache des Geräts, Bundesland, Stadt, E-Mail-Adresse, Vorname, GPS-Koordinaten, Bildschirmdichte, Zeitzone, lokale IP-Adresse.

Also im Sinne von, finde ich, wo der sich gerade auffällt und so weiter. Und das brauchen die nicht. Die tatsächlich brauchen sogar GPS-Koordinaten, weil die zum Beispiel auch meine Bewegung, also wie viel tue ich sportlich, mittracken.

Das ist in dem Fall sogar okay. Aber manche Sachen brauchen sie halt zum Beispiel sicher nicht, wie meine lokale IP-Adresse oder in welchem Bundesland ich bin. Das macht keinen Sinn oder welche Stadt.

[Moritz]
Also gerade auch das Thema IP-Adresse. Egal mit welchem Gerät du dich irgendwo anmeldest, ob es dein Smartphone ist oder ob du am PC sitzt oder am Laptop. Jedes Gerät hat seine eigene IP-Adresse, wodurch du zugeordnet werden kannst.

Also dass sie wirklich sagen können, da hat sich jemand unter dieser IP-Adresse zum Beispiel vom Smartphone immer wieder irgendwo angemeldet, irgendwas gemacht. Warum wollen sie das wissen? Und das ist ja auch ein Punkt, über den wir eine Episode gemacht haben mit dem Virtual Private Network VPN, dass man gerade diese konkrete Zuordnung recht leicht mit einem Klick verhindern kann.

Dass man halt immer über einen anderen Server gelenkt wird und immer wieder eine andere IP-Adresse hat. Das sind so Kleinigkeiten, die schon helfen können. So ein bisschen diesen Pfad, den man im World Wide Web hinterlässt, ein bisschen zu verwischen.

[Tobias]
Genau. Und nicht um Böses zu tun, sondern einfach, es gibt Leute, die verdienen damit Geld. Und dann, okay, gebt mir doch Geld für meine Daten.

Dann könnt ihr die vielleicht auch haben, wenn das eine bewusste Entscheidung war. Aber sie so mal mitnehmen und dann gucken, wie man Geld verdient. Trade Republic hat auch viel getrackt bei mir, habe ich gesehen.

[Moritz]
Und am Ende, du weißt nicht, was mit den Daten gemacht wird. Natürlich können sie sagen, wir machen mit deinen Daten nichts. Dann ist aber die Frage, warum sammelt ihr sie dann?

Es kann passieren, dass Leute Dinge machen, die sie nicht machen dürfen. Dass deine Daten weiterverkauft werden. Dass das sozusagen etwas Verbotenes ist.

Sie machen es trotzdem und verdienen Geld mit diesen Daten. Weil andere Unternehmen, wenn sie wissen, wie alt du bist, wo du lebst, dich gezielt ansprechen können mit bestimmten Werbebotschaften. Und was kann auch passieren?

Dieses Unternehmen Aura oder Trade Republic, die werden ja auch angegriffen. Die können auch gehackt werden. Und dann wollen die gar nicht deine Daten weitergeben, aber irgendjemand zieht sich deine Daten.

Solange deine Daten irgendwo liegen, besteht keine Sicherheit, dass nicht irgendwann jemand Zugriff auf diese Daten hat. Deswegen kann man sagen, je kleiner der virtuelle Fußabdruck, desto besser.

[Tobias]
Und vielleicht auch nochmal ein Use Case. Wenn ihr euch mit irgendjemand über was unterhaltet und vielleicht im Browser etwas recherchiert und ein bisschen später merkt ihr, ich kriege passende Anzeigen dazu auf Facebook oder Twitter, dann kann das so ein Informationsverkauf sein. Falls eure Werbeidentität in der einen App wie in der anderen getrackt wird und dann ausgetauscht wird.

Deswegen haben wir in der anderen Folge Brave empfohlen, weil da nichts rausgehen darf normalerweise. Und deswegen empfehlen wir jetzt Dienste, die sowas abblocken, um genau sowas zu verhindern. Klar können wir es bewusst herbeiführen, aber nicht unbewusst.

[Moritz]
Und je nachdem, woher du kommst, bist du ein wertvollerer Kunde oder ein nicht so wertvoller Kunde. Wenn du in Deutschland lebst, vielleicht auch noch in München, vielleicht auch in einer Region in München, die halt sehr hohe Immobilienpreise hat, dann bist du jemanden, der für Leute, die Werbung machen für ihre High End Produkte, sind das kostbare Daten, weil sie dich gezielt ansprechen können. Wenn du irgendwo in Indonesien sitzt, dann wird für den gleichen Datensatz wahrscheinlich viel, viel weniger Geld aufgerufen.

Aber gerade in Deutschland sind wir natürlich auch Leute, deren Daten sehr wertvoll sind, weil wir halt viel konsumieren und auch viel Geld ausgeben und auch regelmäßig ein Wohlstandsland sind. Wir machen uns keine großen Gedanken. Das sind Impulskäufe.

Und genau darauf haben sie sich abgesehen. Wir haben ja bisher über App-Tracking geredet. Das ist etwas, was natürlich nicht nur das Thema Apps betrifft.

Vor ein paar Jahren gab es eine Änderung, eine Gesetzesänderung, die Datenschutz-Grundverordnung, die von der EU in Europa angeführt werden musste. Und seitdem merkt ihr, wenn ihr im Internet unterwegs seid, dass ganz oft zu Beginn, wenn eine Seite geladen wird, eine sogenannte Cookie-Wall aufploppt, wo ihr dann entweder direkt anklinken könnt. Oder ihr müsst einen umständlichen Weg gehen und teilweise drei, vier Fenster durchklicken, um das zu vermeiden.

Viele Leute, die ich kenne, gehen den einfachen Weg. Die wollen einfach schnell auf die Seite, machen einen Klick und können konsumieren. Ich mache mittlerweile lieber die drei, vier Extraklicks, um sicherzustellen, dass ich da keine Daten teile.

Und das ist etwas, was uns einfach mal zeigt, was schon jahrelang passiert ist. Jahrelang, wenn wir im Internet unterwegs waren, wurden Daten einfach abgegriffen. Jetzt haben wir den Schutz, dass wir zumindest einmal darauf hingewiesen werden, aber die wenigsten Leute nutzen diesen Schutz.

[Tobias]
Ich hatte aber noch einen anderen Punkt. Das war so die aktuellste Irritation, wo ich dachte, oh mein Gott, was ist denn hier los? Ich habe nach, wahrscheinlich sind es 10 Jahre oder so, ich bin ja Schwabe, ich habe lange mit einem HD-Fernseher gelebt.

50 Zoll, schon etwas Großes. Bei den Amazon Prime Days habe ich gewechselt auf einen 50 Zoll Samsung Fernseher mit QLED, OLED, ich weiß es gar nicht genau. Aber er sieht gut aus und er hat jetzt 4K und HDR und so die Sachen, die man heutzutage braucht.

Und da habe ich mich dann auch ein bisschen eingelesen. Das ist ähnlich schräg wie beim Internet. Wenn du dich da anmeldest, einen Account machst bei Samsung und dich anmeldest und nicht genau darauf achtest, dann läuft im Hintergrund eine Technologie, die überprüft, was du schaust, damit dein Datensatz angereichert werden kann über Informationen, was für dich als Werbeempfänger spannend ist.

Und das war für mich auch wieder so ein Ding. Ich weiß nicht, habe ich es geschafft, es wirklich abzustellen. Die Beschreibungen haben zu meinem User Interface nicht gepasst, die ich im Internet gefunden habe.

Aber selbst an einem Smart TV werden jetzt Daten abgegriffen. Das muss man sich mal vorstellen. Die überwachen, was ihr guckt.

Die überwachen das Bild und matchen das Bild zu einer Inhaltsdatenbank, die sie haben, um dann von euch ein Profil zu erstellen. Das ist doch ein krasser Grad an Überwachung. Das ist Wahnsinn.

Irre. Und deswegen ist das Thema für mich nochmal so relevant geworden. Deswegen wollte ich nochmal einen Podcast dazu aufnehmen.

[Moritz]
Das sind ja potenzielle Sicherheitslücke.

[Tobias]
Das ist halt nur die Frage, wie viel du zulässt. Wenn du dich gar nicht darum kümmerst, kriegen sie, was sie wollen. Wenn du dich ein bisschen darum kümmerst, kannst du es eindämmen.

Aber sich absolut abzusichern, ich denke, die Zeit ist wahrscheinlich vorbei. Dann ein kurzer Hinweis noch an Leute, die in größeren Firmen arbeiten. Da gibt es, falls es euch nicht bewusst ist, müsst ihr mal auf eure Datenschutzbedingungen gucken, oft die Vorgabe, dass Sprachassistenten nicht laufen oder im gleichen Raum sein dürfen, wenn ihr arbeitet.

Seid euch dessen bewusst, ihr müsst sowas eigentlich, wenn ihr arbeitet, Meetinghubs abstellen.

[Moritz]
Und nochmal als Ergänzung zu diesem Gesamtthema, wo ich relativ viel dazugelernt habe, wenn es ums Datensammeln geht, war eine Lernreise, die ich jetzt vor ein paar Jahren begonnen habe, wo ich meine erste Homepage gebaut habe. Da habe ich im Rahmen des Corporate Learning Camps auch so eine Art Hackathon gemacht, wo man gemeinsam mit anderen daran gearbeitet hat, wie kann ich eine Website aufsetzen. Und viele Websites werden gebaut, beispielsweise mit WordPress.

Und da hat man viel Flexibilität und kann ganz viele zusätzliche Programme nutzen, sogenannte Plugins. Und ich wollte eine Website haben, wo ich keine Cookie Wall benötige, also wo nicht irgendwelche Daten gesammelt werden, also wo Leute noch nicht mal was anklicken müssen. Das hat den Aufwand ultimativ erhöht, weil fast alle Plugins, die man irgendwie ergänzen kann, die auch fast alle Leute nutzen, sammeln ohne Ende.

Also man kommt fast nicht ohne diese Cookie Wall zurecht. Also alles, was einem irgendwie auch weiterhilft, wenn man auch schauen will, wer war auf meiner Webseite, wie lange waren sie auf meiner Webseite etc., das ist alles schwierig. Und die Daten werden dann auch nicht nur bei dir gesammelt in den meisten Fällen, sondern die landen halt irgendwo bei Google auf deren Servern.

Und ich hatte, während ich meine Website gebaut habe, auch mit Freunden von mir gesprochen, erfolgreiche Unternehmer. Und die waren total begeistert. Die haben gesagt, ja, auf ihrer Website haben sie jetzt ein neues Plugin, das heißt Lead Info.

Das kostet irgendwie nur 50 bis 100 Euro im Monat. Und damit können sie genau checken, wer bei ihnen auf der Website war. Also sie verkaufen Produkte, wissen, der Einkäufer von dem Unternehmen war gestern auf meiner Homepage, wissen teilweise, wie er heißt, wo er sitzt, wonach er gesucht hat und können sich perfekt vorbereiten, wenn er dann anruft, was will er überhaupt.

Also sie sagen, diese 50 bis 100 Euro im Monat sind für die Gold wert. Und natürlich müssen sie eine Cookie Wall haben und müssen die Besucher ihrer Website darauf hinweisen. Aber die meisten Leute klicken einfach durch.

Das heißt, der Einkäufer vom Unternehmen, der könnte es unterbinden, aber die meisten machen es einfach nicht. Und das macht mir als Unternehmer, verschafft mir einen riesen Vorteil, weil ich genau weiß, okay, wer hat denn gerade Interesse an meinen Produkten und wer wird demnächst wahrscheinlich anrufen. Genau.

[Tobias]
Und da nochmal ein Querverweis, Folge Browser, haben wir auch ein paar Extensions gesprochen, die da Abhilfe schaffen, neben der Sache, dass man Security orientierten Browser wie zum Beispiel Brave benutzt.

[Moritz]
Also überhaupt, wenn ihr zu dem Thema sicherer unterwegs sein wollt, wir haben eine ganze Reihe von Episoden zum Thema Cyber Security gemacht, wo wir verschiedene Maßnahmen vorstellen, die ja schon helfen, dass ihr unter vielerlei Aspekten sicher unterwegs seid. Natürlich 100%ige Sicherheit kann es nicht geben und wird es nicht geben, aber ihr könnt schon mal eine ganze Reihe von Einfallstoren schließen.