Wer viel im Internet unterwegs ist, kann diesen Satz vermutlich längst nicht mehr lesen: »Wir respektieren Ihre Privatsphäre.« Einst vom Gesetzgeber als gut gemeinter Transparenzhinweis eingeführt, ist es bei vielen zur Gewohnheit geworden, das lästige Pop-up einfach wegzuklicken. Dabei hat es einen ernsten Hintergrund: Damit Webseitenbetreiber kleine Codeschnipsel, so genannte Cookies, auf dem Smartphone oder Laptop speichern und damit das Nutzungsverhalten analysieren dürfen, müssen Nutzerinnen und Nutzer ihre Zustimmung erteilen.

Doch nicht nur beim Surfen werden Nutzer getrackt, sondern auch, wenn sie fernsehen. Internetfähige TV-Geräte, so genannte Smart-TVs, die mittlerweile in vielen Haushalten stehen, verfolgen das Sehverhalten: wann man ein- und ausschaltet, ob man Inhalte online streamt oder lineares Fernsehen schaut. Um in Echtzeit statistische Werte über die Nutzung zu gewinnen, setzen auch Smart-TV-Apps solche Cookies und Zählpixel ein. Netflix weiß zum Beispiel, wann seine Nutzer eine Toilettenpause einlegen oder ob sie bei Sexszenen zurückspulen. Die Zeiten, in denen man allein mit Messgeräten stichprobenartig die TV-Quote ermittelte, sind vorbei.

Smart-TVs sind mit einer automatischen Inhaltserkennung (Automatic Content Recognition) ausgestattet, die mit Hilfe eines Algorithmus in Audio- oder Bildsignalen Muster erkennt und diese mit Datenbanken abgleicht. Wird in einem Audioschnipsel der Jingle eines TV-Senders erkannt, meldet der Algorithmus: Aha, der Nutzer schaut jetzt gerade diese Sendung! Das ist für Werbetreibende eine entscheidende Information, denn aus den Sehgewohnheiten lassen sich Präferenzen ableiten.

Interessant wird das Tracking, wenn es über verschiedene Geräte hinweg gekoppelt wird. Wenn also ein Anzeigenkunde anhand der IP-Adresse erfährt, dass jemand häufig Darts-Sendungen schaut, kann er ihm auf dem im WLAN eingeloggten Smartphone Werbung für Wurfpfeile ausspielen. Die Software »Samba TV«, die auf Millionen Smart-TVs vorinstalliert ist und sekündlich Pixel scannt, ging laut einem Bericht der »New York Times« sogar so weit, Werbetreibenden politische Zielgruppen anzubieten – je nachdem, ob diese eher konservative oder linke TV-Sender anschauten.

Das weit verbreitete Smart-TV-Tracking hat längst auch die Regulierungsbehörden auf den Plan gerufen. So brummte die amerikanische Kommunikationsbehörde FTC dem Smart-TV-Hersteller Vizio 2017 eine Geldstrafe in Höhe von 2,2 Millionen Dollar auf, weil das Unternehmen ohne Zustimmung seiner Nutzer heimlich Daten sammelte und an Dritte veräußerte – unter anderem Gerätenummer, IP-Adresse und WLAN-Kennung. Dass Smart-TVs verhältnismäßig günstig sind, erklärte Vizio-Technikvorstand Bill Baxter damit, dass sie diese Nutzerdaten sammeln und verkaufen. Eine Art informationeller Ratenkauf, bei dem man das Gerät mit dem Kaufpreis anzahlt und mit Daten finanziert.

Zwar lässt sich das Tracking in den Einstellungen der Geräte abschalten. Trotzdem haben die Nutzerinnen und Nutzer in der Regel keinen Überblick, wohin ihre Daten abfließen und welche Webseiten Cookies setzen. Es gibt einen riesigen Schattenmarkt von Datenbrokern, die Daten aus ganz verschiedenen Quellen kaufen und daraus detaillierte Verhaltensprofile erstellen. Acxiom etwa, einer der größten Datenhändler weltweit, hat Profile von 2,5 Milliarden Konsumenten erstellt – mit bis zu 11 000 Attributen pro Person.

Im Jahr 2019 fanden Wissenschaftlerinnen und Wissenschaftler der Princeton University heraus, dass die Streaming-Boxen von Amazon Fire TV und Roku über unverschlüsselte Webprotokolle Daten nach draußen geben. Laut der Untersuchung kontaktierten einzelne Channels bis zu 60 Tracker (darunter Google und Facebook) gleichzeitig und tauschten dabei Informationen wie Gerätenummer und WLAN-Kennung aus.

Smart-TVs werden zum Abhörgerät

Und die Datenskandale um Smart-TVs reißen nicht ab. Erst im vergangenen Jahr wurde bekannt, dass der chinesische Gerätehersteller Skyworth massenhaft Nutzerdaten von Smart-TVs abgriff. Die Geräte scannten alle zehn Minuten das WLAN der Nutzer und schickten die Datenpakete an eine Pekinger Analytics-Firma. Nun könnte man beschwichtigend sagen: Das ist China, da werden die Bürgerinnen und Bürger sowieso lückenlos überwacht. Doch das Problem existiert auch anderswo. So enthüllte Wikileaks, dass die CIA ein Hackingtool namens »Weeping Angel« entwickelt habe, mit dem sich Smart-TVs von Samsung in ein Abhörgerät verwandeln lassen. Über eine USB-Verbindung wird eine Spionagesoftware aufgespielt, die das Gerät in einen Standby-Modus versetzt und das Mikrofon anzapft. Während der ahnungslose Anwender denkt, sein Gerät sei aus, schneidet die Software heimlich Tonaufnahmen mit. Für diese Art von Lauschangriff müsste man sich allerdings Zugang zur Wohnung verschaffen oder die Geräte in einem Elektronikfachgeschäft manipulieren, was mit dem Risiko verbunden wäre, entdeckt zu werden.

Es gibt weitaus diskretere Angriffsvarianten: Der Sicherheitsexperte Rafael Scheel demonstrierte vor einigen Jahren, wie sich über ein manipuliertes DVB-T-Signal ein Schadcode in Smart-TVs einschleusen und so die Kontrolle über Kamera und Mikrofon erlangen lässt. Dafür bräuchte es keinen physischen Zugriff – der Transmitter erreicht Fernseher in einem Umkreis von bis 100 Metern. Da sitzt man nichts ahnend vor dem Fernseher, während ein Cyberkrimineller durch die Kamera ins Wohnzimmer schaut. Ein Albtraum! Die immer häufiger werdenden Attacken auf internetfähige, vernetzte Geräte zeigen: Wo es eine Verbindung nach draußen gibt, steht das Einfallstor für Hacker sperrangelweit offen.