Global Privacy Assembly warnt vor Datenschutzrisiken durch Scraping

Data Scraping ist die automatisierte Extraktion von Daten aus Web- und mobilen Anwendungen. Scraper extrahieren Daten aus vielen Gründen, von der Erzielung von Wettbewerbsvorteilen bis zur Datenaggregation für Preisvergleiche. Unternehmen versuchen häufig, Scraping zu verhindern, weil sie nicht möchten, dass Wettbewerber Zugriff auf ihre Preis- oder Bestandsdaten erhalten, oder weil das Scraping-Verkehrsaufkommen die App-Leistung beeinträchtigt. In vielen Fällen kann Scraping-Verkehr über 95 % des gesamten Datenverkehrs ausmachen und Anwendungen verlangsamen oder sogar zum Absturz bringen.

Datenschutzbestimmungen sollen die Datenschutzrechte des Einzelnen schützen und ihm ermöglichen, zu entscheiden, wer seine Daten zu welchem Zweck und wie lange verwenden darf. Wenn Benutzer Daten in sozialen Medien teilen, beabsichtigen sie, diese von einer bestimmten Gruppe von Personen anzuzeigen, wie in den Datenschutzeinstellungen und -richtlinien der App festgelegt. Wenn diese Daten ohne das Wissen der Betroffenen abgeschöpft werden, verlieren diese die Kontrolle über ihre persönlichen Informationen, da die Scraper sie möglicherweise für einen anderen als den beabsichtigten Zweck verwenden.

Darüber hinaus stellt das Data Scraping einen Verstoß gegen das Recht natürlicher Personen dar, die Löschung oder Berichtigung ihrer personenbezogenen Daten zu verlangen. Sobald die Daten gescrapt wurden, werden die Scraper diese Daten weiterhin verwenden und weitergeben, selbst wenn der Ersteller sie von der Social-Media-Site löscht.

Dieser Kontrollverlust über personenbezogene Daten, so die gemeinsame Erklärung der GPA, stelle für den Einzelnen mehrere Risiken dar. Kriminelle können diese Daten für Social Engineering, gezieltes Phishing und Identitätsbetrug verwenden. Die Daten könnten es Kriminellen ermöglichen, Profile einzelner Personen zu erstellen, um Autorisierungssysteme zu umgehen. Und weniger gewissenhafte Vermarkter könnten die Daten für Direktmarketing und Spam verwenden.

Laut der gemeinsamen Erklärung der GPA unterliegen personenbezogene Daten den Datenschutzgesetzen, auch wenn sie öffentlich im Internet verfügbar sind. Dies bedeutet, dass das massenhafte Scraping personenbezogener Informationen in vielen Rechtsgebieten einen meldepflichtigen Datenschutzverstoß darstellen kann.

In der gemeinsamen Erklärung werden Maßnahmen zur Verhinderung des Data Scraping empfohlen, die in vielen Rechtssystemen gesetzlich vorgeschrieben sind und „von Gerichten und Datenschutzbehörden als solche ausgelegt werden können“.

Um die Datenschutzrisiken durch Data Scraping zu mindern, empfiehlt die GPA mehrschichtige technische und verfahrenstechnische Kontrollen, beginnend mit der Einrichtung eines eigenen Teams, das die Kontrollen implementiert und ihre Wirksamkeit überwacht. Zu den weiteren Kontrollmaßnahmen gehören die Begrenzung der Benutzerrate, die Überwachung schneller Verknüpfungen innerhalb des sozialen Netzwerks, die Einleitung rechtlicher Schritte gegen Datenscraper, um die Löschung der Daten sicherzustellen, sowie die Benachrichtigung von Einzelpersonen und Aufsichtsbehörden über Scraping-Aktivitäten, die einen Datenschutzverstoß darstellen.

Als Bestandteil der vielschichtigen Kontrollen empfiehlt die GPA auch, die Auswirkungen von Bots, die Daten abgreifen, einzudämmen. In der gemeinsamen Erklärung werden CAPTCHA und die IP-Ratenbegrenzung ausdrücklich erwähnt. Organisationen, die einen effektiven mehrschichtigen Schutz wünschen, sollten Bot-Management-Lösungen in Betracht ziehen, die Signalsammlung und KI nutzen, um fortgeschrittene Bots zu entschärfen, die CAPTCHA und IP-Ratenbegrenzungen umgehen.

Wenn wir das Scraping von Daten im Lichte der jüngsten Entwicklungen im Phishing betrachten, wird die Bedrohung der Privatsphäre des Einzelnen noch alarmierender. Anbieter von Phishing-as-a-Service (PhaaS) stellen komplette Toolsets zum Ausführen von Phishing-Angriffen bereit, darunter E-Mail-Vorlagen, gefälschte Websites mit authentischem Aussehen, Kontaktdaten potenzieller Ziele, ausführliche Anleitungen und Kundensupport. All dies macht Phishing selbst für Angreifer mit geringeren Kenntnissen effektiver. Darüber hinaus ist Phishing zum primären Mittel geworden, um MFA durch Echtzeit-Phishing-Proxys zu umgehen , die Benutzer dazu verleiten, Einmalkennwörter in von Angreifern kontrollierte Apps einzugeben. (Lesen Sie den Bericht von F5 Labs darüber, wie Phishing MFA unwirksam macht.)

Wir können davon ausgehen, dass Phishing durch die Anwendung großer Sprachmodelle immer effektiver wird. Berichte über neue Angriffstools, die im Darknet zum Verkauf stehen, darunter WormGPT und FraudGPT , deuten darauf hin, dass Kriminelle begonnen haben, generative KI für schändliche Zwecke, darunter Phishing, einzusetzen. Diese Tools werden mit ziemlicher Sicherheit davon profitieren, dass sie aus mehreren Apps zusammengetragene persönliche Daten aufnehmen und damit wirksame, personalisierte Phishing-Nachrichten verfassen können. Diese Entwicklung könnte zur Automatisierung des Spear-Phishings führen.