Original-URL des Artikels: https://www.golem.de/news/wlan-tracking-ab-juli-2019-will-londons-u-bahn-smartphones-verfolgen-1905-141456.html    Veröffentlicht: 23.05.2019 13:02    Kurz-URL: https://glm.io/141456

WLAN-Tracking

Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen

Für bessere Statistiken geht Transport for London einen gewagten Schritt. Die Behörde wird alle angemeldeten Geräte anhand der MAC-Adresse verfolgen, um mit den so erhobenen Daten Fahrgastströme besser zu verstehen und etwa vor Überfüllungssituationen zu warnen.

Londons für den Verkehr zuständige Behörde Transport for London (TfL) plant ab dem 8. Juli 2019, alle Smartphones über die WLAN-Schnittstelle zu verfolgen. Die dem Bürgermeister direkt unterstehende Behörde wird dafür das technische Merkmal ausnutzen, dass alle WLAN-Schnittstellen über eine sogenannte MAC-Adresse verfügen, mit der sie innerhalb des WLANs identifiziert werden können. Im Netzwerk werden die Datenpakete entsprechenden Adressaten zugeschickt.

Der Plan der TfL entfremdet dieses technische Netzwerkmerkmal für andere Zwecke. Da die MAC-Adresse eindeutig ist, lässt sie sich gut für die Verfolgung der Fahrgäste nutzen. Zwar ist eine MAC-Adresse nicht in Stein gemeißelt, doch nur relativ wenige Fahrgäste dürften sich damit so gut auskennen, dass sie die potenziellen Schwierigkeiten korrekt einschätzen können. Technisch dürfte TfL an jedem WLAN-Access-Point die MAC-Adresse abgreifen und daraus Bewegungsprofile beispielsweise innerhalb der U-Bahn erzeugen. Betroffen sind nur Geräte, die sich mit dem WLAN einmal verbunden haben.

TfL versichert, dass es nicht möglich sein werde, die Bewegungsprofile später mit anderen Daten zu kombinieren und dann Personen zu identifizieren. Möglich wäre das prinzipiell durchaus, wenn ein Angreifer weitere Daten hat, zum Beispiel eine Videoaufnahmen. Steigt eine MAC-Adresse etwa auf der Jubilee-Line an einer wenig genutzten Station ein, wäre das sogar auf Sicht ein Leichtes. Man braucht nur den Timecode, um die richtige Stelle im Videomaterial zu finden und ordnet dann ein Gesicht der MAC-Adresse zu.

Pseudonymisierung statt Anonymisierung

TfL spricht dementsprechend von "depersonalised Wi-Fi connection data" die in 260 U-Bahn-Stationen des Netzes aufgenommen werden. Dies wird ergänzend zu den Daten genutzt, die etwa über das Oyster-E-Ticket-System erhoben werden. Das E-Ticket-System hat allerdings einen entscheidenden Nachteil. Es kann nur das Betreten und Verlassen von Bahnhöfen erfassen, nicht aber die tatsächliche Bewegung innerhalb des Netzes. Gerade das dichte Londoner U-Bahn-Netz erlaubt unterschiedliche Wege zwischen zwei Zielen. Diese Wege, insbesondere die Umstiege, lassen sich per WLAN besser erkennen. Mehr noch: Selbst die Wegführung innerhalb der Bahnhöfe interessiert TfL.

In der Pressemitteilung wird suggeriert, dass sämtliche Geräte mit aktivem WLAN verfolgt werden. Auf einer speziellen Seite erklärt die TfL-Behörde aber genauer, wie das System funktioniert. Es werden vorbildlich viele Informationen mit den Anwendern geteilt, die auch nicht Fachkundigen eine bessere Beurteilung der Lage erlauben. So werden tatsächlich nur Geräte verfolgt, die sich im WLAN der U-Bahn-Stationen angemeldet haben. Smartphones, Tablets oder Notebooks, die nur das WLAN scannen, werden zwar auch erkannt, doch die Daten werden sofort verworfen.

TfL geht zum WLAN-Tracking ins Detail

Die erhobenen Daten würden gleich zu Beginn pseudonymisiert, verspricht die TfL. Dazu wird die MAC-Adresse mit einem Salt als Zufallskomponente gehasht, so dass sie nicht mehr dem ursprünglichen Gerät zugeordnet werden kann. Allerdings bleibt dieser Wert eine eindeutige ID. Unklar ist, ob zumindest tageweise mit einer Zufallskomponente diese IDs abgeändert werden. Derzeit sieht es danach nicht aus. Da die Daten für insgesamt zwei Jahre vorgehalten werden, bleibt demzufolge bei fester ID ein äußerst klares Bewegungsprofil, dem nur noch ein Nutzer zugeordnet werden muss.

Damit bleibt die Möglichkeit prinzipiell erhalten, dass die ID mit anderen Daten kombiniert werden, wie wir es bereits anhand des Videobeispiels skizziert haben. Auch andere Wege bleiben denkbar, etwa die Kombination mit Oyster- oder Kreditkartendaten, die an ein Eingängen genutzt werden. Die erhobenen Daten sind also nur pseudonymisiert, nicht aber anonymisiert.

Getestet wurde das System bereits kurzzeitig im Jahr 2016. Dabei stellte TfL bereits fest, dass zwischen den Stationen King's Cross St Pancras und Waterloo die Fahrgäste 18 unterschiedliche Routen verwenden. Nur 60 Prozent der Fahrgäste verteilten sich auf die beiden beliebtesten Wegführungen. In einem insgesamt 45 Seiten umfassenden Dokument hat TfL die Ergebnisse des Tests samt der Anstrengungen rund um den Datenschutz veröffentlicht. Die Lektüre ist an sich empfehlenswert, da dort die Macht der WLAN-Daten gut demonstriert wird, die vielen Fahrgästen nicht bewusst sein dürfte. Gerade im Vergleich zu den Daten des Oyster-Systems steigt die Präzision enorm.

Fahrgäste sollen profitieren

Noch vor dem Jahresende sollen Fahrgäste der U-Bahn die Ergebnisse der Daten selbst nutzen können. TfL plant eine Anzeige von überfüllten Stationen oder Wegen. Diese Dateninterpretationen werden zudem über eine API anderen Entwicklern bereitgestellt. Die pseudonymisierten Rohdaten darf hingegen nur ein kleiner Kreis der TfL-Beschäftigten sehen, die in Sachen Datenschutz geschult wurden. Ferner ist geplant, mit den Daten Werbetreibenden die Attraktivität bestimmter Standorte zu belegen. TfL will damit höhere Einnahmen erreichen. Auch soll einen Hinweis auf allen Stationen geben, dass die WLAN-Daten verwendet werden.

Wer Bedenken hinsichtlich der Datenerhebung hat und deshalb nicht mitmachen möchte, sollte sein WLAN in U-Bahnen abschalten. In Londons U-Bahnen gibt es nämlich häufig keinen Mobilfunkempfang. Zu beachten ist dabei, dass nicht alle Smartphones bei deaktiviertem WLAN auch tatsächlich das WLAN abschalten.

Wer sich weitergehend für WLAN-Tracking und die rechtlichen Implikationen interessiert, dem empfehlen wir unsere ausführliche Analyse WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?  (ase)


Verwandte Artikel:
Süwex: WLAN im Regionalzug wird gut angenommen   
(21.05.2019, https://glm.io/141409 )
Europawahlen: Bundeszentrale will Wahl-O-Mat nachbessern   
(23.05.2019, https://glm.io/141471 )
Gerichtsverfahren: BMW gibt Daten für Bewegungsprofil von Drive-Now-Nutzer frei   
(22.07.2016, https://glm.io/122272 )
Werbenetzwerke: Weitere DSGVO-Untersuchung gegen Google gestartet   
(23.05.2019, https://glm.io/141468 )
Tracking: Smartphones anhand ihrer Sensoren verfolgen   
(23.05.2019, https://glm.io/141464 )

© 1997–2019 Golem.de, https://www.golem.de/