6. Dezember 2011
Die Berichterstattung der letzten Tage, derzufolge womöglich mehr als 140 Mio. Handys systematisch überwacht und Nutzungsdaten an Dritte übermittelt worden sind, scheint sich glücklicherweise nicht zu bestätigen. Zu vorsichtigem Optimismus gibt jedenfalls ein aktuelles Interview mit dem Marketingverantwortlichen des in die Kritik geratenen Datenanalyse-Unternehmen Carrier IQ (CIQ) Anlass. In dem Interview werden die technischen Zusammenhänge klar gestellt und auf die Verantwortung der Gerätehersteller hingewiesen.
Denn bei den HTC-Geräten in den USA waren sensible Daten aus Nutzungsaktionen aufgezeichnet und im Klartext leicht zugänglich abgespeichert worden. Das entspricht aber nicht der ursprünglichen Funktionsweise und Implementierungsstrategie der CIQ-Software, sondern ist auf einen Eingriff des Geräteherstellers HTC in das Smartphone-Betriebssystem zurückzuführen.
Die CIQ-Software wird entweder direkt in das Betriebssystem des Smartphones eingebaut oder später von Mobilfunkbetreibern als sog. „third party application“ installiert. Im letztgenannten Fall kann die Software nicht direkt auf die für die Netzbetreiber gesammelten Daten zugreifen, sondern benötigt dafür eine spezielle Schnittstelle (API), über die die Daten an die CIQ-Software übergeben werden. Damit das funktioniert, muss der Geräthersteller – in diesem Fall HTC – das Betriebssystem des Smartphones entsprechend anpassen.
Die CIQ-Software selbst sorgt dafür, dass im Smartphone ein Logfile vorgehalten wird, dessen Inhalt zum einen ständig mit neuen Daten überschrieben wird und zum anderen verschlüsselt vorliegt und nur mit CIQ-Tools ausgewertet werden kann. Diese Daten sind für Mobilfunkbetreiber nur dann interessant, wenn ein Telefon abstürzt oder ein Gespräch abgebrochen wird, weil sie dann Aufschluss über mögliche Netzprobleme geben können. Dass auch SMS oder bestimmte Tastatureingaben mit überwacht werden, liegt daran, dass darüber bestimmte CIQ-Schnittstellen aktiviert werden, über die die Diagnose-Daten dann übermittelt werden. Inhalte von SMS würden dabei aber weder gespeichert noch weitergeleitet.
Glauben wir also erst mal an das Gute und gehen davon aus, dass hinter dem Einsatz der ICQ-Software keine bösen Absichten stehen?
Trotzdem wäre zu wünschen, dass der Handy-Nutzer
a) darüber informiert wird, dass und welche Daten gesammelt werden und er
b) selbst entscheiden kann, ob er dem zustimmt und Mobilfunkbetreiber bei der Überwachung und Optimierung ihrer Netzqualität unterstützen will.
Weitere Informationen:
Carrier IQ schiebt HTC die Verantwortung für Datenleck zu (heise.de)
Carrier IQ VP: App on millions of phones not a privacy risk (theregister.co.uk)
Carrier IQ denies responsiblity for insecure log files, suggests manufacturers are to blame (theverge.com)