Montag, 11. März 2019

Mehr Sicherheit für gläsernere Kunden


2-Faktor-Authorisierung - so heißt das Zaubermodell, mit dem Online-Konten von Banken, social media oder Cloud-Lösungen noch sicherer werden sollen.

Wie nun bekannt wurde, kann die 2-Faktor-Authorisierung aber auch zu ganz anderen, unerwünschten Resultaten führen. Facebook z.B. nutzt für die 2-Faktor-Authorisierung neben dem normalen Login die Mobiltelefon-Nummer der Nutzer, die mittlerweile mit einiger Vehemenz "für mehr Sicherheit" abgefragt wird. Diese hat für den Konzern jedoch einen weiteren Vorteil, der den meisten Nutzern so nicht klar gewesen sein dürfte. Offenbar durchsucht Facebook die Kontaktkonten anderer Nutzer über seinen Dienst WhatsApp nach den Nummern, die sich nun plattformübergreifend einer bestimmten Person zuordnen lassen. Auf diese Weise kann z.B. "custom audiences" Werbung auch an Personen ausgespielt werden, die ihre Telefonnummer selbst nicht für Facebook freigegeben haben oder selbst gar kein Konto bei den Diensten haben. Es genügt, daß sie im Telefonbuch einer bei Facebook oder WhatsApp registrierten Person auftauchen. Die Interessen aller so verknüpften Personen lassen sich auswerten. Nach der DSGVO dürfte dieses Vorgehen rechtswidrig sein, da es gegen den Zweckbindungsgrundsatz bei der Datenerhebung verstößt. Wer die Sicherheit seines Kontozugriffs erhöhen will, rechnet nicht unbedingt damit, auch mit den Wohltaten personengebundener Werbung beglückt zu werden. Tut Facebook so etwas also tatsächlich? Eine Stellungnahme gegenüber Journalisten von Gizmodo.com lautete offenbar:
"...we use the information people provide to offer a more personalized experience, including showing more relevant ads.
Wer das nicht wolle, könne ja die - zugegebenermaßen recht versteckte - Möglichkeit der 2-Faktor-Authorisierung ohne Telefonnummer nutzen.


Links:
Datenschutzbeauftragter-Info
Heise News
Gizmodo-Artikel