qrios

Der freie Web-Server Apache ist eine der Erfolgsgeschichten der Open-Source-Bewegung. Fast die Hälfte aller Web-Sites werden mit dem Apache betrieben. Er ist mächtig, relativ leicht zu warten und wurde quasi auf jedes neue Betriebssystem portiert.

Nun allerdings wird die Freude an diesem Stück Software durch einen Vorfall getrübt, den man als Sündenfall bezeichnen muss. Zehn Zeilen Code eines Patches bringen die Software plötzlich ins Zentrum des Gefechtsfeldes zwischen Userinteressen und den Interessen der Onlinewerbeindustrie.

Vor einem Monat pflegte Roy T. Fielding, seines Zeichens Projektmanager von Apache, eine kleine Änderung der globalen Konfigurationsdatei ein. Diese Änderung wurde bereits kurze Zeit später tatsächlich ausgeliefert. Niemand hat sich daran gestossen. Bis jemandem mal auffiel, was dort drin steht:

Zuerst wird folgende Anweisung gegeben: BrowserMatch “MSIE 10.0;” bad_DNT. Diese besagt in etwa “wenn der aufrufende Browser ein Internet Explorer 10.0 ist, dann setze bitte die Variable “böses DNT”. DNT ist die Abkürzung für Do Not Track.

Das allein wäre noch akzeptabel. Programme im weiteren Verlauf könnten besondere Rücksicht darauf nehmen und würden sich so weitere Abfragen sparen. Aber danach folgt noch die Anweisung: RequestHeader unset DNT env=bad_DNT. Dadurch wird der Server angewiesen, einen eventuell vorhanden http-Header namens “DNT” zu löschen. Und dies sogar unabhängig davon, welchen Wert er hat.

Mit dem Header DNT=1 soll der Browser laut zukünftiger Spezifikation dem Server, mithin dem Betreiber der Web-Site mitteilen, dass der Nutzer nicht getrackt werden will. DNT=0 bedeutet “die Daten dürfen gespeichert und weiterverarbeitet werden”.

Unter Punkt 3 wird der Nutzer bei der Windows-8-Installation darüber informiert, dass das DNT-Flag gesetzt ist. Der User kann die Einstellungen jedoch anpassen.

Der Autor des Patches argumentiert, dass Microsoft sich nicht an die Spezifikation halten würde. Denn dann müsste das Einschalten von DNT eine aktive Aktion erfordern (eine Diskussion, die schon seit Monaten brodelt). Mindestens jedoch bei der Expressinstallation würde der Wert für DNT auf 1 gesetzt ohne den Nutzer zu fragen.

Dabei sind folgende Dinge interessant:

• Die Spezifikation ist noch nicht verabschiedet.
• Es ist sehr umstritten, ob Microsoft sich nicht an den Entwurf hält. Eine Formulierung nach der der Wert nicht per default gesetzt werden darf war zwar in früheren Versionen zu finden, in der aktuellen ist er nicht mehr drin.
• Apache hat sich bisher nicht als Werkzeug verstanden, Standards durchzusetzen. Vielmehr war Apache immer sehr gut darin, mit Browsern umzugehen, die sich nicht standardkonform verhielten. (Zu denen in der Vergangenheit häufig der Internet Explorer gehörte.)
• Das globale Löschen des Headers macht es nachfolgenden Programmen unmöglich, eine eigene Behandlungsroutine für einen vermeintlich nicht standardkonformen Wert zu implementieren. Man müsste wiederum eine Abfrage nach dem Browser gestalten und dann den Header DNT wieder setzen mit dem Wert “unknown”

Vor dem Hintergrund dieser Punkte ist es nicht verwunderlich, dass eine breitere Öffentlichkeit auf den Patch aufmerksam wurde. Seit vier Tagen ergiesst sich nun ein (gemäßigter) Shitstorm über Fielding. Insbesondere seine Beziehungen zu Adobe werden dabei als Indiz genommen, dass er nicht im Interesse der Apache-Comunity handelt sondern sich und damit auch Apache zum Büttel der Werbeindustrie gemacht hat.

Fielding äusserte sich bisher zwei mal in den inzwischen über hundert Kommentaren zu dem Patch. Er verweist dabei unter anderem auf die bestehende EU-Richtlinie. Laut seiner Aussage würden diese durch DNT im generellen und durch den Patch im besonderen nicht tangiert. Das ist jedoch sehr zweifelhaft. Denn, wenn ein Betreiber eines Systems Kenntnis von dem ausdrücklichen Willen des Users hat, nicht getrackt zu werden wäre die Cookie-Frage obsolet. Und kein Betreiber kann sich heute mehr hinstellen und sagen, er hätte noch nie etwas von Do Not Track gehört.

Darüber hinaus wäre die Frage, ob ein solches Verhalten eines Web-Servers nicht selbst schon Computersabotage ist. Denn laut StGB § 303b macht sich strafbar:

Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er (3.) eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, …

Es ist weitgehend unstrittig, dass die meisten Nutzer das Tracking in der heute verbreiteten Form ablehnen. Ausserdem gilt es als gesichert, dass die meisten Menschen – aus welchen Gründen auch immer – Standardeinstellungen eines Browsers nicht ändern. Da aktuell eine ganze Branche von sehr kostengünstig zu erhaltenden Daten lebt, gibt es daher auch ein starkes Interesse, dass zukünftig nicht lauter Nutzer mit einem Betriebssystem (Windows 8) und einem Browser (IE10+) unterwegs sind, der jedem Web-Server in der Welt mitteilt: Ich möchte nicht getrackt werden!

Ginge man von einem Windows-8-Marktteil von 50% in drei Jahren aus und einem Anteil von 50% Explorer-Nutzer, dann reden wir von 25% Browseranteil. Bei 10% Nutzern, die die Einstellungen ändern, würde eine Standardeinstellung je nach Wert bedeuten, dass entweder 2,25% oder 22,5% nicht erfasst werden dürfen. Ersteres fiele unter statistische Abweichung, letzteres würde knapp ein Viertel des Retargeting-Umsatzes ausmachen, der allein in Deutschland irgendwo zwischen 100 und 300 Mio € jährlich liegen dürfte.

Mehrere $100 Mio jährlich weltweit sind es offensichtlich schon wert, einen Dummen zu suchen, der seinen guten Ruf und den eines erfolgreichen Open-Source-Projekts aufs Spiel setzt.

Disclaimer: Ich selbst halte Do Not Track nicht für den richtigen Ansatz. Denn letztlich kann niemand wirklich kontrollieren ob sich Anbieter daran halten. Ich selbst würde eine Opt-In-Lösung für den einzig richtigen Weg halten. Dabei könnten User belohnt werden, wenn sie ihre Daten zur Verfügung stellen.