Wirtschaftliche Online-Werbung unter Berücksichtigung des

Werbung
Francis, Paul et al. | Wirtschaftliche Online-Werbung unter Berücksichtigung des ...
Tätigkeitsbericht 2009/2010
Informatik/Mathematik/Komplexe Systeme
Wirtschaftliche Online-Werbung unter Berücksichtigung
des Datenschutzes
Francis, Paul; Ohlmann, Michael
Max-Planck-Institut für Softwaresysteme, Kaiserslautern
Arbeitsgruppe – Verteilte Systeme
Korrespondierender Autor
E-Mail: [email protected]
Zusammenfassung
Heutzutage hat Online-Werbung einen wesentlichen Einfluss auf das Internet. Die gängigen Werbesysteme ignorieren jedoch gänzlich Datenschutzbestimmungen. Das MPI für Softwaresysteme
arbeitet am System Privad, einem verteilten System für Online-Werbung, das den Datenschutz
berücksichtigen und gleichzeitig wirtschaftliche Effizienz ermöglichen soll. Privad wurde bereits
prototypisch realisiert und in einer kleinen Gruppe getestet. In der nächsten Stufe soll Privad
einer größeren Gruppe zugänglich gemacht werden, um detailliertere Untersuchungen durchführen
zu können.
Abstract
Online advertising is a major economic force in the Internet today. Current deployments, however,
ignore data privacy issues. Max Planck Institute for Software Systems is working on a distributed
online advertising system called Privad. Privad ensures data privacy while still being economically
viable for the parties involved in online advertising. We have implemented a prototype of Privad and
deployed it on a small scale. In the next step we are working towards a large-scale live experiment.
Wann immer man im Internet nach irgendetwas sucht, wird diese Suche irgendwo aufgezeichnet. Falls
man eine Webseite besucht, so wird dieser Besuch ebenfalls aufgezeichnet. Eine steigende Anzahl
von Dokumenten, E-Mails, Vorlieben und Abneigungen, Freunde und Bekannte, Aktivitäten, Zeitpläne und Bilder von Menschen werden in der sogenannten „Wolke“ gespeichert. Die Sorge über den
ständigen Schwund der Privatsphäre wächst. Die Titelseite einer unlängst erschienenen SpiegelAusgabe sagt über Google: „Der Konzern, der mehr über Sie weiß als Sie selbst“ (Abb. 1). Natürlich
geht es nicht nur um Google. Soziale Netzwerkseiten wie Facebook und LinkedIn speichern Details
über Ihr Privat- und Berufsleben und Photoseiten wie Flickr und Shutterfly speichern Ihre Bilder.
© 2009/2010 Max-Planck-Gesellschaft
www.mpg.de
Tätigkeitsbericht 2009/2010
Francis, Paul et al. | Wirtschaftliche Online-Werbung unter Berücksichtigung des ...
Abb. 1: Die Öffentlichkeit ist immer besorgter über den zunehmenden Verlust der Privatsphäre im Internet.
Urheber: Spiegel Verlag
Manch einer mag argumentieren, dass der Verlust der Privatsphäre freiwillig geschieht – schließlich
zwingt Sie niemand, Gmail zu nutzen, Ihre Photos bei Flickr hochzuladen oder Ihr Profil bei Facebook abzuspeichern. Für viele Benutzer entschädigt der Wert dieser Dienste jedoch den Verlust der
Privatsphäre. Außerdem gibt es für einige dieser Probleme technische Lösungen. Benutzer können die
Browser-Cookies abschalten oder durch anonymisierende Proxies im Netz surfen. Die meisten Benutzer besitzen jedoch nicht den technischen Durchblick, um zu wissen, wie man das macht. Sogar jene
Benutzer, die über das Wissen verfügen, kümmern sich nicht darum: Der Verlust der Privatsphäre ist
eine ziemliche vage Bedrohung, und es entstehen Kosten in Form von Zeitaufwand, Surfqualität und
sogar Geld, die nach Ansicht der Benutzer oft nicht gerechtfertigt sind.
Die Ironie all dessen ist, dass das Internet geschaffen wurde, um jedem Computer zu erlauben, mit
jedem anderen Computer zu kommunizieren. Wenn mein Rechner mit den Rechnern meiner Freunde
kommunizieren kann, warum muss mein persönliches Profil dann „in der Wolke“ bei Facebook (d. h.
auf Facebook-Rechnern in Rechenzentren) gespeichert werden? Warum kann es nicht auf meinem
Rechner verbleiben, um direkt von jenen Freunden gelesen zu werden, denen der Zugriff gestattet
wurde? Warum müssen meine E-Mails auf Google-Rechnern gespeichert werden? Warum können sie
nicht direkt von meinem Computer zum Computer des Empfängers geschickt werden? Oder warum
werden meine Informationen nicht ganz selbstverständlich verschlüsselt, wenn sie sich in der Wolke
befinden? Warum müssen sie unverschlüsselt gespeichert werden?
Auf diese Fragen gibt es keine einfachen Antworten. Wenn sich meine Daten in der Wolke befinden,
habe ich von überall Zugriff auf sie. Sollte mein Rechner den Geist aufgeben, sind meine Daten
immer noch verfügbar. Falls meine Daten unverschlüsselt sind, muss ich mir keine Passwörter merken. Andererseits gibt es technische Lösungen, die ein Verbleiben der Daten in der Wolke nicht
www.mpg.de
© 2009/2010 Max-Planck-Gesellschaft
Francis, Paul et al. | Wirtschaftliche Online-Werbung unter Berücksichtigung des ...
Tätigkeitsbericht 2009/2010
erforderlich machen. Zum Beispiel könnte sich zuhause auf meinem Modem eine Festplatte befinden,
die sich mit dem Internet Service Provider (ISP) verbindet. Im Prinzip könnten meine Daten auf
dieser Platte gespeichert werden, jederzeit zugänglich für autorisierte Personen, jederzeit gesichert für
den Fall eines Ausfalls.
Warum hat sich nun im Internet, angesichts der technischen Alternativen, ein „wolkenbasierendes“
Modell der Datenspeicherung und des Zugriffs mit einem Verlust an Privatsphäre etabliert anstatt
eines „endnutzerbasierenden“ Modells, das die Privatsphäre schützt? Auf die Gefahr hin, eine komplexe Frage zu stark zu vereinfachen, lautet die Antwort mit einem Wort: Werbung. Werbung ist eine
Schlüsselkomponente des Geschäftsmodells, das den Diensten zugrunde liegt, die von Google und
vielen anderen Internetunternehmen zur Verfügung gestellt werden. Werbung ist natürlich effektiver,
wenn Anzeigen personalisiert sind; das ist der Fall, wenn die Anzeige auf die Interessen und Demographie einer Person abzielt. Somit gibt es eine grundsätzliche Motivation für werbeunterstützte
Webdienste, nämlich das Analysieren von Benutzerinformationen, um Werbung zielgruppenspezifisch
zu kanalisieren.
Wissenschaftliche Forschung zur wirtschaftlichen Online-Werbung unter Berücksichtigung
des Datenschutzes
Das MPI für Softwaresysteme hat die Vision, eine wirtschaftliche Online-Werbung unter Berücksichtigung des Datenschutzes zu ermöglichen. Im Rahmen unserer Forschung gibt es viele Probleme, die
gelöst werden müssen, zum Beispiel: Können Benutzerdaten zu Hause gespeichert werden, um einen
zuverlässigen und sicheren Zugriff von überall und jederzeit zu gewährleisten? Können die Benutzer
den Zugriff auf ihre Daten sinnvoll kontrollieren? Gibt es einen Weg, Anwendungen einen einfachen
und allgegenwärtigen Zugriff zum Datenspeicher des Benutzers zu ermöglichen, selbst wenn der
Speicher sich auf einer anderen Maschine befindet?
Während diese und andere Fragen beantwortet werden müssen, fällt auf, dass es hierzu keine einfachen Lösungen gibt, genauer: Es muss einerseits ein Ansatz gefunden werden, wie man Werbung
zielgruppenspezifisch kanalisiert, ohne die Privatsphäre der Nutzer zu verletzen. Andererseits muss
ein solcher Ansatz auch noch wirtschaftlich sein, um Erfolg haben zu können (Abb. 2).
Abb. 2: Privads Herausforderungen.
Urheber: Max-Planck-Institut für Softwaresysteme
© 2009/2010 Max-Planck-Gesellschaft
www.mpg.de
Tätigkeitsbericht 2009/2010
Francis, Paul et al. | Wirtschaftliche Online-Werbung unter Berücksichtigung des ...
Am MPI für Softwaresysteme wurde im Rahmen eines Forschungsprojekts das System Privad entworfen, um wirtschaftliche Online-Werbung unter Berücksichtigung des Datenschutzes zu ermöglichen.
Die Ziele für Privad sind:
1) Schutz der Privatsphäre der Endnutzer im Gegensatz zu den etablierten Systemen
2) Eine mindestens genauso gute Skalierbarkeit wie die gängigen Systeme
3) Eine mindestens genauso gute Kanalisierbarkeit der für Werbung relevanten Zielgruppe wie die
üblichen Werbesysteme, und damit dessen Wirtschaftlichkeit
Privad schützt die Privatsphäre, indem es das Benutzerprofil auf dem Rechner des Benutzers anstatt
in der Wolke vorhält. Zur Bestimmung relevanter Werbung stellt Privad nur sehr selektiv kategorisierte
Informationen (insbesondere für die Skalierbarkeit) anonym zur Verfügung. Für die Abrechnung
der Werbetreibenden untereinander informiert Privad anonym darüber, welche Werbung auf welchen
Webseiten eingeblendet und auch vom Benutzer angeklickt wurde. Diese Informationen werden
jedoch in einer Weise behandelt, dass keine Partei sie in den Zusammenhang mit dem individuellen
Benutzer bringen kann. Darüberhinaus verbirgt ein anonymisierender Proxy die Netzwerkadresse
des Benutzers, während die Verschlüsselung von Informationen den Proxy daran hindert, irgendeine
Benutzerinformation mitzulesen.
Eine Schlüsselfrage ist: „Wie privat ist privat genug?“. Derzeitige Werbesysteme wie Google und
Yahoo sind in einem tiefen architektonischen Sinn nicht privat: sie sammeln Informationen über
Benutzer und speichern sie in ihren Rechenzentren. Die Benutzer haben keine Kontrolle darüber, wie
und wann diese Daten verwendet werden. Ebenso wenig ermöglichen diese Systeme nicht, von
Datenschutzbeauftragten verifiziert zu werden. Somit sind Benutzer gezwungen, diesen Systemen
vollständig zu vertrauen.
Privad schützt ihre Privatsphäre. Privad erfordert zum Beispiel kein Vertrauen in irgendeine einzelne
Organisation. Darüberhinaus wurde Privad entworfen, um von Dritten überprüft werden zu können.
Hierzu bietet Privad die Einbindung eines einfachen Referenzmonitors an. Die Protokolle dieses
Referenzmonitors lassen sich dann z.B. automatisiert analysieren um Fehlfunktionen aufzudecken.
Aber ist Privad auch privat genug? Es gibt offensichtlich keine einzelne, allgemeingültige Antwort auf
diese Frage. Es liegt vermutlich am Ende an der Gesellschaft, zu entscheiden, was privat genug ist.
Die Gesellschaft tendiert hier dazu, sich von Datenschutzorganisationen wie der Electronic Frontier
Foundation (EFF), der American Civil Liberties Union (ACLU) und anderen repräsentieren zu lassen.
Unsere Strategie ist es also, ein System zu entwerfen und zu erstellen, das den Datenschutz im Sinne
der etablierten Datenschutzorganisationen gewährleistet, während die praktischen Ziele noch erreicht
werden.
Eine weitere Schlüsselherausforderung ist die Verbreitung von Privad. Privad wendet sich nicht an
Benutzer, die heute alle Werbung abschalten, sondern an Benutzer, die sich Werbung gelegentlich
ansehen und auch anklicken. Um das gewohnte Erscheinungsbild bei Online-Werbung nicht zu
ändern, stellt Privad sicher, dass Werbung nur in den bereits vorhandenen Werbebereichen der Inhaltsanbieter angezeigt wird. Für die Verbreitung von Privad muss es besonders früh einige positive
Anreize für die Benutzer geben, es zu installieren. Dies kann durch das Bündeln anderer nützlicher
Software, Einkaufsrabatte oder anderer Anreize geschehen. Schließlich erfordert es, dass die Datenschutzbeauftragten (z. B. EFF, ACLU und Regierungsbehörden) Privad billigen. Dies verhindert
zumindest, dass Anti-Virus-Software Privad von den Kundenrechnern entfernen könnte. Idealerweise
könnte es sogar dazu führen, dass datenschutzbewusste Browseranbieter (z. B. Firefox) oder Betriebssystemanbieter Privad standardmäßig ausliefern oder aufgrund von Regierungsweisungen verbreiten.
www.mpg.de
© 2009/2010 Max-Planck-Gesellschaft
Francis, Paul et al. | Wirtschaftliche Online-Werbung unter Berücksichtigung des ...
Tätigkeitsbericht 2009/2010
Architektur von Privad
Privad besteht aus sechs Komponenten: dem Privad-Client, dem Referenzmonitor, dem Inhalteanbieter, den Werbetreibenden, einem Makler und einem Mediator. Inhalteanbieter, Werbetreibende
und Makler haben alle ihre Analogien in den heutigen Werbesystemen und repräsentieren grundlegende Geschäftsrollen. Die Benutzer besuchen die Webseiten der Inhalteanbieter. Die Werbetreibenden wollen, dass ihre Werbung den Benutzern auf diesen Webseiten angezeigt wird. Der Makler
(z. B. Google) bringt Werbetreibende, Inhalteanbieter und Benutzer zusammen. Für jede angezeigte
oder durch den Benutzer angeklickte Werbung bezahlt der Werbetreibende den Makler, und der
Makler bezahlt den Inhalteanbieter.
In Privad gibt es darüberhinaus drei weitere Schlüsselkomponenten zur Wahrung des Datenschutzes.
Der Privad-Client übernimmt die Aufgabe der Profilerfassung und Speicherung auf dem Rechner des
Benutzers und nicht wie bisher auf dem des Maklers. Der Mediator anonymisiert jegliche Kommunikation zwischen dem Benutzer und dem Makler und hindert somit den Makler daran, die Identität
des Benutzers herauszufinden oder mehrere Nachrichten desselben Benutzers mit ihm zu verknüpfen.
Darüber hinaus werden Nachrichten über den Mediator hinweg verschlüsselt versandt, um den Mediator
daran zu hindern, Nachrichteninhalte zwischen Benutzer und Makler einzusehen. Der Mediator
stimmt sich des Weiteren mit dem Makler ab, um Benutzer zu identifizieren, die sich am „Klick-Betrug“
beteiligen. Schließlich stellt ein offener Referenzmonitor zwischen dem Benutzer und dem Internet
sicher, dass Nachrichten zwischen dem Privad-Client und dem Internet auch dem Privad-Nachrichtenprotokoll genügen, um so Missbrauch zu vermeiden (Abb. 3).
Abb. 3: Die Privad-Architektur.
Urheber: Max-Planck-Institut für Softwaresysteme
Weitere Informationen zum Privad-Projekt finden Sie unter:
http://adresearch.mpi-sws.org/
© 2009/2010 Max-Planck-Gesellschaft
www.mpg.de
Herunterladen