Skandal: Virenschutzsoftware Avast spioniert Nutzer und deren Suche aus

Die beliebte Virenschutzsoftware Avast ist in einen Datenskandal verwickelt. Das Virenschutzprogramm hat seine Nutzer unter anderem bei der Suche auf Pornoseiten ausspioniert und die Daten an Dritte weiterverkauft. Laut Motherboard sollen mehrere hundert Millionen Nutzer davon betroffen sein.

Immer wieder sind namenhafte Unternehmen in einen Datenskandal verwickelt. Auch das soziale Netzwerk Facebook ist immer wieder in derartige Fälle verwickelt. So wurden unter anderem vertrauliche Daten von Blutspendern an Facebook gesendet. Außerdem wurde 2019 bekannt, dass mehrere Millionen Facebook-Daten mit Telefonnummern im Internet aufgetaucht sind. Aber auch Hotels sind vor Datenpannen nicht sicher. Wahrscheinlich kann es jeden treffen.

Doch das nun ausgerechnet ein Virenschutzprogramm in einen Datenskandal verwickelt ist, mutet schon seltsam an. Denn eigentlich soll der Virenschutz doch dazu dienen, dass Ihre Daten auf dem PC sicher sind. Doch bei dem Anbieter Avast ist das eben nicht der Fall. Zumindest nicht, wenn Sie keine Änderungen in den Einstellungen vornehmen. Dabei zählt Avast zu den meistgenutzten Antiviren-Programmen und ist nach eigenen Angaben auf 435 Millionen Computern installiert.

Welche Daten hat Avast gesammelt?

Die Avast-Tochter Jumshot schreibt auf der eigenen Webseite, dass es zum Service gehöre, tiefe Einblicke in das Nutzerverhalten der Kunden zu bekommen. 

Das Subunternehmen sammelt demnach über das Browser-Plugin des Virenschutzes Informationen. Von der Web-Suche bis hin zu Webseiten-Besuchen und den (Porno)Vorlieben der Nutzer ist laut dem Onlinemagazin Motherboard alles vertreten.

Die Software zeichnet das Nutzerverhalten auf, hält es fest und hat es in verwertbarer Datenform an namenhafte Unternehmen weiter verkauft. Bereits im Jahre 2015 kam Jumpshot aufgrund der Datensammlung in negative Schlagzeilen. Damals wurde laut heise.de bekannt, dass Avast monatlich 150 Milliarden URLs von besuchten Webseiten an das Tochterunternehmen übermittelt.

Wer kauft derartige Daten?

Motherboard bezieht sich auf seine Recherchen und nennt unter anderem Home Depot, Google, Microsoft, Pepsi, McKinsey, tripadvisor und yelp als Unternehmen, welche die Daten gekauft haben. Für teilweise Millionenbeträge haben die Unternehmen Informationen gekauft, welcher Nutzer sich wie lange für welche Dinge interessiert.

Welche Informationen wurden gespeichert?

Laut eigenen Angaben konnte Motherboard in den geleakten Daten sogar sehen, welche Suchbegriffe die Nutzer auf den Sexseiten eingegeben haben. Auch die angesehenen Videos stehen wohl in diesen Daten.  Damit werden ganz klar auch die Vorlieben der Verbraucher aufgezeichnet. In Onlineshops könnte das unter Umständen so weit gehen, dass  die konkret angesehenen Produkte gespeichert werden. Zusätzlich soll die Datensammlung Google-Suchbegriffe, Suche nach Orten, GPS-Koordinaten aus Google Maps, besuchte LinkedIn-Seiten von Unternehmen und YouTube-Videos beinhalten. Zu allen Daten ist das Datum und die Uhrzeit des Besuchs gespeichert.

Wie wurden die Daten eingesammelt?

Laut heise.de wurde bereits Ende letzen Jahres bekannt, dass Avast den Browser-Verlauf der Nutzer mittels einer Browser-Erweiterung an die eigenen Server übermittelt und dort gespeichert hat. Daraufhin hatte Mozilla  (Firefox Browser), Google und Opera die Erweiterungen des Antivirus-Unternehmens gesperrt. 

Über die Browser-Erweiterungen können die Daten also nicht mehr zu Jumpshot gelangt sein. Den jetzt bekannt gewordenen Informationen kann entnommen werden, dass die Informationen jetzt direkt über die Avast-Antivirus-Software erhoben und an das Tochterunternehmen Jumpshot übermittelt werden.

Darf Avast die Daten einfach so speichern?

Aus unserer Sicht ist die Selbstbedienung an den Daten der zumindest teils zahlenden Kundschaft nicht in Ordnung. Selbst wenn Sie die kostenlose Version von Avast nutzen, darf das Unternehmen ungefragt keine persönlichen Daten speichern. Fraglich ist nur, ob es sich um anonymisierte Daten oder persönliche Daten handelt. Aus den bereits bekannt gewordenen Informationen ist erkennbar, dass ein Rückschluss auf Personen aufgrund der Bewegungsdaten und der einmaligen Geräte-ID nicht ausgeschlossen werden kann. 

Das Avast die aufgerufenen Webseiten der Nutzer analysieren und auswerten muss, um den Nutzer optimal vor Phishing-Seiten und Schadsoftware zu schützen, ist unstrittig. Allerdings konnten die Kunden nicht erwarten, dass der Antivirus-Spezialist seine Position nutzt, um die vertraulichen Daten der Nutzer an andere Unternehmen zu verkaufen. Das hätte der geübte Internetnutzer wohl fast jedem Unternehmen zugetraut, aber nicht gerade der Sicherheits-Software. 

Nach der geltenden Datenschutzgrundverordnung (DSGVO) hätte Avast die Zustimmung des Nutzers einholen müssen. Offensichtlich ist das Unternehmen jedoch von der Zustimmung des Kunden ausgegangen und hat lediglich in den Einstellungen eine Option zur Verfügung gestellt, um die Erhebung der Daten zu deaktivieren.

Den Fehler hat Avast womöglich erkannt und möchte zukünftig den Nutzer nach seinem Einverständnis befragen. Seit einiger Zeit soll es wohl auch Popup-Fenster geben, über die der Nutzer der Datenerhebung zustimmen kann. Allerdings wird auch hier nicht detailliert dargestellt, wie und in welchem Umfang Jumpshot die Daten verwendet.

Was sollten Avast-Kunden jetzt tun?

Das Vertrauen der Kunden in Avast dürfte auf jeden Fall stark angekratzt sein. Sicher werden einige Kunden dem Unternehmen ganz den Rücken kehren. Wenn Sie die Antivirus-Software weiterhin nutzen möchten, dann sollten Sie in den Einstellungen auf jeden Fall die Nutzung Ihrer Daten aus dem Browserverlauf deaktivieren.

Alternativ können Sie sich natürlich auch von der Sicherheitssoftware trennen und Avast Antivirus deinstallieren. In diesem Fall dürfen Sie jedoch nicht vergessen, eine neue Sicherheitssoftware zu installieren. Eine Alternative könnte Bitdefender Internet Security sein.

Avast reagiert und kündigt Konsequenzen an

Nach dem Datenskandal hat sich jetzt Avast selbst zu Wort gemeldet. Obwohl das Unternehmen immer wieder betont hat, sich an die geltenden Rechtsnormen gehalten zu haben, kommt jetzt in einem offenen Brief des Geschäftsführers eine Entschuldigung. Und nicht nur das. Ondrej Vlcek kündigt drastische Maßnahmen an.