Drei Fragen und Antworten: So erklärt Mozilla das Firefox-Desaster
Firefox erhebt Nutzerdaten für die Werbeindustrie – notwendig für die Privatsphäre oder eine Schnapsidee? Wir haben Mozilla mit der Kritik konfrontiert.
(Bild: iX)
Nach der ungefragten Datenerhebung für die Werbeindustrie zog Firefox einige Kritik auf sich – und auch die Erklärung der Entwickler konnte die Wogen nicht glätten. Zum Hintergrund: Mit dem Update auf Version 128 schaltete der Webbrowser eine offiziell experimentelle Funktion scharf, die anonymisiert die Performance von Werbung für deren Anbieter messen soll. Das geschieht über einen zwischengeschalteten Aggregationsserver. Nicht nur stellt dieses Verfahren eine klare Kehrtwende vom Grundsatz dar, dass ein Browser am besten keinerlei Nutzerinformationen sammeln soll – das Ganze geschah auch noch standardmäßig ohne Nachfrage beim Anwender selbst. Für einen in Abgrenzung zu Google Chrome mit Datenschutz werbenden Anbieter entwickelte sich die folgende Situation schnell zum Super-GAU.
Doch ist eine eigentliche gute Idee für Firefox nur dumm gelaufen – oder hat Mozilla das im Ganzen auch wirklich schlecht gemacht? Wir haben nachgefragt.
Einer der Hauptkritikpunkte an der PPA (Privacy-Preserving Attribution) ist der Datenschutz – denn erhobene Daten gibt es ja weiterhin. Welche Nutzerinformationen verlassen in welcher Form (z.B. anonymisiert) das Endgerät?
Aus unserer Sicht hängt das Messen von Werbemaßnahmen letztlich nicht von einzelnen, spezifischen Interaktionen oder Ereignissen ab, die ein Nutzer durchführt, sondern von der Gesamtanzahl solcher Ereignisse. Die Technologie ermöglicht es, Datenpunkte eines einzelnen Browsers verschlüsselt zu übermitteln – sodass diese Datenpunkte nicht offengelegt werden, sondern mit anderen Datenpunkten zusammengeführt werden können. Erst dann, wenn viele Datenpunkte angesammelt wurden, lässt sich eine finale Gesamtzahl ermitteln. Die einzelnen Datenpunkte sind also kryptografisch undurchsichtig, und die gesammelten Datenpunkte verraten nichts über bestimmte Personen (formal modelliert mit Differential Privacy).
Der Prototyp verwendet ein Multi-Party Computation System (MPC) namens Distributed Aggregation Protocol (DAP). Dieses wird in Partnerschaft zwischen Mozilla und ISRG (der Organisation hinter Let's Encrypt) betrieben. Der vorgeschlagene Standard beim W3C (World Wide Web Consortium) würde ein eigenes MPC-Protokoll verwenden, welches sich noch in der Entwicklung befindet. Das Prinzip ist jedoch ähnlich. Wir sind davon überzeugt, dass die Technologie so gestaltet ist, dass sie Daten standardmäßig schützt und zentrale Datenschutzprinzipien wie etwa Datenminimierung, Vertraulichkeit und Integrität respektiert.
Mozilla unterstrich bereits, dass die Kommunikation nicht gut lief – und besteht dennoch auf einen Opt-out. Wie hätten sich die Entwickler denn besser an alle Nutzer richten können als mit einem Opt-in?
Es gab ein paar Dinge, die wir nicht so gut kommuniziert haben, wie wir es hätten tun sollen, zum Beispiel wird dieser Prototyp nur unter kontrollierten Bedingungen verwendet werden. Unser Ziel ist es, das Konzept zu validieren und die öffentliche Standardisierungsarbeit, an der wir und andere seit Jahren im Rahmen der W3C PATCG (Private Advertising Technology Community Group) beteiligt sind, zu unterstützen. Kleine Tests wie diese sind oft ein wichtiger Teil der Standardisierung, damit Funktionen entwickelt und verbessert werden können, bevor sie allgemein für Websites verfügbar gemacht werden.
Bei der Bereitstellung der Funktion haben wir eine Reihe von alternativen Ansätzen in Betracht gezogen. Die standardmäßige Deaktivierung der Funktion hätte unsere Prototypentests behindert. Wir glauben, dass zu wenige Menschen die Funktion entdeckt und aktiviert hätten, was zu einer unzureichenden Beteiligung geführt hätte, um diese wichtige Standardisierungsarbeit zu unterstützen. Letztendlich sind wir davon überzeugt, dass diese Funktion einen starken Schutz der Privatsphäre der Nutzer bietet, wenn sie aktiviert ist und großflächig genutzt wird. Wenn wir zu größeren Testversuchen oder gar einer vollständigen Einführung übergehen, wird unser Ansatz, Nutzer über die Funktionalität dieses Features aufzuklären, sorgfältig überlegt sein.
Noch betreibt Mozilla den Aggregationsserver, will aber langfristig kein Mittelsmann sein. Außer Profit, warum sollten Betreiber solche Server – einen Erfolg des Projekts vorausgesetzt – dennoch unterhalten?
Sowohl der Prototyp als auch der vorgeschlagene Standard verwenden MPC, allerdings mit unterschiedlichen Protokollen. Der Prototyp verwendet DAP, wobei Mozilla einen der Server betreibt und ISRG den anderen. Mozilla zahlt für beide Seiten der Infrastruktur die Forschungskosten, ebenso wie die Gehälter der Ingenieure, die an dem Projekt arbeiten.
Die Datenschutz-Eigenschaften von DAP sind sehr gut erprobt. Das macht es zu einer guten Basis für den Prototyp. Wir halten es für möglich, dass sich die Leistung unseres DAP-Systems nicht auf ein Produktionssystem übertragen lässt, weshalb wahrscheinlich ein benutzerdefiniertes Protokoll erforderlich ist. Natürlich wird es irgendwann notwendig sein, dass Organisationen Aggregationsserver für dieses benutzerdefinierte Protokoll betreiben.
MPC umfasst technische und organisatorische Maßnahmen, die sicherstellen sollen, dass ein potenziell böswilliger Akteur, in einer beliebigen Organisation, nicht auf die Daten einer bestimmten Person zugreifen kann. Es setzt jedoch voraus, dass sich die beteiligten Organisationen nicht aktiv absprechen, um dies zu tun (dies wäre ein technisch ziemlich komplizierter Aufwand – also nichts, was rein zufällig passieren würde). Daher ist es wichtig, dass die Organisationen vertrauenswürdig sind und ihr Ruf auf dem Spiel steht. Wir würden bei den Endpunkten, die wir in Firefox unterstützen, sehr wählerisch sein.
Die Infrastrukturkosten werden wahrscheinlich erheblich sein, aber nur einen kleinen Bruchteil der gesamten Werbekosten ausmachen, sodass es sich die Werbetreibenden leisten können, für die MPC-Anbieter zu zahlen. Man könnte erwarten, dass das zukünftige Ökosystem ähnlich wie das Ökosystem der Zertifizierungsstellen aussieht, bei dem ein Markt für MPC-Betreiber durch Servicegebühren finanziert wird. Die Browser würden die MPC-Betreiber mit Transparenzanforderungen für den Datenschutz verantwortlich machen und diejenigen ausschließen, die diese Anforderungen nicht konsequent erfüllen. Dabei könnte es sich um eigenständige Organisationen handeln oder, was wahrscheinlicher ist, um einen zusätzlichen Dienst, der von Organisationen angeboten wird, die über eine bestehende Infrastruktur verfügen und deren Ruf auf dem Spiel steht.
Vielen Dank für die Antworten! Das Interview führten wir mit Mozilla auf Englisch. Die übersetzten Antworten stammen vom Firefox-Team.
In der Serie "Drei Fragen und Antworten" will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vorm PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.
(fo)