Montag, 29. März 2021

Google und die post - cookie - Welt

Nutzergruppen, micro-moments, behavioural advertising und die Zukunft der Online-Werbung 

Offenbar haben es einige noch nicht mitbekommen, aber wir steuern gerade auf eine post-cookie-Welt zu.

Anfang März hat Google angekündigt, auf das Tracking einzelner User für Werbenetzwerke zu verzichten. Googles Chrome-Browser unterstützt dann in absehbarer Zeit keine von Dritten gesetzte Cookies (Third-Party-Cookies) mehr. 

Die Überraschung war nicht gering. Ein großes, chinesisches Werbenetzwerk hat dementsprechend auch bereits verschiedene "Umgehungstechniken" in der Erprobung, da ja nicht nur Google "zum Problem wird", sondern auch Apple mit dem Wegfall der Werbe-ID auf Smartphones die Werbenden vor Schwierigkeiten stellt. 

Nun könnte man ja auch die irrige Idee kommen, daß Google mit dieser Maßnahme das Ende der personalisierten Werbung einläutet. Das ist aber natürlich nicht so. Aus Googles Sicht ist eine genaue Identifizierung des Nutzers einfach nicht mehr notwendig. 

Die Stichworte sind Gruppen/Kohortenbildung, micro-moments und behavioural advertising. 

Das erste Stichwort bedeutet, den Nutzer anhand seines Verhaltens und seiner Gewohnheiten einer aussagekräftigen, pseudonymen Gruppe zuzuordnen. Mehr ist aus Werber-Sicht eigentlich nicht mehr erforderlich. Die Zusatzinformation, daß der Kunde "Müller" heißt, ist aus Verkäufersicht von geringem Wert. Wenn alle notwendigen Daten auch pseudonym erhoben werden, gibt es eigentlich kein Argument für die Identifizierbarkeit. Es genügt z.B., durch den Kauf bestimmter Genußprodukte oder Lektüre von bestimmten Nachrichten zu wissen, daß der Nutzer möglicherweise in die Gruppe der "Besserverdiener" gehört und daher auch mal eine Immobilienkredit-Werbung sehen sollte. Ein Ratenangebot für eher preiswerte Verbrauchsgüter wäre dagegen weggeworfene Werbekapazität. 

Ebenso "Micro Moments" - genauer die Frage: Was wird der Nutzer aus seinem Kontext heraus als nächstes tun? Nutzer, die gegen 17:30 ein Taxi zum X-Platz bestellen und vorher in der Suchmaschine nach einem bestimmten Schauspieler geschaut haben, werden mit einer Wahrscheinlichkeit von 85% ins Kino gehen. Das ist ein (stark vereinfachtes) Beispiel für einen Handlungsablauf, den Google per KI identifizieren will und dann für Warenempfehlungen und Vermarktung an seine Partner nutzen wird.  

Behavioural advertising wiederum ist das Ausspielen von bestimmter Werbung anhand des vorherigen, ausgewerteten Nutzerverhaltens. Wer nach Frühlingsblühern, Rollrasen und Mittagsruhezeiten sucht, hat wahrscheinlich einen eigenen Garten und ist auch für Rasenmäherwerbung empfänglich. Auch hier sind natürlich viel kompliziertere Zusammenhänge denkbar, die oft erst durch eine KI-basierte statistische Auswertung zu Tage treten. Anders gesagt: Erst mit KI macht big data richtig Sinn! 

Die Frage (aus Nutzersicht) ist nun natürlich: Bringt das nun mehr Privatsphäre oder nicht? Das kann so sein; wenn allerdings die Gruppenbildung oder behavioural analysis zur - vielleicht auch falschen - Profilbildung beiträgt, ist dem Endnutzer wenig gedient. 


Links:

Heise News Streit um Tracking

Heise News Ende der Cookies 

Dienstag, 23. März 2021

Eins ist sicher: Das beA!

Gestern hat der BGH über die Frage entschieden, ob die bisherige Implementierung des beA (besonderes elektronisches Anwaltspostfach) in seiner technischen Implementierung den gesetzlichen Anforderungen an eine sichere Kommunikation genügt. 

Konkret geht es um die Frage, ob die gegenwärtig vorgesehene "Umschlüsselung" im HSM (Hardware-Sicherheitsmodul) zum Zwecke der Implementierung der anwaltlichen Vertretungsregeln zulässig ist - zumal hierdurch eine Ende-zu-Ende - Verschlüsselung nicht möglich ist. Die Vertraulichkeitskette ist damit durchbrochen - wenn auch nur auf Ebene der BRAK. Zwar ist es unwahrscheinlich, daß die Selbstvertretung der Anwaltschaft diese Möglichkeit für unauffällige Kenntnisnahme der anwaltlichen Kommunikation nutzen könnte - trotzdem wurde so ein "single point of attack" geschaffen, der das gesamte System letztlich schwächt. Denn wenn jemand von außen die anwaltliche Kommunikation mitlesen wollen würde, könnte er dort sinnvollerweise ansetzen. Die Vertretungsregeln hätte man auch anders implementieren können - z.B. indem man ein Containerformat schafft, welches im Falle einer Vertretung einfach in einen weiteren, sicheren Container gepackt wird. 

Das Gericht gestand der Bundesrechtsanwaltskammer aber einen "gewissen Spielraum" bei der Ausgestaltung zu, solange prinzipiell eine "sichere Kommunikation" gewährleistet sei. Die gesetzlichen Anforderungen seien insoweit jedenfalls erfüllt. 

Die GFF (Gesellschaft für Freiheitsrechte), die die Klage unterstützt hatte, äußerste sich nun dahingehend, daß dann eben der Gesetzgeber gefordert wäre, eindeutig eine Ende-zu-Ende - Verschlüsselung im Gesetz vorzuschreiben. 

Ob das passiert, bleibt abzuwarten. 


Quelle: Heise

Mittwoch, 10. März 2021

Angriffswelle gegen Exchange-Server



Die in den letzten Tagen bekannt gewordene Angriffswelle gegen MS-Exchange-Server zieht offenbar weitere Kreise. Die der chinesischen Gruppe „Hafnium“ zugeschriebenen Attacken nutzen nun nicht nur Sicherheitslücken in Exchange selbst aus, sondern aus der Kombination von bis zu 14 Lücken scheint sich ein Angriffsszenario gegen bekannte Microsoft-Produkte wie den Internet Explorer,  Azure, Windows, Edge, Office, SharePoint, Visual Studio und Hyper-V zu ergeben. Zu diesen hat Microsoft jetzt jedenfalls außerplanmäßig weitere Patches bereitgestellt, um das Problem zu beheben. 

Nach Schätzung des BSI seien in Deutschland „zehntausende“ Server betroffen; in der USA sollen es einige 100.000 sein. Das BSI hat daher auch „Bedrohungslage rot!“ ausgegeben. 

Das Problem zeigt eine problematische Abhängigkeit vom mittlerweile antiquierten eMail-Dienst auf. eMails wurden erstmals 1965 implementiert, die technischen Grundlagen 1968 im Arpanet (Internet-Vorläufer) vorgeschlagen und 1971 in einem RFC (technisches Dokument) festgelegt. Zu dieser Zeit sind an das Arpanet weniger als 200 Rechner angeschlossen, bei einer Geschwindigkeit von 50 kbit/s. 

Ein ernsthafter, plattformübergreifender, sicherer Nachfolgedienst wurde nie entwickelt - wohl auch, weil jede Firma später die Vorzüge eines eigenen Produktes in den Vordergrund stellen wollte. 

Ein interessantes „IMHO“ (= in my humble opinion…) dazu finden Sie auf GOLEM. 



Links

Heise-News

ein „IMHO“ auf Golem.de

Golem-News 

Meldung des BSI 

Spiegel Nachrichten 

Microsoft Patch-Seite 



Logo: Microsoft Office team - Microsoft Office Website, Lizenz: CC-by-SA 4.0