Datenskandal

Antivirus-Anbieter verkauft Browserdaten seiner Nutzer weiter

Avast Virus Lab in Prag
Avast ist ein beliebtes kostenloses Antivirenprogramm
Foto: Picture Alliance

Dass viele Internet-Unternehmen Daten ihrer Nutzer sammeln und verkaufen, ist allseits bekannt. Doch gerade von Antivirus-Anbietern würde man das nicht erwarten, schließlich haben sie Zugriff auf sehr, sehr persönliche Daten.

Avast ist eine Antivirensoftware, die bei vielen Nutzern, die kein Geld für teuren Virenschutz ausgeben möchten, sehr beliebt ist. Avast ist Stand November 2019 unter den Top 5 Antivierenprogrammen weltweit laut Statista.

Nutzerdaten im großen Stil verkauft

Das Unternehmen ist nun jedoch in die Kritik geraten, nachdem Motherboard von Vice und PCMag Berichte veröffentlicht haben, die aufdecken, dass Avast die Internet-Browsing-Daten seiner Nutzer zum Verkauf anbietet. Die Daten wurden über Avasts Tochterfirma Jumpshot Inc. an Unternehmen wie IBM, Microsoft, Pepsi, Yelp, L’Oréal und Home Depot verkauft. Einige von den in den Reports genannten Unternehmen bestreiten jedoch die Zusammenarbeit mit Jumpshot. Die Avast-Tochter Jumpshot hat eigenen Angaben zufolge Zugriff auf Datensätze von 100 Millionen Geräten, auf denen Avast installiert ist. Monatlich nutzen über 435 Millionen Avast Antivirus, wie das Unternehmen in seinem Fact Sheet für 2020 schreibt.

Laut Motherboard wurden unter anderem Informationen über „Google-Suchen, Verweise auf Standorte und GPS-Koordinaten auf Google Maps, Personen, die LinkedIN-Unternehmenseiten besucht haben, bestimmte Youtube-Videos und Personen, die Porno-Seiten besucht haben“ weitergeben. Wie weit das Tracking des Suchverhalten wirklich reicht? Auch das steht in dem Bericht:

„Es ist möglich, aus den gesammelten Daten zu erschließen, zu welchem Datum und welcher Zeit der anonymisierte Nutzer Youporn und Pornhub besucht hat, und in einigen Fällen, welchen Suchbegriff er auf der Porno-Seite eingegeben hat und genau welches Video er geschaut hat.“

Nutzer sind nicht identifizierbar, aber…

Die Daten sind anonymisiert, das heißt, persönliche Daten wie der Name und die IP-Adresse werden entfernt und der Eintrag mit einer ID versehen, die keine Rückschlüsse auf die Person gibt. Gewiefte Hacker können die Datensätze von Avast jedoch mit anderen Quellen kombinieren und durch Gemeinsamkeiten die dazugehörige Identität herausfinden. Damit wäre der Datenschutz natürlich hinfällig, vor allem, wenn die Person, deren Daten verkauft wurde, nichts davon weiß.

In den Berichten steht auch, dass einige Jumpshot-Kunden sogar für den „All Clicks Feed“ zahlten, der jeden einzelnen Klick verfolgt, den Jumpshot von Avast sammelt. Dieser Feed wurde laut PCMag in mindestens einem Fall sogar inklusive der Gerätenummer ausgeliefert – was die Identifizierung von einzelnen Nutzern erheblich vereinfacht.

Avast schreibt in einem Statement, dass keine „persönlich identifizierbare Informationen, einschließlich Name, Email-Adresse und Kontaktdetails“ gesammelt würden. Außerdem wolle das Unternehmen nach und nach allen Nutzern die Möglichkeit geben, die Zustimmung zur Datenweitergabe zu entziehen. Seit Juli 2019 müssten Nutzer bereits bei der Installation von Avast explizit der Datenweitergabe zustimmen. Bereits existierende Nutzer würden nun nach und nach ebenfalls dazu aufgefordert, der Datenweitergabe zuzustimmen oder sie abzulehnen. Der Prozess soll bis Februar 2020 abgeschlossen sein.

Auch interessant: Alarm bei Microsoft – 250 Millionen Kundendaten gelangten ins Internet

Datenweitergabe war bekannt

Seit einiger Zeit ist Avast transparenter im Umgang mit Nutzerdaten. Bei der Installation werden Nutzer nun auf die Datenweitergabe an Jumpshot Inc. und die Form, in der die Daten gesammelt und genutzt werden, hingewiesen. Auch zuvor war bereits bekannt, dass Avast Nutzerdaten sammeln würde. Schon 2015 wurde das von dem Unternehmen in einem Blogpost bestätigt.

Allerdings trifft das nur auf die Antivirensoftware selbst zu. Eine kontroverse Browser-Erweiterung, die ohne Wissen der Nutzer Daten sammelte, die dann weiterverkauft wurden, machte im Oktober 2019 negative Schlagzeilen. Die Erweiterung wurde kurz darauf aus den Add-on-Stores von Google Chrome, Mozilla Firefox und Opera gelöscht.

Auch wenn Avast seine Nutzer über die Sammlung und Weitergabe von Browsing-Daten informiert, ist damit niemandem geholfen. Nur die wenigsten Nutzer könnten mit den Floskeln, die Avast zur Aufklärung verwendet, etwas anfangen, wie Tom’s Hardware schreibt. Die meisten werden den Zusammenhang zwischen einem anonymisierten Datensatz, der aus ihrem Browser-Sucherverlauf stammt und dem Suchbegriff, den sie auf einer Porno-Seite eingegeben haben, nicht verstehen. 

Themen