© Lisa Rock
Alle Anwaltsportale liefern reichlich Informationen an Datenkraken wie Google. Bei Juraforum war der Server angreifbar.
Bei Rechtsanwälten geht es diskret zu. Geheimhaltung ist Berufspflicht. Die sieben von uns getesteten Anwaltsportale dagegen melden jeden Besuch ihrer Seiten weiter. Schon bevor Ratsuchende die erste Frage stellen, fließen Daten von ihnen zu Google. Alle Anbieter nutzen Google-Analytics (Tabelle Wie Anwaltsportale mit Nutzerdaten umgehen). Bei jedem Besuch der Seite erfasst Google IP-Adresse, Browserversion, Betriebssystem und mehr. Die Portale Advocado und Anwalt.de übermitteln zusätzlich gezielt Daten zu Bezahlvorgängen – womöglich auch den Anbieter, den der Benutzer genutzt hat.
Bei Frag-einen-anwalt.de und JustAnswer fehlt sogar in der Datenschutzerklärung die Möglichkeit, Google die Datenerfassung zu verbieten. Das ist nach deutschen Datenschutzregeln rechtswidrig.
Anbieter verwenden die Google-Analytics-Daten, um Seiten und Benutzerführung zu optimieren. Das ist legitim, ginge aber auch ohne Übermittlung von Daten an Google. Der Datengigant aus den USA nutzt seine Daten dazu, Werbung zu verkaufen. Klingt harmlos, ist es aber nicht immer. Gerade jemand, der Rechtsberatungsseiten besucht, hat in der Regel ein Problem und ist empfänglich für vollmundige Versprechen. So könnten Menschen, die online Rat wegen Überschuldung suchen, anfällig für geschickt gestaltete Angebote von Kreditvermittlern sein.
Immerhin: Alle Anbieter rufen die Google-Analytics-Funktion zur Verschleierung der IP-Adresse auf. Das heißt: Drei der vier Ziffernblöcke der Adresse sollen dann nicht gespeichert werden. Google selbst sagt: Meist beachte das Unternehmen das. Wann und warum die Verschleierung manchmal nicht erfolgt, bleibt unklar. Sicher ist: Google erfährt zunächst immer die vollständige IP-Adresse.
Namen oder sonstige Informationen zur Person erfährt Google durch die Nutzung von Google-Analytics nicht. Für sich genommen ist jede einzelne Information harmlos. Zusammen ergeben die bei jedem Besuch einer Internetseite anfallenden Daten aber ein charakteristisches Muster. Das ermöglicht es zwar nicht immer, aber oft, das Gerät wiederzuerkennen und führt so auch zum Benutzer. Google kann ihm dann die genau passende Werbung anzeigen.
Darüber hinaus möglich: Anbieter von Webseiten mit Wohnungsangeboten könnten mit den Google-Daten Besucher erkennen, die häufig zum Beispiel Mietrechtsseiten besuchen. Sie könnten diesen Besuchern dann nur ausgewählte oder gar keine Wohnungsangebote anzeigen. Arbeitgeber auf der Suche nach neuem Personal würden bestimmt gern dafür sorgen, dass Kandidaten, die keinen rechtlichen Ärger scheuen, ihre Online-Stellenangebote gar nicht erst sehen. Bisher ist so ein Fall mit Google-Daten nicht bekannt. Andere Anbieter haben aber möglicherweise weniger Skrupel als der US-Gigant.
Wir erwarten deshalb gerade von Anwaltsportalen, dass sie von sich aus keine Nutzungsdaten an Dritte weitergeben, um die seitenübergreifende Sammlung von heiklen Nutzungsdaten zu verhindern.
Unser Rat
Datenspuren. Denken Sie daran: Schon wenn Sie eine Seite aufrufen, erfassen mindestens Google und meist auch andere Anbieter Daten zu Ihrem Besuch auf der Seite. Das ermöglicht gezielte Werbung und besondere Angebote.
Sicherer surfen. Sie können es erschweren, dass Sie beim Surfen wiedererkannt werden. Schalten Sie für den Besuch heikler Seiten bei den Einstellungen den Privatmodus Ihres Browsers ein. Tracking-Blocker verbessern den Schutz.
Meldung ans soziale Netzwerk
Besonders bedenklich: Bei den Portalen Advocado, Anwalt.de, Frag-einen-anwalt.de, Juraforum, JustAnswer und YourXpert erfahren ein oder mehrere soziale Netzwerke schon beim Aufruf der Seite den Namen des Rechtsberatungskandidaten, wenn dieser sich – wie oft üblich – vom selben Gerät aus beim jeweiligen Netzwerk ein- und nicht wieder ausgeloggt hat. Die Netzwerke wissen dann, dass und oft auch welchen Rechtsrat die Person braucht. Auch ohne zeitgleichen Login werden Google Plus, Facebook, Twitter und Youtube häufig in der Lage sein, ihre Benutzer zu identifizieren, wenn die eine Seite aufrufen, von der aus eine direkte Verbindung zum jeweiligen Netzwerk aufgebaut wird. Aus Sicht von Finanztest ist das rechtswidrig. Personenbezogene Daten dürfen nur mit Einwilligung des Betroffenen übermittelt werden.
Zumindest gegen gängige Hacker-Angriffe sind persönliche Daten bei sechs Portalen sicher. So sind zum Beispiel Namen und Adressen verschlüsselt und die Server abgesichert.
Bei Juraforum allerdings fanden wir eine Lücke im System: Versierte Hacker hatten die Chance, den Server direkt anzugreifen. Nach unserer Warnung wurde die Lücke geschlossen.
Juraforum: Sicherheitslücke ermöglichte Angriff
Test. Negativ fiel bei unserem Datensicherheitstest das Portal Juraforum auf. Ein Testprogramm gab in Formularfelder Script-Befehle ein und der Juraforum-Server führte sie aus. Code-Injection nennen Hacker einen solchen Angriff. Es war außerdem möglich, Scripte aus fremden Quellen zu laden („Cross-Site-Scripting“) und umfangreiche Programme zu starten. Das hätte der Server unterbinden müssen.
Angriff. Datendiebe hätten jetzt versucht, Programme zu laden und zu starten, um den Zugriff auf Dateien – womöglich mit persönlichen Daten der Nutzer – zu versuchen. Finanztest hat das natürlich nicht ausprobiert, sondern sofort das Portal informiert.
Reaktion. Juraforum hat inzwischen reagiert und die Lücke geschlossen. Der Server des Portals führt jetzt keine fremden Codes mehr aus und unsere erneuten Tests haben auch sonst keine Sicherheitslücke mehr erkennen lassen. Einen unberechtigten Zugriff auf Daten habe es nie gegeben, versicherte Juraforum Finanztest.
-
Das leistet das Angebot von Mieterengel.de
- Das Internetportal Mieterengel.de vermittelt Anwälte zur Rechtsberatung und bietet Rechtsschutz. Die Stiftung Warentest hat das Angebot unter die Lupe genommen.
-
Schmerzensgeld – einfach erklärt
- Wird Ihnen Leid zugefügt, haben Sie Anspruch auf Schmerzensgeld. Wir erklären, was hinter dem Begriff steckt und wie Sie Ihren Anspruch geltend machen.
-
Rechtsrat statt Rechtsschutz
- Der Versicherer Roland bewirbt seinen „LawGuide“ (99 Euro jährlich) als preiswertere Alternative zur klassischen Rechtsschutzversicherung. Zielgruppe: junge Leute....
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Ich finde, es wäre an der Zeit, diese Online-Beratungsportale wieder unter die Lupe zu nehmen, um die Bewertungen zu aktualisieren.
Kommentar vom Administrator gelöscht. Grund: Verstoß gg. Netiquette (unbewiesene Behauptungen)
Wenn ein Server fremde Script-Befehle akzeptiert und sich umfangreicher Code aus einer fremden Quelle nachladen lässt, ermöglicht das sehr mächtige Angriffe auf den betreffenden Server. Aus rechtlichen Gründen verbieten sich solche mächtigen Angriffe für uns. Wir können deshalb nicht sagen, ob tatsächlich heikle Daten in Gefahr waren oder nicht; es ist theoretisch nicht ausgeschlossen, dass der Juraforum-Server auch mächtigen Versuchen, unberechtigt auf heikle Daten zuzugreifen widerstanden hätte. Dass schon Cross-Site-Scripting als solches nicht möglich sein darf, ist allerdings unbestritten.
Test.de sagt: schwere Sicherheitslücke.
juraforum.de sagt: "theoretisches Sicherheitsrisiko, das sich nach Überprüfung durch die von Stiftung Warentest genutzte OWASP Suite jedoch nur als sehr gering zeigte"
Wie passt das denn zusammen?
Sie finden hier jetzt unsere aktuelle Untersuchung von Anwaltsportalen mit Online-Rechtsberatung. Die bisherigen Kommentare beziehen sich auf die Vorgänger-Untersuchung.