Tech

Facebook empfiehlt eine Datenschutz-App, die dem Konzern jede Menge Daten liefert

Eigentlich schützt Onavo Nutzer, die im offenen WLAN surfen. Doch das Programm liefert auch persönliche Informationen an den Mutterkonzern Facebook – laut Onavo dient das nur dazu, die App noch sicherer zu machen.
19 März 2018, 12:05pm
Bild: imago

Wer häufig in Cafés oder am Flughafen surft, für den sind Virtual Private Networks (VPN) eine willkommene Sache: VPN bieten ein Mehr an Sicherheit in öffentlichen WLAN, sind leicht zu installieren und billig zu haben. Auch Facebook empfiehlt seinen deutschen Nutzern seit kurzem einen VPN, den 2013 aufgekauften "Onavo Protect". Mit der App sollen Nutzer leichter kontrollieren können, wie viele mobile Daten sie beim Surfen verbrauchen und zugleich einen besseren Schutz vor "bösartigen Webseiten" bekommen.

Das verspricht zumindest die Produktbeschreibung auf der Webseite. Und auch wenn das Firmenmotto durchaus ansprechend klingt – "Onavo Protect schützt Sie und Ihre Daten – wo immer Sie sich aufhalten", ist Onavo eine App, die erstaunlich viele Daten aufzeichnet. Mehr als bei vielen anderen VPN eigentlich üblich. Mehrere Medien haben inzwischen über die Datensammelwut von Onavo berichtet und warnen vor der Nutzung der App.

Denn statt den Nutzer zu schützen, macht die App das Gegenteil: Das Programm analysiert das Surfverhalten seiner Nutzer vergleichsweise präzise und umfassend. Zu den abgegriffenen Daten gehören unter anderem: Geräteinformationen, Standortdaten, E-Mail-Adressen, Kontaktdaten sowie auf dem Gerät installierte Apps.

Dass ein VPN, eine Art virtueller Tunnel, das den Nutzer vor Lauschangriffen schützen soll, das Surfverhalten mitloggt, ist erstmal nichts Besonderes. Da der VPN die Verbindungen eines Nutzers über einen gesonderten Pfad steuert, registriert er automatisch, welche Seiten der Nutzer besucht. Wie üblich bei einem VPN schützt Onavo alle vom Nutzer übertragenen Daten, in dem das Programm sie gesondert verschlüsselt. Das kann besonders in einem offenen W-Lan vor Angreifern schützen. Die Inhalte, die ein Nutzer ansurft, kann Onavo dabei nicht einsehen; auch übertragene Daten wie Passwörter oder Chat-Nachrichten werden nicht aufgezeichnet.

Doch im Gegensatz zu anderen VPN, die Wert auf Privatsphäre legen und die geloggte Daten nicht oder nicht lange speichern, leitet "Onavo Protect" die Daten an den Mutterkonzern Facebook weiter – das Netzwerk kann damit auch per mobilem iOS noch mehr über die Menschen hinter den Facebook-Accounts erfahren.

App sammelt Daten auch, wenn sie ausgeschaltet ist

Als Begründung heißt es dazu in Onavos Privatsphäre-Regelungen relativ offen: "Um unseren Dienst möglich zu machen, erfassen wir deinen kompletten mobilen Datenverkehr." Diese Daten können dann mit Dritten und "Partnern" geteilt werden, solange Onavo das dem Nutzer mitteilt oder, "in begrenztem Maße", wenn es den Richtlinien entspricht.

Pikant: Die Firma darf Facebook auch Informationen zustecken, welche anderen Programme der betroffene User auf dem Handy hat und wie er sie nutzt. Zum Beispiel die Apps der Konkurrenz: So hatte das Wall Street Journal bereits im vergangenen Herbst herausgefunden, dass Facebook über die "Schutz"-App Onavo mehr darüber erfahren kann, wie und wie lange User konkurrierende Dienste wie Snapchat nutzen.

Laut einer aktuellen Analyse des IT-Sicherheitsxperten Will Strafach geht "Onavo Protect" sogar noch weiter. Wie Strafach auf der US-Webseite Medium schreibt, untersuchte er den Quellcode der iPhone-Version von Onavo und fand weitere Auffälligkeiten: So soll Onavo nicht nur die An- und Ausschaltzeiten des Bildschirms (und damit die mögliche Schlafenszeiten des Nutzers) registrieren und an Facebook weiterleiten, sondern auch das verbrauchte Datenvolumen im WLAN oder Mobilnetz – selbst dann, wenn der VPN ausgeschaltet ist. Strafach nannte das Verhalten der App "bedenklich".

Auf Nachfrage des Online-Magazins TechCrunch erklärte ein Onavo-Vertreter: "Onavo schützt Nutzer genau wie andere VPN vor gefährlichen Websites. Um die Taktiken von Angreifern zu analysieren, kann die App dabei auch den mobilen Datenverkehr aufzeichnen", erklärte der Onavo-Produktmanager Erez Naveh. Laut Naveh helfe dies, das Programm besser für zu machen. "Wir informieren unsere Nutzer vor dem Download darüber, wie wir ihre Daten analysieren."

Facebook rührt die Werbetrommel für die datenhungrige App

War die App lange Zeit nur für US-Bürger verfügbar, taucht sie seit kurzem auch bei deutschen Nutzern im App Store oder Play Store auf. Dort wird sie beworben mit dem Schutz privater Informationen "vor bösartigen Webseiten, Phishing- und unsicheren mobilen Webseiten, die Ihre privaten Informationen einsehen und teilen können." Über die Weiterleitung sensibler Nutzerdaten machen die App-Betreiber keinen Hehl: "Weil wir ein Teil von Facebook sind, nutzen wir diese Informationen, um Facebooks Produkte und Dienstleistungen zu verbessern."

Auch das Mutterunternehmen Facebook bewirbt Onavo in den Facebook-Apps selbst, sowohl in der klassischen Version als auch in der neuen Android-App Facebook Lite. In dieser als "datensparsam" beworbenen Version der Facebook-App wird "Onavo Protect" unter Einstellungsmenü/ Mobile Daten ausdrücklich empfohlen.

Dass "Onavo Protect" gar nicht den Schutz und die Privatsphäre bietet, die sie verspricht, macht sich allmählich auch bei Nutzern breit. So kommentiert ein User im offiziellen iPhone App Store die deutsche Onavo-Version mit den Worten: "Mal im Ernst. Was bringt einem ein VPN wenn IP Logs mitgeschrieben werden? Man hat mit dieser App überhaupt gar kein Schutz."

Gute VPNs gibt es zuhauf, allerdings kosten sie zumeist Geld: Zwischen 5 und 10 Dollar muss man für einen echten Privatsphäre-Schutz mindestens berappen. Beim Kauf sollte man darauf achten, dass der VPN keine Browserdaten speichert. Im Idealfall weist der VPN allen Nutzern denselben IP-Adresspool zu, so dass keine IP zweifelsfrei einer Person zugeordnet werden kann.