Datensammler und Kundenjäger
Wie IT-Sicherheitsexperte Richard M. Smith die Machenschaften der Online-Werber vor dem US-Senat aufdeckte und weshalb AltaVista-Benutzer fürchten müssen, dass persönliche Daten bei DoubleClick landen.
Als John McCain am 13. Juni d.J. in seiner Funktion als Vorsitzender der Hearingkommission "Online-Profiling and Internet Privacy" des US-Senats, Handelskomitee, den Sitzungssaal betrat, wußte er annähernd über den Ernst der Lage Bescheid. "Es ist eine Tatsache, dass (im Internet) häufig Informationen ohne das Wissen und Einverständnis des Konsumenten gesammelt werden", hielt McCain eingangs fest. Dann waren die Zeugen am Wort.
Wie McCain ging auch der vorgeladene Sicherheitsexperte Richard M. Smith die Sache recht besonnen an, bedankte sich höflich für die Einladung und verlor noch einige allgemeine Worte zum Thema. Die weiteren Ausführungen über Cookies, Web Bugs, Data spills und all die anderen Machenschaften der Online-Werber, die sich oft klammheimlich Userdaten beschaffen, ließen aber kein Kommissionsmitglied mehr kalt. Als Richard M. Smith den Saal verließ, war ihm der Sieg sicher - zumindest jener der Überzeugungskraft. Die sechs Senatoren betonten nach Abschluss des Hearings einhellig gegenüber der Presse, dass unbedingt gesetzliche Vorkehr getroffen werden müsse, um die Amerikaner vor der unbefugten Weitergabe von persönlichen Daten im Internet zu schützen.
Richard M. Smith hatte zuvor auf Basis eines zehnseitigen Papiers insbesondere die Praktiken des Online-Werbers DoubleClick zerpflückt. Schonend wollte er die honorige Runde von Senatoren an das Problem heranführen. Er beschrieb das leichte Unbehagen, das schon manchen User beschlich, wenn er auf AltaVista Suchbegriffe eintippte und dann mit passenden Webinseraten belohnt wurde. Aber, wiegelte Smith an dieser Stelle noch ab, das sei ja nicht so schlimm. Schließlich weist der Betreiber der berühmten Suchmaschine auf die Kooperation mit DoubleClick hin. Selber Schuld wer nicht liest.
Die Online-Agentur hingegen verspielte mit anderen Aktionen die Sympathien der Öffentlichkeit. Zum einen hatte der Einsatz von Cookies und der gemeingefährlichen, weil unsichtbaren, WebBugs viele Internet-User aufgeschreckt. Desweiteren kündigte DoubleClick erst vor wenigen Monaten eine Fusion mit Abacus Direct an, einem Direktmarketing-Unternehmen im Offline-Bereich, das über Millionen personalisierter Kundendaten verfügt. Das Ziel: Aufbau einer Datenbank die nutzungs- und personenbezogene Daten von Konsumenten zusammenführt. Dass in Europa ein derartiges Zusammenspiel gesetzeswidrig wäre, sei hier nur am Rande erwähnt.
Amerika ist eben anders. Namen, Adressen, Alter, Surfgewohnheiten, Kreditkartennummern, .... alles aus einer Hand, schwärmte die Geschäftsführung von DoubleClick. Der blanke Hass der Konsumenten und Datenschützer war der Online-Agentur sicher. Völlig überrumpelt von dem landesweiten, ja sogar internationalen Protestgeheul, ging man in die Offensive, richtete eine eigene Privacy-Page ein und versuchte die Wogen zu glätten. Inzwischen ist eine Fusion vom Tisch. Aber es wollte nicht so recht Gras über die Sache wachsen. Und dann passierte auch noch die Sache mit Richard M. Smith.
Der IT-Sicherheitsexperte schickte sich eines Tages an, eine Gesundheits-Site im Web aufzusuchen. Mehr durch Zufall denn aus Absicht entdeckte er, dass persönliche Daten in Online-Formularen, die man etwa zur Anmeldung für bestimmte Internet-Services eingeben muss, an DoubleClick weitergeleitet wurden. "Über einen Zeitraum von zwei Monaten hinweg fand ich an die zehn solcher Data spills (Red: frei übersetzt etwa Datensplitter)", berichtete Smith dem Senat. "Sie enthielten Dinge, wie meinen Namen, meine Adresse, die Email und das Geburtsdatum. Web Sites, die solche Daten zu DoubleClick aussandten waren unter anderem wohlbekannte Adressen wie AltaVista, RealNetworks, HealthCentral, Quicken, und Travelocity." Zusammengeführt könnten solche Daten ein personalisiertes Bild des Users entstehen lassen.
Als Smith die Firmen mit seinen Erkenntnissen konfrontierte, gab man sich erstaunt und durchwegs bemüht, Sicherheitslücken zu stopfen. Angeblich wurden die Daten ohne Wissen der Sitebetreiber, wie etwa AltaVista, an DoubleClick weitergeleitet. Die Online-Werber wiederum versicherten, dass man solche unverlangten Daten eigentlich gar nicht will. "Wie auch immer", führte Smith vor den Senatoren aus, "aus deren Perspektive kann das Problem nicht direkt von ihnen als Online-Werber gelöst werden, weil es eine Sache der Website-Betreiber wäre und nicht eine der Werbe-Server." Selbst der IT-Experte konnte der Kommission nur einen Zwei-Phasen-Vorschlag zur Schadensbegrenzung unterbreiten. Erstens sollten Internet-Werbefirmen dazu verpflichtet werden, unverlangte Daten nicht zu verwenden und dies in den "privacy policies" auch schriftlich zu verankern. Auf längere Sicht sollten technische Lösungen entwickelt werden, die von den Webbrowseranbietern zu implementieren wären. Diese Lösung müßte ein Tool sein, das Refernz URLs eliminiert, sobald data spills anfallen. Smith verwies die Kommissionsmitglieder auf seine eigene Webpage zumal er sich nicht noch länger bei technischen Details aufhalten wollte.
Schließlich gab es noch andere Schauerlichkeiten von der Überwachungsfront zu berichten. "Obwohl die Internet-Werbefirmen versichern, dass sie auf Profiling in sensiblen Bereichen - wie Kinder, Medizin, Finanzen und sexuelle Belange - verzichten würden, setzen die meisten auch dort Web Bugs ein", setzte Smith zu einem neuen Kapitel an. Web Bugs sind winzige Gifs, die in HTML-Dateien versteckt werden können und vom Benutzer nicht wahrgenommen werden. Ein Web Bug sendet die IP-Adresse, die URL der besuchten Webseite, die URL des Web Bug GIFs, den Zeitpunkt, an dem der Web Bug angeschaut wurde, den Browsertyp sowie die Informationen eines zuvor gesetzten Cookies an einen Server.
Interessant sind Web Bugs, weils sie Zusatzinformationen zu denjenigen übermitteln, die mit einem Cookie erfasst. Innerhalb eines Werbenetzes, also von Werbungen auf unterschiedlichen Websites einer Online-Agentur, können zusammen mit Cookies genauere statistische Informationen über Benutzer erfasst werden. Die Cookies alleine können ja nur IP-Adressen identifizieren. Mit Web Bugs in Emails lässt sich feststellen, ob und wann eine Email geöffnet wurde, was wiederum die Online-Werber besonders interessiert. Mittels Web Bugs kann der Cookie des Browsers auch mit einer bestimmten Mailadresse verknüpft werden, so dass ein Besucher bekannt ist, wenn er später eine Website aufruft.
Dies passiert auch in sensiblen Bereichen, wie Richard M.Smith dem Senat berichtete. Er zählte exemplarisch einige Beispiele auf, von denen Smith annahm, dass die "meisten Menschen, das beunruhigend finden":
Kids Zone of Santa.com
Procrit.com
Rodale Press
Metropolitan Life
Die Procrit-Website fand Smith am heikelsten. Procrit ist ein Produkt von Ortho Biotch, das gegen Blutarmut wirken soll. Das Medikament wird unter anderem in der AIDS- und Krebstherapie eingesetzt. Die Page bietet dazu eigene Informationsabteilungen. Versteckte Image-files werden von DoubleClick auf dieser Seite strategisch plaziert, berichtet Smith. "Überflüssig zu sagen, dass die meisten Besucher der Procrit-Site sehr überrascht darüber sein würden zu erfahren, dass sie dort einem derartigen Monitoring ausgesetzt sind." Desweiteren fand Smith im Zuge seiner Recherchen heraus, dass auf AltaVista über 30.000 Bugs von DoubleClick plaziert wurden, 1000 von Engage und durch Be Free, einer anderen Internet-Marketing Agentur, über eine halbe Million.
"Wie auch immer", unterbrach Smith für einen Moment seine faktenorientierten Ausführungen, um dann das reale Gefahrenszenario dieses extensiven Monitoring-Systems der Online-Werber vor den Augen der Senatoren erstehen zu lassen. "Es ist als hätten sie versteckte Mikrophone in unseren Wohnungen und Büros plaziert und würden uns den ganzen Tag lang zuhören."
Die Statements zum Hearing sind mittlerweile größtenteils am Server des US-Senats abrufbar und Hilfe zur Selbsthilfe auf finden Sie auf Junkbusters.com.