Archiv

Anti-Tracking-Software
Mozilla Klar saugt Daten ab

Der Internetbrowser Mozilla Firefox steht für die Privatheit der Daten. Doch die Smartphone-App Firefox Klar sammelt Nutzerdaten und übermittelt sie an einen Datenhändler. Nicht aus Profitgründen, sondern zur Produktentwicklung. Und es gibt eine Abschaltfunktion - die aber technisches Verständnis erfordert.

Peter Welchering im Gespräch mit Manfred Kloiber |
    Das Hauptquartier des Firefox-Entwicklers Mozilla ist am 17.05.2016 in San Francisco zu sehen. Die Mozilla-Stiftung ging laut Medienberichten einen lukrativen Deal mit dem Internet-Konzern Yahoo ein, der zur Standard-Suchmaschine des Web-Browsers in den USA wurde.
    Was der Datenspezialist Adjust mit den Daten, die Firefox Klar an ihn sendet, macht, dazu schweigen sowohl die Mozilla Foundation als auch Adjust. (dpa / Andrej Sokolow)
    Manfred Kloiber: Mozilla steht für Privatheit der Daten – Diese Botschaft lässt die Mozilla Foundation nicht nur Saalsprecher zu Beginn von Datenschutzkonferenzen verkünden. Auch in aufwändigen Werbekampagnen per Video oder Online lautet die Botschaft immer wieder: Wir wollen Datenschutz. Mozilla garantiere die Privatheit der Daten. Und deshalb setzen ja auch viele Netz-Nutzer nicht nur Firefox als Browser auf ihrem Laptop ein, sondern verwenden auch Firefox Klar, um von ihrem Smartphone aus ungestört und unüberwacht surfen zu können. Doch Firefox Klar steht im Verdacht, selbst Daten zu sammeln und diese an einen Datenhändler zu übermitteln. Peter Welchering, Sie haben das recherchiert. Kann man Firefox Klar noch unbedenklich verwenden?
    Daten gehen an Big-Data-Spezialist Adjust
    Peter Welchering: Wenn man als Anwender die Funktion für die Datenübermittlung abschaltet, kann man Firefox Klar verwenden, ansonsten Nein, Klares Nein. Denn Firefox Klar sammelt Daten über mein Surfverhalten, was ich im Internet so treibe, auf welchen Seiten ich mich bewege. Und diese Daten werden an den Big-Data-Spezialisten Adjust gesendet. Das haben Tests ergeben, die wir zusammen mit Hermann Sauer, einem ausgewiesenen Fachmann für Datensicherheit gemacht haben.
    Nun wundert das natürlich, dass gerade ein Browser der Mozilla Foundation, die ja für Privatheit der Daten kämpft, persönliche Daten von Internet-Nutzern Daten an einen Daten-Marketier weitergibt. Mozilla sagt offiziell dazu nichts. Hermann Sauer hat nachgefragt, wir haben mehrfach nachgefragt – es gab keine Antwort.
    Die Übermittlungsfunktion kann auch ausgeschaltet werden. Also, das ergibt alles kein stimmiges Bild. Und deshalb haben wir da mal sehr intensiv nachgeforscht. Und das Ergebnis ist umso erschütternder: Denn tatsächlich scheint die Mozilla Foundation nichts Böses im Schilde zu führen. Die meinen es gut, die wollen das Produkt verbessern und lassen dafür Daten erheben. Aber wir wissen ja nun mal: Gut meint ist nicht immer gut gemacht. Und das ist auch hier der Fall. Fakt ist: Es fließen persönliche Daten von Netz-Nutzern an ein Datenunternehmen ab. Und dieses Unternehmen braucht für seine digitalen Kampagnen natürlich Daten. Von solchen digitalen Kampagnen leben die.
    Kloiber: Das werden wir gleich noch intensiver besprechen. Doch zuerst hören wir uns einmal an, was wir an Recherche-Ergebnisse zusammenfassen konnten.
    "Wenn man Firefox Klar installiert auf seinem iPhone oder Android-Phone, dann denkt man natürlich, eigentlich wird man jetzt weniger beobachtet im Internet. Allerdings habe ich dann festgestellt, dass Firefox Klar sämtliche Aktivitäten an eine Trackingfirma schickt." Berichtet Hermann Sauer, Geschäftsführer des Datensicherheitsspezialisten Comidio GmbH in Eltville.
    "Jedes Device wird mitprotokolliert"
    Um das herauszubekommen, haben die Spezialisten sämtlichen Datenverkehr genau protokolliert und analysiert. Und da ging es bei Firefox Klar um iPhones beziehungsweise bei Firefox Android Beta um Android-Smartphones. Auf denen wurde aus dem jeweiligen App Store Firefox installiert.* Anschließend begaben sich die Tester in die Tiefen des Internets. Hermann Sauer:
    "Jedes Device, was dann an das Internet geht, wird mitprotokolliert. Das heißt, man kann genau sehen, welche Aufrufe jedes einzelne Gerät macht im Internet, welchen Server es kontaktiert, man kann auch sehen, welche Daten übergeben werden, wenn man dann im Internet surft und sich anschaut, welche Daten wohin geliefert werden, kann man relativ schnell sehen, ah ja, da ist eine Software, die auch an Adjust liefert, was man dann nicht erwartet."
    Mozilla äußert sich nicht
    Was der Datenspezialist Adjust mit diesen Daten, die Firefox Klar an ihn sendet, macht, dazu schweigen sowohl die Mozilla Foundation als auch Adjust. Und das obwohl die Datensammlung der persönlichen Nutzerdaten ziemlich umfangreich ist. Hermann Sauer ist dann einen Schritt weitergegangen.
    "Ich habe dann erst mal weiterrecherchiert, ob das denn dokumentiert ist von Mozilla, von dem Hersteller von Firefox. Nach etwas Recherche konnte ich auch feststellen, dass eigentlich Mozilla das immer macht bei allen mobilen Applikationen. Firefox, der Browser, macht das auch, allerdings nicht über Adjust, da werden dann Daten direkt an Mozilla geliefert. Was man genau feststellen kann, ist eigentlich nur, dass diese Firma, Adjust, Daten bekommt. Was die damit machen, welche Daten es sind genau, die ausgewertet werden, vielleicht sogar weitergegeben werden, das kann man leider nicht so ohne weiteres sehen."
    Die Berliner Adjust GmbH ist mit ihren Tracking-und Analyse-Lösungen eine bekannte Größe im Datenbusiness. Hermann Sauer hat sich nicht nur die Unternehmens-Website von Adjust näher angeschaut.
    "Das ist typisch das, was man in der Trackingindustrie so erwartet: Alles, was Rang und Namen hat an Firmen, die Daten entsprechend auswerten, erfassen, ergänzen mit anderen Daten, die schon irgendwann einmal von einem erfasst wurden. Und solche Firmen leben damit, dass die Daten dann aufgewertet werden, weil sie zusammengeführt werden, von anderen Erfahrungen, die über andere Apps oder Plug-Ins gemacht wurden."
    Internet-Surfer, die mit Firefox Klar im Netz unterwegs sein wollen, Daten über ihr persönliches Surfverhalten aber nicht zu Adjust senden wollen, können die Übermittlungsfunktion ausschalten.
    Übermittlungsfunktion abschalten
    "Man sollte auf jeden Fall immer kritisch sein, bei allen Applikationen, die man installiert, auch wenn es eine Applikation ist, die verspricht, dass man jetzt trackingfrei arbeiten kann. Im Fall von Mozilla Klar kann man auch sehen, dass es ein Feature gibt, man kann das also abschalten, also standardmäßig ist es eingeschaltet, und wenn man die Dokumentation richtig liest, kann man auch irgendwann erkennen, dass man es abschalten kann. Das habe ich ausprobiert, es funktioniert, man kann es abschalten. Ob das jeder Nutzer aber erkennt und dann abschaltet, bezweifle ich allerdings."
    In den Voreinstellungen von Firefox Klar ist allerdings die Übermittlungsfunktion scharf geschaltet. Wer sie abschalten will, muss sich gut in die Dokumentation einarbeiten. Das erfordert einen gewissen Aufwand.
    Kloiber: Ja, und wir wollten natürlich auch wissen: Was steckt hinter dieser Datensammelei. Ist die Mozilla Foundation auch nur dick im Datengeschäft unterwegs - wie so viele andere Softwarehersteller, Peter Welchering?
    Welchering: Den Verdacht hatte ich auch, zumal alle unsere Anfragen ja unbeantwortet blieben. Und da legt sich natürlich gleich ein Verdacht nahe. Wer auf solche Journalistenanfragen nicht antwortet, der hat etwas zu verbergen. Ich konnte dann allerdings mit unterschiedlichen Entwicklern sprechen, die für die Mozilla Foundation arbeiten. Und da wurde mir klar: Nein. Mozilla ist nicht direkt im Datengeschäft, mit der Betonung auf direkt. Wir können nicht nachweisen, dass Mozilla mit diesen Daten Geld verdient. Aber sie arbeiten dennoch mit der Trackingindustrie zusammen, weil sie offenbar meinen, das das für die Produktentwicklung wichtig sei. Und da liegt die eigentliche Gefahr.
    Daten zur Optimierung der Software
    Kloiber: Damit müssen wir uns noch ein bisschen intensiver beschäftigen. Warum werden die Daten der Internet-Surfer denn erhoben, und wie werden diese Daten dann anschließend verarbeitet?
    Welchering: Die Mozilla-Entwickler, die ich sprach, haben mir recht glaubwürdig versichert, dass sie Nutzungsdaten von Browsern haben wollen, um herauszubekommen, wie die Netz-Nutzer mit dem Browser arbeiten, damit sie ihre Browsersoftware optimieren. Um so etwas zu erheben, reichen anonyme Daten. Es werden aber persönliche Daten erhoben und direkt versandt. Und außerdem werden die im Fall von Firefox Klar nicht an Mozilla geschickt, sondern an Adjust. Die Adjust GmbH erhält also persönliche Daten und nicht etwa anonymisierte. Hier konnten mir allerdings auch Mozilla-Entwickler nicht erklären, warum die Daten im Fall von Firefox Klar nicht direkt auf einem Server der Mozilla Foundation landen."
    Kloiber: Was wissen Sie denn über die Adjust GmbH?
    Welchering: Die spielt ordentlich im Tracking-Geschäft mit. Sehr viele Marketing-Unternehmen sind ihre Kunden. Auch auf Seiten ihrer Gesellschaftersind etwa mit dem Target Partners Fund Größen im Geschäft, die im Tracking-Bereich einen Namen haben. Als Gegenstand des Unternehmens ist im Handelsregister eingetragen: "Entwicklung und Betrieb von Plattformen zur Verifizierung, Optimierung und zielgruppengenauen Planung und Auslieferung digitaler Kampagnen, insbesondere auf mobilen Endgeräten", Zitat Ende. D.h. die nehmen Daten, um digitale Kampagnen für ihre Kunden zu planen. Und weist die Bilanz für das Jahr 2015 immerhin 16 Millionen Bilanzsumme aus. Und für zielgruppengenaue Planung von Kampagnen braucht man persönliche Nutzungsdaten.
    Was mit den Daten bei Adjust geschieht, ist unklar
    Kloiber: Was macht die Adjust GmbH denn mit den Daten, die Firefox Klar ihnen liefert?
    Welchering: Das wissen wir nicht. Das ist eine große Blackbox. Telefonate, Mails, Briefe – auf welchen Kommunikationsweg auch immer wir versucht haben, da eine Antwort zu bekommen, es gab keine Antwort. Und solange weder die Adjust GmbH noch die Mozilla Foundation genau aufklären, was mit den persönlichen Nutzungsdaten geschieht, die Firefox Klar sammelt und an die Adjust GmbH liefert, solange sind Zweifel am Verhalten angebracht.
    Kloiber: Aber die Datensammelei bei Firefox Klar kann doch ausgestellt werden. Wie aufwändig ist das?
    Welchering: Man muss tatsächlich etwas tiefer in die Dokumentation einsteigen. Also Otto Normalnutzer ist da schon ziemlich gefordert. Deshalb werden die meisten Anwender diese Funktion auch nicht ausschalten. Der springe Punkt dabei ist aber: Eine solche Software darf einfach nicht mit eingeschalteter Datenleitungsfunktion ausgeliefert werden. Wenn der Anwender meint, er will Mozilla seine Daten zu Verfügung stellen, dann muss er die Funktion einschalten können. Einfach vorauszusetzen, die Nutzer haben schon nix dagegen und wenn, dann können sie die Funktion ja ausschalten halte ich für ein fragwürdiges Vorgehen bei einer Stiftung wie der Mozilla Foundation, die sich die Absicherung der Privatheit von Daten auf die Fahnen geschrieben hat. Und wenn eine solche Stiftung dann noch mit einem Datenspezialisten zusammenarbeitet, zu dessen Partnern und Kunden fast alles zählt, was in der Trackingindustrie Rang und Namen hat, dann sollten die Netz-Nutzer hier ein deutliches Nein sagen.
    [* Anmerkung der Redaktion: Im Text hieß es ursprünglich: "Und da ging es bei Firefox Klar um iPhones und Android-Smartphones. Auf denen wurde aus dem jeweiligen App Store Firefox Klar installiert." Die Version für Android-Smartphones trägt aber den Namen Firefox Android Beta, nur die für iPhones heißt Firefox Klar.]