Donnerstag, 15. Mai 2008

Spyware Firefox

(Via Heise.de) John Lilly, der CEO von Mozilla (Vertreiber des Web-Browsers Firefox) schreibt in seinem Weblog in einem völlig unschuldigen Tonfall, dass Mozilla die Daten, die alle Firefox-Clients weltweit an die Server von Mozilla senden, um nach Updates für den Firefox-Client zu fragen, nicht nur zum Zwecke der Auslieferung der Updates nutzt, sondern auch noch weiter auswertet. Beispielsweise dazu, um zu erfahren, wie viele Nutzer in Deutschland der Firefox an einem Tag hat.

Die IP-Adressen der Firefox-Nutzer werden also allem Anschein nach von Mozilla tagtäglich erfasst und hinsichtlich ihrer Herkunft analysiert. Ich vermute stark, dass die IP-Adressen nicht anonymisiert werden, denn darüber schreibt der Mozilla-CEO John Lilly nichts. Diese Anonymisierung der IP-Adressen (IP-Adressen an sich sind keinesfalls anonym) würde auch zur Zeit noch einen besonderen technischen Aufwand darstellen, weil es für diese Adress-Anonymisierung noch kaum fertige Softwarelösungen gibt. Ich vermute weiterhin stark, dass die IP-Adressen von Mozilla darüberhinaus im Detail über einen längeren Zeitraum gespeichert werden, denn so etwas wäre für spätere und weitere Auswertungen natürlich praktisch. Nach deutschem Gesetz wäre solch eine längerfristige IP-Speicherung jedoch meines Wissens nach rechtswidrig. Leider ist solch eine Speicherung jedoch weit verbreitet. Auch bei deutschen Anbietern von Internetangeboten. Es fehlt hier fast überall noch das Unrechtsbewusstsein. So speichern auch weiterhin viele deutsche Website-Betreiber über einen längeren Zeitraum die IP-Adressen ihrer Besucher oder nutzen externe Statistikdienste wie "Google Analytics", die die IP-Adressen der Besucher speichern. John Lilly schreibt zumindest nichts darüber, ob und wenn ja wie lange die IP-Adressen der Firefox-Nutzer gespeichert werden - ein Indiz dafür, dass man sich darüber bei der Mozilla-Foundation keine großen Gedanken macht.

Im Gegenteil. Die Gedanken der Mozilla-Foundation gehen genau in die entgegengesetzte Richtung. Nicht in Richtung mehr Datenschutz, sondern in die Richtung, wie man noch mehr Daten der Nutzer zugänglich machen kann. So schreibt dieser CEO-Typ:

The key insight is not so much that rich clients or web sites are able to collect information about what people do, but rather that this data is one of the most important pieces to faciliate understanding (and innovation), and is also one of the most under-explored areas of the modern web. [...]

So we asked ourselves what we can do to help unlock some of this latent potential [...] (Quelle: John.JubJubs.net)


Der eine nennt es "Potenzial", der andere "Gefahrenpotenzial". Die Idee der "Datensparsamkeit" als Dienst am Verbraucher scheint John Lilly nicht zu kennen. Stattdessen faselt er von irgendwelchen nebulösen Möglichkeiten, mit noch mehr Daten über die Nutzer irgendwie irgendwann später irgendwelche noch nicht näher angedachten zukünftigen Dienstleistungen von Mozilla möglicherweise ein Quentchen verbessern zu können. Was für ein Blabla.

Zu der bereits von Mozilla betriebenen Datensammelei jenseits des Zwecks des automatisierten Updates der Mozilla-Clients sagt John Lilly noch:

Beyond that, we don’t collect much data in the product at all. (Quelle: John.JubJubs.net)

Wie beruhigend. Sie sammeln also ansonsten nicht viel. Was für den einen "nicht viel" ist, kann für jemand anderen jedoch schon zu viel sein. Zu wenig sagt John Lilly hier darüber, was genau Mozilla mit den Daten macht. Zu schwammig sind seine Angaben darüber, wie Mozilla mit diesen Daten im Detail umgeht. Diese Schwammigkeit sagt jedoch andererseits viel aus über das fehlende Bewusstsein bei Mozilla in Bezug auf den Datenschutz. Allen oberflächlichen Beteuerungen von John Lilly zum Trotz.

Man bekommt im Netz eben nichts wirklich geschenkt. "Umsonst" heißt im Internet immer häufiger: Man zahlt mit seinen Daten. Dabei hätte Mozilla in Bezug auf sein Geschäftsmodell solch eine Datensammelei gar nicht nötig, weil Mozilla sich gänzlich anders finanziert als viele dieser Web-2.0-Klitschen wie StudiVZ oder andere kommerzielle Internetdienstleister wie Google und Co., die letztlich nur Werbung verkaufen wollen. Aber Nutzerdaten sind ja geil und alle sammeln sie. Also will auch der Mozilla-CEO sich ein wenig wichtig tun und mit hohen Firefox-Nutzerzahlen und detaillierten Statistiken in den Medien glänzen.

Kann man sich als Verbraucher bei solchen Dienste-Anbietern wie Google noch einigermaßen schützen gegen deren Datenschnüffelei, wird dies bei der Verwendung von einer Software wie einem Web-Browser fast unmöglich. Hier zählt das Vertrauen des Nutzers in den Software-Vertreiber noch mehr.

Firefox ist für mich deshalb zu einer Spyware geworden. Einfach aus dem Grund, weil der Vertreiber Mozilla die anfallenden Daten nicht nur zum Zwecke des Betriebs der Updates nutzt, sondern IP-Adressdaten auswertet und vermutlich auch speichert und der CEO dieses Ladens keine klaren Worte in Richtung Datenschutz findet.

Es ist darüber hinaus besonders verdammenswert, gerade die automatische Update-Suche, die den Nutzer ja schützen soll, durch eine unnötige Datensammelwut zu verunglimpfen. Denn dem normalen Firefox-Nutzer kann man kaum dazu raten, diese Update-Funktion zu deaktivieren, weil er sich so sonst anderen Gefahren aussetzt dadurch, dass sein Firefox eventuell dann nicht mehr möglichst schnell upgedatet wird und er mit einem ungepatchten Browser im Internet unterwegs ist.

Eine vertrauenswürdigere Browser-Alternative zu Firefox ist auch schwierig zu nennen. Ob beispielsweise Opera vernünftig mit den Nutzer-Daten umgeht? Vom Microsoft Internet Explorer will ich gar nicht erst anfangen zu sprechen...

Hier zeigt sich die Hilflosigkeit und die Abhängigkeit des Internetnutzers. Statt auf diese Hilflosigkeit einzugehen, ihr zu begegnen, wird sie von solchen Leuten wie John Lilly ausgenutzt. Nun also auch Mozilla. Es machen ja alle so. Also kann es ja nicht schlimm sein, überall die IP-Adressen der Internetnutzer zu erheben, auszuwerten und zu speichern. Wird schon nichts passieren. Es sei denn, CIA, FBI oder BKA bekommen Zugriff auf die Serverlog-Dateien oder irgendwelche Mitarbeiter verkaufen die Daten an kommerzielle Data-Broker. Aber sowas passiert ja nicht.

Technorati-Tags: , , ,