Antivirus-Software

Update: Avast nimmt Stellung zum Verkauf von Nutzerdaten

Uhr
von dsc, Watson

Der Hersteller von Antivirus-Software Avast reagiert auf den Vorwurf, das Unternehmen verkaufe Nutzerdaten für Werbezwecke. Avast gebe fortan keine Daten mehr an seine Tochterfirma weiter. Und: Man halte sich freiwillig an die EU-DSGVO.

(Source: PIRO4D / Pixabay)
(Source: PIRO4D / Pixabay)

Update vom 29.1.2020: Avast bezieht Stellung zum Vorwurf, das Unternehmen habe Nutzerdaten an eine Tochterfirma verkauft: "Wir stellen sicher, dass Jumpshot keine persönlichen Daten wie Name, E-Mail-Adresse oder Kontaktdaten erhält, die eine Person identifizieren könnten", teilt das Unternehmen mit. Und weiter: "Wir halten uns freiwillig für alle Nutzer weltweit an die Datenschutzanforderungen der DSGVO und des California Consumer Privacy Act (CCPA)."

Das Hersteller von Antivirusprogrammen habe im Dezember "schnell gehandelt, um die Browser-Extensions zu aktualisieren." Nun sollen sie mit den Anforderungen der Browser konform sein. "Wir geben die durch Browser-Extensions gesammelten Daten nicht mehr an unsere Tochtergesellschaft Jumpshot weiter", schreibt ein Sprecher des Unternehmens.

Bisherige Nutzer hätten die Möglichkeit, der Weitergabe von Daten mit Jumpshot per Opt-out zu widersprechen. Seit Juli 2019 implementiere der Hersteller zudem ein Opt-in-Verfahren für alle neuen Downloads der Antivirus-Software. "Wir fordern alle bestehenden Nutzer unserer Gratis-Antiviren-Versionen auf, eine Opt-in- oder Opt-out-Wahl zu treffen. Dieser Prozess wird im Februar 2020 abgeschlossen sein", schreibt ein Avast-Sprecher und ergänzt: "Innerhalb unserer Produkte können unsere Nutzer auch ihre Privatsphäreneinstellungen anpassen - und dabei auch die Datenweitergabe ein- oder ausschalten."

Originalmeldung "Bekanntes Antivirus-Tool verkauft Surf-Daten an Google und Co" vom 28.1.2020:

Was ist passiert?

Das Antivirus-Programm Avast überwacht PC-User beim Surfen und eine Tochterfirma verkauft die anfallenden Browser-Daten zu Werbezwecken an Dritte. Laut aktuellen Berichten wurde auch der Online-Porno-Konsum erfasst. Zu den Firmen, die laut Recherchen von Motherboard (Vice) und PCMag womöglich für solche User-Daten bezahlten, gehören Google, McKinsey, Microsoft und Pepsi.

Gesammelt und verkauft wurden die Daten über die Avast-Tochterfirma Jumpshot, die 2013 von der tschechischen IT-Sicherheitsfirma übernommen worden war.

"Every search. Every click. Every buy. On every site", lautet das Werbeversprechen von Jumpshot, zu dem, was über die Avast-User gesammelt wurde.

"PC-Magazin" schreibt: "Avast sammelt die Browser-Historie der Benutzer unter dem Vorwand, dass die Daten 'entidentifiziert' wurden, um die Privatsphäre zu schützen. Die Daten, die an Dritte verkauft werden, können jedoch mit der wirklichen Identität von Personen verknüpft werden, so dass jeder Klick und jede Suche, die [die Kunden] gemacht haben, offengelegt wird."

Wer ist betroffen?

Potenziell alle Leute, die auf einem Computer surfen, auf dem das kostenlose Antivirus-Programm Avast installiert ist, bzw. früher mal installiert war (und unbemerkt lief).

Das sind Hunderte Millionen, wenn nicht Milliarden PC-User rund um den Globus. Das Unternehmen selbst gab zuletzt an, über 435 Millionen aktive User pro Monat zu haben.

Was für User-Daten wurden verkauft?

Höchst sensible und private Daten. Das vom Online-Medium Vice und von PCMag eingesehene Material enthielt angeblich Informationen zu:

  • Google-Suchen

  • Bestimmen von Standorten und GPS-Koordinaten auf Google Maps

  • Personen, die die LinkedIn-Seiten von Unternehmen besuchen

  • bestimmte YouTube-Videos

  • Personen, die Pornowebsites besuchen

"Vice" schreibt dazu: "Obwohl die Daten keine persönlichen Informationen wie z. B. die Namen der Benutzer enthalten, enthalten sie dennoch eine Fülle von spezifischen Browsing-Daten, und Experten sagen, dass es möglich sein könnte, bestimmte Benutzer zu deanonymisieren."

Wie verteidigen sich die angeprangerten Firmen?

Sie gehen in Deckung. Motherboard und PCMag kontaktierten über zwei Dutzend Unternehmen, die in internen Dokumenten (der Avast-Tochter Jumpshot) erwähnt werden. Nur eine Handvoll beantwortete Fragen, die sich auf die Browsing-Geschichte der Avast-User bezogen, und sagte, was sie mit den Daten machen.

Microsoft liess gegenüber Motherboard verlauten, dass es keine aktuelle Beziehung zu Jumpshot habe. IBM fand keinen Hinweis, Kunde von Avast oder Jumpshot zu sein. Und Google reagierte nicht auf eine Aufforderung zur Stellungnahme.

Ein anderes Unternehmen liess verlauten, die anonymisierten Browsing-Daten würden manchmal verwendet, um eigene Produkte und Dienstleistungen weiter zu verbessern. Dabei halte man sich strikt an die geltenden Gesetze.

Wie geht's weiter?

Bis vor kurzem sammelte Avast die Browsing-Daten über ein Browser-Plugin des Unternehmens, das die User vor verdächtigen Websites warnen sollte. Nach Hinweisen von Sicherheitsforschern entfernten die Browserhersteller Mozilla, Opera und Google diese Erweiterungen von Avast.

Doch das Datensammeln ging weiter, wie Motherboard und das PCMag berichten. Anstatt die Informationen über ein an den Browser angeschlossenes Add-on zu sammeln, machte Avast dies über die Antiviren-Software selbst.

Erst letzte Woche habe Avast laut einem internen Dokument begonnen, seine bestehenden Gratis-Antivirus-Kunden aufzufordern, der Datenauswertung zuzustimmen.

Dieser Artikel erschien zuerst am 27. Januar 2020 auf watson.ch.

Webcode
DPF8_167773

Kommentare

« Mehr