qrios

Man stelle sich Barack Obama beim morgendlichen Briefing vor. Seine Mitarbeiter präsentieren ihm einen Mix unterschiedlicher Nachrichten. Kurz und knapp zusammengefasst jeweils auf zwei Sätze. Die Themen umfassen das ganze Spektrum mit dem sich ein US-Präsident beschäftigen muss: Gesundheitsreform, Chemiewaffen, Finanzstreit, Republikaner etc. Die Quellen reichen von einfachen Pressclippings über Telefonate zu Meinungsumfragen und eben Überwachung. In den meisten Fällen handelt es sich schon um ein Surrogat aus mehreren Quellen. Den Überbringern dürfte es schwer fallen alle einfliessenden Quellen zu benennen.

Das einzelne Telefonat von X mit Y ist dabei schon längst in den Hintergrund getreten. Vielleicht ist nur die Häufung der Telefonate zwischen X und Y oder die Tatsache, dass die beiden seit Wochen nicht mehr miteinander geredet haben wichtig. Was aber, wenn X und Y nur deswegen nicht mehr telefonieren, weil sie jetzt plötzlich Skype benutzen. Gewichtete Aussagen an Hand von Metadaten lassen sich nur dann gesichert machen, wenn man sicher sein kann, dass man nahezu alle Pakete unter Beobachtung hat.

Lehren aus der Marktforschung

Die Qualität aggregierter Aussagen steht und fällt mit der Quantität der verwendeten Daten. Die “Ich bekomme nur Schuhwerbung”-Beobachtung zeigt dieses Problem auf eine sehr anschauliche Weise. Die Datenbasis aller Predictive-Targeting-Anbieter ist derzeit von minderer Qualität, weil sie quantitativ zu klein ist. Konkret: wenn man diesen Artikel hier liest, erfährt ein Anbieter wie Doubleclick oder nuggad davon nichts (hoffentlich). Für ein umfassendes Profil wäre dies jedoch notwendig. Stattdessen werden die Datenbanken dort gefüttert, wo sich viele Menschen aufhalten. Das eigene Profil wird so gleichgeschaltet mit dem vieler anderer Menschen. Und selbst, wenn man sich niemals Schuhe im Netz kaufen würde – schon gar nicht solche – ist aus Sicht der Aggregatoren eine hohe Wahrscheinlichkeit für einen Treffer gegeben. Denn die Hälfte der Nutzer kaufen sich ja tatsächlich solche Schuhe im Netz.

Für die NSA und andere Dienste folgt daraus, dass es nicht genügt, nur einen Teil der Kommunikation zu erfassen. Die Gefahr droht ja eben nicht von der normalen Masse, sondern von den Rändern der Gesellschaft. Die Nichtschuhkäufer liefern die spannenden Analysen. Und spannende Analysen müssen geliefert werden.

Jeder Publisher einer großen WebSite kann schlecht schlafen, wenn er nicht weiss, wie oft seine Seiten aufgerufen werden. Wie in einem Blindflug veröffentlicht er Inhalte, die Nutzer auf die Seite ziehen sollen. Würde er keine Kenntnis von dem Erfolg oder Misserfolg seiner Bemühungen haben würde sich schnell ein unangenehmes Gefühl einstellen – ähnlich dem körperlichen Unwohlsein in einem schalltoten Raum.

Für den Publisher ist die Lösung recht einfach. Sie heisst Web-Analyse und es gibt sie in unterschiedlichen Ausprägungen und zu unterschiedlichen Preisen. Und interessanterweise ist sie so gestaltet, dass beim Benutzer immer ein Quentchen Unsicherheit über die Aussagen selbst oder deren Qualität bleibt. So erklärt sich auch warum 99% aller relevanten WebSites mit mehr als einer Analytics-Lösung ausgestattet sind.

Für die Quants in den Diensten ist das unangenehme Gefühl der Taubheit wahrscheinlich existenzieller. Wenn sie auf Pakete treffen, deren Inhalt sich ihnen verschliesst müssen sie handeln. Geschützte Kommunikation für die sie keinen Schlüssel haben oder neue Protokolle für die sie keinen Decoder haben darf es nicht geben. Eine blosse Kosten-Nutzen-Analyse wird daher immer darauf hinauslaufen, dass diese Pakete erfasst werden müssen und alles unternommen werden sollte, die Inhalte freizulegen. Methodisch sauber wäre bei dem Beobachtungsgegenstand “Internetkommunikation” nur ein Abgreifen aller Pakete an allen Knotenpunkten.

Über Browser-Fingerprints wird immer häufiger berichtet und es wird möglicherweise noch viel häufiger eingesetzt. Allerdings ist es nicht so einfach, zu ermitteln, wie weit diese Technik zu Wiedererkennung eines Nutzers respektive dessen Systems wirklich verbreitet ist. Zuletzt gab (die Tochter des Axel Springer Verlages) Zanox zu, Fingerprinting zu verwenden. Die verwendeten Verfahren sind allerdings sehr vielfältig und zielen auf unterschiedliche Eigenschaften der Browser und Systeme. Eine funktionierende Strategie gegen Fingerprinting ist also abhängig von der Erhebungsmethode.

Verwendete Daten

Ausgangspunkt für alle Browser-Fingerprints sind die User Agent Strings. Darüber teilt der Browser bei jedem Request mit, zu welcher Familie er gehört und auf welchem System er läuft. Manche Browser (IExplorer) sind geschwätziger als andere (Safari). Häufig meinen auch PlugIns und Browsererweiterungen, heraus posaunen zu müssen, dass der Nutzer so nett war, die Erweiterung zu installieren. Eine solche Installation kann durchaus auch unbeabsichtigt und sogar unbemerkt vom User stattfinden. Nach wie vor installieren Firmen, wie Adobe, HP oder Oracle – gerne unbemerkt – Browser-PlugIns.

Je länger ein System genutzt und angepasst wird, desto geringer ist die Wahrscheinlichkeit, dass der User Agent String weltweit mehrfach auftaucht. Zanox behauptet zwar, dass die Daten nur wenige Tage verwendbar sind, dies gilt aber nur in Hinblick auf die Tatsache, dass Zanox das Verfahren tatsächlich auch zur Berechnung der Kosten ihrer Kunden verwendet. Effektiv dürften mindestens 2/3 aller Nutzer sicher auch über mehrere Wochen erkennbar sein. Insbesondere in Zusammenhang mit ergänzenden Techniken (z.B. Browser-Update-Informationen) lässt sich eine Historie herstellen.

Neben dem User Agent String werden Informationen über den Browser vor allem mittels JavaScript erfasst. Wichtigste Quelle für Browser-Unterschiede ist das JavaScript-Object navigator und dort besonders die Liste der unterstützten Mime-Types: navigator.mimeTypes. Mit über 100 unterschiedlich sortierten Einträgen in einem typischen Browser liefert diese Liste eine hervorragende Quelle für Differenzen. Mit ein wenig Datenanalyse lässt sich damit selbst ein Nutzer mit verschiedenen Browsern auf dem gleichen Rechner und mit der gleichen IP-Adresse erkennen.

Während die bisher beschriebenen Verfahren darauf basieren, dass der WebServer Daten abfragt, die unabhängig von ihm existieren, verwenden weitergehende Techniken Methoden, die die relevante Information zuvor auf dem Rechner ablegen. Insofern fallen diese Techniken direkt in den Bereich des Cookie-Ersatzes. Basis aller dieser Verfahren ist der Browser-Cache. Eine sehr simple Methode ist die Übermittlung von IDs als Bilder, die dann gecached werden und dem Server beim nächsten Besuch ermöglichen, die ID wiederherzustellen.

Wesentlich verbreiteter ist jedoch die Verwendung von ETags. Dabei handelt es sich um eine ID, die von den WebServern im http-Header an den Browser sendet. Das Protokoll sagt, dass diese ETag-ID bei einem Aufruf an den Server senden kann, falls der Browser das entsprechende Element zuvor bereits geladen hat. Solche ETags wurden mit http Version 1.1 eingeführt und werden von allen aktuellen Browsern unterstützt. Bisher wurden sie jedoch extrem selten verwendet. Sie bedeuten aus Sicht eines Content Management Systems mehr Probleme als Vorteile. Eine gute Demonstration der Funktionsweise findet sich hier.

ETag-basierte Erkennungssysteme sind schwer zu erkennen und funktionieren auch ohne JavaScript oder PlugIns. Besonders für Netzwerke, die Nutzer-Identitäten austauschen bieten sie sich an. Die beteiligten Unternehmen müssen lediglich ein IMG-Tag einbauen. Dieser kann ein Bild von einem unabhängigen Server laden. Der Server überträgt dann den Referer, die IP-Adresse und den User Agent String zusammen mit einer eindeutigen ID an die beteiligten Partner. Verbessert werden solche Daten mitunter durch Verfahren wie dem Post-Hack zur Umgehung einer möglichen Sperre von 3rd-Party-Cookies. Dabei wird das Bild nicht direkt aus der Seite aufgerufen sondern über einen Iframe, dessen URL und damit auch der Referer dann die Informationen aus dem Cookie enthält.

Schutzmöglichkeiten der Nutzer

Die Verknüpfung unterschiedlichster Identifikationsverfahren bedeutet für den Nutzer, dass lediglich einzelne Strategien zur Anonymisierung nicht ausreichen. Gegen ETags wirkt auf jeden Fall das Löschen des Browser-Caches. Gegen die Erkennung der Mimetypes und PlugIns mit Hilfe von JavaScript wirkt das Abschalten von JavaScript. Das regelmässige Löschen von Cookies ist inzwischen ebenfalls verbreitet. Der Privatsphären-Modus schützt nur vor dem dauerhaften Speichern von Cookies und den Einträgen im Local Storage. Gegen das Fingerprinting auf der Basis des User Agent Script gibt es darüber hinaus Browsererweiterungen und Einstellungen (Safari Entwicklermenü). Tools wie Ghostery sind zwar sehr interessant, weil sie zeigen, wer auf einer Seite tatsächlich Daten erheben will, sie schützen jedoch nur vor den allgemein bekannten Firmen. Partnernetze agieren häufig unter dem Radar der Öffentlichkeit und basieren auf Eigenentwicklung oder Lösungen von kleinen IT-Anbietern, die selbst nicht in Erscheinung treten. Das PlugIn für Firefox FireGlovs wird inzwischen nicht mehr verbreitet. Es war tatsächlich nicht in der Lage, den Nutzer vor kombinierten Fingerprint-Verfahren zu schützen. [Update] Gábor Gulyás von Privacy Enhancing Technologies (pet-portal.eu) wies darauf hin, dass FireGlove ein Proof of Concept und nicht für zur generellen Benutzung gedacht war. Er hat unter anderem auch die gut recherchierte und wesentlich tiefer gehende Arbeit “Tracking and Fingerprinting in E-Business: New Storageless Technologies and Countermeasures” mitverfasst.[/Update]

Die effektivste Methode ist eine Kombination aus dem Löschen von Cache und Cookies, der Verwendung eines verbreiteten User Agent Strings und dem Deaktivieren von JavaScript und PlugIns. Für Sites, die eine solche Funktion erzwingen, verwendet man am besten einen separaten Browser. Ausschalten sollte man auch die Wiederherstellung der alten Tabs. Idealerweise schliesst man auch den Browser und löscht alle Daten bevor man in ein anderes Netz wechselt oder per DSL eine neue IP-Nummer bekommt.

Falls es nicht so sehr auf die Geschwindigkeit ankommt und wem die genannten Maßnahmen zu kompliziert sind, dem empfiehlt sich natürlich ein Tor-Browser.

Am Dienstag nächster Woche findet mal wieder ein Special Event (Motto: “This should brighten everyone’s day”) von Apple statt. Allgemein angenommen wird die Vorstellung des iPhone 5S und des billigeren/farbigeren iPhone 5C. Inzwischen verdichten sich jedoch die Hinweise auf einen kompletten Relaunch des AppleTV. Es gibt obskure Beobachtungen über das Anlanden großer Settopbox-Lieferungen in die USA, intensivierte Verhandlungen mit Kabelprovidern und Contenanbietern und vermehrt freigeschaltete Kanäle im bestehenden Angebot.

@in_aha wies mich darauf hin, dass mit dem iPhone 5S Apple einen neuen A-Chip einführen wird und dann damit zu rechnen ist, dass der bisher verwendete Prozessor dann in die neue Generation des AppleTV wandern könnte. Ausserdem würde die Einführung der Gameconsolen-Module für iPhones und iPods nur Sinn ergeben, wenn die Spiele auch auf einem großen Screen zu sehen seien. Die bestehende AppleTV hätte bisher jedoch weder die Verbreitung noch die Zielgruppe um diesen Markt wirklich zu unterstützen.

Wie AppleTV eigentlich aussehen könnte:…

Nach 2 1/2 Jahren war es dann heute endlich soweit. Microsoft kauft für 40% des Marktwertes den Kern von Nokias Geschäft. Die Mobilgerätesparte soll komplett an Microsoft übergehen und ausserdem erhält MS Zugriff auf die Patente von Nokia. Diese sollen allerdings offensichtlich nur geliehen sein. Bei den Geräten geht es nicht nur um die Lumia-Reihe sondern auch um die euphemistisch “Featurephones” genannten Asher-Geräte.

Von dieser Nachricht sind die Anleger offensichtlich so begeistert, dass sie den Nokia-Kurs vorbörslich gleich mal um 42% in die Höhe schnellen lassen. Das ist aus verschiedenen Gründen erstaunlich. Erstens: wurde Nokia grade entkernt. D.h. der Wert der Marke Nokia war vor allem im Massenmarkt vertreten. Diesen Massenmarkt gibt es jetzt nicht mehr. Und zweitens: der Kursgewinn macht insgesamt wesentlich mehr aus, als die Kaufsumme. D.h. die Anleger hatten offensichtlich noch mindestens 2Mrd.$ zukünftigen Verlust für die Gerätesparte eingepreist. Diese vermuteten sie entweder bis zum Erreichen der ersten schwarzen Null oder bis zum Einstampfen dieses Geschäftszweiges.

Nokia besteht jetzt im Wesentlichen aus zwei Bereichen, die inhaltlich und geschäftlich nichts miteinander zu tun haben: here und NSN. Here sieht sich als globaler Player im Markt der Maps und Location Based Services. Den Beweis dafür muss es jetzt relativ schnell erbringen. Dabei ist vollkommen unklar, wie ein solcher Beweis aussehen könnte. Als einzige mobile Plattform bleibt auch in Zukunft Windows Phone, Weder Android noch iOS benötigen eine konkurrierende (und noch schlechtere) Map-Anwendung.

Das grade wieder komplett übernommene Nokia Siemens Network Nokia Solutions and Networks hat es in den bestehenden sechs Jahren nicht geschafft, profitabel zu arbeiten. Zu groß ist inzwischen die Konkurrenz aus China mit Huawei. Darunter leidet ebenfalls seit mehreren Jahren Ericsson.

Aber vielleicht flüchten ja viele Anleger einfach nur von Microsoft zu Nokia. Denn MSFT hat im vorbörslichen Handel bis jetzt rund 13 Mrd.$ verloren. Und das ist die Summe aus dem Kaufpreis und dem Kursanstieg von Nokia. Offensichtlich hat sich Microsoft da ein faules Ei gelegt und Steve Ballmer zum wiederholten Male eine grandiose Fehleinschätzung abgeliefert.

Der Rücktritt von Elop vom Vorstandsvorsitzenden wird begründet mit der Aussage, dass so eine saubere Übernahme gewährleistet werden soll. Das ist insofern erstaunlich als dass ja jemand der einen Deal einfädelt auch in der Lage und unvoreingenommen genug sein sollte, einen solchen Deal auch zu finishen. Aber offensichtlich wurde dabei schon ein späterer Schritt berücksichtigt, der der Öffentlichkeit bisher noch vorenthalten werden soll: Elop kommt auf eine hohe, wenn nicht auf die höchste Position bei Microsoft. Wenn sich dabei mal nicht mindestens Elop selbst (mal wieder) verrechnet hat.

@astefanowitsch hat auf seinem Blog erklärt, warum er doch lieber die Piraten wählt. Obwohl er Piratenmitglied ist bemüht er sich dabei doch, nachvollziehbare Argumente zu liefern. Das ist ihm auch halbwegs gelungen. Viel wichtiger jedoch ist für mich die verlinkte Liste der Landeslisten. Dort stehen dann solche integren und kompetente Personen, wie:

• Udo Vetter,
• Markus Kompa,
• Jens Seipenbusch,
• Bruno Kramm.

Jeder von diesen vieren steht auf einem Platz, der einen Einzug in den Bundestag garantiert, selbst wenn die Piraten nur 5,00001% bekommen. Und damit hätte die Piratenfraktion schon mehr Leute, die sich mit dem Netz und den rechtlichen Grundlagen auskennen als alle anderen Parteien zusammen.

(An Hand der Liste konnte ich dann auch endlich begreifen, dass ich mit meiner Zweitstimme ohne Hemmungen die Piraten wählen kann. Das hatte ich sehr stark bezweifelt als ich sah, wer sich in meinem Wahlkreis zur Wahl stellt: Fabricio do Canto. Diesem wurde zum Glück der Weg auf die Landesliste verwehrt, würde also nur als Direktkandidat in den Bundestag kommen. Er beschreibt in seinem Profil schmerzlos, dass er für die Beiersdorf AG mehrere Patente eingereicht hat. Unkommentiert von ihm bleibt dagegen die Frage, was er mit seiner politischen Arbeit erreichen möchte. Deutlich wird auch sein sehr starker Hang zur Esoterik.)

Wenn zwei Celebreties des deutschen Netzes die Waffen strecken und öffentlich ihre Hilflosigkeit offenbaren, dann sollte man genauer hinsehen. Denn jeder, der deutschen Netzgemeinde wird in den Posts von @holgi und @mspr0 in Sippenhaft genommen:

“Wir, das sind so ziemlich alle, die sich seit langem mit Überwachung, Datenschutz und Privatsphäre beschäftigen.”

So – alle Richtungen, Strömungen und Kritiker des Netzes vereinnamend – schreibt mspr0. “Beschäftigen” heißt bei ihm vor allem, die Mahner und Warner zu kritisieren. Sie als Fortschritts- und Spaßbremsen zu klassifizieren, die zwar technisch das Netz verstehen mögen, von seiner revolutionären Kraft nichts begreifen. Die Kritik kann auch gerne mal unter die Hitlervergleichsgürtellinie gehen. Da wird dann schon mal die Revanchistenkeule rausgeholt, weil einer der vielen verschiedenen Demoaufrufe gegen Massenüberwachung (obwohl offensichtlich ironisch) mit Landesverrat argumentiert. Seinem durchaus richtigen Anliegen, dass die Grenzen nicht zwischen den Ländern sondern zwischen den Herrschenden und Beherrschten verlaufen, dient eine solche Trollerei sicher nicht.

Wenn Holger Klein, beruflich als Videotext-Redakteur überzeugt, dass dieses Medium eine relevante Reichweite hat, schreibt,

“Der Kampf gegen die Einführung und den Betrieb des Überwachungsstaats ist verloren.”

impliziert er, dass er diesen Kampf aktiv geführt hat. Das ist lustig, weil bereits vor mehr als sieben Jahren zwei wirkliche Kämpfer gegen die Überwachung die gleiche Aussage gemacht haben. Unter dem Titel “We lost the war” konstatierten Rop Gonggrijp und Frank Rieger, dass die Geheimdienste inzwischen wissen, wie sie die Technik nutzen können und wie man die Politik dazu bringt, die Technik auch zu bezahlen.

Während holgi eine Mehrheit der Bevölkerung sieht, die Überwachung billigend in Kauf nimmt um maximal mögliche Sicherheitsgarantien zu bekommen, sieht mspr0 gleich jeglichen Datenschutz/Privatsphäre abgeschafft:

“Wenn sich die Leute mit Prism abfinden – und es sieht alles danach aus, als müssten sie das tun – ist der Datenschutzdiskurs in Deutschland in erheblichen Schwierigkeiten.”

Und an dieser Stelle wird wieder deutlich, dass beide von sich auf andere schliessen. Dabei vergessen sie leider, dass sie eben nicht mehr als Konsumenten sind. Das Netz stellt ihre Nischenbühne dar. Und so fallen für beide auch alle Handlungsoptionen weg, die eine Selbstbeschränkung im Umgang mit Daten erfordern würden. Sie sind abhängig von den anderen im Netz, die sie retweeten, erwähnen, kommentiern oder auch kritisieren. Und all diese Events füllen ihr persönliches Ego-Prism. Diese Metadaten brauchen sie für ihre Relevantometer.

Holger Klein wünscht sich offensichtlich sogar Kollateralschäden bei der Überwachung. Wie soll man sich das vorstellen? Hunderte Leute, die nichts verbrochen haben, nach Guantanamo? Erst dann würde die Öffentlichkeit, die Unsinnigkeit der Totalüberwachung erkennen. Hallo? Noch jemand zu Hause?

Wir haben ein funktionierendes Rechtssystem. Jeder, der jetzt meint, man könne nichts gegen die Überwachung tun, betrachtet dieses System als funktional kaputt. Dabei agieren nur die aktuellen Vertreter dieses Systems verfassungswidrig. So what?

Quelle: en.wikipedia.org
cc-by-2.0

Mozilla schlägt vor, Profiling direkt im Browser einzubauen. Profiling ist die Basis für Targeting und ist ein wesentliches Feature gehobener WebAnalytics-Lösungen. Profiling ist der Kern des Geschäftes von Firmen wie nugg.ad, Wunderloop (ehemals 7d) und früher schon Yoolia. Ziel ist es, aus dem historischen Verlauf vieler/aller aufgerufenen Seiten, die Affinität zu bestimmten Themen oder Themengruppen zu ermitteln. Auf der Basis dieser Daten kann dann Werbung gezielter positioniert werden.

Mit Profiling soll das Ford’sche Dilemma gelöst werden. Henry Ford wird der Ausspruch zugeschrieben, dass er zwar wisse, dass die Hälfte der Marketingkosten zum Fenster rausgeschmissen sei, aber nicht welche Hälfte. Mit Hilfe von Profiling würde man nur noch die ansprechen, die auch tatsächlich potentielle Kunden sind.

In der klassischen Werbung gibt es einen solchen direkten Rückkanal nicht. Die Werbewirksamkeitsforschung muss sich auf krude Verfahren, wie Panelgruppen (GFK, agof) und Massenzählungen (IVW, Radioreichweite) stützen. Diese werden dann mit obskuren Sinus-Gruppen verknüpft und daraufhin wirbt dann “o.b.” bei Tele5 im täglichen Star-Trek-Slot.

Auf dem Mozilla-Blog hat der Product Manager Justin Scott nun ein System vorgeschlagen, dass es zukünftigen Firefox-Versionen ermöglichen würde, selbst ein Profil zu erstellen. Dieses soll dann (offensichtlich) anonym an den Serverbetreiber einer Seite gesendet werden. Damit wäre es dann möglich den Inhalt so aufzubereiten, dass der Nutzer nur die Themen sieht, die ihn tatsächlich interessieren.

Problem I:

Bei großen Sites ist die Anzahl der Nutzer groß genug, dass aus den Themen-Clustern eines Profils dieses wieder deanonymisiert werden kann. Dazu gibt es genügend Studien und das sollte jeder halbwegs informierte Produktmanager auch wissen. Zumal ja neben dem Profil nach wie vor genügend Daten über den Browser (User Agent String) mitgesendet werden.

Problem II:

Die Filter-Bubble, die von vielen als antidemokratisch eingeschätzt wird, verengt sich noch mehr. Statt der Möglichkeit, sich umfassend über die Welt durch verschiedenste Medien informieren zu können, werde ich – ohne es zu wissen – einer heilen Welt gefangen gehalten.

Problem III:

Die Klassifizierung der Themen kann durch einen Inhalteanbieter manipuliert werden. Gesetzt den Fall, ein Forum, deren tägliche Besucher sich über historische Landkarten austauscht, bekommt zu wenige Werbeanzeigen durch die großen Werbenetzwerke. Was liegt näher als sich dann einen Bereich auszusuchen, der häufig gebucht wird. Vielleicht Schuh-Shopping oder Versicherungen. Alle Nutzer des Forums würden dann (wg. der häufigen Besuchsfrequenz) auf anderen Seiten plötzlich nur noch Schuhe oder Versicherungen angeboten bekommen.

Problem IV:

Schon heute werden Daten durch die Sites über den Server weitergegeben. So entstehen Netzwerke, die die Cookies und Fingerprints abgleichen. Würden die Browser zukünftig noch die Profile übertragen, hätten wir es endgültig mit dem gläsernen Surfer zu tun. Und nicht nur die Werbeindustrie hat ein existentielles Interesse daran.

Und tatsächlich löst die Idee des Profiling das Problem der überbordenden Werbung gar nicht. Es wird nicht dazu führen, dass weniger Werbung erscheint und es wird nicht dazu führen, dass Publisher mehr Geld erhalten. Denn dieses Problem erwächst aus der preiswerten Schaffung und Verbreitung von Inhalten im Netz. Mehr Daten an die Werbetreibenden vermitteln diesen jedoch den Eindruck, dass sie die Hälfte der Ausgaben sparen könnten. Dies ist der Grund, warum auch heute noch die Budgets für TV, Zeitung, Aussenwerbung und Radio wesentlich höher sind als die für Onlinewerbung.

Statt sich neue Methoden auszudenken, wie man an noch mehr Daten kommt, sollten sich die Publisher mit den Browserherstellern vor die Nutzer stellen und die Erhebung und Weitergabe der Daten verhindern. Dann würde Online plötzlich ein ganz normaler Kanal im sogenannten Werbemix und dort plötzlich nicht mehr die Conversion zählen sondern wieder die gute alte Währung der Kontakte.

Wasch mich, aber mach mich nicht nass

Aber offensichtlich ist Mozilla inzwischen unterwandert von Marketing-Experten, die auf der einen Seite die Privatsphäre der Nutzer propagieren auf der anderen Seite aber die Werbeindustrie nicht vergraulen wollen. Schon Do-Not-Track – vorgeschlagen von Mozilla – muss man so interpretieren. Denn die gesamte Idee basiert auf Freiwilligkeit der Serverbetreiber und stellt nur einen kalten Abklatsch von P3P dar. Dieses wesentlich bessere System hat Mozilla übrigens 2000 aus dem Browser entfernt.

Die Bundeskanzlerin und ihr Innenminister bestehen darauf, dass die umfassende Kommunikationsüberwachung nur ein Missverständnis ist. Die Amerikaner hätten eben ein anderes Verständnis davon, wo das richtige Gleichgewicht zwischen Freiheit und Sicherheit liege, als es die Europäer oder die paranoiden Deutschen haben. Man müsse ihnen unsere Empfindlichkeit nur vernünftig erklären. Bei diesem Gleichgewicht, was zu finden sei, geht es um die Abwägung, wie viel Freiheit der einzelne opfern müsse, zugunsten seiner Sicherheit.

Dabei erzeugt dieser Überwachungsapparat das genaue Gegenteil von Sicherheit. Und dies auf mehreren Ebenen.

Für jeden Menschen muss sofort deutlich werden, dass er sein Kommunikationsverhalten ändern wird, wenn er annehmen muss, dass die Inhalte öffentlich sind. Die Logs der letzten Youporn-Session könnten in der eigenen Facebook-Timeline auftauchen. Oder erinnern sie sich an die anzüglichen Chats mit ihrem Cousin? Und die Tatsache, dass sie ihrem Alg-II-Bruder regelmäßig Geld zustecken, sollte auch nicht jeder wissen. All diese Daten liegen irgendwo, sie verschwinden nicht und sie sind nicht sicher.

Mehrere hunderttausend Menschen haben auf einen Teil oder auf alle Daten Zugriff. Mit der Zeit werden es immer mehr. Jeder von diesen Menschen hat persönliche und wirtschaftliche Interessen und die Organisation in der er arbeitet hat selbst solche Interessen. Und man kann nur vermuten, was diese Menschen schon alles mit den Informationen gemacht haben. Der Fall des Jungen-Union-Mitgliedes in Baden-Würtemberg dürfte nicht der einzige Fall sein.

Für den amerikanischen Präsidenten mögen die Daten nichts anderes sein als eine Form der Marktforschung mit anderen Mitteln. Für seine Konkurrenten sind sie unlautere Mittel, die die Basis der Demokratie unterminieren. Sie lassen die Demokratie zu einer Farce werden. Denn seine politischen, wirtschaftlichen oder gesellschaftlichen Gegner verfügen nicht über die gleichen Mittel.

Für einen demokratischen Prozess ist jedoch die Ausgewogenheit der Mittel essentiell. Deswegen verbieten doch Diktaturen die freie Presse und schaffen die unabhängige Gerichtsbarkeit ab. Wenn die wiederstreitenden Kräfte in einer Demokratie aber nicht über die gleichen Informationen verfügen, die ja üblicherweise von der freien Presse erhoben und vermittelt werden sollten, dann gibt es keine Demokratie mehr.

Und dann sind auch unsere Politiker nicht mehr frei. Denn sie müssen immer unsicher sein, was ihre Vertragspartner oder ihre Gegner wissen.

Für MacOS und Linux gibt es ein kleines Tool, dass sich als VPN einsetzen lässt: sshuttle. Ziel des Pakets ist das verschlüsselte Tunneln aller Netzaktivitäten von einem lokalen Rechner (oder Router) zu einem entfernten Server. Dieser kann beispielsweise ein ganz normaler virtueller oder dedicated Server bei einem Hoster der Wahl sein. Im Ergebnis sieht ein an dem Netz lauschender Dritter nur einen verschlüsselten Stream. Um die “Meta”-Daten abzugreifen (http-GET, Referrer, Logins, etc.) müsste erheblich mehr Aufwand getrieben werden, der im Einzelfall gerechtfertigt sein möge, aber für die Massenspreicherung wohl nicht sinnvoll ist.

Insbesondere für den Feldeinsatz in Cafés oder anderen fremden Netzen empfiehlt sich der Einsatz von shuttle. Alle typischen Angriffe, die von Passwort-Sniffing bis zum Cookie-Stealing reichen können damit effektiv unterbunden werden.

Voraussetzung ist ein Server mit ssh-Zugang (Root-Rechte sind dort nicht notwendig) im Netz. Von dem lokalen Rechner bis zu diesem wird der gesamte Netzwerktraffic getunnelt. Im Prinzip kann sshuttle auch auf einem Router installiert werden. Dann würde der gesamte Traffic aller angeschlossenen Devices getunnelt werden. Derzeit scheint es allerdings noch nicht gelungen zu sein, sshuttle auf dem freien OpenWRT zu betreiben. Versuche mit einem BeagleBone Black und einem Raspberry Pi verliefen erfolgreich, wenn auch letzteres zumindest unter Debian zu langsam ist.  Beide würden sich als mobile SSH-Router für Windows-Nutzer anbieten.

Bei Mobilegeeks ist grade ein ausführlicher Artikel über Adblock Plus erschienen. Beleuchtet werden die wirtschaftlichen und personellen Verflechtungen und das intransparente Geschäftsmodell hinter dem freien Angebot. Es scheint sich um einen dicken, schmutzigen Sumpf zu handeln. Laut eigener Aussage des Geschäftsführers Till Faida können sich beispielsweise Investoren freischalten lassen. Zitat aus der Thurgauer Zeitung (Schweiz):

Seit Ende 2011 bieten Sie das Acceptable-Ads-Programm an. Beispielsweise zahlen Suchmaschinen für die Aufnahme in Whitelists? Kann sich jeder Werbetreibende bei Ihnen einkaufen?
Nein – von einigen strategischen Partnern einmal abgesehen, die darum gebeten haben, nicht genannt zu werden.