Constanze

Seit zu der Suchfunktion als Add-on mit „Cliqz“ auch ein eigenständiger Browser vorgestellt wurde, sind einige Wochen vergangen. Wir haben Marc Al-Hames von der Cliqz GmbH aus München einige Fragen gestellt, uns über hinterlistiges Fingerprinting unterhalten und sprechen außerdem über die Studie „Tracking the trackers“, die jüngst von Cliqz vorgestellt wurde. Die Studie dürfte die bisher größte empirische Untersuchung über das Tracking sein.

Die Ergebnisse zeigen, dass beispielsweise Google etwa fünfzig Prozent aller Aktivitäten eines Nutzers im Web sieht, auch Facebook noch deutlich über zwanzig Prozent. Die Untersuchung weist zudem nach, dass Facebook auch dann trackt, wenn man nicht eingeloggt ist.

Im Ergebnis von „Tracking the trackers“ kommen die Cliqz-Forscher zu dem Schluss, dass Tracking in sehr hohem Ausmaß betrieben wird und dadurch die Privatsphäre der Nutzer gefährdet ist. Der Schutz vor Tracking sei technisch keine einfache Aufgabe und immer auch ein Kompromiss zwischen dem Wunsch nach konsequenter Verhinderung des Trackings und der Benutzbarkeit von Websites.

Cliqz bietet mit seinem Script-zähmenden Browser und mit dem Add-on technische Lösungen, um das Tracking weitgehend zu unterbinden. Tracking bezeichnet die Auswertung von Informationen, die beim Surfen im Netz hinterlassen werden, um eine Wiedererkennung von Website-Besuchern zu ermöglichen: Neben der IP-Adresse des Rechners können beispielsweise Angaben dazu ausgewertet werden, welche Browsereinstellungen und welches Betriebssystem genutzt wurden. Allein die Profilierung eines Browsers kann einen Benutzer verfolgbar machen, auch wenn er keine Cookies im Browser akzeptiert. Daraus kann über den Nutzer nachvollzogen werden, welche Websites er wann und wie oft besucht hat und wohin dort geklickt wurde.

Anti-Tracking-Ansätze, die Blockadelisten nutzen, helfen nicht immer, auch weil sie regelmäßig und zeitnah aktualisiert und gewartet werden müssen. Solche Blockadelisten nutzen zum Filtern meist Domain-Namen. Das aber sei zu grobkörnig, wie in „Tracking the trackers“ an Beispielen untersucht wurde. Statt nur Domain-Namen zu filtern, sollten zusätzlich URLs und reguläre Ausdrücke verwendet werden.

Our empirical evidence shows […] that about 78 % of requests to 3rd parties blocked by Disconnect’s blocklist exhibit a mixed behavior, meaning that sometimes the content should be blocked and sometimes not. Domain name does not offer the proper resolution for an accurate classification. While the 78 % figure is novel, the problem was known. In fact it is the underlying reason why blocklist based systems are evolving to offer a finer resolution control by extending blocklists to accept regular expressions and other case based exceptions.

Dass die Werbeindustrie in Kooperation mit Seitenbetreibern und anderen interessierten Dritten Tracking-Daten millionenfach auswertet, hat sich mittlerweile leider eingebürgert, wie Konark Modi und Josep M. Pujol von Cliqz in Data Collection without Privacy Side-Effects (pdf) schreiben:

The industry modus operandi can be described as collect-all-you-can, and this behavior is not only accepted but encouraged.

Deswegen ist das aber noch kein Naturgesetz. Die Nutzung von Cliqz ist ein einfacher Weg, das Tracking weitgehend zu verhindern. Integriert ist zusätzlich eine Schnell-Suche direkt im Browser.

Das Interview haben wir mit Dr.-Ing. Marc Al-Hames von Cliqz geführt, neben Jost Schwaner und Jean-Paul Schmetz einer der Geschäftsführer. Die Studie „Tracking the trackers“, die von Cliqz erstellt wurde, ist zwar noch nicht in Gänze veröffentlicht, aber die Slides von der WWW-Konferenz in Montreal kann man sich schon ansehen.

Wie viel Nutzer hat denn Cliqz zur Zeit?

Wir haben ja mehrere Produkte: Es gibt den Cliqz-Browser für Windows und Mac und für Linux zum selbst Kompilieren, dazu die Versionen für iOS und Android und nicht zuletzt das Firefox-Add-On, mit dem alles vor zwei Jahren begonnen hat. Über alle diese Produkte sehen wir ca. eine Million monatliche aktive Nutzer.

Und was wird am meisten genutzt?

Historisch bedingt ist natürlich das Add-On am größten. Am schnellsten wachsen jetzt die Browser, weil wir uns darauf auch fokussieren.

Die Mission des Start-ups ist ja nicht eben tiefgestapelt: Der Plan sei die „Umgestaltung des Informationskonsums“. Wie ist das gemeint?

Wir wollen das Internet grundsätzlich verändern.

Mit einem Browser und der Suchfunktion?

Ja. Das sind die beiden Kernfunktionen eines offenen Webs: Die Suche entscheidet häufig, was wir wie schnell zu sehen bekommt. Es lenkt die Nutzerströme. Daneben ist es zum Großteil auch das Geschäftsmodell und finanziert dann wiederum andere Dinge, beispielsweise die meisten Browser. Der Browser ist der Einstiegspunkt.

Deswegen haben wir auch beides verbunden, denn Browser und Suche gehören eigentlich zusammen. Die Suche ist einfach notwendig, um die Nutzer selbstbestimmt lenken zu können und den Browser wirklich intelligent zu machen. Bisher waren die beiden Dinge (bis auf die wirtschaftlichen Verzahnungen) leider getrennt.

Wie funktioniert das Anti-Tracking?

Was den Browser für viele Nutzer sexy macht, dürfte die Anti-Tracking-Technologie sein, die integriert ist und automatisch per Standardeinstellung vorkonfiguriert ist. Wie funktioniert das technisch?

Wir haben dazu gerade auf der WWW-Konferenz in Montreal die wissenschaftliche Grundlage präsentiert : „Tracking the trackers“. Zuerst haben wir gemessen und waren geschockt: Die größten Tracker sehen teilweise zehn, zwanzig, sechzig Prozent des Internetverkehrs– unabhängig davon, ob der Nutzer eingeloggt ist oder nicht. Wir haben dann gemessen, ob dabei persönliche Daten übertragen werden: Cookies natürlich, aber viel weitergehend jede Form von Fingerprinting. Das ist leider meistens der Fall. Damit kann ein Nutzer umfassend und über Websites hinweg von den großen Anbietern identifiziert und letztendlich ein Profil erzeugt werden. Was damit dann passiert, ist Glücksache.

Im zweiten Schritt haben wir überlegt, was man dagegen tun kann. Es gibt teilweise gute technische Möglichkeiten, wie ein sauber konfiguriertes Firefox mit NoScript oder den Tor-Browser. Aber für den normalen Anwender ist das oft zu kompliziert, viele fügen Ausnahmeregeln hinzu – am Ende ist man ungeschützt. Wir haben daher einen Ansatz gewählt, der vollautomatisch ist: Wir schauen auf Basis von k‑Anonymität, welche Werte im Tracker geeignet sind, eine Person zu identifizieren, beispielsweise über eine ungewöhnliche Bildschirmgröße. Wann immer ein Wert potentiell geeignet ist, jemanden zu verfolgen, verändern wir ihn. Unkritische Werte, im Sinne von genügend statistische Größe, um in der Masse zu verschwinden, lassen wir durch. So zerstören wir zwar das Verfolgen, genaugenommen sorgen wir für ziemliche Konfusion bei den Trackern, machen aber andererseits nicht alle Funktionen kaputt und ermöglichen dem Nutzer damit ein möglichst konfigurationsfreies Benutzen.

Vermeidet das jede Art von Fingerprinting?

Das ist unser Anspruch, aber einhundertprozentigen Schutz kann ich nicht garantieren. Wir freuen uns über jedes Feedback, an welchen Stellen wir eventuell nacharbeiten müssten. Letztendlich versuchen wir, die Grenze so zu ziehen, dass eine Identifikation sehr schwer, idealerweise wirklich unmöglich wird, ohne dabei das tägliche Surfen zu kompliziert zu machen.

Wo immer wir können, hauen wir technisch auf jede Form von Fingerprinting drauf.

Und wir meinen das wirklich ernst, über Feedback und Verbesserungsanregungen freuen wir uns sehr!

Gibt es technische Einschränkungen für Cliqz-Nutzer aufgrund der Anti-Tracking-Technologie, also müssen sie etwa damit rechnen, von Website-Betreibern beispielsweise Gegenwehr-Maßnahmen zu erfahren?

Wir haben gemessen, dass wir nur halb so viele ungewollte Seitenfunktionalitäten (beispielsweise Abstürze) hervorrufen wie ein klassischer kompletter Scriptblocker. Das war ja auch das Ziel, es möglichst alltagstauglich zu machen. Bisher sehen wir auch noch keine „technischen“ Gegenreaktionen von Tracking-Betreibern oder den Websites bzw. Performanceverluste für den Nutzer. Aber in einem Horizont-Interview im März hat die Industrie einen Anti-Anti-Tracker angekündigt – was auch immer das heißt.

Ja, da warten wir auch gespannt.

Cliqz vs. Burda?

Wie verteilen sich die Cliqz-Nutzer auf der Welt, aus welchen Ländern kommen sie?

Unsere Nutzer sind überwiegend aus der DACH-Region (Deutschland, Österreich, Schweiz); unsere Suche ist auch bisher auf diesen Markt optimiert. Die Tracker sind vornehmlich nicht-deutsch: In den Top-10 sind acht US-Firmen und zwei EU-Firmen. In den Top-100 der Tracker, die am meisten Nutzer überwachen, findet sich ein hübscher globaler Mix. Die Europäer spielen da aber nur eine kleinere Rolle.

Wie viele wissen, gehört Cliqz zum Hause Burda. Gibt es Interessenkonflikte, wenn das Tracking blockiert wird?

Ich kann nur für Cliqz sprechen. Aber: Ja, Burda hat teilweise – übrigens gar nicht so viele – Geschäftsmodelle, die Tracking betreiben, wie fast alle im Internet. Da hilft die Dezentralität des Hauses Burda: Wir sind eine eigenständige GmbH, und unser Anspruch ist es eben, ein besseres Netz zu gestalten. Für mich gehört Tracking, sofern es nicht eine klare Funktion für den Nutzer hat, einfach nicht zu einem guten Netz.

Offenbar gibt es aber auf jeden Fall in anderer Hinsicht Interessenkonflikte. Wie ist der Stand der Dinge bei den Abmahnungen, mit denen Cliqz zu kämpfen hatte?

Es gab natürlich aus der Tracking-Industrie Versuche, Druck auf uns auszuüben. Wir sehen das aber als eine sportliche Bestätigung, dass wir wohl das Richtige tun.

Kam es zu tatsächlichen gerichtlichen Auseinandersetzungen?

Es gab tatsächlich Abmahnungen, wir haben aber natürlich keine Unterlassungen abgegeben und planen das auch nicht.

Das war nicht die Frage.

Nein, keine gerichtlichen Auseinandersetzungen, nur Abmahnungen.

„Ich glaube, die einzig sicheren persönlichen Daten sind Daten, die man gar nicht erst sammelt.“

Wie kommt es eigentlich zu einem Start-up mit der expliziten Zielsetzung, dieser ganzen Werbeverfolgung ein Schnippchen zu schlagen? Das ist ja nicht unbedingt typisch für Start-ups.

Man muss die Historie sehen: Gegründet worden ist die Firma von Jean-Paul Schmetz als Nachrichtenaggregator und Suche. Ich selbst bin damals mit dem Mehrheitsinvestment von Burda mit an Bord gekommen. Und damals haben wir erstmal gefragt: Wie können wir Suche und Browser eigentlich besser machen? Welches Produkt wollen wir nutzen? Zuerst haben wir ja den Web-Index gebaut, also die eigentliche Suche. Dabei mussten wir selbst viele Daten sammeln, das braucht man einfach, um eine Suche zu bauen. Wir hatten aber von Tag eins den Anspruch, niemals persönliche Daten zu sammeln. Wir haben erhebliche Ressourcen investiert, um es für uns unmöglich zu machen, Nutzer zu identifizieren und trotzdem statistische Informationen zu bekommen.

Ich glaube, die einzig sicheren persönlichen Daten sind Daten, die man gar nicht erst sammelt. Dann ist uns aber bewusst geworden: Jetzt schützen wir den Nutzer zwar vor uns, aber wir ignorieren, wie viel Daten alle anderen im Netz über den Nutzer absaugen. Ganz ehrlich: Es kann doch nicht sein, dass man, nur weil man eine Nachrichtenseite liest, über einhundert potentiell persönliche Informationen an teilweise über fünfzig verschiedene Firmen weitersendet – ohne dass der Nutzer sich darüber im Klaren ist. Und dann war das für uns eigentlich recht klar: Wenn wir den Nutzer wirklich ernstnehmen, müssen wir das kaputtmachen.

Das ist übrigens auch der Grund, warum wir uns sehr schweren Herzens entschieden haben, derzeit keine Add-Ons zuzulassen. Wir lieben unglaublich viele Funktionalitäten von Add-ons und wollen da auch eine Lösung. Aber wenn man mal sieht, wie viel Daten die potentiell übertragen können, und niemand kann sehen oder prüfen, was dann damit passiert: Das beunruhigt schon sehr. Uns wurden schon ganze Profile von Nutzern im Markt angeboten. Wir wollen da mittelfristig eine Lösung, wie wir sie für uns selbst anwenden: Persönliche Daten, was übrigens auch so etwas Einfaches wie der Verlauf von mehreren Websites sein kann, dürfen einfach nicht im Backend landen.

Reduziert das eigentlich auch den Traffic, etwa auf dem Smartphone?

Unsere iOS- und Android-Entwicklung hinkt derzeit ein paar Wochen hinter dem Desktop her, daher gibt es da noch kein Anti-Tracking. Das kommt aber. Daten spart das aber auf allen Plattformen erst einmal nicht ein. Wir verändern ja tatsächlich nur Parameter, meistens in Javascript.

Whut? Hrm.

Genau das Gleiche sage ich intern auch immer. :)

Also insgesamt reduziert das nicht den Traffic, wenn die Tracker blockiert werden?

So ganz pauschal kann man das nicht beantworten: Natürlich werden zum Teil keine Tracker mehr nachgeladen. Tracker laden sich normal gern selbst wieder ein. Es wird eventuell auch weniger Werbung ausgeliefert, weil man als Nutzer nicht mehr gezielt angesprochen oder identifiziert werden kann und damit weniger „wert“ ist. Aber unser Hauptaugenmerk liegt mit dem Anti-Tracking darauf, den Nutzer für die Tracker zu verschleiern.

2015 wurde von Cliqz ein erstes „proof of concept“ gezeigt: Es wurde ein Verfahren basierend auf k‑Anonymität entwickelt, das Tracker „zerwürfelt“. Cliqz blockiert keine Tracker, die keine persönlichen Daten sammeln, wenn aber ein Tracker individuelle Daten sammelt, erhält er „zerwürfelte“ Resultate zurück. Neben der Entwicklung wurde auch stets Forschung betrieben. „Tracking the trackers“ dürfte die bisher größte Feldstudie zum Tracking sein: 200.000 Cliqz-Nutzer haben das Verhalten aller Tracker beobachtet, die ihnen beim Surfen im Netz unterkamen. Wer weitergehendes Interesse hat, kann sich auch die Demo Privacy Preserving Tracking ansehen, aber: „If your business is to really track users, then move along, nothing to see here.“ :}