Bewegungsprofile beim Einkaufen erfasst?

von Dr. Axel Spies, veröffentlicht am 15.05.2012

Ein neuer Bericht von InfoSec aus der Schweiz beschreibt, wie bereits jetzt schon Bewegungsprofile von Kunden in Kaufhäusern und Malls erfasst werden. Zwei Einkaufszentren in Temecula im Süden Kaliforniens und Short Pump Town Center in Richmond in Virginia haben nach dem Bericht Scanner installiert, die die Gerätekennung von Mobiltelefonen registrieren und speichern.

Angeblich werden aber keine Telefonnummern oder persönliche Daten (personal data) ermittelt. Vielmehr geht es um das Kundenverhalten: welche Geschäfte beliebt sind, welche Orte so of frequentiert werden, dass Werbung dort besonders sinnvoll ist und in welcher Kombination verschiedene Läden besucht werden, zu welcher Uhrzeit usw. Die Autoren des Artikels halten es für wahrscheinlich, dass die Identifizierungsnummern der SIM-Karten gespeichert werden. Die Mall-Betreiber argumentieren, es handele sich nur um Tests.

Was meinen Sie?

Danke an Herrn Matthias Böse für den Hinweis. 

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

4 Kommentare

Kommentare als Feed abonnieren

Falls es sich bei den dort verwendeten Mobilfunknetzen um GSM-Netze handelt & nur passiv gelauscht wird bestehen m.E. zunächst keine Bedenken, denn es wird anstelle der identifizierenden IMSI nur eine temporäre TMSI übertragen.

Schön ist diese Üerwachung dennoch nicht, aber mit den in Europa ohnehin vorhandenen Lesern der Warensicherungsetiketten lässt sich mit dem gleichen Effekt auch das persönliche Profil aus den RFIDs mitgeführter Gegenstände erfassen & entsprechend nutzen.

N.B.: Die IMSI identifiziert die SIM-Karte; die das verwendete Gerät identifizierende IMEI wird ohnehin nur beim Einbuchen ins Netz übertragen.

0

Sollten dort Bewegungsprofile erstellt werden können, können die TMSIs gar nicht sooo temporär sein, oder? Dazu würde ich gerne noch ein paar Details hören.

 

Spätestens bei einem Aufenthalt in einem kleineren Geschäft mit weniger Kundenandrang wäre die Personenbezogenheit der Daten hergestellt und der Drops in der BRD gelutscht.

0

"Sollten dort Bewegungsprofile erstellt werden können, können die TMSIs gar nicht sooo temporär sein"

Damit ist angenommen, was bewiesen werden soll :-)

 

Die TMSI (Temporary Mobile Subscriber Identification)wird mindestens beim Übergang zwischen Location Areas gewechselt - das ist zwar ein schwacher Trost, aber stellt eben keine Identifizierung über einen längeren Zeitraum dar.

0

Das Verfahren ist seit mehr als fünf Jahren auf dem zivilen Markt. Footpath arbeitet passiv und nutzt nahezu ausschließlich die TMSI; allerdings auch die IMSI, wenn es sie auffängt, was in eher seltenen Situationen vorstellbar ist, im Wesentlichen (zu den Abkürzungen bitte Wikipedia):
- Wenn das Endgerät aufgrund der Lage des Einkaufszentrums während des Aufenthalts zwischen zwei benachbarten MSCs wechselt, die weder dasselbe VLR teilen noch einen Abgleich ihrer VLRs durchführen können (bei gewöhnlicher Netzinfrastruktur so gut wie ausgeschlossen).
- Wenn das Einkaufszentrum wiederum an der gemeinsamen Grenze zweier MSC- und VLR-Abdeckungen liegt, die zwar gewöhnlich den TMSI-basierten Inter-VLR-Handover durchführen können, von denen aber ein VLR voll ist, weil viele Endgeräte eingebucht sind. Beim Eintritt in dieses VLR-Gebiet kann das Endgerät auf die Verweigerung des Handovers (abhängig von SIM-Karte und Gerät) mit einem Registrierungsversuch über die IMSI reagieren (insgesamt äußerst unwahrscheinlich).
- Wenn die Zuordnung der TMSI zur IMSI in einem VLR plötzlich aufgrund eines dortigen Fehlers nicht mehr möglich ist und deshalb die IMSI nochmals abgefragt wird (unwahrscheinlich).
- Wenn das Gerät eingeschaltet wird, nachdem es zuvor in einem anderen MSC-Gebiet mit einem anderem VLR ausgeschaltet wurde, zu dem vom lokalen MSC/VLR aus kein Abgleich möglich ist (denkbar bei angereisten Kunden, die ihr Handy ausgeschaltet hatten).

Nach Angaben des Herstellers wird von der IMSI nur der Ländercode verwendet und werden sämtliche TMSIs vor der Auswertung gehasht, um die Zusammenführung mit Mobilfunkdaten aus anderen Quellen zu erschweren. Wie das genau aussieht, ist unklar. Im einfachsten Fall stellt ein Hashing allein über die jeweilige TMSI keine wesentliche Hürde für einen Abgleich dar, da in dem Adressraum von maximal rund 4 Mrd. möglichen TMSIs jedes denkbare Hash-TMSI-Paar mit geringem Aufwand vorab zu berechnen ist.

Die sporadischen Länderzuordnungen aus der IMSI scheint mir für den Anwender dieses Systems wenig aussagekräftig in Bezug auf statistische Werte und entsprechend wenig datenschutzssensibel. Zudem dürfte es durch das regelmäßige Update der TMSI bei der typischen Aufenthaltsdauer und Personendichte in Einkaufszentren kaum möglich sein, anhand der TMSI einen Besuch tatsächlich von Anfang bis Ende zu protokollieren. Es ist zwar grundsätzlich möglich, die Sequenz von TMSIs eines Gerätes auch ohne verknüpfte Positionsdaten nachzuvollziehen; der kryptographische Aufwand ist für den Einsatzzweck der Massenerfassung aber nicht realistisch.

0

Kommentar hinzufügen