Online-Rechts­beratung: Bei welchen Fragen Anwalt­sportale helfen können

Daten­sicherheit auf Anwalt­sportalen: Viele Nutzer­daten landen bei Google und Facebook

Alle Anwalt­sportale liefern reichlich Informationen an Daten­kraken wie Google. Bei Juraforum war der Server angreif­bar.

Bei Rechts­anwälten geht es diskret zu. Geheimhaltung ist Berufs­pflicht. Die sieben von uns getesteten Anwalt­sportale dagegen melden jeden Besuch ihrer Seiten weiter. Schon bevor Ratsuchende die erste Frage stellen, fließen Daten von ihnen zu Google. Alle Anbieter nutzen Google-Analytics (Tabelle Wie Anwaltsportale mit Nutzerdaten umgehen). Bei jedem Besuch der Seite erfasst Google IP-Adresse, Browser­version, Betriebs­system und mehr. Die Portale Advocado und Anwalt.de über­mitteln zusätzlich gezielt Daten zu Bezahl­vorgängen – womöglich auch den Anbieter, den der Benutzer genutzt hat.

Bei Frag-einen-anwalt.de und JustAnswer fehlt sogar in der Daten­schutz­erklärung die Möglich­keit, Google die Daten­erfassung zu verbieten. Das ist nach deutschen Daten­schutz­regeln rechts­widrig.

Anbieter verwenden die Google-Analytics-Daten, um Seiten und Benutzerführung zu optimieren. Das ist legitim, ginge aber auch ohne Über­mitt­lung von Daten an Google. Der Daten­gigant aus den USA nutzt seine Daten dazu, Werbung zu verkaufen. Klingt harmlos, ist es aber nicht immer. Gerade jemand, der Rechts­beratungs­seiten besucht, hat in der Regel ein Problem und ist empfäng­lich für voll­mundige Versprechen. So könnten Menschen, die online Rat wegen Über­schuldung suchen, anfäl­lig für geschickt gestaltete Angebote von Kredit­vermitt­lern sein.

Immerhin: Alle Anbieter rufen die Google-Analytics-Funk­tion zur Verschleierung der IP-Adresse auf. Das heißt: Drei der vier Ziffern­blöcke der Adresse sollen dann nicht gespeichert werden. Google selbst sagt: Meist beachte das Unternehmen das. Wann und warum die Verschleierung manchmal nicht erfolgt, bleibt unklar. Sicher ist: Google erfährt zunächst immer die voll­ständige IP-Adresse.

Namen oder sons­tige Informationen zur Person erfährt Google durch die Nutzung von Google-Analytics nicht. Für sich genommen ist jede einzelne Information harmlos. Zusammen ergeben die bei jedem Besuch einer Internetseite anfallenden Daten aber ein charakteristisches Muster. Das ermöglicht es zwar nicht immer, aber oft, das Gerät wieder­zuerkennen und führt so auch zum Benutzer. Google kann ihm dann die genau passende Werbung anzeigen.

Darüber hinaus möglich: Anbieter von Webseiten mit Wohnungs­angeboten könnten mit den Google-Daten Besucher erkennen, die häufig zum Beispiel Miet­rechts­seiten besuchen. Sie könnten diesen Besuchern dann nur ausgewählte oder gar keine Wohnungs­angebote anzeigen. Arbeit­geber auf der Suche nach neuem Personal würden bestimmt gern dafür sorgen, dass Kandidaten, die keinen recht­lichen Ärger scheuen, ihre Online-Stellen­angebote gar nicht erst sehen. Bisher ist so ein Fall mit Google-Daten nicht bekannt. Andere Anbieter haben aber möglicher­weise weniger Skrupel als der US-Gigant.

Wir erwarten deshalb gerade von Anwalt­sportalen, dass sie von sich aus keine Nutzungs­daten an Dritte weitergeben, um die seiten­über­greifende Samm­lung von heiklen Nutzungs­daten zu verhindern.

Unser Rat

Daten­spuren. Denken Sie daran: Schon wenn Sie eine Seite aufrufen, erfassen mindestens Google und meist auch andere Anbieter Daten zu Ihrem Besuch auf der Seite. Das ermöglicht gezielte Werbung und besondere Angebote.

Sicherer surfen. Sie können es erschweren, dass Sie beim Surfen wieder­erkannt werden. Schalten Sie für den Besuch heikler Seiten bei den Einstel­lungen den Privatmodus Ihres Browsers ein. Tracking-Blocker verbessern den Schutz.

Meldung ans soziale Netz­werk

Besonders bedenk­lich: Bei den Portalen Advocado, Anwalt.de, Frag-einen-anwalt.de, Juraforum, JustAnswer und YourXpert erfahren ein oder mehrere soziale Netz­werke schon beim Aufruf der Seite den Namen des Rechts­beratungs­kandidaten, wenn dieser sich – wie oft üblich – vom selben Gerät aus beim jeweiligen Netz­werk ein- und nicht wieder ausgeloggt hat. Die Netz­werke wissen dann, dass und oft auch welchen Rechts­rat die Person braucht. Auch ohne zeitgleichen Login werden Google Plus, Facebook, Twitter und Youtube häufig in der Lage sein, ihre Benutzer zu identifizieren, wenn die eine Seite aufrufen, von der aus eine direkte Verbindung zum jeweiligen Netz­werk aufgebaut wird. Aus Sicht von Finanztest ist das rechts­widrig. Personenbezogene Daten dürfen nur mit Einwilligung des Betroffenen über­mittelt werden.

Zumindest gegen gängige Hacker-Angriffe sind persönliche Daten bei sechs Portalen sicher. So sind zum Beispiel Namen und Adressen verschlüsselt und die Server abge­sichert.

Bei Juraforum allerdings fanden wir eine Lücke im System: Versierte Hacker hatten die Chance, den Server direkt anzugreifen. Nach unserer Warnung wurde die Lücke geschlossen.

Juraforum: Sicher­heits­lücke ermöglichte Angriff

Test. Negativ fiel bei unserem Daten­sicher­heits­test das Portal Juraforum auf. Ein Test­programm gab in Formular­felder Script-Befehle ein und der Juraforum-Server führte sie aus. Code-Injection nennen Hacker einen solchen Angriff. Es war außerdem möglich, Scripte aus fremden Quellen zu laden („Cross-Site-Scripting“) und umfang­reiche Programme zu starten. Das hätte der Server unterbinden müssen.

Angriff. Daten­diebe hätten jetzt versucht, Programme zu laden und zu starten, um den Zugriff auf Dateien – womöglich mit persönlichen Daten der Nutzer – zu versuchen. Finanztest hat das natürlich nicht ausprobiert, sondern sofort das Portal informiert.

Reaktion. Juraforum hat inzwischen reagiert und die Lücke geschlossen. Der Server des Portals führt jetzt keine fremden Codes mehr aus und unsere erneuten Tests haben auch sonst keine Sicher­heits­lücke mehr erkennen lassen. Einen unbe­rechtigten Zugriff auf Daten habe es nie gegeben, versicherte Juraforum Finanztest.

Dieser Artikel ist hilfreich. 1959 Nutzer finden das hilfreich.