© rs_ya/Shutterstock.com
Ein Überblick über einige Vorträge rund um Überwachung auf dem 33c3

Achtung, privat!?


Jedes Jahr zwischen Weihnachten und Silvester findet der Chaos Communication Congress des CCC statt – 2016 bereits zum dreiunddreißigsten Mal, was ihn zum 33c3 machte. Wie üblich gab es jede Menge interessanter Vorträge, von denen ich hier eine Auswahl vorstellen möchte.

2015 erschien im Entwickler Magazin eine Reihe von Artikeln zu Überwachungsmaßnahmen, Privatsphärenschutz und Co.: Über verräterische Metadaten [1], unsere Spuren im Internet [2] und mögliche Folgen eines Identitätsdiebstahls [3]. Auch ein shortcut widmet sich diesen Themen [4]. Inzwischen ist das alles nicht besser geworden. Nehmen wir als Beispiel einmal die Datensammelwut von Unternehmen im Web und im „Real Life“.

Unternehmen sind Jäger und Sammler

Sie jagen und sammeln die Daten ihrer Kunden – und die von denen, die es werden wollen. Oder könnten. Oder auch nicht. Hauptsache, man hat erst mal Daten, viele Daten, sehr viele Daten – Big Data! Diese kann man dann nach allen Regeln der Kunst auswerten. Wie schlimm es da aussieht, hat Wolfie Christl in seinem Vortrag „Corporate surveillance, digital tracking, big data & privacy“ [5] gezeigt. Der begann ganz harmlos, mit dem Besuch von fünf Websites, die nicht gerade als gefährlich oder auch nur dubios betrachtet werden können: www.webmd.com, http://accuweather.com, www.dictionary.com, www.nytimes.com und www.vice.com. Beim Besuch dieser Websites wurden aber noch weitere Websites von Dritten kontaktiert – insgesamt 118 Stück. Sie wurden teilweise von mehreren der fünf ursprünglichen Websites genutzt, sodass sie die Besucher über die Websitegrenzen hinaus tracken können. Teilweise gehören diese Drittherstellerwebsites auch zum gleichen Konzern, was den Datenaustausch untereinander zumindest nicht erschweren dürfte.

Oracle hat auch gut gefüllte Datenbanken im Angebot

Als Beispiel hat Wolfie Christl die Anbieter BlueKai (ein Cloud-basierter Big-Data-Dienst zur Personalisierung von Online-, Offline- und Mobile-Marketing), Datalogix (ein Tracking-Anbieter für Online-, Mail- und Mobile-Angebote, der u. a. auch Daten von Kundenkarten sammelt) und AddThis (je nach Gesichtspunkt ein Bookmarking-Dienst oder ein Benutzer-Tracker über 15 Millionen Websites) herausgegriffen, die alle drei zu Oracle gehören. Oracle wirbt selbst damit, die Daten von BlueKai und Datalogix sowie eigene Daten miteinander zu verknüpfen [6], insofern ist das kein Geheimnis. Nur wird es leider oft übersehen oder für unwichtig gehalten. Außerdem denkt man bei Oracle doch eigentlich eher an einen Anbieter von Datenbanksoftware als an einen Anbieter von Daten und deren Auswertungen. Auf den Punkt gebracht, führt die Verknüpfung von Verhaltensdaten, Social-Media-Daten und Kaufverhaltensdaten dazu, dass Oracle weiß,

  • was der Kunde tut (Verhalten)

  • was der Kunde sagt (Social Media)

  • was der Kunde kauft (Kaufverhalten)

Und das für drei Billionen Benutzerprofile! Vermutlich US-amerikanische Billionen, also „nur“ Milliarden, aber auch das sind schon ziemlich viele. Dazu werden täglich 700 Millionen Social-Network-Nachrichten ausgewertet, was auch nicht gerade wenig ist.

Zusammenführen ist auch wichtig!

Alle gesammelten Daten werden vom Oracle Identity Graph zusammengefasst, um aus den verschiedenen Kanälen ein eindeutiges Benutzerprofil zu erstellen [6]. Egal ob die Daten unter einer Cookie-ID, E-Mail-ID, Postanschrift-ID, Mobile-ID, Registrierungs-ID oder Set-Top-ID gesammelt wurden, mithilfe von Oracle Identity Graph werden sie zu einem gemeinsamen Profil verknüpft, das dann eine „more relevant customer experience“ liefert. Wir nehmen diese in erster Linie als meist nervige Werbung wahr, allerdings hat das Ganze, wie Sie noch sehen werden, viel weitreichendere Folgen.

Über diese Datensammlung und -verknüpfung hinaus geht Oracle mit den Angeboten der Oracle Data Cloud [7]. Dort werden zusätzliche Informationen aus externen Quellen hinzugefügt. Das betrifft nicht nur die Daten weiterer Datensammler und -händler, sondern es kommen auch z. B. die Daten vieler Kreditkartenanbieter dazu. Zusätzlich gibt es Partnerschaften mit Google, Facebook und weiteren Unternehmen.

Diese Unmengen an Daten erlauben beispielsweise eine sehr genaue Steuerung von Werbung. So können z. B. ethnische Gruppen von Anzeigen auf Facebook ausgenommen werden [8]. Als Beispiel nennt Christl Anzeigen, die an Benutzer ausgegeben werden sollen, die wahrscheinlich umziehen werden, die außerdem Interesse am erstmaligen Kauf eines Hauses haben und gerade auf der Suche nach einem Haus sind. Das gilt aber nicht für US-Bürger aus den Gruppen „African American“, „Asian American“ und „Hispanic“, die bekommen die Anzeige nämlich nicht zu sehen. Das verstößt in den USA allerdings nicht nur allgemein gegen Diskriminierungsverbote, sondern ist für Anzeigen aus dem Bereich des Wohnungsbaus sogar ausdrücklich per speziellem Gesetz verboten [9].

Facebook bekam daraufhin einigen Ärger, denn US-Gesetze verbieten den Ausschluss von Adressaten für Werbung nicht nur bei Wohnungen, sondern auch für Arbeitsplätze und Kredite. Das gilt übrigens nicht nur auf Grundlage von Rasse, sondern auch von Geschlecht und weiteren Faktoren [10]. Daraufhin kündigte Facebook ein System an, das diskriminierende Werbung für diese Bereiche verhindern soll. Inzwischen hat Facebook seine Werberegeln angepasst, sodass diskriminierende Werbung darüber verboten ist [11]. Es wurden Tools eingeführt, die Werbekunden daran hindern sollen, Benutzer aufgrund ihrer Rasse von Anzeigen für Kredite, Wohnungen oder Arbeitsplätze auszunehmen. Außerdem werden die Werbekunden aufgefordert, sich an die Gesetze zu halten.

Also ich würde mir ja Gedanken machen, wenn ich meine Kunden explizit dazu auffordern müsste, die Gesetze zu beachten. Irgendwas läuft dann ja wohl schief – entweder ...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang