Süddeutsche Zeitung

iPhone-App:Facebook bezahlte Teenager dafür, sich überwachen zu lassen

  • Facebook zahlte iPhone-Nutzern bis zu 20 Dollar pro Monat, damit diese eine App installierten, die Daten an Facebook übermittelte.
  • Das angebliche "Forschungsprogramm" zielte auch auf minderjährige Teenager ab.
  • Teilnehmer erteilten Facebook weitreichende Zugriffsrechte und gaben einen Teil ihrer Privatsphäre preis.
  • Facebook hat das Programm zumindest unter iOS gestoppt, lässt jedoch viele Fragen unbeantwortet.

Von Simon Hurtz

Es ist scheinbar leicht verdientes Geld: Bis zu 20 Dollar im Monat für ein paar Klicks, jede erfolgreiche Weiterempfehlung bringt denselben Betrag obendrauf. Mit diesem Angebot lockte Facebook jahrelang Nutzer, eine "Forschungs-App" zu installieren - vor allem für Teenager eine willkommene Möglichkeit, sich mit geringem Aufwand das Taschengeld aufzubessern.

Was vermutlich nur ein Bruchteil der 13- bis 35-jährigen Teilnehmer wusste: Sie verkauften ihre Privatsphäre. Mit der App, die sie installierten, gaben sie Facebook nahezu unbegrenzten Zugriff auf ihr Smartphone. Teilweise forderte Facebook sie sogar auf, Screenshots ihres Amazon-Bestellverlaufs zu machen und einzuschicken. In einer ersten Reaktion auf die Enthüllung von Techcrunch verteidigte Facebook die Praxis. Wenige Stunden später teilte das Unternehmen mit, das Programm für Apple-Nutzer zu beenden.

Der IT-Sicherheitsexperte Will Strafach hat die App untersucht, die Facebook den Teilnehmern aufdrängte. Für Techcrunch listete er auf, welche Daten das Unternehmen mit den von der App geforderten Zugriffsrechten fortlaufend sammeln könnte: private Nachrichten von Social-Media-Apps, Chatverläufe von Messengern inklusive Fotos und Videos, E-Mails, Web-Suchen, Browserläufe und Standortdaten. "Das ist das dreisteste Verhalten eines App-Entwicklers, das ich jemals gesehen habe", schreibt Strafach auf Twitter. Er sei sprachlos und "komplett geplättet", dass Facebook offenbar glaubte, damit davonzukommen.

Es ist unklar, welche Daten Facebook genau sammelte. Auf eine entsprechende Frage ging das Unternehmen nicht näher ein. Der SZ sagte ein Facebook-Sprecher nur, dass der Techcrunch-Bericht wichtige Fakten unterschlage. Entgegen der Anschuldigung sei es kein "geheimes" Programm gewesen und habe Nutzer nicht ausspioniert. Demnach hätten diese bei der Anmeldung ausdrücklich eingewilligt, dass Daten gesammelt werden. Weniger als fünf Prozent der Teilnehmer seien minderjährig gewesen, Facebook habe die Zustimmung der Eltern eingeholt.

Strafach hält Teile des ersten Statements, das Facebook Techcrunch gab, für "Bullshit erster Güte": Facebook habe Nutzer nicht ausreichend informiert, dass sie dem Unternehmen weitreichende Zugriffsrechte erteilen. Die ursprüngliche Behauptung, das Forschungsprogramm verstoße nicht gegen Apples Bedingungen für Entwickler, sei eine eindeutige Lüge. Die meisten Nutzer seien gar nicht in der Lage zu verstehen, worauf sie sich einließen, sagte Strafach: "Es gibt keinen guten Weg auszudrücken, wie viel Macht man Facebook damit gibt, wenn man zustimmt."

Für Facebook sind die Daten Milliarden wert

Facebooks Vorgehen erinnert an einen Vorfall im vergangenen August. Damals zwang Apple Facebook, eine ähnliche App aus dem Apple-Store zu entfernen. "Onavo Protect - VPN Security" lockte Nutzer mit dem Versprechen auf mehr Privatsphäre: "Onavo Protect hilft dabei, dich und deine Daten zu schützen". Auf den ersten Blick war sie nicht als Facebook-App zu erkennen. Tatsächlich sammelte das von der Onavo-App aufgebaute Virtual Private Network (VPN) jedoch Nutzungsdaten und schickte sie an Facebook.

Für Facebook waren diese Information vermutlich Milliarden wert. Es nutzte die Daten um herauszufinden, wofür sich Menschen interessieren und wie sie kommunizieren. Onavo zeichnete nicht nur die besuchten Webseiten auf, sondern sendete auch Informationen darüber, welche Apps die Nutzer installiert hatten. Diese Erkenntnisse halfen Facebook, um langfristige strategische Entscheidungen zu treffen.

Unter anderem sollen die Daten von Onavo maßgeblich zu Zuckerbergs Entscheidung beigetragen haben, Whatsapp zu kaufen. Damals kritisierten viele Analysten den hohen Preis von etwa 20 Milliarden Dollar. Heute ist der Messenger ein Vielfaches davon wert und gilt neben Instagram als Facebooks wichtigste Übernahme.

Nach Apples Ansicht verstieß Onavo gegen die Richtlinien seines App-Stores - aber für Facebook sind die Informationen offenbar zu wertvoll, um ganz darauf zu verzichten. Um mit seiner "Forschungs-App" dennoch weiter Daten sammeln zu können, machte sich Facebook sogenannte Beta-Programme zunutze, die es Entwicklern ermöglichen, Apps mit erweiterten Zugriffsrechten außerhalb des Apple-Stores anzubieten. Teilnehmer installierten dabei Sicherheitszertifikate, die eigentlich nur für Unternehmensmitarbeiter gedacht sind. Apples Nutzungsbedingungen verbieten es, normale Nutzer dafür zu rekrutieren. Wenn sie Beta-Apps testen wollen, können Entwickler auch das offizielle Apple-Programm Testflight nutzen. Doch dort prüft Apple die Apps vorab, so wie es auch im offiziellen App-Store geschieht.

Facebook verzichtete auf diese Möglichkeit und wich auf die Beta-Programme für Entwickler aus. Das Unternehmen warb etwa auf Instagram und Snapchat um minderjährige Nutzer. Anzeigen richteten sich an 13-17-jährige Teenager, die an einer "bezahlten Social-Media-Forschungs-Studie" teilnehmen sollten. Auf der Anmeldeseite wurde nicht erwähnt, dass Facebook dahintersteckte.

Teilnehmer willigten unter anderem ein, dass Facebook auf installierte Apps und Details über deren Nutzung zugreife. Das umfasste auch Inhalte, die erstellt und gesendet werden, wenn Nutzer mit den Apps interagieren - teilweise sogar, wenn die Apps diese Inhalte verschlüsseln. Wer die in Aussicht gestellte Belohnung von 20 Dollar kassieren wollte, musste eine VPN-Verbindung aufbauen und fortlaufendend aufrechterhalten.

"Ich bleibe dabei, dass Facebook ein kriminelles Unternehmen ist"

Facebook sagt, das Forschungsprogramm habe bereits seit 2016 existiert und sei keine Reaktion auf Apples Entscheidung gewesen, Onavo aus dem App-Store zu verbannen. Will Strafach bezweifelt das und sieht einen direkten Zusammenhang. Facebook habe die iOS-Version des Programms unmittelbar nach dem Ende von Onavo gestartet. Die neue VPN-App enthalte denselben Code, lediglich der Name und das Icon sei geändert worden. Auch die Daten landeten auf denselben Servern. Teilweise fänden sich sogar noch Namensverweise auf Onavo im Programmcode.

Apple teilte mit, dass Facebooks unrechtmäßig Enterprise-Zertifikate verwendet habe, um datensammelnde Apps an Nutzer zu verteilen. Deshalb habe Apple die Zertifikate zurückgezogen, sagte ein Sprecher. Facebook-Apps, die regulär im App-Store zu finden sind, bleiben aber unangetastet. Blogger John Gruber und iOS-Entwickler Marco Arment, beides angesehene Apple-Experten, sind sich einig, dass Facebook zu weit gegangen ist. Mit der App habe Facebook Apples Privatsphäre-Schutz den Krieg erklärt, schreibt Gruber. "Ich bleibe dabei, dass Facebook ein kriminelles Unternehmen ist, und ich übertreibe nicht."

Arment drückt es ähnlich drastisch aus. "Facebook schlägt Apple ins Gesicht, am helllichten Tag, die Welt kann dabei zusehen, weil es sich für unverwundbar hält". Er frage sich, ob Apple jemals zurückschlage. In den vergangenen Monaten hatte Apple-Chef Tim Cook Facebook mehrfach kritisiert und Privatsphäre als Menschenrecht bezeichnet. Das Verhältnis zwischen Cook und Zuckerberg gilt deshalb als angespannt.

Von Facebook wollte die SZ unter anderem wissen:

  • Warum wurden die Apps mittlerweile entfernt, obwohl Facebook in einer ersten Reaktion davon sprach, dass sie nicht gegen Apples Bedingungen verstoßen?
  • Welche Daten wurden konkret an Facebook übertragen?
  • Warum nutzte Facebook Zertifikate, die nur für eigene Mitarbeiter gedacht und nicht für normale Nutzer gedacht sind?
  • Wie viele Nutzer hatten die Apps, und wie viele davon waren Teenager unter 18 Jahren? Gab es auch Nutzer in Deutschland?
  • Die Praxis verstößt mutmaßlich gegen die DSGVO, die vorschreibt, Teenager eindeutig und unmissverständliche zu informieren, wenn Daten gesammelt werden. War sich Facebook dieses Verstoßes bewusst?

Zu diesen Fragen äußert Facebook sich nicht. In Googles Play Store ist Onavo nach wie vor verfügbar. Wer seine Privatsphäre wirklich schützen will, sollte zu einem anderen VPN greifen. Viele Webseiten mit VPN-Tests kassieren Provisionen für ihre Berichte, dementsprechend ist Vorsicht angebracht. Nur wenige kostenlose Produkte sind empfehlenswert. Die meisten vertrauenswürdigen Anbieter verlangen einige Euro pro Monat. Der Testbericht des Portals The Wirecutter bietet einen guten Überblick.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.4309502
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ.de/mxm
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.