- Ein Brief an das Büro des US-Senators Ron Wyden enthüllte Eskimi als Quelle für sensible Standortdaten von US-Militär- und Geheimdienstmitarbeitern. Eskimi, ein litauisches Ad-Tech-Unternehmen, lieferte Daten an Datastream Group, die diese an verschiedene Kunden verkaufte. Die Daten umfassten 3,6 Milliarden Standortkoordinaten und basierten auf bis zu 11 Millionen mobilen Werbe-IDs. Eskimi bestreitet eine direkte geschäftliche Beziehung zu Datastream Group und betont, kein Datenhändler zu sein. Wyden und die litauische Datenschutzbehörde untersuchen die nationalen Sicherheitsauswirkungen des Datenhandels.
Im vergangenen Jahr gab es aufschlussreiche Neuigkeiten über einen Datendienstleister aus Florida namens Datastream Group, der höchst sensible Standortdaten verkaufte, mit denen das Verhalten von US-amerikanischen Militär- und Geheimdienstmitarbeitern im Ausland nachverfolgt werden konnte. Damals blieb die Quelle dieser Daten noch im Dunkeln. Nun jedoch, hat ein Brief, der an das Büro des US-Senators Ron Wyden gesendet wurde und von einem international tätigen Journalistenkollektiv, darunter WIRED und 404 Media, beschafft wurde, enthüllt, dass die endgültige Quelle der Daten Eskimi war, ein bisher wenig bekanntes litauisches Unternehmen aus der Ad-Tech-Branche.
Die Rolle von Eskimi im Datendschungel
Eskimis Agieren beleuchtet eindrucksvoll die undurchsichtige und vielschichtige Struktur der Standortdaten-Industrie: Ein litauisches Unternehmen lieferte Daten über US-Militärangehörige in Deutschland an einen Datenhändler in Florida, der diese theoretisch an jedermann verkaufen könnte. Wie Zach Edwards, leitender Sicherheitsanalyst bei der Cybersicherheitsfirma Silent Push, betont, bestehen weltweit innere Bedrohungsrisiken durch unbekannte Werbeunternehmen, die ihre Zugriffsrechte missbrauchen, um höchst sensible Daten an Datenmakler zu verkaufen. Diese wiederum verkaufen diese Informationen weiter an staatliche und private Einrichtungen.
Im Dezember untersuchten WIRED, Bayerischer Rundfunk (BR) und Netzpolitik.org eine kostenlose Stichprobe von Standortdaten, die Datastream zur Verfügung stellte. Die Untersuchung legte offen, dass Datastream Zugang zu den exakten Standortdaten von Geräten anbot, die wahrscheinlich US-amerikanischen Militär- und Geheimdienstmitarbeitern im Ausland gehörten – einschließlich bei deutschen Luftwaffenstützpunkten, von denen angenommen wird, dass sie US-Atomwaffen lagern. Datastream, ein bekannter Datenbroker, bezog Daten von verschiedenen Anbietern und verkaufte sie an seine Kunden.
Enthüllungen durch den intensiven Austausch
Die Datensätze umfassten 3,6 Milliarden Standortkoordinaten, die unter Umständen im Millisekunden-Bereich protokolliert wurden, basierend auf bis zu 11 Millionen mobilen Werbe-IDs in Deutschland über einen Zeitraum von einem Monat. Diese Daten wurden vermutlich über SDKs (Software-Entwicklungskits) gesammelt, die in mobilen Apps von Entwicklern eingebettet waren, die bewusst Tracking-Tools integrierten, um in den Genuss von Umsatzerlösbeteiligungen mit Datenhändlern zu kommen. Infolge dieser Berichterstattung verlangte Wydens Büro von Datastream Group Aufklärung über deren Rolle beim Handel mit den Standortdaten von US-Militärpersonal.
Als Reaktion identifizierte Datastream Eskimi als seine Quelle und erklärte, die Daten “rechtmäßig von einem angesehenen Drittanbieter, Eskimi.com,” erhalten zu haben. Vytautas Paukstys, CEO von Eskimi, erklärte, dass Eskimi keinerlei geschäftliche Beziehung zu Datasys/Datastream Group unterhalte und Eskimi “kein Datenhändler” sei. Laut einem Rechtsanwalt der Datastream Group, M. Seth Lubin, stammten die Daten rechtmäßig von einem Dritten und seien primär für digitale Werbung gedacht gewesen, nicht jedoch für den Wiederverkauf.
Reaktionen von Behörden und weiteren Beteiligten
Obwohl das US-Verteidigungsministerium (DOD) spezifische Fragen nicht beantwortete, erklärte DOD-Sprecher Javan Rasnake im Dezember, dass bekannt ist, dass Geolokalisierungsdienste das Personal gefährden könnten, und betonte die Bedeutung der Einhaltung von Sicherheitsprotokollen. In der Zwischenzeit kontaktierte Wydens Büro sowohl Eskimi als auch Litauens Datenschutzbehörde (DPA), um Bedenken hinsichtlich der nationalen Sicherheitsauswirkungen des Verkaufs von Standortdaten durch ein litauisches Unternehmen zu äußern. Es dauerte bis Januar, bis die DPA schließlich reagierte und weitere Informationen anforderte, um die Situation weiter zu bewerten.
Diese Maßnahmen verdeutlichen die Komplexität und die weitreichenden Implikationen, die die Sammlung und der Handel sensibler Daten haben können. Während sich die rechtlichen und politischen Mühlen, bedingt durch internationale Zusammenarbeit und behördliche Untersuchungen, langsam aber hoffentlich sicher drehen, bleiben die Risiken der Datenweitergabe an Dritte für sensiblen Einsatz weiter bestehen.
