Schriftzug und Logo von Lovoo | Bildquelle: picture alliance / dpa

Dating-App mit Problemen Lovoo-Nutzer können geortet werden

Stand: 09.08.2019 05:01 Uhr

Die Dating-App Lovoo verrät nach BR-Recherchen mehr über ihre Anwender, als vielen von ihnen lieb sein dürfte: Mit etwas technischem Wissen können Fremde Standortbestimmungen und Bewegungsprofile erstellen.

Von Oliver Schnuck, Hakan Tanriverdi, Robert Schöffel, BR

Einer der erfolgreichsten Dating-Anbieter in Deutschland, Lovoo, hat Daten seiner Nutzer unzureichend geschützt. Das geht aus Recherchen des Bayerischen Rundfunks hervor. Danach ist es möglich, Nutzer der App zu orten - in den meisten Fällen auf 30 bis 50 Meter genau.

Datenjournalisten des BR haben in einem Test über mehrere Tage hinweg Standorte von Lovoo-Nutzern aufgezeichnet. Mit diesen Standortdaten ist es möglich, Bewegungsprofile zu erstellen und Rückschlüsse auf Wohn- und Arbeitsorte zu ziehen. Kombiniert werden kann der Standortverlauf außerdem mit weiteren Profilinformationen wie der sexuellen Orientierung oder den hinterlegten Bildern.

Möglich macht das die Radarfunktion von Lovoo: Mit dieser sehen Nutzer der App, wer sich in der näheren Umgebung befindet, die Distanz wird in 100-Meter-Schritten angegeben. Durch ein einfaches geometrisches Messverfahren lässt sich der Standort eines Nutzers allerdings wesentlich genauer bestimmen: Die Entfernung zum Nutzer wird von drei unterschiedlichen Punkten aus abgefragt. Mit diesen Informationen kann der Standort näherungsweise berechnet werden.

So funktioniert die Ortung

Die Reporter von BR Data hatten einen Hinweis bekommen, dass es möglich sei, über eine technische Schnittstelle (API) von Lovoo diese Informationen gezielt und in großer Anzahl abzurufen. In einem Test haben sie ein virtuelles Netz über der Stadt München aufgespannt.

Infografik zur Ortsbestimmung mittels Trilateration (Quelle: BR)
galerie

Drei Entfernungsangaben genügen, um den Standort eines Nutzers zu berechnen (Beispieldaten) - das Verfahren nennt man Trilateration.

Über den Zeitraum von fünf Tagen sammelten sie über ein dafür angelegtes Profil Daten von neun unterschiedlichen Standorten aus. Alle 15 Minuten bekamen die Reporter so Informationen über Nutzer, die sich in diesem Bereich bewegten - darunter Alter, Geschlecht, Profilbild und den Standort, an dem die App das letzte Mal geöffnet wurde.

Hinweise auf Wohn- und Arbeitsort

Der Test war auf eine kleine Zielgruppe zugeschnitten: Männer zwischen 25 und 27 Jahren, die Frauen kennenlernen wollen. In kurzer Zeit entstand so ein Datensatz mit Standorten von mehreren Hundert Nutzern in München. Knapp die Hälfte davon nutzte die App mehrmals täglich. Auch bei einer Testperson des BR-Nachrichtenformats News-WG konnten die Datenjournalisten über mehrere Tage hinweg nachvollziehen, wo sie sich aufhielt und so Hinweise erhalten, wo die Person wohnt und arbeitet. Betroffen sind potenziell alle Nutzer von Lovoo, die die Radarfunktion aktiviert haben. Das Unternehmen selbst gibt an, weltweit etwa sechs Millionen aktive Nutzer zu haben.

Screenshot "Lovoo" aus dem App Store
galerie

Lovoo bewirbt die Radarfunktion im App-Store offensiv.

Wie heikel Standortdaten insbesondere im Zusammenhang mit Informationen zur sexuellen Orientierung sein können, zeigt ein extremer Fall, in dem eine andere Dating-App betroffen war: Grindr. Bei der App, die sich vor allem an homosexuelle Menschen richtet, wurden Nutzer 2014 auf ähnliche Weise lokalisiert. Medienberichten zufolge nutzte die ägyptische Polizei die App, um Homosexuelle zu verfolgen und zu verhaften. Inzwischen ist die Ortungsfunktion von Grindr in Ägypten und einigen anderen Ländern deaktiviert.

IT-Sicherheitsexperte kritisiert Lovoo

Linus Neumann | Bildquelle: picture alliance / dpa
galerie

CCC-Experte Linus Neumann bestätigte die Recherche-Ergebnisse.

IT-Sicherheitsexperte Linus Neumann vom Chaos Computer Club (CCC) warnt, dass ein Missbrauch von persönlichen Daten nie ganz ausgeschlossen sei: "In dem Moment, in dem ich als Nutzer meine Standortdaten mit wildfremden Menschen teile, gibt es natürlich immer eine Gefahr. Auch wenn diese Daten ungenauer hinterlegt werden, wäre immer noch zu erkennen, in welcher Stadt und in welchem Stadtteil ich mich befinde und wo ich mich regelmäßig bewege."

Neumann hat den Test der BR-Reporter nachvollzogen und kommt zu dem Ergebnis, dass Lovoo nachlässig gehandelt hat. Er verweist auf technische Mittel, die das Unternehmen nutzen sollte. Zum Beispiel könne man einschränken, wie viele Abfragen ein Profil schicken darf. Damit könnte man verhindern, dass ein Profil binnen Sekunden von drei unterschiedlichen Orten aus abfragt. Auch wäre es möglich, die Anzahl der Dating-Partner einzugrenzen, die einem angezeigt werden. "Das Missbrauchspotenzial ist hier auf jeden Fall immer da, sollte vom Hersteller aber noch sehr viel stärker eingeschränkt werden", sagt Neumann.

Lovoo verweist auf Sicherheitsmaßnahmen

Lovoo stand bereits 2016 im Fachmedium Golem in der Kritik, die Nutzerdaten nicht ausreichend geschützt zu haben. Auf BR-Anfrage teilt Lovoo mit: "Um die Daten unserer Nutzer zu schützen, setzen wir eine Vielzahl von technischen und organisatorischen Maßnahmen ein." Unter anderem würden "ausschließlich ungenaue Koordinaten und Distanzen" der Nutzer verschickt, um einen Rückschluss auf den genauen Standort zu verhindern. Doch offensichtlich reichen die Maßnahmen nicht aus - wie die Recherchen zeigen. Die Reporter konnten Nutzer auf 30 bis 50 Meter genau orten.

Konkurrenten von Lovoo geben die Entfernung zu anderen Nutzern deutlich ungenauer an. Tinder antwortet auf Anfrage, man maskiere die Standorte der Nutzer. Der tatsächliche Aufenthaltsort werde dabei durch einen fiktiven Standort in der Nähe ersetzt. Auch Lovoo setzt nach eigenen Angaben auf diese Methode. Weil die Entfernungsangaben bei Tinder jedoch deutlich ungenauer sind, nämlich in 1000-Meter-Schritten, ist eine genaue Bestimmung des tatsächlichen Aufenthaltsorts kaum möglich.

Update 13.8.2019

Nachdem die Reporter Lovoo mit den Rechercheergebnissen konfrontiert haben, hat das Unternehmen Änderungen vorgenommen. In einer Presseerklärung vom 9.8.2019 heißt es, man habe "sofort Maßnahmen ergriffen, um sicherzustellen, dass der Standort der Nutzer auf Lovoo nicht genauer als 1.000 Meter bestimmt werden kann".
Ein Test von BR Data bestätigt, dass die Standorte nun weniger präzise bestimmt werden können, nämlich auf wenige hundert Meter bis einen Kilometer genau. Eine Anfrage, warum in der App die Entfernung zu anderen Nutzern dennoch weiter in 100-Meter-Schritten angezeigt wird, ließ das Unternehmen bislang unbeantwortet.

Darstellung: