Francis, Paul et al. | Wirtschaftliche Online-Werbung unter Berücksichtigung des ... Tätigkeitsbericht 2009/2010 Informatik/Mathematik/Komplexe Systeme Wirtschaftliche Online-Werbung unter Berücksichtigung des Datenschutzes Francis, Paul; Ohlmann, Michael Max-Planck-Institut für Softwaresysteme, Kaiserslautern Arbeitsgruppe – Verteilte Systeme Korrespondierender Autor E-Mail: [email protected] Zusammenfassung Heutzutage hat Online-Werbung einen wesentlichen Einfluss auf das Internet. Die gängigen Werbesysteme ignorieren jedoch gänzlich Datenschutzbestimmungen. Das MPI für Softwaresysteme arbeitet am System Privad, einem verteilten System für Online-Werbung, das den Datenschutz berücksichtigen und gleichzeitig wirtschaftliche Effizienz ermöglichen soll. Privad wurde bereits prototypisch realisiert und in einer kleinen Gruppe getestet. In der nächsten Stufe soll Privad einer größeren Gruppe zugänglich gemacht werden, um detailliertere Untersuchungen durchführen zu können. Abstract Online advertising is a major economic force in the Internet today. Current deployments, however, ignore data privacy issues. Max Planck Institute for Software Systems is working on a distributed online advertising system called Privad. Privad ensures data privacy while still being economically viable for the parties involved in online advertising. We have implemented a prototype of Privad and deployed it on a small scale. In the next step we are working towards a large-scale live experiment. Wann immer man im Internet nach irgendetwas sucht, wird diese Suche irgendwo aufgezeichnet. Falls man eine Webseite besucht, so wird dieser Besuch ebenfalls aufgezeichnet. Eine steigende Anzahl von Dokumenten, E-Mails, Vorlieben und Abneigungen, Freunde und Bekannte, Aktivitäten, Zeitpläne und Bilder von Menschen werden in der sogenannten „Wolke“ gespeichert. Die Sorge über den ständigen Schwund der Privatsphäre wächst. Die Titelseite einer unlängst erschienenen SpiegelAusgabe sagt über Google: „Der Konzern, der mehr über Sie weiß als Sie selbst“ (Abb. 1). Natürlich geht es nicht nur um Google. Soziale Netzwerkseiten wie Facebook und LinkedIn speichern Details über Ihr Privat- und Berufsleben und Photoseiten wie Flickr und Shutterfly speichern Ihre Bilder. © 2009/2010 Max-Planck-Gesellschaft www.mpg.de Tätigkeitsbericht 2009/2010 Francis, Paul et al. | Wirtschaftliche Online-Werbung unter Berücksichtigung des ... Abb. 1: Die Öffentlichkeit ist immer besorgter über den zunehmenden Verlust der Privatsphäre im Internet. Urheber: Spiegel Verlag Manch einer mag argumentieren, dass der Verlust der Privatsphäre freiwillig geschieht – schließlich zwingt Sie niemand, Gmail zu nutzen, Ihre Photos bei Flickr hochzuladen oder Ihr Profil bei Facebook abzuspeichern. Für viele Benutzer entschädigt der Wert dieser Dienste jedoch den Verlust der Privatsphäre. Außerdem gibt es für einige dieser Probleme technische Lösungen. Benutzer können die Browser-Cookies abschalten oder durch anonymisierende Proxies im Netz surfen. Die meisten Benutzer besitzen jedoch nicht den technischen Durchblick, um zu wissen, wie man das macht. Sogar jene Benutzer, die über das Wissen verfügen, kümmern sich nicht darum: Der Verlust der Privatsphäre ist eine ziemliche vage Bedrohung, und es entstehen Kosten in Form von Zeitaufwand, Surfqualität und sogar Geld, die nach Ansicht der Benutzer oft nicht gerechtfertigt sind. Die Ironie all dessen ist, dass das Internet geschaffen wurde, um jedem Computer zu erlauben, mit jedem anderen Computer zu kommunizieren. Wenn mein Rechner mit den Rechnern meiner Freunde kommunizieren kann, warum muss mein persönliches Profil dann „in der Wolke“ bei Facebook (d. h. auf Facebook-Rechnern in Rechenzentren) gespeichert werden? Warum kann es nicht auf meinem Rechner verbleiben, um direkt von jenen Freunden gelesen zu werden, denen der Zugriff gestattet wurde? Warum müssen meine E-Mails auf Google-Rechnern gespeichert werden? Warum können sie nicht direkt von meinem Computer zum Computer des Empfängers geschickt werden? Oder warum werden meine Informationen nicht ganz selbstverständlich verschlüsselt, wenn sie sich in der Wolke befinden? Warum müssen sie unverschlüsselt gespeichert werden? Auf diese Fragen gibt es keine einfachen Antworten. Wenn sich meine Daten in der Wolke befinden, habe ich von überall Zugriff auf sie. Sollte mein Rechner den Geist aufgeben, sind meine Daten immer noch verfügbar. Falls meine Daten unverschlüsselt sind, muss ich mir keine Passwörter merken. Andererseits gibt es technische Lösungen, die ein Verbleiben der Daten in der Wolke nicht www.mpg.de © 2009/2010 Max-Planck-Gesellschaft Francis, Paul et al. | Wirtschaftliche Online-Werbung unter Berücksichtigung des ... Tätigkeitsbericht 2009/2010 erforderlich machen. Zum Beispiel könnte sich zuhause auf meinem Modem eine Festplatte befinden, die sich mit dem Internet Service Provider (ISP) verbindet. Im Prinzip könnten meine Daten auf dieser Platte gespeichert werden, jederzeit zugänglich für autorisierte Personen, jederzeit gesichert für den Fall eines Ausfalls. Warum hat sich nun im Internet, angesichts der technischen Alternativen, ein „wolkenbasierendes“ Modell der Datenspeicherung und des Zugriffs mit einem Verlust an Privatsphäre etabliert anstatt eines „endnutzerbasierenden“ Modells, das die Privatsphäre schützt? Auf die Gefahr hin, eine komplexe Frage zu stark zu vereinfachen, lautet die Antwort mit einem Wort: Werbung. Werbung ist eine Schlüsselkomponente des Geschäftsmodells, das den Diensten zugrunde liegt, die von Google und vielen anderen Internetunternehmen zur Verfügung gestellt werden. Werbung ist natürlich effektiver, wenn Anzeigen personalisiert sind; das ist der Fall, wenn die Anzeige auf die Interessen und Demographie einer Person abzielt. Somit gibt es eine grundsätzliche Motivation für werbeunterstützte Webdienste, nämlich das Analysieren von Benutzerinformationen, um Werbung zielgruppenspezifisch zu kanalisieren. Wissenschaftliche Forschung zur wirtschaftlichen Online-Werbung unter Berücksichtigung des Datenschutzes Das MPI für Softwaresysteme hat die Vision, eine wirtschaftliche Online-Werbung unter Berücksichtigung des Datenschutzes zu ermöglichen. Im Rahmen unserer Forschung gibt es viele Probleme, die gelöst werden müssen, zum Beispiel: Können Benutzerdaten zu Hause gespeichert werden, um einen zuverlässigen und sicheren Zugriff von überall und jederzeit zu gewährleisten? Können die Benutzer den Zugriff auf ihre Daten sinnvoll kontrollieren? Gibt es einen Weg, Anwendungen einen einfachen und allgegenwärtigen Zugriff zum Datenspeicher des Benutzers zu ermöglichen, selbst wenn der Speicher sich auf einer anderen Maschine befindet? Während diese und andere Fragen beantwortet werden müssen, fällt auf, dass es hierzu keine einfachen Lösungen gibt, genauer: Es muss einerseits ein Ansatz gefunden werden, wie man Werbung zielgruppenspezifisch kanalisiert, ohne die Privatsphäre der Nutzer zu verletzen. Andererseits muss ein solcher Ansatz auch noch wirtschaftlich sein, um Erfolg haben zu können (Abb. 2). Abb. 2: Privads Herausforderungen. Urheber: Max-Planck-Institut für Softwaresysteme © 2009/2010 Max-Planck-Gesellschaft www.mpg.de Tätigkeitsbericht 2009/2010 Francis, Paul et al. | Wirtschaftliche Online-Werbung unter Berücksichtigung des ... Am MPI für Softwaresysteme wurde im Rahmen eines Forschungsprojekts das System Privad entworfen, um wirtschaftliche Online-Werbung unter Berücksichtigung des Datenschutzes zu ermöglichen. Die Ziele für Privad sind: 1) Schutz der Privatsphäre der Endnutzer im Gegensatz zu den etablierten Systemen 2) Eine mindestens genauso gute Skalierbarkeit wie die gängigen Systeme 3) Eine mindestens genauso gute Kanalisierbarkeit der für Werbung relevanten Zielgruppe wie die üblichen Werbesysteme, und damit dessen Wirtschaftlichkeit Privad schützt die Privatsphäre, indem es das Benutzerprofil auf dem Rechner des Benutzers anstatt in der Wolke vorhält. Zur Bestimmung relevanter Werbung stellt Privad nur sehr selektiv kategorisierte Informationen (insbesondere für die Skalierbarkeit) anonym zur Verfügung. Für die Abrechnung der Werbetreibenden untereinander informiert Privad anonym darüber, welche Werbung auf welchen Webseiten eingeblendet und auch vom Benutzer angeklickt wurde. Diese Informationen werden jedoch in einer Weise behandelt, dass keine Partei sie in den Zusammenhang mit dem individuellen Benutzer bringen kann. Darüberhinaus verbirgt ein anonymisierender Proxy die Netzwerkadresse des Benutzers, während die Verschlüsselung von Informationen den Proxy daran hindert, irgendeine Benutzerinformation mitzulesen. Eine Schlüsselfrage ist: „Wie privat ist privat genug?“. Derzeitige Werbesysteme wie Google und Yahoo sind in einem tiefen architektonischen Sinn nicht privat: sie sammeln Informationen über Benutzer und speichern sie in ihren Rechenzentren. Die Benutzer haben keine Kontrolle darüber, wie und wann diese Daten verwendet werden. Ebenso wenig ermöglichen diese Systeme nicht, von Datenschutzbeauftragten verifiziert zu werden. Somit sind Benutzer gezwungen, diesen Systemen vollständig zu vertrauen. Privad schützt ihre Privatsphäre. Privad erfordert zum Beispiel kein Vertrauen in irgendeine einzelne Organisation. Darüberhinaus wurde Privad entworfen, um von Dritten überprüft werden zu können. Hierzu bietet Privad die Einbindung eines einfachen Referenzmonitors an. Die Protokolle dieses Referenzmonitors lassen sich dann z.B. automatisiert analysieren um Fehlfunktionen aufzudecken. Aber ist Privad auch privat genug? Es gibt offensichtlich keine einzelne, allgemeingültige Antwort auf diese Frage. Es liegt vermutlich am Ende an der Gesellschaft, zu entscheiden, was privat genug ist. Die Gesellschaft tendiert hier dazu, sich von Datenschutzorganisationen wie der Electronic Frontier Foundation (EFF), der American Civil Liberties Union (ACLU) und anderen repräsentieren zu lassen. Unsere Strategie ist es also, ein System zu entwerfen und zu erstellen, das den Datenschutz im Sinne der etablierten Datenschutzorganisationen gewährleistet, während die praktischen Ziele noch erreicht werden. Eine weitere Schlüsselherausforderung ist die Verbreitung von Privad. Privad wendet sich nicht an Benutzer, die heute alle Werbung abschalten, sondern an Benutzer, die sich Werbung gelegentlich ansehen und auch anklicken. Um das gewohnte Erscheinungsbild bei Online-Werbung nicht zu ändern, stellt Privad sicher, dass Werbung nur in den bereits vorhandenen Werbebereichen der Inhaltsanbieter angezeigt wird. Für die Verbreitung von Privad muss es besonders früh einige positive Anreize für die Benutzer geben, es zu installieren. Dies kann durch das Bündeln anderer nützlicher Software, Einkaufsrabatte oder anderer Anreize geschehen. Schließlich erfordert es, dass die Datenschutzbeauftragten (z. B. EFF, ACLU und Regierungsbehörden) Privad billigen. Dies verhindert zumindest, dass Anti-Virus-Software Privad von den Kundenrechnern entfernen könnte. Idealerweise könnte es sogar dazu führen, dass datenschutzbewusste Browseranbieter (z. B. Firefox) oder Betriebssystemanbieter Privad standardmäßig ausliefern oder aufgrund von Regierungsweisungen verbreiten. www.mpg.de © 2009/2010 Max-Planck-Gesellschaft Francis, Paul et al. | Wirtschaftliche Online-Werbung unter Berücksichtigung des ... Tätigkeitsbericht 2009/2010 Architektur von Privad Privad besteht aus sechs Komponenten: dem Privad-Client, dem Referenzmonitor, dem Inhalteanbieter, den Werbetreibenden, einem Makler und einem Mediator. Inhalteanbieter, Werbetreibende und Makler haben alle ihre Analogien in den heutigen Werbesystemen und repräsentieren grundlegende Geschäftsrollen. Die Benutzer besuchen die Webseiten der Inhalteanbieter. Die Werbetreibenden wollen, dass ihre Werbung den Benutzern auf diesen Webseiten angezeigt wird. Der Makler (z. B. Google) bringt Werbetreibende, Inhalteanbieter und Benutzer zusammen. Für jede angezeigte oder durch den Benutzer angeklickte Werbung bezahlt der Werbetreibende den Makler, und der Makler bezahlt den Inhalteanbieter. In Privad gibt es darüberhinaus drei weitere Schlüsselkomponenten zur Wahrung des Datenschutzes. Der Privad-Client übernimmt die Aufgabe der Profilerfassung und Speicherung auf dem Rechner des Benutzers und nicht wie bisher auf dem des Maklers. Der Mediator anonymisiert jegliche Kommunikation zwischen dem Benutzer und dem Makler und hindert somit den Makler daran, die Identität des Benutzers herauszufinden oder mehrere Nachrichten desselben Benutzers mit ihm zu verknüpfen. Darüber hinaus werden Nachrichten über den Mediator hinweg verschlüsselt versandt, um den Mediator daran zu hindern, Nachrichteninhalte zwischen Benutzer und Makler einzusehen. Der Mediator stimmt sich des Weiteren mit dem Makler ab, um Benutzer zu identifizieren, die sich am „Klick-Betrug“ beteiligen. Schließlich stellt ein offener Referenzmonitor zwischen dem Benutzer und dem Internet sicher, dass Nachrichten zwischen dem Privad-Client und dem Internet auch dem Privad-Nachrichtenprotokoll genügen, um so Missbrauch zu vermeiden (Abb. 3). Abb. 3: Die Privad-Architektur. Urheber: Max-Planck-Institut für Softwaresysteme Weitere Informationen zum Privad-Projekt finden Sie unter: http://adresearch.mpi-sws.org/ © 2009/2010 Max-Planck-Gesellschaft www.mpg.de