(Data) Scraping – Deine Daten sind meine Daten

Blog Cybersicherheit Datenschutz
Pic Source: Franki Chamaki via Unsplash

Ganz aktuell liest man vermehrt von Data Scraping Vorfällen bei Facebook, LinkedIn oder Clubhouse. Doch was steckt genau hinter dieser Datensammlung? Wir sagen es Ihnen.

Was versteht man unter (Data) Scraping?

Der Begriff „Scraping“ kommt aus dem Englischen und bedeutet so viel wie ab- oder zusammenkratzen. Data Scraping bezeichnet eine Technik, bei der ein Computerprogramm Daten aus der lesbaren Ausgabe eines anderen Programms extrahiert – zusammenkratzt.

Bei diesem Scraping werden verschiedene Arten von Daten sehr schnell von Internetseiten, Plattformen oder sozialen Netzwerken gesammelt und gespeichert. Zumeist, um sie später für Analysezwecke zu nutzen.

Wo begegnet uns Scraping im Alltag?

Scraping begegnet uns im Alltag sehr oft. Suchmaschinen oder Preisvergleichsseiten nutzen Scraping, um Produkt-Feeds, Bilder, Preise und andere verwandte Produkt-Details zu sammeln und darzustellen. Dabei werden Informationen von vielen Internetseite zusammengetragen.

Auch im beruflichen Kontext wird Scraping häufig verwendet. Scraper – also diejenigen, die  Scraping-Tools nutzen – sammeln zum Beispiel Daten von verschiedenen Unternehmen, um sich Einblicke über Marketinginformationen, Nutzerverhalten, Produktbewertungen oder Produktpreise zu verschaffen. Dadurch können sie Erkenntnisse über Konkurrenten gewinnen oder dem eigenen Unternehmen ein Wettbewerbsvorteil ermöglichen.

Data Scraping wird auch durchgeführt, um persönliche Informationen von Mitarbeiterinnen und MItarbeitern oder Kundinnen und Kunden zu erhalten. Zum Beispiel Kontaktdaten und Adressen, die anschließend an andere Unternehmen weiterverkauft werden. In vereinzelten Fällen können auch Cyber-Kriminelle Zugriff auf diese Informationen bekommen.

Scraping – Legitim oder Missbrauch?

Üblicherweise werden beim Scraping öffentlich zugängliche Daten gesammelt. Entscheidend ist jedoch, wie sie genutzt werden. Legitime Nutzungen stellen zum Beispiel die oben genannten Preisvergleichsseiten dar.

Die Daten können jedoch auch missbraucht werden. Zum Beispiel indem professionell erstellte Texte eines Unternehmens einfach kopiert und für andere Internetseiten genutzt werden. Oder indem Phishing-E-Mails an per Scraping gesammelte E-Mail-Adressen versendet werden. Ebenso können Cyber-Kriminelle mit Data Scraping Internetseiten detailgetreu kopieren und diese für Phishing-Versuche nutzen – zum Beispiel eine Login-Seite zum Online-Banking.

Social-Media-Kanäle stehen im Fokus

Ganz aktuell redet man davon, dass mehrere hundert Millionen persönliche Nutzerdaten veröffentlicht wurden und im Umlauf sind. „Gescraped“ wurden sie zum Beispiel bei dem Karriere-Netzwerk LinkedIn und bei der audio-basierten Social-Network-App Clubhouse.

Kurz zuvor verkündete auch Facebook, von Data Scraping betroffen zu sein. Hier geht es um mehrere hundert Millionen Profile.

Die betroffenen Plattformen sind sich allerdings keiner Schuld bewusst, da es sich bei diesen Data  Scrapings nicht um durch Hacker verursachte Sicherheitsvorfälle handelt. Abgeschöpft wurden lediglich persönliche Daten, auf die Dritte durch die Apps oder öffentliche APIs ohnehin zugreifen können – und welche die Nutzerinnen und Nutzer selbst in ihren Profilen veröffentlicht haben. Dazu zählen unter anderen Namen, Profilnamen oder auch Foto-URLs.

Daten im Darknet gefunden

Scraping kann negative Folgen für die betroffenen Personen haben – auch wenn es sich hierbei nicht um “klassische Hackerangriffe” handelt,  bei denen sich Cyber-Kriminelle unautorisiert Zugriff auf Systeme, Server oder Netzwerke verschaffen.

In den letzten Tagen und Wochen wurden mehrere Millionen Profildaten in bekannten Hackerforen zum Kauf angeboten. Teilweise wurden die Daten sogar kostenlos zur Verfügung gestellt. Laut Berichten waren sensible Daten wie zum Beispiel Kennwörter oder Kreditkarteninformationen allen Anschein nach nicht betroffen. Dennoch besteht die Möglichkeit, dass die veröffentlichten Daten mit anderweitig abgeschöpften Informationen kombiniert werden und dadurch ausreichend Informationen für Betrugsangriffe (z. B. Phishing, Brute-Force) bieten.

Wir raten zu erhöhter Aufmerksamkeit

Sollten Sie ein Profil (oder mehrere) bei den erwähnten sozialen Netzwerken haben, könnte es sein, dass Daten von Ihnen betroffen sind. Daher raten wir Ihnen in den kommenden Wochen zur erhöhten Aufmerksamkeit.

Seien sie besonders misstrauisch gegenüber verdächtigen Nachrichten und E-Mails, bei denen es sich um Versuche handeln könnte, die erfassten Daten für Betrugs-, Phishing- oder Social-Engineering-Angriffe zu nutzen.

Wie können Sie sich schützen?

Generell empfiehlt sich, bewusst mit der Veröffentlichung von Informationen im Internet und insbesondere in den sozialen Netzwerken umzugehen. Teilen Sie nur die Inhalte, die sie auch eine breite Öffentlichkeit sehen lassen würden. Seien Sie sich darüber hinaus bewusst, dass Ihre Daten ganz offiziell mit Dritten geteilt werden. Und dass sie von Personen oder z. B. durch Scraping-Tools gesammelt und weitergegeben werden.

Wie Sie überprüfen können, ob Daten von Ihnen veröffentlicht wurden und was Sie in diesem Fall tun können, erfahren Sie in diesem Blog-Artikel.