Was ist Data Scraping und wie wirkt es sich auf Ihre Sicherheit und Privatsphäre aus?

Web Scraping bzw. Data Scraping beschreibt einen Prozess, bei dem Daten von Webseiten extrahiert und gesammelt werden. Heutzutage erfolgt diese Form der Datensammlung größtenteils automatisiert und mit Hilfe spezieller Tools. Data Scraping gibt es auch auf privater Ebene, wenn auch in erheblich kleinerem Umfang. Dabei kopieren Nutzer die im Netz gefundenen Informationen per Copy und Paste in lokal gespeicherte Dokumente bzw. Dateien.

Unternehmen setzen dagegen vor allem auf die automatische Extraktion von Daten aus dem Internet. Dieses Verfahren eignet sich insbesondere, um Millionen und sogar Milliarden von Datenpunkten für Business Intelligence, Marktforschung, Generierung von Sales Leads und Preisvergleiche zu sammeln.

Die dunkle Seite des Web Scraping

Mit der Praxis des Web Scraping gehen unzählige Sicherheitsrisiken einher, da auch Kriminelle dieses Verfahren einsetzen können, um öffentlich verfügbare Daten abzugreifen. Zwei aktuelle Beispiele dafür, wie Data Scraping die Privatsphäre von Nutzern gefährdet hat, sind die Datenlecks bei Facebook und LinkedIn. Beide Vorfälle stehen mit Data Scraping im Zusammenhang, insgesamt wurden dabei mehr als eine halbe Milliarde Dateneingaben aus Nutzerprofilen offengelegt.

Darüber hinaus können Bedrohungsakteure mit eigens entwickelten Tools die Sicherheitsmaßnahmen von Websites umgehen und so auch an sensibelste Daten der Plattformnutzer gelangen, was das Risiko für Datenlecks und Privatsphäre noch einmal erhöht.

Social-Media-Plattformen sind besonders anfällig für kriminell motiviertes Data Scraping, da sich hier auch besonders viele persönlich identifizierbare Informationen (PII) finden, die von den Usern selbst regelmäßig bereitgestellt werden. Bedrohungsakteure nutzen das unbedachte Verhalten vieler Social-Media-Nutzer umgehend aus und greifen persönliche Daten aus ihren Benutzerprofilen ab. So gelangen sie an vollständige Namen, Geburtsdaten und Wohnorte, E-Mail-Adressen, Telefonnummern, Arbeitgeber, Fotos und viele weitere Daten, die bereitwillig auf der Plattform angegeben wurden.

Diese Daten erweisen sich als äußerst nützlich für Betrüger, die auf diesem Wege Phishing-Angriffe per E-Mail, SMS oder Direktnachricht starten. Gelangen sie an Daten zu Arbeitgebern, können sich diese Angriffe auch gezielt gegen einzelne Mitarbeiter richten. Bei erfolgreichen Angriffen kann Ransomware so in interne Netzwerke eingeschleust und das Unternehmen lahmlegt werden.

Schlecht konfigurierte bzw. ungeschützte Datenbanken mit öffentlich zugänglichen Benutzerdaten stellen ein weiteres Sicherheitsrisiko dar. In den letzten Jahren haben sich Unbefugte Zugriff auf Milliarden von Benutzerdaten verschafft und damit die Zahl der Opfer von Datenschutzverletzungen weiter erhöht, was wiederum zu einem weiteren Anstieg der Cyberkriminalität geführt hat.

Wie können sich einfache Internetnutzer vor Data Scraping schützen?

Auch wenn viele Plattformen das Abgreifen von Nutzerdaten nicht gutheißen, wäre ein zuverlässiger Schutz davor mit hohen Aufwänden verbunden. Es gibt immer wieder Schlupflöcher, durch die Bedrohungsakteure die privaten Daten von Benutzern filtern und exfiltrieren können. Welche Möglichkeiten bleiben also Nutzern, die ihre Daten vor unerwünschter Offenlegung durch Datensammlung im Netz schützen möchten? Sie sollten die Zahl der Informationen, die sie beim Anlegen von Benutzerkonten und Profilen preisgeben, auf ein Minimum reduzieren.

Denn am meisten erreichen Social-Media-Nutzer, wenn sie bewusste Entscheidungen zugunsten ihrer Privatsphäre treffen und genau abwägen, welche Daten sie öffentlich teilen. Da ist sicherlich kein Allheilmittel, aber Nutzer, die möglichst wenige Informationen teilen, die dann später zusammengeführt und für gezielte Angriffe missbraucht werden können, schützen sich am wirksamsten vor weiteren Problemen. Wenn Sie also die Privatsphäreeinstellungen Ihrer Benutzerkonten seit Anmeldung bei der jeweiligen Plattform nicht mehr näher betrachtet haben, wäre jetzt der richtige Zeitpunkt. Beginnen Sie damit, dass Sie niemanden im Internet mehr erlauben, Ihre E-Mail-Adresse, Telefonnummer und Ihr Geburtsdatum einzusehen.