Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

ThreatMetrix: Scannt heimlich Ihr Netzwerk beim Shoppen

0

Wenn Sie bei eBay ein Schnäppchen schießen oder bei einem Online Shop mit Klarna bezahlen möchten, haben Sie wahrscheinlich ein trauriges Schicksal zu erdulden (oder auch nicht): Ihr lokales Netzwerk wird heimlich gescannt.

Port Scan durch eBay

Drei-zwei-eins, Ihr Recht auf Privatsphäre ist keins

Vorschlag für das neue Motto von eBay

So sollte der Slogan von eBay lauten, wenn man die Tatsachen betrachtet. Denn bereits seit langem nimmt es eBay nicht so genau mit dem Datenschutz.

Rufen Sie zum ersten Mal (oder nach Löschen von Cookies) die deutsche eBay-Webeite auf, wird Ihr Heimnetzwerk heimlich gescannt. Hier ein Auszug aus dem Netzwerkverkehr, der beim Aufruf von ebay.de stattfindet:


Heimlischer Port-Scan Ihres Netzwerks beim Besuch von ebay.de

Der Screenshot zeigt Anfragen auf die Adresse 127.0.0.1. Technikaffine Personen wissen, dass hinter dieser Adresse der sogenannte Localhost, also die lokale Netzwerkadresse des eigenen Rechners steckt.

Dieses Debakel wurde bereits im Mai 2020 von Heise aufgedeckt. Den Link zu Heise setze ich nur netterweise, verdient hätte es Heise aus Datenschutzsicht nicht, denn deren Webseite verstößt meiner Einschätzung nach gegen Datenschutzregeln (Stand: 18.03.2021).

Für das Prüfen der Ports auf Ihrem System wird ein Tool namens ThreatMetrix verwendet. Weiter unten erfahren Sie mehr dazu.

Der Port Scan durch eBay findet anscheinend immer dann statt, wenn eBay kein eigenes Cookie auf Ihrem System findet, an dem es erkennen kann, dass Sie ein wiederkehrender Besucher sind. Keine Sorge: Sie müssen nicht zustimmen: Technisch nicht notwendige Cookies setzt eBay auch ohne Einwilligung, fragt aber trotzdem nach Ihrer Zustimmung für irgend was anderes.

In der eBay Datenschutzerklärung unter https://www.ebay.de/help/policies/member-behavior-policies/datenschutzerklrung?id=4260 finde ich derzeit keinen Hinweis auf den Port Scanner (Stand: 18.03.2021).

Port Scan durch Klarna

Wer ebay meidet, wird wahrscheinlich trotzdem durchleuchtet. Denn auch Klarna setzt ThreatMetrix ein. Sobald Sie in einem deutschen Online Shop als Bezahlmöglichkeit Klarna auswählen, sind die Chancen gegeben, dass Ihr System ohne Ihr Wissen durchleuchtet wird. Aus meinen realen Bestellungen in Online Shops weiß ich, dass der Port Scan , den Klarna anstößt, nicht immer bei jeder Zahlart stattfindet. Der Scan fand aber in genügend vielen Fällen statt, um mich regelmäßig zu verblüffen.

Ich frage mich gerade, was passieren würde, wenn eBay Artikel auch über Klarna bezahlt werden können. Findet dann ein doppelter Netzwerk-Scan statt? Also nur zur Sicherheit doppelt, man weiß ja nie. So findet man garantiert jeden Hacker und jedes Schadprogramm…

ThreatMetrix: Überwachungsprogramm für Online Shops

Garantiert nicht datenschutzkonform ist der Einsatz von ThreatMetrix in der geschilderten Weise, so scheint es mir eindeutig zu sein. Der Befund:

  • eBay setzt den Port Scanner ThreatMetrix ein, ohne nach einer Einwilligung zu fragen
  • eBay erklärt nicht einmal vernünftig (bzw. möglicherweise gar nicht), dass ThreatMetrix zum Einsatz kommt, um Ihr privates Computersystem zu durchleuchten
  • Bei der Bezahlung mit Klarna konnte ich ebenfalls keine direkten Hinweise über oder eine Einwilligungsabfrage für ThreatMetrix wahrnehmen
  • ThreatMetrix ist ein Produkt eines amerikanischen Unternehmens

So können Sie die Überwachungs Ihres Systems provozieren bzw. den Datenschutzvorfall reproduzieren:

  1. Vorsorglich: Schließen aller Browser
  2. Ggfs. alle Werbeblocker u.ä. deaktivieren
  3. Neustart Browser auf dem Desktop PC (Firefox, wahrscheinlich geht jeder andere Browser auch) – das Verhalten ist auch im Privatmodus des Browsers feststellbar!
  4. Löschen aller Cookies – es reicht wohl, wenn man die Cookies der Domäne ebay.de löscht
  5. Öffnen des Firefox Netzwerkmonitors mit Taste F12 und Anwahl des Karteireiters Netzwerkanalyse
  6. Aufruf ebay.de

In Ihrem Browser sollte sich ein Bild wie das folgende zeigen:

ThreatMetrix Port Scanner

ThreatMetrix wird von der Domäne online-metrix.net geladen. Kurz nach dem Laden wird der weiter obene gezeigte Port scan durchgeführt, dem man bei der Arbeit förmlich zusehen kann.

Datenschutzrechtliche Betrachtung

Ein Port-Scan ist nicht verhinderbar durch gängige Maßnahmen wie Werbeblocker oder die Firefox Datenschutzeinstellungen. Vielmehr müsste JavaScript deaktiviert werden, was die Funktionsfähigkeit zahlreicher Webseite erheblich einschränken würde.

Ein Port-Scan ist zudem ein Sicherheitsrisiko für den Besucher der Webseite, da nach Kenntnis offener Ports ein Angriff auf das System des Besuchers der Webseite durchgeführt werden kann (vgl. die konkrete Beschreibung einer Angriffsmöglichkeit auf https://medium.com/@stestagg/stealing-secrets-from-developers-using-websockets-254f98d577a0, wo auch beschreiben ist, wie so hochsensible Daten über einen offenen Port an Angreifer gelangen können).

Der Einsatz des Port-Scanners ohne Einwilligung widerspricht dem Art. 5 Abs. 1 c DSGVO (Datenminimierung) und dem Art. 5 Abs. 1 a DSGVO (Treu und Glauben).

Ferner kann ein Verstoß gegen Art. 44 DSGVO angeführt werden, weil Ihre personenbezogene Daten ohne Einwilligung in unsichere Drittländer geschickt werden.

Technische Betrachtung

ThreatMetrix hat sich Mühe gegeben, die kritischen Datentransfers zu verschleiern. Anscheinend soll niemand direkt erkennen können, wohin die Ergebnisse der Netzwerk-Analyse durch den Port Scanner geschickt werden.

Ich konnte das Script entschlüsseln und musste dafür nur wenige meiner Hacker-Kenntnisse aus früheren Tagen bemühen.

Der Quellcode des genannten Scripts ist verfremdet (obfuskiert) und zwar so, dass er länger ist (mehr Bytes hat) als für eine gewöhnliche Obfuskation eigentlich notwendig. Ziel kann hier nur sein, Tatbestände zu verschleiern. Beweis:

Das Script https://h.online-metrix.net/xxx  (xxx ist eine Identifikation, die zur Abrufzeit vergeben wird) hat einen Quellcode, in dem folgender Bestandteil enthalten ist:

td_5g.td_0W.push(function(){var td_2i= new  td_5g.td_2X("bf91bb1dae624a2c92fb0f4f5fa7b19b0A124D4111581E4B094B595C58085C06145F0316420F4C485B031518044116010E035843534C410A065E757B6752612A7D0F5E2601230D510052227226027F5755237D052626065D23210701052303530A07590D42016B0F515B14440E5D490B01561F420711420D0E0B695B505C0A530C0A5F00060305510356005455025F530051080007005702070405035600140D565C05070D50005E5357045152545C5A04520805045A0151595C54045150055509530555030005040257505200575F04035508530354055C075453540404575B5F06575656520C555153555500060C5A52005B0300");

Lädt man sich das ganze Script herunter und fügt nach dieser Anweisung eine Auswahl des Inhalts der Variable td_2i ein (mit dem JavaScript Befehl console.log(td_2i);), so erscheint als Ausgabe in der Konsole:

Entschlüsselte Übertragung im ThreatMetrix Port Scanner

Die in Variable td_d gespeicherte Adresse ist ein Tracking-Pixel.

In der Zeichenfolge ist also eine Aufrufadresse auf besagte Domäne online-metrix.net kodiert. Wie man sehen kann, ist der Originalquellcode (in obigen Screenshot in Variable td_c gegeben) mehr als dreimal zu lang wie der dekodierte Quellcode (in obigen Screenshot in Variable td_d gegeben). Hier darf Verschleierungsabsicht unterstellt werden. Einen anderen Grund, unnötigerweise einen längeren Datentransfer hinzunehmen, sehe ich nicht – zumal heutzutage die Ladezeit von Webseiten auf Hundertstelsekunden optimiert wird, um von Suchmaschinen besser bewertet zu werden (vgl. PageSpeed Insights von Google). Ferner zeigt eine Inspektion des Quellcodes, nachdem ebay.de geladen wurde, folgenden Code:

Auf ebay.de eingebundeter Code für ThreatMetrix

Die drei blau markierten Bereiche enthalten Codes mit Bezug zur Domäne online-metrix.net. Der Screenshot ist aus Platzgründen nicht vollständig. Die Reproduktion ist leicht möglich.

Der im Screenshot blau hinterlegte Bereich ist nur teilweise dargestellt. Klickt man darauf, wird u.a. folgender Code sichtbar (Fettdruck von mir):

         (tm.beacon = function (t, e, r, n) {
           var a = 'turn:aa.online-metrix.net?transport=',
             i = '1:' + e + ':' + r,
             c = {
               iceServers: [
                 { urls: a + 'tcp', username: i, credential: r },
                 { urls: a + 'udp', username: i, credential: r },
               ],
             };
           try {
             var o = new RTCPeerConnection(c);
             o.createDataChannel(Math.random().toString());
             var m = function () {},
               u = function (t) {
                 o.setLocalDescription(t, m, m);
               };
             'undefined' == typeof Promise || o.createOffer.length > 0
               ? o.createOffer(u, m)
               : o.createOffer().then(u, m);
           } catch (t) {}
         }), 

Auch ohne Programmierkenntnisse liegt anhand der fett unterlegten Codes die berechtigte Annahme sehr nahe, dass ein Datentransfer zu online-metrix.net stattfindet. Hierzu ist anzumerken, dass möglicherweise bei gescannten, nicht offenen Ports keine Rückmeldung erfolgt, bei als offen erkannten Ports möglicherweise aber schon.

Ich stelle mir die Frage, warum

  1. ein Code in einer Weise verschlüsselt wurde, die mehr Netzwerktransfer bedeutet als nötig wäre und zwar komischerweise genau an der Stelle, wo eine Referenz zu online-metrix.net zu finden ist,
  2. ein Code eingesetzt wird, der Web Beacons nutzt und zudem eine Anweisung enthält, die offenbar einen Datenkanal zu online-metrix.net öffnet

Zu Web Beacons siehe etwa den Wikipedia Artikel.

Fazit

Das Beispiel zeigt, wie wenig ernst eBay und Klarna die in Deutschland geltenden Datenschutzregeln zu nehmen scheinen. Um meine Aussage zu untermauern, möchte ich noch anführen, dass die deutsche Webseite von eBay weitere Datenschutzprobleme vorweist. Beispielsweise finden Datentransfers zu eBay USA statt, natürlich ohne nachzufragen. Auch die Einwilligungsabfrage von eBay, die für irgendwas gut zu sein scheint, erlaubt die Ablehnung quasi gar nicht. Vielmehr müssen Sie auf Mehr erfahren klicken, wenn Sie ablehnen wollen:

Merkwürdige Einwilligungsabfrage auf ebay.de (Stand: 18.03.2021)

Wollen Sie mehr erfahren bzw. ablehnen, was für eBay das gleiche zu sein scheint, kommen Sie weg von der ursprünglichen Seite. Sie erleiden also durch Ablehnen einen Nachteil. Das sieht das Gesetz so nicht vor, ist meine feste Überzeugung, die sicher bald durch ein Gericht bestätigt werden wird.

Nun zu Klarna. Auf der deutschsprachigen Webseite klarna.com/de wird der Google Tag Manager ohne Einwilligung geladen. Warum das nicht gut ist, zeigt meine Untersuchung. Dass Klarna den Dienst AB Tasty ohne Einwilligung lädt und damit einen Datentransfer in unsichere Drittländer zulässt, sei nur ergänzend erwähnt. Klarna scheint Datenschutzregeln grundsätzlich nicht besonders gut zu kennen, wie deren Einwilligungsabfrage vermuten lässt:

Einwilligungsabfrage auf klarna.com/de (Stand: 18.03.2021)

Wer findet den eindeutigen Rechtsverstoß hier? Wer nicht drauf kommt, kann mich gerne anschreiben.

Wer die Datenschutzerklärung von Klarna unter https://www.klarna.com/de/datenschutz/ aufruft, wird zudem von einem Google Werbetracker verfolgt.

Vielleicht kann dies als Motivation für andere dienen, die Plattformen und Dienstleistungen der genannten Unternehmen durch datenschutzfreundlichere Möglichkeiten abzulösen. Als Verbraucher können Sie selbst einen Unterschied machen und eBay meiden oder andere Bezahlmethoden als die von Klarna verwenden.

Schreiben Sie doch mal der Datenschutzbehörde, wenn Sie sich an den Praktiken der genannten Unternehmen stören.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Artikel 17 DSGVO-Gesetz: Recht auf Löschung (“Recht auf Vergessenwerden”)