Ein neuer Datenschutzskandal erschüttert das berufliche Netzwerk LinkedIn: Wie Sicherheitsforscher herausgefunden haben, scannt die Microsoft-Tochter aktiv die im Browser installierten Erweiterungen der Nutzer – und das offenbar schon seit geraumer Zeit. Ein öffentlich einsehbares GitHub-Repository, das die entsprechende Erweiterungsliste dokumentiert, belegt, dass diese Praxis bereits seit mehreren Jahren betrieben wird. Die Enthüllung sorgt für erhebliche Empörung in der Datenschutz- und Tech-Community.
Wie funktioniert das Scanning technisch?
Wenn ein Nutzer LinkedIn im Browser aufruft, führt die Plattform im Hintergrund Skripte aus, die installierte Browser-Extensions identifizieren können. Moderne Browser wie Chrome oder Firefox erlauben es Webseiten unter bestimmten Umständen, über spezifische Ressourcenanfragen oder Timing-Analysen auf das Vorhandensein von Erweiterungen zu schließen. LinkedIn nutzt genau diese Methoden, um ein detailliertes Profil der Browser-Umgebung des jeweiligen Nutzers zu erstellen. Besonders brisant: Diese Datenerhebung erfolgt auch dann, wenn der Besucher nicht eingeloggt ist – also keine explizite Zustimmung zur Datenverarbeitung gegeben hat.
Was sind die Risiken für Nutzer?
Die installierten Browser-Erweiterungen eines Nutzers sind überraschend aussagekräftig. Sie können Rückschlüsse auf politische Überzeugungen, Gesundheitsinteressen, finanzielle Situation oder persönliche Vorlieben zulassen. Ein Nutzer, der beispielsweise spezifische Datenschutz-Tools, Accessibility-Erweiterungen oder branchenspezifische Plugins installiert hat, hinterlässt damit ein einzigartiges digitales Fingerabdruckmuster. Dieses lässt sich nutzen, um Personen seitenübergreifend zu verfolgen – selbst wenn sie keine Cookies akzeptieren oder ein VPN verwenden.
Besonders heikel ist die Rolle von LinkedIn in diesem Kontext: Als berufliches Netzwerk hat die Plattform Zugang zu hochsensiblen Karrieredaten. Werden diese mit heimlich gesammelten Browser-Daten kombiniert, entsteht ein außerordentlich detailliertes Nutzerprofil. Ähnliche Praktiken sind von Datenbrokern wie Experian bekannt – dass ein professionelles Netzwerk vergleichbare Methoden einsetzt, ist ein neues Qualitätsniveau der Überwachung.
Die übliche Unternehmensantwort – und warum sie nicht reicht
Wenn Unternehmen bei solchen Praktiken ertappt werden, folgt fast immer dasselbe Kommunikationsmuster: Man verweise auf Betrugsbekämpfung, Nutzersicherheit oder die Optimierung der Nutzererfahrung. Diese Begründungen mögen in Teilen zutreffen, erklären aber nicht, warum Daten erhoben werden, die eine nutzerübergreifende Identifikation außerhalb der eigenen Plattform ermöglichen. Für legitime Sicherheitszwecke wäre eine solche Reichweite schlicht nicht notwendig.
Einordnung: Ein Branchentrend mit Folgen
LinkedIn ist kein Einzelfall. Zahlreiche große Plattformen betreiben ähnliche Fingerprinting-Methoden, um Nutzer auch jenseits klassischer Cookie-Tracking-Mechanismen zu verfolgen. Mit der zunehmenden Verbreitung von Browsern mit eingebautem Tracking-Schutz – etwa Firefox oder Brave – weichen Unternehmen auf alternative Identifikationsmethoden aus. Browser-Extension-Scanning ist eine davon. Für Nutzer bedeutet das: Selbst wer aktiv auf Datenschutz achtet, kann von solchen Methoden betroffen sein. Datenschutzbehörden in der EU, wo die DSGVO explizit eine Einwilligung für derartige Datenerhebungen fordert, dürften sich für diesen Fall interessieren. Es bleibt abzuwarten, ob LinkedIn hier rechtliche Konsequenzen drohen – und ob der Druck der Öffentlichkeit zu einer transparenteren Datenpolitik führt.
Quellen: Hacker News