Zum Inhalt springen Zur Navigation springen
Tracelo: Wenn der Tracker zum Getrackten wird

Tracelo: Wenn der Tracker zum Getrackten wird

Daten des Geolokalisierungsdienstes Tracelo sind kürzlich im Darknet aufgetaucht. In diesem Blogartikel analysieren wir den Vorfall und betrachten die damit verbundenen Datenschutzrisiken. Wir betrachten auch andere Tracking-Methoden wie App-Überwachung und die Verknüpfung von Social-Media-Posts und grenzen diese vom Tracelo-Fall ab.

Tracking by Tracelo: Ein Überblick

Die Sicherheit und der Schutz personenbezogener Daten sind zentrale Themen in der modernen digitalen Welt. Jedes Jahr werden die Daten von Millionen von Nutzern durch Sicherheitslücken und Cyberangriffe kompromittiert. Der jüngste Fall von Tracelo, einem Smartphone-Geolokalisierungsdienst, wirft erneut ernsthafte Fragen zum Datenschutz und zur Informationssicherheit auf.

Tracelo ist ein eher unbekannter Ortungsdienstleister und verspricht, den Standort einer Person durch einfache Eingabe ihrer Telefonnummer zu ermitteln. Das angebotene Tool soll vor allem für die Ortung von Familienmitgliedern oder anderen Personen konzipiert sein. Das Unternehmen verspricht, sich dabei jederzeit an ethische Praktiken zu halten. Trotz der Behauptungen einer verantwortungsvollen Ortung gibt es jedoch erhebliche Bedenken hinsichtlich der Transparenz des Dienstes, insbesondere was die Einholung der Zustimmung der betroffenen Personen betrifft.

Bei dem nun aufgedeckten Datenleck wurden die persönlichen Daten von über 1,4 Millionen Menschen auf einem bekannten Hackerforum veröffentlicht. Der Fall zeigt eindrucksvoll, wie sensibel und potenziell gefährlich der Umgang mit Standortdaten ist.

Analyse der Datenpanne

Zu den vom Hacker erfassten und veröffentlichten Daten gehören drei CSV-Dateien mit verschiedenen Daten und persönlichen Informationen von Kunden und Zielen.

Eine der veröffentlichten Dateien enthält die persönlichen Daten von über 640.000 Personen, deren Tracking Tracelo angeblich in Auftrag gegeben hatte. Dazu gehören Namen, Telefonnummern, Netzbetreiber und weitere Details. Dies verdeutlicht, wie weitreichend die Folgen eines solchen Dienstes sein können, wenn er in die falschen Hände gerät.

Zwei weitere Dateien enthalten die persönlichen Daten von fast 815.000 registrierten Tracelo-Benutzern. Darin enthalten sind Namen, physische Adressen, verschlüsselte Passwort-Hashes, E-Mail-Adressen und Google-ID-Nummern. Insbesondere die Google-ID-Nummern sorgen für ziemliches Aufsehen. Während die anderen Daten oft auch über soziale Medien oder im altmodischen Telefonbuch verfügbar sind, können diese Google-IDs missbraucht werden, um Personen über ihre Google-Aktivitäten, wie besuchte Orte und hinterlassene Bewertungen, zu verfolgen.

Der Datenschutz und die Sicherheitsrisiken beim Tracking

Der Fall Tracelo verdeutlicht die inhärenten Risiken von Diensten, die persönliche Standortdaten verfolgen. Obwohl Tracelo behauptet, dass die Verfolgung nur mit der ausdrücklichen Zustimmung der betroffenen Personen erfolgt, bleibt unklar, wie diese Zustimmung effektiv und transparent eingeholt wird.

Die Ironie dabei ist, dass keine Standortdaten der von Tracelo zu lokalisierenden Personen durchgesickert sind. Stattdessen sind nur solche Daten veröffentlicht worden, die die Ortung der Auftraggeber ermöglichen. Die Veröffentlichung ihrer persönlichen Daten, einschließlich physischer Adressen und Google-ID-Nummern, könnte schwerwiegende Folgen haben, von Identitätsdiebstahl bis hin zu physischen Bedrohungen.

Tracking und Datenschutz: Weitere Methoden und ihre Risiken

Neben Diensten wie Tracelo gibt es zahlreiche andere Methoden, mit denen Personen überwacht werden können. Dazu zählen unter anderem:

  1. App-Überwachung:
    Viele Apps sammeln kontinuierlich Standortdaten, selbst wenn sie im Hintergrund laufen. Mit diesen können Bewegungsprofile erstellt oder das Verhalten der Nutzer analysiert werden. Beispiele hierfür sind Fitness-Apps, die den Standort zur Berechnung von Laufstrecken nutzen, oder Social-Media-Apps, die den Standort nutzen, um Beiträge zu lokalisieren.
  2. Verknüpfung von Social-Media-Posts:
    Durch die Analyse von Posts auf Social-Media-Plattformen können Rückschlüsse auf den Standort einer Person gezogen werden. Tags, Fotos und Check-ins geben oft preis, wo sich jemand aufhält oder aufgehalten hat, was eine erhebliche Gefahr für die Privatsphäre darstellen kann.
  3. Airtags und andere Bluetooth-Tracker:
    Geräte wie Airtags von Apple nutzen Bluetooth-Technologie, um Gegenstände – und potenziell auch Personen – zu verfolgen. Diese Tracker können jedoch auch missbraucht werden, um Personen heimlich zu überwachen, indem sie ohne deren Wissen in deren Besitz gebracht werden.

Abgrenzung des Tracelo-Falls von anderen Tracking-Methoden

Der Fall Tracelo unterscheidet sich von den oben genannten Methoden hauptsächlich dadurch, dass er eine Person direkt allein anhand ihrer Telefonnummer verfolgt. Apps und Social-Media-Plattformen setzen in der Regel eine bewusste Nutzung und oft auch eine Einwilligung des Nutzers voraus. Tracelo geht noch einen Schritt weiter, indem es ein Tracking ohne App-Installation und theoretisch ohne echte Einwilligung ermöglicht.

Airtags und ähnliche Bluetooth-Tracker hingegen benötigen für ihre effektive Funktion physische Nähe, wohingegen Tracelo global agieren kann. Dies macht den Fall Tracelo besonders bedenklich, da hier ein Tracking über weite Distanzen möglich ist, ohne dass die Zielperson sich dessen bewusst sein muss. Ähnlich fragwürdig sind lediglich Spionage-Apps, die aber auch von der betroffenen Person zumindest theoretisch erkannt werden könnten.

Lehren aus dem Tracelo-Datenleck

Das Tracelo-Datenleck unterstreicht die Notwendigkeit eines erhöhten Bewusstseins und einer stärker kontrollierten Regulierung im Bereich Datenschutz. Insbesondere bei Diensten, die die Verfolgung von Einzelpersonen ermöglichen, stellt eine Vernachlässigung der Informationssicherheitsmaßnahmen ein erhebliches Datenschutzproblem dar. Sowohl Anbieter als auch Nutzer solcher Dienste müssen sich der Risiken bewusst sein und sicherstellen, dass die Informationssicherheit an erster Stelle steht.

Für Organisationen, die ähnliche Dienste anbieten, ist es von entscheidender Bedeutung, transparente und robuste Mechanismen zu implementieren. Nicht nur, um die Einwilligung der betroffenen Personen einzuholen, sondern auch um sicherzustellen, dass deren Daten sicher gespeichert und verarbeitet werden. Für Benutzer ist es wichtig, sich der potenziellen Risiken bewusst zu sein, die mit der Nutzung solcher Dienste verbunden sind.

In einer Welt, in der Daten das neue Öl sind, ist Informationssicherheit kein Thema, das vernachlässigt werden kann. Ganz im Gegenteil, muss die Informationssicherheit im Mittelpunkt aller digitalen Aktivitäten stehen. Genau hier setzt der Gesetzgeber nun an, es ist aber auch ein Punkt, den jeder Einzelne verstehen muss und der nicht nur auf rechtlicher Ebene durch DORA, NIS-2, CRA und Co. erreicht werden kann.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.