„Mo‘ Data Mo‘ Problems“: Cliqz und Mozilla sprechen über Datenschutz

Die Münchner Cliqz GmbH und Mozilla haben eine gemeinsame Veranstaltungsreihe zum Thema Datenschutz, Online-Sicherheit und Webtechnologie gestartet. Sie steht allen Interessierten nach kostenloser Anmeldung offen. Beim ersten Meetup mit dem Titel „Mo‘ Data Mo‘ Problems“ in den Räumlichkeiten des Start-up Accelerators Wayra in München ging es gestern Abend um unsichere Amischlitten, Frankensteins Monster und heimliche Verfolger im Netz.

Jean Paul Schmetz, Gründer und CEO von Cliqz, startete mit einer Runde Powerpoint-Karaoke. Kurzfristig für den erkälteten Co-CEO Marc Al-Hames eingesprungen, erläuterte er den insgesamt rund 400 Interessierten, die die Vorträge vor Ort und im Livestream verfolgten, die Gefahren, mit denen sich Internetnutzer täglich konfrontiert sehen. Dazu zog er einen Vergleich mit der US-Autoindustrie, die in den 60er Jahren mit dem Chevrolet Corvair ein schick designtes Auto auf den Markt gebracht hatte, das aufgrund eines fehlkonstruierten Fahrwerks jedoch fast unmöglich zu beherrschen war. Nach zahlreichen tödlichen Unfällen warf der Verbraucherschutzanwalt Ralph Nader in seinem Buch „Unsafe at Any Speed“ dem Corvair ein „gefährliches Fahrverhalten“ vor. So wenig sich die US-Autohersteller damals um die Sicherheit ihrer Kunden geschert hätten, kümmerten sich heute viele Online-Anbieter um die Sicherheit und Privatsphäre ihrer Nutzer, sagte Schmetz. Der Hauptgrund dafür: Daten bringen Geld, denn datengestützte Anzeigen sind deutlich erfolgreicher als andere. Nutzerprofile sind somit die Währung des Internets.

Laut der von Cliqz durchgeführten Studie „Tracking the Trackers“ finden sich auf fast einem Viertel der deutschen Websites mehr als zehn Drittanbieter-Tracker, die die Aktivitäten des Seitenbesuchers im Web nachverfolgen, um umfassende Nutzerprofile zu erstellen und zielgerichtete Werbung auszuliefern. Zu den größten Tracker-Betreibern in Deutschland zählen Google, Facebook, AppNexus, Criteo und Amazon. Ihre Tracking-Skripte verbergen sich teilweise auch auf Banking- oder Klinikseiten. Facebook sammelt mittels seiner Social-Media-Buttons, Cookie Tracking und Plug-ins sogar Daten von Leuten, die das Social Network gar nicht nutzen. Das Gefährliche daran: Eine Handvoll Daten darüber, welche Websites eine Person besucht hat, reicht schon aus, um sie eindeutig zu identifizieren. Und Internetnutzer haben praktisch keine Chance, sich vor der allgegenwärtigen Datenerfassung durch Tracker zu schützen – es gibt keine Möglichkeit zum Opt-out.

Website-Betreiber und Anwendungsentwickler sind sich oft aber gar nicht bewusst, dass sie die Daten ihrer Nutzer an Drittanbieter weitergeben, wenn sie deren Tracker in ihre Seiten oder Apps integrieren. Konark Modi, Software-Entwickler bei Cliqz, warf in seinem Vortrag daher die Frage auf: „Wie lässt sich verhindern, dass Daten zu Frankensteins Monster werden?“ Gar keine Daten mehr zu sammeln könne nicht die Lösung sein, weil jeder Anbieter auf gewisse Daten angewiesen sei, um beispielsweise das Nutzererlebnis zu verbessern. Daher müsse sich die Geisteshaltung hinsichtlich der Art ändern, wie Daten erhoben werden.

Ein Lösungsansatz ist, die Daten-Aggregation von der Server- auf die Client-Seite zu verlagern, also auf das Endgerät des Nutzers. Dadurch behält dieser die volle Kontrolle über seine Daten. Zugleich besteht nicht mehr die Gefahr, dass sich Hacker oder Behörden Zugriff auf Datenbanken mit Millionen Nutzerprofilen verschaffen können. Dem Prinzip Privacy by Design folgend setzt Cliqz diese Art der clientseitigen Daten-Aggregation in seinem Browser ein, für komplexe Systeme wie Suchmaschine, Anti-Tracking oder Anti-Phishing. Nach denselben Prinzipien hat es sogar einen nur aus 200 Codezeilen bestehenden Prototypen einer Analytics-Software wie Google Analytics entwickelt (Demo: http://site1.test.cliqz.com/).

Einen tieferen technischen Einblick in die Methoden der Tracker und verschiedene Anti-Tracking-Maßnahmen lieferte Sam Macbeth, ebenfalls Software-Entwickler bei Cliqz. Sein Vortrag „The online data grab: Online Tracking and how to stop it“ machte das von Nutzern sowie Website-Betreibern häufig unterschätzte Ausmaß der Datensammlung deutlich. Einfache Gegenmaßnahmen wie das Blockieren von Drittanbieter-Cookies führten oft nicht zum gewünschten Erfolg und sorgten zudem dafür, dass manche Seitenfunktionen gestört würden. Letzteres gilt häufig auch für Browser-Erweiterungen, die Tracking-Anfragen blockieren. Cliqz verfolgt mit seinem Anti-Tracking daher einen dynamischeren Ansatz mit algorithmusbasierter Auswertung von Tracking-Anfragen: Es filtert Datenwerte heraus, die eine Identifizierung des Nutzers erlauben, überschreibt sie mit zufälligen Informationen und sendet diese zurück an die Tracker. Vorteil dieser Methode ist, dass sie seltener Website-Funktionen einschränkt und auch vor neuartigen Tracking-Verfahren schützt. Wie der Tracking-Schutz von Cliqz im Detail funktioniert, können technisch Interessierte in einem Techblog-Artikel nachlesen.

Fazit: Auch Entwickler haben eine Verantwortung. Bevor sie Drittanbieter-Tools in ihre Website oder Apps integrieren, sollten sie in jedem Fall die Datenschutzbestimmungen der jeweiligen Anbieter genau prüfen. Noch besser sind selbst gehostete Lösungen oder Tools, die eine clientseitige Datenaggregation verwenden.

Du hast die Veranstaltung verpasst oder möchtest dir alle Vorträge nochmals ansehen? Kein Problem! In unserem YouTube-Kanal findest du eine Aufzeichnung des Livestreams.