Liebe Leserïnnen,

bitte, bitte, bitte ladet nicht eure Kontakte hoch, wenn eine App euch dazu auffordert. Folgendermaßen:

Im Darknet wird eine Datenbank versteigert, die 3,8 Milliarden Telefonnummern enthalten soll und von Clubhouse-Servern stammt. Darunter dürften auch viele dienstliche und private Telefonnummern von Prominenten sein, die häufig auf Clubhouse vertreten sind. Wer als prominente Person, Politikerïn, Aktivistïn usw. Grund zur Sorge hat, Opfer von Doxing, Übergriffen Rechtsradikaler oder anderer Hassgruppen zu werden, sollte sich schonmal eine andere Telefonnummer zulegen.

https://twitter.com/mruef/status/1418693478574346242

Das gilt auch für Leute, die selbst Clubhouse gar nicht benutzen. Es genügt, wenn Freunde oder Bekannte es tun, denn Clubhouse kopiert das gesamte Adressbuch des Telefons mit sämtlichen Kontakten auf die eigenen Server. Das passiert nicht nur einmal nach dem ersten Start der App. Clubhouse schaut anschließend auch regelmäßig nach, ob neue Einträge hinzugekommen sind, und lädt auch diese hoch. So erklärt sich, warum eine App, die von einigen zehn Millionen Menschen installiert wurde, 3,8 Milliarden Kontaktdaten erntet.

Wer es nicht kennt: Clubhouse ist ein Audio-Chat. Wer dort einen Account hat, kann einen „Clubraum“ eröffnen und sich in diesem mit anderen Menschen verabreden, um über ein bestimmtes Thema oder auch Gott und die Welt zu quatschen. Diese Clubräume sind öffentlich und können von allen betreten werden, wobei nur diejenigen sprechen können, die dazu freigeschaltet sind. Deshalb ist Clubhouse eine – je nach Sichtweise – ziemlich exklusive oder elitäre Angelegenheit und nicht mit anderen sozialen Medien und Netzwerken zu vergleichen.

Gesteigert wurde der Effekt noch dadurch, dass Clubhouse zunächst ausschließlich für iPhones und nicht für Android-Telefone zur Verfügung stand und nur teilnehmen konnte, wer von einem Freund oder Bekannten eine Einladung erhielt. Diese Kombination führte zu Beginn des Jahres zu einem ziemlichen Hype in Deutschland, weil Prominente offenbar das Gefühl hatten, dort im relativ kleinen, exklusiven Kreis reden zu können. Das verleitete unter anderem Bodo Ramelow zu sexistischen Sprüchen über Angela Merkel, während Philipp Amthor sich sicher genug fühlte, in seinem Clubraum das heute als rechtsradikal verstandene Pommernlied zu singen. Nach einigen solcher Skandale ging die Freizügigkeit vieler Prominenter auf Clubhouse schnell zurück und genauso schnell ebbte der Hype wieder ab. Mittlerweile existiert auch eine Android-App und das Interesse scheint so weit gesunken zu sein, dass es seit wenigen Tagen auch ohne Einladung möglich ist, Clubhouse beizutreten.

Zynisches Details am Rande: Dass eine Audio-App nicht ohne weiteres für gehörbehinderte Menschen zugänglich gemacht werden kann, ist nachvollziehbar. Dass sie aber so gestaltet wird, dass blinde Menschen sie auch nicht verwenden können, zeigt deutlich, wie wenig sich die Entwicklerïnnen für ihre Nutzerïnnen interessieren. Besonders weil iOS eine Bedienung durch sehbehinderte Menschen unterstützt und ziemlich viel Faulheit dazu gehört, die Bedienelemente in der Entwicklung nicht entsprechend anzupassen.

Dass Clubhouse gehackt wurde und eine entsprechende Menge an Nutzerïnnen-Daten erbeutet werden konnten, ist sehr plausibel. Wie schludrig die Clubhouse-Entwicklerïnnen arbeiteten, zeigen die diversen Sicherheitslücken, die bekannt wurden, darunter einige, die haarsträubend einfach auszunutzen waren. Unter anderem war es möglich, die Audiochats anderer Leute unbemerkt aufzuzeichnen oder Räume heimlich wieder zu betreten, selbst nachdem eins hinausgeworfen wurde. Bereits früher im Jahr wurde eine kleinere Zahl von Nutzerïnnendaten geleakt. Wenig überraschend verstößt Clubhouse in mehreren Punkten gegen die Datenschutz-Grundverordnung. Von Anfang an legte Clubhouse wie ein Klischee-Startup eine „Move fast and break things“-Attitüde an den Tag.

Clubhouse ist also genau die Sorte App, der niemand das eigene Adressbuch anvertrauen sollte. Zumal das Auslesen und Speichern der vielen Kontakte keinen unmittelbaren Nutzen hat. Bei WhatsApp war es vor rund 10 Jahren noch das Erfolgsgeheimnis, dass WhatsApp-Nutzerïnnen sich aufgrund des automatischen Abgleichs der Telefonnummern gegenseitig finden konnten, ohne sich absprechen zu müssen. Das ist zwar aus Perspektive des Datenschutzes ein No-Go, ergab aber immerhin Sinn. Bei Clubhouse hingegen ist völlig unklar, wozu diese Daten geerntet wurden. Weder für den Betrieb noch für das Verschicken von Einladungen waren sie nötig. Wenn sich ein solcher Datenzugriff nicht mit der Funktionalität einer App begründen lässt, liegt die Unterstellung nahe, dass die Daten anderweitig missbraucht werden sollen.

Unabhängig von Clubhouse und WhatsApp sollte eins niemals dem Upload der Kontakte im eigenen Smartphone zustimmen. Dabei ist es völlig egal, welche Haltung du in Datenschutzfragen hast und ob es dir egal ist, was mit deinen Daten geschieht. Einigen Leuten in deinem Adressbuch ist es vielleicht nicht egal, und auf diese Leute Rücksicht zu nehmen, gebieten Respekt und Höflichkeit.

Es gibt übrigens durchaus Apps, die Kontakt-Daten abgleichen können ohne sie zu sammeln. Ein Beispiel ist der (überhaupt sehr empfehlenswerte) Messenger Signal. Wer Signal den Zugriff auf die eigenen Kontakte gewährt, bekommt genau wie bei WhatsApp mitgeteilt, wenn Freunde und Bekannte den Messenger ebenfalls benutzen. Dies geschieht aber, ohne dass deren Namen und Telefonnummern hochgeladen werden. Stattdessen erzeugt Signal für jeden Eintrag einen so genannten Hash-Wert, aus dem nicht auf den ursprünglichen Inhalt geschlossen werden kann. Wenn Signal die Telefonnummern der Nutzerïnnen vergleicht, vergleicht es also nicht wirklich Nummern, sondern nur diese Hash-Werte.

Clubhouse hat jetzt gerade nur das Pech, als Paradebeispiel für eine ganz grundlegende Frage der Technik-Ethik zu dienen: Solange es nicht zwingend notwendig ist oder ihr euch nicht wie im Fall von Signal einigermaßen sicher sein könnt, was eine App mit den Daten eurer Mitmenschen anstellt, gewährt den Apps bitte, bitte, bitte keinen Zugriff auf die Kontaktdaten in euren Telefonen. Nicht nicht nur für euch selbst, sondern vor allem auch den Menschen zuliebe, die ihr gern habt. Danke.

Und damit, liebe Leserïnnen, wünsche ich ein schönes Restwochenende.

Enno Park

P.S. in eigener Sache: Wer diesen Newsletter oder meinen sonstigen Output auf Twitter und anderswo hilfreich oder unterhaltsam findet und meine Arbeit gerne unterstützen möchte, kann das hier tun. Ich danke herzlich.

Kommentare sind nur für Mitglieder zugänglich. Nimm an der Diskussion teil …