WLAN-Tracking - Die Theorie
Sie laufen durch die Straßen, gehen in Läden, besuchen Cafes und jeder Ihrer Schritte wird nachverfolgt und aufgezeichnet. Dieses dystopische Szenario wird immer mal wieder an die Wand gemalt. Ein Baustein hierzu kann Ihr Smartphone und die dazugehörige WLAN-Funktion sein. Das sogenannte „WLAN-Tracking“, also das nachverfolgen eines Smartphones per WLAN, ist dabei nichts neues und präsent seit dem Smartphones weite Verbreitung gefunden haben.
Dieser Artikel skizziert wie WLAN-Tracking prinzipiell funktioniert. Er gibt einen Rückblick auf die Entwicklungen der letzten Jahre, den heutigen Stand der Technik und eine Einschätzung der Risiken.
Note: Dieser Artikel wird im Verlauf immer tiefgründiger. Lesen Sie einfach so weit, wie Sie der Artikel interessiert und Sie einen Mehrwert daraus für sich ziehen können.
Das Konzept hinter WLAN-Tracking
Jedes Smartphone besitzt eine einzigartige Identität. Das geht über die reine physische Einzigartigkeit hinaus und spätestens wenn man über einzigartige Merkmale wie die Seriennummer nachdenkt wird es offensichtlicher. Nicht jeder weiß allerdings, dass auch die Adresse welche zur Kommunikation über ein WLAN verwendet wird einzigartig ist. Jede dieser sogenannten MAC-Adressen wird nur einmal während der Herstellung eines netzwerkfähigen Gerätes vergeben und fest in das Gerät einprogrammiert. Dabei ist es gleich ob es sich um einen PC, eine netzwerkfähige Waschmaschine oder eben ein Smartphone handelt.
Damit erschließt es sich, wird die MAC-Adresse eine Gerätes per WLAN bekannt und kann ich diese Ereignisse verknüpfen, dann kann ich die Standorte des Gerätes nachverfolgen. Kenne ich idealerweise auch noch den Besitzer des Smartphones, dann kann ich die Nachverfolgung sogar mit einer persönlichen Identität verbinden.
Für die folgende Erklärung werden verschiedene Fälle skizziert:
-
Das WLAN Ihres Smartphones ist aktiv. Das Smartphone ist nicht per WLAN verbunden.
-
Das WLAN Ihres Smartphones ist aktiv. Das Smartphone ist per WLAN verbunden.
-
Das WLAN Ihres Smartphones ist nicht aktiv.
Das WLAN Ihres Smartphones ist aktiv. Das Smartphone ist nicht per WLAN verbunden
Dieser Fall dürfte der häufigste in der Praxis vorkommende sein, denn viele deaktivieren das WLAN Ihres Smartphones nicht. Gleich ob sie planen sich mit einem WLAN zu verbinden oder nicht.
Ist das WLAN Ihres Smartphones aktiv, dann hält dieses beständig nach WLAN-Netzwerken in der Umgebung Ausschau. Das geschieht zu einem, in dem es auf bestimmte Übertragungen der WLAN-Netzwerke lauscht, den sogenannten „Beacons“. Zum anderen sendet Ihr Smartphones aber auch ständig sogenannte „probe-requests“. Das sind, im übertragenen Sinn, Bitten das sich WLAN-Netzwerke welche die Nachricht empfangen doch melden mögen.
Der Vorteil aktiv probe-requests zu senden und nicht rein auf das passive lauschen zu vertrauen ist die Schnelligkeit WLAN-Netzwerke in der Umgebung zu erfassen. Im WLAN Jargon wird die aktive Erfassung von WLAN-Netzwerken auch „active scanning“ genannt, die passive Erfassung „passive scanning“.
Das WLAN Ihres Smartphones ist aktiv. Das Smartphone ist per WLAN verbunden.
Das jetzt beständig Nachrichten von und zu dem verbundenen WLAN-Netzwerk gesendet werden dürfte nachvollziehbar sein. Darüber hinaus wird aber weiterhin aktiv per probe-requests nach WLAN-Netzwerken gescannt. Daraus ergibt sich die Frage nach dem „wofür“? Die Antwort ist, dass wenn Geräte das WLAN-Netzwerk wechseln möchten, dies schneller und reibungsloser geschieht, wenn diese die potentiellen WLAN-Netzwerke in der Umgebung schon kennen.
Das WLAN Ihres Smartphones ist nicht aktiv
Jetzt könnte man meinen, dass die Auswirkungen dieses Falls eindeutig sind. Doch dem ist nicht so.
Auch in diesem Fall kann Ihr Smartphone weiterhin probe-requests sendet. Dahinter steckt jetzt aber der Standortdienst Ihres Smartphones. So gibt es bei Android-Smartphones eine Einstellung das Ihr Smartphone immer nach WLAN-Netzwerken Ausschau halten darf. Ferner verfügt z.B. Google über eine weltweite Karte in welcher die meisten existierenden WLAN-Netzwerke verzeichnet sind.
Durch die Ermittlung naheliegender WLAN-Netzwerke per probe request, der Empfangsstärke dieser und Triangulation kann Ihr Smartphone damit recht genau seinen Standort ermitteln, auch ohne GPS.
Notiz: Prüfen Sie am besten einmal unter Einstellungen -> Standort -> Standortdienste -> WLAN-Suche (Android 13) ob die derzeitige Einstellung für Sie die Richtige ist.
WLAN-Tracking per probe-requests
Es klingt schon aus den vorangegangenen Fällen durch, dass es das aktive Scannen durch probe-requests ist, welches hauptsächlich die Informationen preisgibt die das WLAN-Tracking ermöglicht. Am besten nachvollziehen kann man das durch die einzigartige MAC-Adresse. Ist diese einmal bekannt geworden, dann kann damit die Präsenz Ihres Smartphones nachverfolgt werden. Ob das jetzt nur temporär und örtlich begrenzt innerhalb eines Einkaufszentrums geschieht oder im größeren Maßstab, hängt jetzt davon ab inwieweit die Information über ein Smartphone, die MAC-Adresse und evtl. des Besitzers weitergegeben wird.
Notiz: „Hauptsächlich“, da natürlich auch eine existierende Verbindung zu einem WLAN-Netzwerk getrackt werden kann. Sprich haben Sie sich an einem WLAN-Netzwerk angemeldet und dabei evtl. sogar Anmeldeinformationen verwendet die einen Rückschluss auf Ihre Person erlauben, dann ist es sehr einfach Ihren Weg zu verfolgen. Oder noch einen Schritt weiter gedacht, dadurch kann die MAC-Adresse Ihres Smartphones mit Ihrer Person verknüpft werden. Wird diese Verknüpfung weitergegeben, dann kann Ihre persönliche Identität evtl. auch andernorts über WLAN fest gestellt werden.
Notiz: Eine andere Methode Daten über z.B. Kunden zu sammeln ist, eine App zu veröffentlichen. Neben potentiellem Nutzwert für den Kunden wie Sonderangebote, können solche Apps auch weitere Funktionen beinhalten, wie z.B. die regelmäßige Bekanntgabe der Präsenz eines Smartphones per Bluetooth oder das Auswerten von Ultraschallsignalen.
Historie
Das man mit der einzigartigen MAC-Adresse Smartphones prima nachverfolgen kann ist Unternehmen, Standardisierungsorganisationen wie IETF, IEEE und den Herstellern der Betriebssysteme von Smartphones nicht entgangen. So haben sich Unternehmen etabliert, welche Sensoren und Software bereitstellen, um Smartphones nachzuverfolgen und die Daten aufzubereiten. Und es gibt natürlich auch Kunden, welche diese Produkte nutzen. Und es gibt Apple und Google, welche seit iOS 8 und Android 8, so nach und nach Funktionen einbauen, um die Nachverfolgbarkeit zu erschweren.
So wurde programmiert das sich die MAC-Adresse bei jedem probe-request zufällig ändert, das MAC-Randomization. Experten wissen, dass die MAC-Adresse einen Anteil aufweisen, welcher den Hersteller eines Geräts identifiziert, die OUI (Organization Unique Identifier) und einen Anteil der meist bei der Produktion schlicht immer um eins erhöht wird. Das MAC-Randomization geschieht nun über alle Bits einer MAC-Adresse, inklusive des Herstelleranteils, exklusive zweier Statusbits (Quelle 2).
Ab iOS 10 und Android 10 wurde zusätzlich die MAC-Adresse immer dann zufällig geändert, wenn das Smartphone Verbindung zu einem neuen WLAN-Netzwerk aufnimmt. Sprich für jede Verbindung zu einem anderen WLAN-Netzwerk wird eine andere MAC-Adresse verwendet. Verbindet man sich zum gleichen WLAN-Netzwerk, dann bleibt die MAC-Adresse auch gleich.
Es gibt noch weitere Verbesserungen im Datenschutz dazu im nächsten Abschnitt mehr. Generell gilt aber, je moderner das Betriebssystem, um so weniger Informationen werden per WLAN preisgegeben.
Notiz: Eine übersichtliche Tabelle über die in iOS und Android programmierten Datenschutz-Funktionen bezüglich probe requests, findet sich im Paper „Probing for Passwords – Privacy Implications of SSIDs in Probe Requests“ (Quelle 3) auf Seite 5.
Notiz: Eigentlich will man ein Smartphone so lange wie möglich verwenden und viele tun das auch. Doch dem gegenüber stehen Sicherheitsrisken sowohl bezüglich potentielles „hacking“, als auch Datenschutz, wenn man veraltete Betriebssystemversionen verwendet. Die EU-Kommission will Smartphone-Hersteller nun gesetzlich verpflichten Betriebssystem-Updates für wenigstens 5 Jahre bereit zu stellen. Ein richtiger Schritt, welcher hoffentlich so oder in strengerer Form verabschiedet wird.
Stand der Technik
Das sich immer weniger Smartphones einfachst mit Ihrer einzigartigen MAC-Adresse tracken lassen wurde bemerkt, denn damit lässt naturgemäß die Nützlichkeit nach. Als Resultat wird nach Methoden Ausschau gehalten dem entgegen zu wirken.
Eine grundsätzliche Idee ist es, weitere Informationen aus den empfangenen probe-requests zu gewinnen. So können probe-requests Felder mit zusätzlichen Informationen enthalten, die Information-Elements (IE). Mit diesen gibt ein Smartphone an, über welche genaueren WLAN Fähigkeiten es verfügt. Damit können sich WLAN-Netzwerke passgenauer melden, bzw. schweigen wenn sie evtl. nicht kompatibel sind.
Über die verschiedenen Information-Elements ergibt sich eine Art Fingerabdruck eines Smartphones. Dieser Fingerabdruck erlaubt, innerhalb einer gewissen statistischen Unsicherheit, dass Wiedererkennen und somit das Tracken eines Smartphones (Quelle 4). Spätestens wenn ein Smartphone eine Liste von ihm bekannten WLAN-Netzwerken mitsendet, ist eine Wiedererkennung nahezu garantiert.
Dazu gibt es noch weitere nutzbare Möglichkeiten. So wird in WLAN-Nachrichten eine Sequenznummer mit gesendet. Wird diese nun tatsächlich immer mit jeder Nachricht einfach um eins erhöht, dann hilft eine MAC-Randomization nur bedingt zu verhindern das ein Smartphone getrackt wird.
Apple und Google haben nun ebenfalls für Ihre Betriebssysteme wieder nachgelegt. Es werden weniger Information Elements gesendet, nur in Ausnahmefällen Namen von bekannten WLAN-Netzwerken und die Sequenznummer wird für probe-requests ebenfalls zufällig verändert.
Man kann jetzt aber auch das WLAN-Tracking wieder verfeinern, indem man noch zeitliche Muster für die Wiedererkennung hinzuzieht (Quelle 5). So senden Smartphones ihre probe-requests über die verschiedenen WLAN-Frequenzen gerne zeitlich direkt nacheinander, danach wird pausiert, dann kommt die nächste Serie von probe-requests. Solche zeitlichen Muster lassen sich nun ebenfalls auswerten, wenn es darum geht verschiedene Smartphones zu unterscheiden.
Man kann ebenfalls die Empfangssignalstärke der einzelnen WLAN-Nachrichten auswerten. Diese ändert sich eher kontinuierlich, da die Träger der Smartphones sich mit endlicher Geschwindigkeit bewegen. Somit kann die Empfangssignalstärke ebenfalls als Information genutzt werden, um einzelne Smartphones zu unterscheiden.
Oder man kann all diese Methoden kombinieren. Nach einer Studie (Quelle 6) wurde damit eine Wahrscheinlichkeit von 96% in einer Laborumgebung erreicht, einzelne Smartphones zu erkennen und zu tracken. In einem herausfordernden realen Umfeld immer noch 75% (Fahrgäste in einem Bus des öffentlichen Nahverkehrs).
Den Möglichkeiten weitere Informationen hinzuzuziehen und diese zu korrelieren sind kaum Grenzen gesetzt. So können sich die Chipsets für WLAN in den Smartphones in Nuancen unterscheiden (Quelle 7). Daten aus unterschiedlichen Quellen, wie z.B. Tracking per Bluetooth, 3D-Sensorik, visuelle Erkennungen per Kamera, können verknüpft werden (Quelle 8). Und Fortschritte in der künstlichen Intelligenz erlauben immer effizientere Methoden der Mustererkennung.
Notiz: Die geschilderten Möglichkeiten sind theoretischer Natur, da keine Informationen vorliegen was Anbieter von WLAN-Tracking Lösungen in der Praxis derzeit anwenden. Das ist auch nachvollziehbar, den ausgefeilte technische Methoden sind ein geschäftlicher Vorteil, welchen es zu nutzen gilt so lange es geht. Ferner macht Transparenz angreifbar, gerade in rechtlichen Grauzonen.
Zweck und Risiken
Letztlich sollen die gesammelten Daten dazu dienen etwas messbar zu machen, eine Auswertung durchzuführen und darüber zu gezielteren Entscheidungen zu gelangen.
Das kann das automatisierte Erfassen der Zahl von Laufkundschaft in Einkaufsstraßen sein (Quelle 9). Oder ob eine Produktplatzierung in einem Geschäft erfolgreich war, in dem man zählt wie viele Kunden vor einem Regal stehen geblieben sind (Quelle 8). Der Erfolg eines Messestandes, welcher sich an der Zahl der Besucher bemisst (Quelle 10).
Ein Geschäftsinhaber oder Stadtplaner hat durchaus ein berechtigtes geschäftliches Interesse an diesen Daten und ein Rückschluss auf eine einzelne Person ist bei reiner Zählung nicht möglich. Als Resultat sind solche Datenerhebungen für genannte Zwecke unbedenklich.
Der andere eindeutigere Fall ist, wenn man beim Betreten eines Geschäfts direkt als „Person Meier“ identifiziert und erkannt wird. Alle weiteren im Geschäft erfassten Daten werden der “Person Meier” zugeordnet. Solch eine Datenerhebung und -speicherung ist nur zulässig, wenn die „Person Meier“ dem explizit, bewusst und nachweisbar zugestimmt hat. Liegt eine solche Zustimmung nicht vor, dann ist solch eine Datenerhebung rechtswidrig.
Interessanter wird es wenn Profile erstellt werden. Wenn man also nicht nur die Laufkundschaft an Ort A zählt, sondern erfasst wann und wie sich eine Person durch ein Geschäft oder eine Stadt bewegt. Wo sie stehen bleibt und evtl. sogar noch mit weiteren Daten verknüpft, wie z.B. der Teilnahme an einer Demonstration, ein getätigtes Telefonat, abruf von Daten aus dem Internet. Mittels Kamera wird dabei auch bestimmt ob die Person männlich oder weiblich ist, ca. wie groß und einer Altersgruppe zugeordnet. Dabei wird diese Person nicht als „Person Meier“ erfasst, sondern als „Person X“.
Das klingt erst einmal unproblematisch. Doch ist es, jedenfalls im Web, schon Praxis Personengruppen zu kategorisieren und z.B. entsprechend unterschiedliche Preise für ein Produkt aufzurufen (Quelle 11). Ähnliches kann auch in der physischen Welt vorkommen, wenn man als „Person X“ unterwegs ist und eine Kategorisierung erfährt. So könnte die Zuvorkommenheit des Personals von Algorithmen abhängen, welche einschätzen wie kaufkräftig man ist.
Noch kritischer wird es, wenn geeignete Daten vorliegen um aus einem Profil wieder einen Rückschluss auf eine individuelle Person zu ziehen. So könnte ein einzelner getätigter Zahlungsvorgang und dabei wahrgenommener Teilnahme an einem Bonusprogramm, dazu führen. Die Abgabe einer Visitenkarte an einem Messestand. Oder wenn das Profil entsprechend genau ist, dann könnte eine Zuordnung auch manuell durch eine Person vor Ort erfolgen. Der große Aufwand welcher in den USA betrieben wurde, um 2016 zielgenau Wechselwähler anzusprechen, lässt dies durchaus realistisch erscheinen (Quelle 12).
Des Weiteren kann man sich ausmalen was staatliche Behörden in autokratischen, diktatorischen Staaten mit auf den ersten Blick unverfänglichen Profilen alles so anfangen können. Aber auch hierzulande gibt es stetig Begehrlichkeiten nach mehr Daten. Fehler können dabei immer passieren. Und zügige Aufklärung und Transparenz scheinen kein Aushängeschild staatlicher Behörden zu sein, wenn man erst einmal zwischen die Mühlsteine gerät.
Datenschutz
Das jetzt nicht hemmungslos nach Lust und Laune getrackt, Daten gesammelt, Daten mit Personen verknüpft werden, liegt an der von vielen gescholtenen Datenschutzgrundverordnung.
Einige Unternehmen würden sicherlich gerne ohne jedwede Beschränkung Daten sammeln und viele Bürger glauben auch das genau das derzeit geschieht.
Plausibel ist es jedoch nicht. Denn ein Rechtsbruch kann erhebliche Kosten nach sich ziehen, sowohl bezüglich Bußgelder als auch die Folgekosten eines schlechten Rufs. Und man sollte es den meisten Unternehmen zugestehen, dass diese einfach Rechtskonform ihren Geschäften nachgehen wollen.
Es gibt aber Grauzonen und hier bewegt sich das WLAN-Tracking, wenn dabei pseudoanonyme Profile angelegt werden. Einen Eindruck davon vermittelt das Dokument „Datenschutzrechtliche Zulässigkeit des WLAN-Trackings“ vom wissenschaftlichen Dienst des deutschen Bundestages (Quelle 13). Eine Kernfrage ist immer wieder inwiefern gesammelte Daten wirklich anonym oder nur pseudoanonym vorliegen. Ferner ob im letzteren Fall, ein berechtigtes geschäftliches Interesse vorliegt, welches den Grundsätzen des Datenschutzes überwiegt. In konkreten Fällen und Disputen, scheint die Auslegung eher strenger zu erfolgen (Quelle 9).
Eine andere Frage ist, was sagen denn die Lieferanten von WLAN-Tracking Lösungen zum Datenschutz. Und zwar sowohl bezüglich der Konformität eigener Lösungen als auch das die gesammelten Daten selbst sicher sind, vor externen unbefugten Zugriffen.
Ein französisches Team hat sich dieser Fragestellung systematisch angenommen und ein entsprechendes Papier veröffentlicht (Quelle 14). Das Resultat ist im Kern, dass die Angaben in der Regel unvollständig und vage sind. So wird manchmal darauf verwiesen, dass das WLAN-Tracking rechtskonform sei, wenn die einzigartige MAC-Adresse als Hash gespeichert, bzw. vor der Speicherung kryptografisch behandelt wird. Doch ohne die Einzelheiten der Behandlung ist die Aussage nicht viel wert, da ein einfacher Hash mit Standard-Hardware in Minuten zurück gerechnet werden kann (Quelle 15). Und ob und wie weitere Mechanismen wie „salzen“ des Hashs Anwendung finden, ist nicht immer angegeben. Ferner fehlen oft Angaben wie die Daten sicher übertragen werden, wie lange diese gespeichert werden und ob die Daten bei Dritten oder in einem eigenen Rechenzentrum gespeichert werden.
Am Ende verbleibt eine Ungewissheit und ein entsprechend ungutes Gefühl, dass im Hintergrund doch mehr geschehen könnte als recht ist.
Fazit
WLAN-Tracking ist ein faszinierendes Thema, da man förmlich den Konflikt zwischen Geschäftsinteressen, dem Wunsch Daten zu sammeln zu verwerten und dem Datenschutz, dem Schutz der Privatsphäre spürt. Wie auf der einen Seite Verbesserungen in den Smartphone-Betriebssystemen einprogrammiert werden und auf der anderen Seite beständige Forschungen Ideen geben wie trotzdem Smartphones getrackt und wiedererkannt werden können.
Sehr wahrscheinlich ist in der Praxis das WLAN-Tracking dabei nur ein Baustein, um das Verhalten von Kunden, Bürgern auszuspähen. Ganzheitliche Lösungen dürften die besten Resultate liefern (Quelle 16).
Ein Grund den Kopf in den Sand zu stecken ist das aber nicht, denn die Resultate sind meist nicht hundertprozentig präzise, sondern liefern nur Aussagen innerhalb einer gewissen statistischen Genauigkeit. Und wer das WLAN deaktiviert, wenn er sich außer Haus begibt, trägt dazu bei die statistischen Resultate weniger interpretierbar zu machen und den potentiellen Missbrauch zu erschweren.
Ich hoffe Sie haben nach dem Lesen einen guten Überblick über das Thema „WLAN-Tracking“ gewonnen. Sie können mir gerne Schreiben, wenn Sie den Artikel als lesenswert empfunden haben, aber natürlich auch konstruktive Kritik,
Matthias (15.02.2023)
Quellen:
[1] https://blogs.arubanetworks.com/solutions/wi-fi-6e-how-ap-discovery-works-in-6ghz/
[2] https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior?hl=de
[3] https://arxiv.org/pdf/2206.03745.pdf
[4] https://papers.mathyvanhoef.com/asiaccs2016.pdf
[5] https://arxiv.org/ftp/arxiv/papers/2206/2206.10927.pdf
[6] https://www.sciencedirect.com/science/article/abs/pii/S1389128622004273
[7] https://digitalcommons.dartmouth.edu/cgi/viewcontent.cgi?article=1310&context=cs_tr
[8] https://digitalzentrumhandel.de/kunden-auf-der-spur/
[9] https://edpb.europa.eu/news/national-news/2021/dutch-dpa-fines-municipality-wi-fi-tracking_en
[10] https://www.bludonau.at/leistungen/besucherstromanalyse/
[11] https://www.verbraucherzentrale.de/wissen/digitale-welt/onlinehandel/dynamische-preise-was-ist-dein-preis-im-onlineshop-28618
[12] https://www.sueddeutsche.de/wirtschaft/wahlkampf-app-wie-wahlhelfer-in-den-usa-waehler-aufspueren-1.3224653
[13] https://www.bundestag.de/resource/blob/538890/3dfae197d2c930693aa16d1619204f58/WD-3-206-17-pdf-data.pdf
[14] https://hal.inria.fr/hal-00983363/document
[15] https://hal.inria.fr/hal-01589210/document
[16] https://ixtenso.de/technologie/instore-tracking-analyse-des-kundenverhaltens-wird-immer-praeziser.html