Online-Rechts­beratung

Daten­sicherheit auf Anwalt­sportalen: Viele Nutzer­daten landen bei Google und Facebook

Online-Rechts­beratung - Bei welchen Fragen Anwalt­sportale helfen können
© Lisa Rock

Alle Anwalt­sportale liefern reichlich Informationen an Daten­kraken wie Google. Bei Juraforum war der Server angreif­bar.

Inhalt

Bei Rechts­anwälten geht es diskret zu. Geheimhaltung ist Berufs­pflicht. Die sieben von uns getesteten Anwalt­sportale dagegen melden jeden Besuch ihrer Seiten weiter. Schon bevor Ratsuchende die erste Frage stellen, fließen Daten von ihnen zu Google. Alle Anbieter nutzen Google-Analytics (Tabelle Wie Anwaltsportale mit Nutzerdaten umgehen). Bei jedem Besuch der Seite erfasst Google IP-Adresse, Browser­version, Betriebs­system und mehr. Die Portale Advocado und Anwalt.de über­mitteln zusätzlich gezielt Daten zu Bezahl­vorgängen – womöglich auch den Anbieter, den der Benutzer genutzt hat.

Bei Frag-einen-anwalt.de und JustAnswer fehlt sogar in der Daten­schutz­erklärung die Möglich­keit, Google die Daten­erfassung zu verbieten. Das ist nach deutschen Daten­schutz­regeln rechts­widrig.

Anbieter verwenden die Google-Analytics-Daten, um Seiten und Benutzerführung zu optimieren. Das ist legitim, ginge aber auch ohne Über­mitt­lung von Daten an Google. Der Daten­gigant aus den USA nutzt seine Daten dazu, Werbung zu verkaufen. Klingt harmlos, ist es aber nicht immer. Gerade jemand, der Rechts­beratungs­seiten besucht, hat in der Regel ein Problem und ist empfäng­lich für voll­mundige Versprechen. So könnten Menschen, die online Rat wegen Über­schuldung suchen, anfäl­lig für geschickt gestaltete Angebote von Kredit­vermitt­lern sein.

Immerhin: Alle Anbieter rufen die Google-Analytics-Funk­tion zur Verschleierung der IP-Adresse auf. Das heißt: Drei der vier Ziffern­blöcke der Adresse sollen dann nicht gespeichert werden. Google selbst sagt: Meist beachte das Unternehmen das. Wann und warum die Verschleierung manchmal nicht erfolgt, bleibt unklar. Sicher ist: Google erfährt zunächst immer die voll­ständige IP-Adresse.

Namen oder sons­tige Informationen zur Person erfährt Google durch die Nutzung von Google-Analytics nicht. Für sich genommen ist jede einzelne Information harmlos. Zusammen ergeben die bei jedem Besuch einer Internetseite anfallenden Daten aber ein charakteristisches Muster. Das ermöglicht es zwar nicht immer, aber oft, das Gerät wieder­zuerkennen und führt so auch zum Benutzer. Google kann ihm dann die genau passende Werbung anzeigen.

Darüber hinaus möglich: Anbieter von Webseiten mit Wohnungs­angeboten könnten mit den Google-Daten Besucher erkennen, die häufig zum Beispiel Miet­rechts­seiten besuchen. Sie könnten diesen Besuchern dann nur ausgewählte oder gar keine Wohnungs­angebote anzeigen. Arbeit­geber auf der Suche nach neuem Personal würden bestimmt gern dafür sorgen, dass Kandidaten, die keinen recht­lichen Ärger scheuen, ihre Online-Stellen­angebote gar nicht erst sehen. Bisher ist so ein Fall mit Google-Daten nicht bekannt. Andere Anbieter haben aber möglicher­weise weniger Skrupel als der US-Gigant.

Wir erwarten deshalb gerade von Anwalt­sportalen, dass sie von sich aus keine Nutzungs­daten an Dritte weitergeben, um die seiten­über­greifende Samm­lung von heiklen Nutzungs­daten zu verhindern.

Unser Rat

Daten­spuren.
Denken Sie daran: Schon wenn Sie eine Seite aufrufen, erfassen mindestens Google und meist auch andere Anbieter Daten zu Ihrem Besuch auf der Seite. Das ermöglicht gezielte Werbung und besondere Angebote.
Sicherer surfen.
Sie können es erschweren, dass Sie beim Surfen wieder­erkannt werden. Schalten Sie für den Besuch heikler Seiten bei den Einstel­lungen den Privatmodus Ihres Browsers ein. Tracking-Blocker verbessern den Schutz.

Meldung ans soziale Netz­werk

Besonders bedenk­lich: Bei den Portalen Advocado, Anwalt.de, Frag-einen-anwalt.de, Juraforum, JustAnswer und YourXpert erfahren ein oder mehrere soziale Netz­werke schon beim Aufruf der Seite den Namen des Rechts­beratungs­kandidaten, wenn dieser sich – wie oft üblich – vom selben Gerät aus beim jeweiligen Netz­werk ein- und nicht wieder ausgeloggt hat. Die Netz­werke wissen dann, dass und oft auch welchen Rechts­rat die Person braucht. Auch ohne zeitgleichen Login werden Google Plus, Facebook, Twitter und Youtube häufig in der Lage sein, ihre Benutzer zu identifizieren, wenn die eine Seite aufrufen, von der aus eine direkte Verbindung zum jeweiligen Netz­werk aufgebaut wird. Aus Sicht von Finanztest ist das rechts­widrig. Personenbezogene Daten dürfen nur mit Einwilligung des Betroffenen über­mittelt werden.

Zumindest gegen gängige Hacker-Angriffe sind persönliche Daten bei sechs Portalen sicher. So sind zum Beispiel Namen und Adressen verschlüsselt und die Server abge­sichert.

Bei Juraforum allerdings fanden wir eine Lücke im System: Versierte Hacker hatten die Chance, den Server direkt anzugreifen. Nach unserer Warnung wurde die Lücke geschlossen.

Juraforum: Sicher­heits­lücke ermöglichte Angriff

Test.
Negativ fiel bei unserem Daten­sicher­heits­test das Portal Juraforum auf. Ein Test­programm gab in Formular­felder Script-Befehle ein und der Juraforum-Server führte sie aus. Code-Injection nennen Hacker einen solchen Angriff. Es war außerdem möglich, Scripte aus fremden Quellen zu laden („Cross-Site-Scripting“) und umfang­reiche Programme zu starten. Das hätte der Server unterbinden müssen.
Angriff.
Daten­diebe hätten jetzt versucht, Programme zu laden und zu starten, um den Zugriff auf Dateien – womöglich mit persönlichen Daten der Nutzer – zu versuchen. Finanztest hat das natürlich nicht ausprobiert, sondern sofort das Portal informiert.
Reaktion.
Juraforum hat inzwischen reagiert und die Lücke geschlossen. Der Server des Portals führt jetzt keine fremden Codes mehr aus und unsere erneuten Tests haben auch sonst keine Sicher­heits­lücke mehr erkennen lassen. Einen unbe­rechtigten Zugriff auf Daten habe es nie gegeben, versicherte Juraforum Finanztest.

Mehr zum Thema

  • Beratung und Rechts­schutz im Mietrecht Das leistet das Angebot von Mieterengel.de

    - Das Internetportal Mieterengel.de vermittelt Anwälte zur Rechts­beratung und bietet Rechts­schutz. Die Stiftung Warentest hat das Angebot unter die Lupe genommen.

  • Beratung und Rechts­schutz im Mietrecht Das leistet das Angebot von Conny

    - Das Internetportal Conny.de bietet außer Rechts­durch­setzung auch Mieter­schutz mit Beratung und Prozess­kosten­schutz. test.de hat das Angebot unter die Lupe genommen.

  • Beratung zur Miet­neben­kosten­abrechnung Das leistet das Angebot von Mineko

    - Das Internetportal Mineko.de bietet die Prüfung von Neben­kosten­abrechnungen, Muster­texte und Tipps für den Streit mit dem Vermieter an.

7 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

drmsttz am 22.02.2022 um 12:20 Uhr
Aktualisierter Test der Online-Beratungsportale?

Ich finde, es wäre an der Zeit, diese Online-Beratungsportale wieder unter die Lupe zu nehmen, um die Bewertungen zu aktualisieren.

Gesko am 10.03.2018 um 04:13 Uhr

Kommentar vom Administrator gelöscht. Grund: Verstoß gg. Netiquette (unbewiesene Behauptungen)

Profilbild test.de-Redakteur_Herrmann am 15.12.2017 um 10:49 Uhr
Re: Wie passt unterschiedliche Sicherheitsbewertun

Wenn ein Server fremde Script-Befehle akzeptiert und sich umfangreicher Code aus einer fremden Quelle nachladen lässt, ermöglicht das sehr mächtige Angriffe auf den betreffenden Server. Aus rechtlichen Gründen verbieten sich solche mächtigen Angriffe für uns. Wir können deshalb nicht sagen, ob tatsächlich heikle Daten in Gefahr waren oder nicht; es ist theoretisch nicht ausgeschlossen, dass der Juraforum-Server auch mächtigen Versuchen, unberechtigt auf heikle Daten zuzugreifen widerstanden hätte. Dass schon Cross-Site-Scripting als solches nicht möglich sein darf, ist allerdings unbestritten.

warg am 13.12.2017 um 00:56 Uhr
Wie passt unterschiedliche Sicherheitsbewertung?

Test.de sagt: schwere Sicherheitslücke.
juraforum.de sagt: "theoretisches Sicherheitsrisiko, das sich nach Überprüfung durch die von Stiftung Warentest genutzte OWASP Suite jedoch nur als sehr gering zeigte"
Wie passt das denn zusammen?

Profilbild test.de-Redakteur_Herrmann am 11.12.2017 um 10:02 Uhr
Re: Online Rechtsberatung aktuell

Sie finden hier jetzt unsere aktuelle Untersuchung von Anwaltsportalen mit Online-Rechtsberatung. Die bisherigen Kommentare beziehen sich auf die Vorgänger-Untersuchung.