De-Platforming

Derzeit kursieren Screenshots, auf denen sich der bekannte Troll Milo bitterlich darüber beklagt, dass seine Followerschaft stark gesunken ist, nachdem er nach jahrelangen Provokationen von Plattformen wie Twitter gesperrt wurde.

Klickt zum Tweet.

Lektion 1: De-Platforming wirkt. Obwohl die Hardcore-Fans wohl immer neue Apps herunterladen, um ihren Cheftrollen zu folgen, macht dies die Masse wohl nicht.

Lektion 2: Diese Leute verdienen es gelöscht zu werden. Auf dem dritten Screenshot ist zu sehen, wie sie die Errichtung einer „Underground railroad“ zu ihrem Vorteil errichten wollen. Für Leute, die sich kein bisschen mit US-Geschichte auskennen: Die Underground Railroad war ein System geheimer Stützpunkte, mit dem Sklaven befreit und vor ihren Ex-Eigentümern versteckt wurden. Diese Leute brauchen keine Follower, sie brauchen eine Therapie.

Lektion 3: Wollen wir wirklich die Firmen entscheiden lassen, wer von der Plattform zu fliegen hat, die Leute wie Milo erst groß gemacht haben und bis heute den Fehler nicht erkennen können?

Lektion 4: Sind wir wirklich so einfach zu beeinflussen, dass wir Leute, denen wir ein ganzes Weltbild aufgeben, wenn es denn mit zwei, drei Extra-Klicks und einen neuen Account voraussetzt? Oder: Ist der Troll der kleinste gemeinsame Nenner, den wir füttern, solange es uns bequem ist, dem aber so gut wie niemand wirklich nachtrauert?

Lektion 5: Was sind heute alles Plattformen? So gab es in den USA ja eine erbitterte Diskussion, ob man Milo von Auftritten an Universitäten abhalten kann. An meiner Universität hätte sich die Frage nie gestellt. Die wenigen Vorträge, die wir freiwillig aufsuchen konnten wurden von Leuten mit Professoren- oder zumindest Doktor-Titeln gehalten. Und selbst zu diesen Anlässen musste die Veranstalter enorm nervös sein, dass ihnen ein Haustechniker den Strom abstellt oder ein Hausmeister die Veranstaltung beendet, weil irgendwer in der Verwaltung vergessen hatte, einen Sonderdienst einzuteilen.

Lektion 6: Was ist nur mit Trollen passiert? Als ich einst auf der ersten oder zweiten re:publica einen Vortrag über das Trollen gehalten habe, war die Dynamik noch eine vollkommen andere: Hobbybesserwisser machten Späße für eine enge Zielgruppe. Die toxische Wirkung für Communities wurde uns später erst bewusst. Wenn Trollen jedoch zum Broterwerb und zum Millionengeschäft wird, an dem sich auch Buchverlage beteiligen, dann versagen die sozialen Mechanismen von damals.

Die Legende von der personalisierten Werbung

Ich habe seit ein paar Wochen einen neuen Fernseher. Mein erster Fernseher mit Internetanschluss. Dabei habe ich etwas Kurioses festgestellt: Wenn ich Videos mit der vorinstallierten YouTube-App ansehe, wimmelt es von Werbung. Rufe ich die Video hingegen mit meinem Handy ab und übertrage sie per Chromecast auf meinen Fernseher sind exakt die gleichen Videos fast werbefrei. Ernsthaft: Es können Wochen vergehen, bis ich einen Werbespot sehe.

Wie kann das sein? Ein Werbeblocker ist nicht involviert. Jeder Part der Kette ist unter der Kontrolle von Google: YouTube, die Apps, Android auf dem Telefon und auf dem Fernseher. Warum bekommme ich also keine Werbung ausgespielt? Nun – die technischen Hintergründe sind mir noch unklar, aber dieses kleine Detail zeigt mir: Die Welt der Onlinewerbung ist weit weniger ausgefeilt, als es immer wieder dargestellt wird.

Personalisierte Werbung ist der ökonomische Pfeiler des heutigen Internets. Und gleichzeitig ist sie ein Mythos: So spricht Apple-Chef Tim Cook zum Beispiel vom „daten-industriellen Komplex“. Mehr als einmal wurde ich etwas in dieser Art gefragt: „Gestern habe ich mich mit Kollegen über Kopfschmerzen unterhalten. Und heute bekomme ich auf Facebook Werbung für Kopfschmerz-Tabletten. Hört Facebook mein Handy ab?“

Auch wenn das theoretisch und sogar praktisch denkbar wäre — die Realität ist doch eine ganz andere. Facebook hört Eure Gespräche nicht ab, weil es schlichtweg keinen Markt dafür gibt. Zumindest heute noch. Überlegt es Euch: Wo immer wir im Internet unterwegs sind, werden wir mit Werbebannern überschüttet. Und wie viel Prozent davon sind wohl tatsächlich auf Euch angepasst? Wenn ihr Euch wirklich jede einzelne Werbung anseht, werdet ihr merken: Erstaunlich wenig. Und die angepasste Werbung wird Euch meist nach den gröbsten Kategorien angezeigt: Kölner bekommen Werbung für Kölner Fußball-Vereine. Frauen bekommen Werbung für die Bikini-Figur. Männer für den Baumarkt. Braucht es dafür tatsächlich einen daten-industriellen Komplex, der uns quer durch das Internet folgt, und dafür Tausende verschiedener Cookies und Skripte einsetzt?

Katzen würden mit Persil waschen

Ein verbreiteter Sinnspruch ist: Wenn ihr nicht für das Produkt zahlt, seid ihr das Produkt. Die wahren Kunden sind also die Werbetreibenden, die versuchen uns ihre Produkte und Dienstleistungen anzudrehen. Denkt mal nach: Wie oft habt ihr beworbene Produkte gekauft? Haben die Werbekunden Euch wirklich voll im Griff? Werbung wirkt. Wie viele würden wohl Persil kaufen, wenn der Name nicht so allbekannt wäre? Aber von der vollkommenenen Gedankenkontrolle sind die Werber weit entfernt.

Die Wahrheit ist: Es gibt zwei verschiedene Werbemärkte. Auf dem einen Werbemarkt wird versucht uns Konsumenten zu überreden Waschmittel, Limonaden und Autos zu kaufen. Dieser Werbemarkt funktioniert leidlich gut. Wenn Du Leuten 15 Mal vorhälst, was sie bei Amazon oder Zalando angesehen und nicht gekauft haben, wird nach einer Weile einer von hundert Kunden doch schwach. Da Onlinewerbung spottbillig ist, rechnet sich das irgendwann.

Der wichtigere Werbemarkt ist jedoch der andere, auf dem den Herstellern der Waschmittel, Limonaden und Autos überredet werden, Werbung zu kaufen. Und man ist versucht zu sagen: Junge, sind diese Leute naiv…! Zum einen fließen Milliarden ihrer Gelder in die Taschen von Betrügern, die keinerlei Absicht haben die Werbung an tatsächliche lebende, atmende Kunden auszuliefern. Zum anderen schlucken die Markenartikler auch die Versprechen der Werbeanbieter, die ihnen die Früchte der Totalüberwachung der Kundschaft versprechen. Immer wieder höre ich Beschwerden von Werbetreibenden, dass die Facebook-Werbung nicht so gut funktionieren soll. Doch wenn man mit Facebook-Werbung angeblich den US-Präsidenten bestimmen kann — wer will da ernsthaft kein Stück von diesem Kuchen?

Aber ihr könnt die Gegenprobe machen. Schaut Euch mal Eure Werbeprofile bei Facebook, Google, Instagram oder Twitter an. Ich habe dies kürzlich bei Twitter getan und war doch sehr erstaunt, was meine Interessen so sein sollen.

Twitter-Werbeprofil

Ich, der Sport-Fan

Twitter erzählt seinen Werbekunden nicht nur, dass ich Formel 1-Fan bin, sondern hat auch ein sehr differenziertes Bild von mir als Fußball-Fan. Viele der Namen, für die ich mich angeblich interessiere, musste ich googeln und es stellte sich heraus: Es sind Profi-Fußballer. Das klitzekleine Problem dabei: Ich bin kein Sportfan. Ich schau mir nicht mal die Schachweltmeisterschaft an. Natürlich kann ich mich durch das Twitter-Profil wühlen und die wildesten Fehleinschätzungen korrigieren — doch wer macht sich schon den Stress? Es ist für beide Seiten einfacher, wenn Twitter mir fußballbasierte Werbung ausspielt, die ich dann ignoriere. Falls Twitter noch einen Werbekunden findet, der Fidget Spinner loswerden will – ich bin Euer Mann. Was in den Profilen nicht steht: „Würde niemals einen VW kaufen“. Denn wozu sollte man den Werbeetat von Volkswagen künstlich beschränken?

Dieses Werbeprofil ist nicht unbedingt mal das Ergebnis böser Absichten. So funktioniert das Geschäft halt. Denn woher glaubt die Werbeindustrie zu wissen, was mich interessiert? Ein Mittel ist die sogenannte „lookalike audience“. Ihr erinnert Euch vielleicht, das Facebook kürzlich einen Skandal hatte, weil sie die Handydaten von Kunden und insbesondere Teenagern über einen Datenfilter leiteten und haarklein auswerteten. Facebook hat dabei kaum ein Interesse an den Teenagern selbst — sie liefern lediglich ein Datengerüst. Leute, die morgens um 5 Uhr auf Snapchat aktiv sind, mögen Frühstückscerealien der Marke X. Wer Signal installiert hat, ist ein Tech-Freak. Wer Verschwörungstheorien teilt, isst zwei Mal mehr Süßigkeiten und hat keinen Fitbit. All diese Beziehungen werden in Datenmodelle gegossen, die dann darüber entscheiden, welche Werbung Dir ausgespielt werden soll. Ob diese Annahmen stimmen, interessiert nicht wirklich — Hauptsache die magischen Kenngrößen, die KPI, stimmen. Irgendwie.

Die große Schubladisierung

Die Realität heute ist: Es gibt personalisierte Werbung — sicherlich. Das große Geschäft ist aber ein anderes: Statt die Werbung auf uns anzupassen, werden wir in die größtmöglichen Schubladen einsortiert, die der Werbeindustrie den meisten Profit versprechen. Mann über 40. Handy-Nutzer in Köln. Der Dude, der neulich 20 Minuten auf eine Turnschuh-Werbung gestarrt hat. Schwangere Frau. Schwangere Frau! Ernsthaft, die Werbeindustrie fällt in einen kollektiven Zuckerrausch, wenn sie meint, dass Du schwanger bist. Sie tragen Dich auf Händen und treten dich mit Füßen. Denn das ist der auslösende Mythos der personalisierten Werbung: Die Leute mit den großen Datenbanken wissen früher von einer Schwangerschaft als die Familie selbst.

Personalisierte Werbung ist Realität, aber personalisierte Werbung ist als Mythos viel größer. Der Mythos entscheidet, wer im Internet Geld verdient. Ob Podcasts ein Beruf sind oder Hobby bleiben. Ob unsere Timelines Katzenbilder ausspucken oder Nachricht. Die Realität ist aber: Dahinter steckt meist nur eine riesige Sammlung von Schubladen.

Das Grundproblem mit Artikel 11, Artikel 13 und dem ganzen Rest

Ich hab jetzt doch mal in die konkreten Vorschriften zu der vorgeschlagenen EU-Urheberrechtsreform geguckt — und es ist schlichtweg ein schlechtes Gesetz. Über die vielen Kompromisse, Missverständnisse und handwerklichen Fehler wurde ja genug geredet — aber ich glaube das eigentliche Problem sind die Grundannahmen. Der Gesetzestext geht davon aus es gebe hier einen Informationsmarkt im Ungleichgewicht. Man muss schlicht einer Seite etwas wegnehmen und schon pendelt sich wieder ein gesundes Gleichgewicht ein.

Die vorgeschlagene Maßnahme ist quasi ein Strafzoll — man verzeihe mir die Metapher. Das Problem: Strafzölle bringen nur Geld ein, wenn etwas importiert wird. Die Urheberrechts-Lobbyisten sagen: Da Google, Facebook und Co von Informationen leben, kommen sie ohne unsere Infos nicht aus. Wir sitzen am längeren Hebel. Wie bei Amazon und New York City stellt sich heraus: Nein.

Das kommt für niemanden überraschend, der die letzten Jahre ein wenig Aufmerksamkeit auf das Thema verwendet hat. Wir können es an so vielen Stellen sehen. Derzeit verlieren hunderte Kollegen in den USA ihre Jobs, weil Facebook ein bisschen müde war, wie viel Arbeit ihnen Nachrichten machen und wie sehr das Image der Firma leidet, weil das Management mit dem Problem ‚Fake News‘ einfach nicht umgehen kann. Zuckerberg versucht nicht mal den Journalismus abzustrafen und tut es trotzdem. Was passiert wohl, wenn man eine Steuer draufschlägt?

Nächste Woche wird die deutsche Werbewirtschaft ihre Zahlen publizieren — und ich wette die Suchmaschinen-Einahmen von Google sind wieder gestiegen. Und zwar nicht, weil sie so perfekt die besten journalistischen Produkte integriert haben, sondern weil Leute nach Bluetooth-Kopfhörern googeln und Kopfhörer-Hersteller die Gelegenheit ergreifen, dort zu annoncieren.

Wisst ihr, wer der aktuelle Star der Werbeszene ist? Amazon. Weil: Wo kann man besser seine Ware anpreisen als in einem Katalog von quasi jedem lieferbaren Produkt? Hier in Deutschland macht Otto das gleiche. Wir sind vermutlich nur wenige Jahre davon entfernt, dass ALDI Werbeschaltungen in seinem ALDI-Prospekt einführt. Es wird ziemlich schwer zu begründen sein, dass Amazon, dass ALDI Urhebern ein Stück des Geldes abgeben soll, weil die kreativ Schaffenden Musikvideos produzieren und die Äußerungen der Kanzlerin analysieren.

(BTW: Plattformen wie Amazon sind in der EU-Urheberrechtsreform ausdrücklich von der Haftung ausgeschlossen worden. Obwohl es auf diesen Marktplätzen sehr wohl substantielle Urheberrechtsprobleme gibt: Produktbeschreibungen und Produktfotos werden haufenweise geklaut.)

Wenn man über den „value gap“ reden will, muss man über den „value gap“ reden. Wie finanzieren wir die Infrastruktur, die wir für eine informierte Öffentlichkeit brauchen? Muss die durch und durch datengetriebene Werbefinanzierung zurückgedrängt werden? Wie stellen wir dann sicher, dass nicht nur die Großverdiener wichtige Informationen erhalten? Nur an den Symptomen herumzudoktern, wie es diese Reform versucht, wird uns dabei nicht helfen.

Kommt alle mal wieder runter!

Robert Habeck hat seinen Twitter- und seinen Facebook-Account gelöscht. Ich halte den Schritt mittelfristig für einen Fehler und keine wirklich durchdachte politische Botschaft, aber ich verstehe sie menschlich.

Was ich nicht verstehe, ist der riesige Bohei, der nun darum veranstaltet wird und der sogar in meine Timelines rüberschwappt. Es gibt Leute, die ihm zustimmen und Leute, die in der Löschung mehr als ein persönliches Statement sehe. Und das ist Okay so. Was ich befremdlich finde, ist die Sprache.

Zum Beispiel bei denen, die sich auf Habecks Seite schlagen:

https://twitter.com/Schroeder_Live/status/1082311198794747905

Zum Beispiel bei denen, die sich nicht auf Habecks Seite schlagen:

https://www.facebook.com/micky.beisenherz/posts/10157331324466535

Habeck wurde gelyncht? Really? Weil er einen Trip ins Alttestamentarische unternahm??? Wovon redet ihr da eigentlich?

KOMMT MAL ALLE WIEDER RUNTER. Man kann auch über Dinge diskutieren, ohne in die absurdesten Metaphern oder Superlative zu verfallen.

Framing-Vorwürfe als Framing

Es ist wie bei so vielen Befähigungen: Ein bisschen Medienkompetenz ist manchmal schlimmer als gar keine. Gestern fiel mir zum Beispiel dieser Tweet auf, der eifrigst verbreitet wurde:

Quelle: https://twitter.com/mikofLohr/status/1071867429205229570

Die Botschaft des Tweets ist klar: Die Medien benutzen jeden Trick, um die legitimen Proteste in Frankreich als gewalttätig erscheinen zu lassen. Ein klassisches Beispiel von Framing: Jemand wählt einen Bildausschnitt so, dass ein gezielt falscher Eindruck erzeugt wird. So scheint es zumindest.

Doch auch nur eine flüchtige Betrachtung des Ganzen sollte zeigen: Beide Bilder zeigen unterschiedliche Szenen. Die Objektive der Fotografen beim Winzfeuer zeigen nach unten – jemand müsste sich schon unmittelbar vor das Feuerchen legen, um Triumphbogen und Flammen gleichzeitig auf das Bild zu bekommen. Aber selbst dann bekäme man kein annähernd scharfes Bild hin.

Das wichtigere Problem ist aber: Niemand in Paris musste in den letzten Tagen solche Tricks verwenden. Es wimmelt von Fotos, auf denen man brennende Autos sieht — und das sind keine Spielzeugautos, die mit Tele-Objektiven fotografiert wurden. Die Rauchschwaden, das Polizeiaufgebot und das Tränengas über den Champs-Élysées bestimmen die Bildberichterstattung. Und zumindest ein Teil der Demonstranten inszeniert dies absichtlich so – denn nur über drastische Bilder kann man Politiker vermeintlich zum Einlenken bewegen.

Zweites Beispiel: Die Facebook-Präsenz Perlen des Lokaljournalismus zeigt diese Ausschnitte einer ungenannten Zeitung:

Quelle: https://www.facebook.com/perlendeslokaljournalismus/photos/a.260690807442526/1099530543558544/

Ganz klar: Zwei Mal die gleiche Person, jedoch unterschiedliche Namen und Altersangaben. Der hervorgehobene Kommentar (124 Likes!) darunter weiß zwei Erklärungen zu identifizieren – beide wenig schmeichelhaft:

Ist halt die Frage, ob es sich um ein Stockfoto handelt oder der Mann jedem Reporter eine andere Story auftischt :)

Wer jedoch mit der realen Arbeit in Content-Management-Systemen vertraut ist, sollte auf eine andere Erklärung kommen. Jemand hat die „Leute heute“-Rubrik aus einer vergangenen Ausgabe kopiert, um das Format richtig hinzubekommen. Dabei vergaß diese Person jedoch das zugehörige Bild auszuwechseln. Also: Keine Manipulation, lediglich verständliche Schlampigkeit – insbesondere wenn man berücksichtigt, wie wenige Leute heute die Arbeit einer kompletten Lokalredaktion erledigen müssen.

Natürlich sind beide Beispiele keine Skandale, eher Petitessen, über die man einfach hinwegsehen kann. Mich stört jedoch wie Manipulationen als allfälliges Erklärmodell für kleinste wahrgenommene Inkonsistenzen präsentiert werden. Das Quäntchen Medienkompetenz, das in den letzten Jahren erfolgreich vermittelt wurde, dient nicht nur zur Aufklärung der Konsumenten, sondern gleichzeitig auch als willkommene Einladung zur Denkverweigerung. Irgendwer lügt eh.

PS: Die Nachrichtenagentur AFP hat sich dem Tweet gewidmet, der inzwischen auf einem anderen Account 32000 Retweets und eine Reihe irreführender Artikel angesammelt hatte. Ihr Ergebnis: Die Fotos stammen nicht mal vom selben Tag. Das gleiche Ergebnis bei T-Online.

Datenschutz-Basishygiene

Ein neuer Facebook-Hack macht die Runde. Der Clou dabei: Da die unbekannten Angreifer Zugriffs-Tokens erbeutet haben, könnten sie sich prinzipiell bei allen Diensten einloggen, bei denen sich ein Nutzer per Facebook-Login angemeldet hat. Das reicht von Facebook-eigenen Diensten wie Instagram bis zu der Website der Lokalzeitung. Online-Shops, Dating-Apps, Messenger.

In meinem Fall sind das Null Dienste — zumindest wenn ich nicht grob irregeführt wurde. Denn ich habe mir vor vielen Jahren eine Standard-Routine angewöhnt. Wann immer ich einen neuen Dienst ausprobieren will, ignoriere ich die bequemen Buttons „Log in with Facebook“, „Log in with Google“, „Log in with Twitter“.

So viele E-Mail-Adressen

Stattdessen nutze ich das Einloggen per E-Mail-Adresse. Eigentlich jeder Dienst bietet die Option an — manchmal muss man etwas weiterscrollen, um den alternativen Login-Modus zu finden. Meist reicht es aus, eine E-Mail-Adresse und ein Passwort einzugeben — und man ist drin. Oft muss man seinen Account per Linkklick noch bestätigen, aber so viel Arbeit ist das nun auch nicht.

Meine Basis-Hygiene geht jedoch ein wenig weiter. Ich habe ein Webhosting-Paket, das mir erlaubt quasi unbegrenzt E-Mail-Adressen anzulegen. Wann immer ich einen neuen Dienst brauche, kann ich mir in einer bis zwei Minuten eine neue E-Mail-Adresse anlegen, die dann automatisch zu einer meiner anderen Adressen umgeleitet wird. Ich brauche dazu nicht mal ein neues Passwort.

Warum mache ich das? Nun — eine der beliebtesten Angriffsvarianten ist: Man sucht sich eine bereits gehackte Kundendatenbank und versucht dann mit den Zugangsdaten Zugriff auf andere Dienste zu nehmen. Menschen sind faul und sie können sich nicht unbegrenzt Passworte merken. Zudem ist es eine simple Anti-Phishing-Massnahme. Wenn ich die Nachricht bekomme, dass ich doch dringend mein Passwort für Dienst XYZ ändern soll, dann weiß ich direkt, dass die Nachricht an die falsche Adresse ging.

No Match

Zum Zweiten: Neben dem Geburtsdatum dient die E-Mail-Adresse als Match-Kriterium, um Daten zwischen unterschiedlichen Diensten auszutauschen. Wenn ich zum Beispiel etwas bei einem Versandhändler bestelle, kann er meine Adresse nehmen, um mir auf mich personalisierte Werbung bei Facebook auszuspielen.

Gleichzeitig kann aber auch ein Angreifer diese Daten nutzen. Stellt euch vor, dass alle Dienste, die ihr in den vergangen 15 Jahren genutzt habt und die gehackt wurden, Eure Daten in eine kollektive Datenbank zusammengeworfen haben, die unentwegt von 17jährigen durchforstet wird. Ziemlich beunruhigend, nicht?

Wozu denn anders?

Ich bin nicht paranoid. Glaube ich. Ich schreibe seit über 15 Jahren zu IT-Themen und mache mir nicht allzu viele Illusionen darüber, wie sicher meine Daten sind. Die oben beschriebene Routine habe ich mir nicht angewöhnt, weil ich Facebook und Google für die absolut bösesten Konzerne aller Zeiten halte. Sondern weil ich schlicht keinen Sinn daran sah, meine Login-Daten zu kombinieren.

Wenn ich mir ansehe, welche Dinge mir Google empfiehlt, trotz extensiver Daten aus meinem Google-Account – no, thanks. Netflix wird auch nicht besser, wenn man es mit Facebook kombiniert. Weniger Personalisierung ist zuweilen doch mehr. Und will ich wirklich jedem dauernd mitteilen, welche Musik ich höre?

Die oben beschriebenen Maßnahmen sind auch keine Anti-Hack-Garantie. Mit genug Hirnschmalz kann man wahrscheinlich ein enormes Datenprofil über mich zusammenführen. Aber wer macht sich schon die Arbeit?

Der Preis auf meiner Seite ist gering, aber er existiert. Zum einen ist es ein wenig lästig. Statt den neusten Bilder-/Musik-/Messenger-Service direkt auszuprobieren, sitze ich viele Trends einfach aus. Facebook hat mein Geburtsdatum nicht, also gratulieren mir jedes Jahr sehr wenige Leute zum Geburtstag. Ich bin nicht auf Tinder. Ich kann damit leben.

You are not the product

Solche Sätze werden wir in den nächsten Tagen öfter hören.

Though Facebook has made a few changes to make privacy control better, that basic calculus has not changed, and the old adage still applies: If you’re not paying for something, you are the product.

Wenn Du für einen Dienst nicht zahlst, dann bist Du das Produkt! Das ist ein schöner Sinnspruch, der Menschen zu gesundem Misstrauen auffordert. Und dennoch ist er falsch. Und zwar in Sachen Facebook/Cambridge Analytica ganz entscheidend falsch, da er den Blick dafür verstellt, was hier passiert ist.

Wären die Nutzer das Produkt, wäre Facebook niemals so nachlässig mit den Daten umgegangen. Wäre der Nutzer das Produkt, wäre das Geschäft eigentlich abgeschlossen, sobald ihr einmal die Facebook-App auf Eurem Smartphone installiert habt, wo Euer Adressbuch liegt.

Doch das eigentliche Produkt seid nicht ihr selbst, es ist Eure Aufmerksamkeit. Facebook konnte so nachlässig mit seinen Daten sein, da die Werbetreibenden mutmaßlich keinen Ausspielkanal hatten, mit dem sie die erhobenen Daten verwerten konnten — außer eben Werbung auf Facebook zu schalten, zielgenaue Inhalte auf Facebook zu posten. Kalkuliert war eine Win-Win-Situation. Irgendwelche App-Betreiber bekommen Zugang zu Daten, mit denen sie mehr Aufmerksamkeit generieren können, die sie irgendwie in Geld umwandeln. (Oder auch nicht. Zynga lässt grüßen.)

Wer jedoch mehr Aufmerksamkeit und mehr Geld haben will, muss immer zu Facebook zurückkommen, muss die Leute zu mehr Klicks animieren und damit auch wieder die gewonnenen Daten zurück zu Facebook überführen. Was Facebook nutzen wollte, um mehr Werbeplätze zu verkaufen.

Mittwoch ist mein Hobby

In den Facebook-Werbeeinstellungen kann jeder Nutzer zumindest einen Teil der Kriterien nachschlagen, mit denen die Werbung personalisiert wird. Meine Hobbies sind demnach unter anderem Mittwoch, Metalle und der Universal Serial Bus.

Welche Eure Hobbys laut Facebook sind, könnt ihr hier nachschlagen. Die Google-Variante gibt es hier.

Unbezahlte Spammer

Eine gern verbreitete Geschichte ist: Promi/Firma/Partei X hat Tausende Fake-Follower auf Facebook/Twitter/Instagram. Also hat er/sie wohl dafür bezahlt.

Ich hatte zu meinen Bildblog-Zeiten mal den Hinweis bekommen, dass verdächtig viele Fake-Profile die Hamburger Regional-Ausgabe der „Bild“ liketen. Als ich mir die Profile jedoch ansah, stellte ich fest, dass sie auch viele andere Hamburg-Seiten mit Likes beglückten – auch solche, bei denen man sich eine Kauf-Aktion nicht vorstellen kann. Es stellt sich heraus: Fake-Accounts liken auch Seiten, die sie nicht bezahlen. So versuchen sie reale Aktivität vorzutäuschen. Accounts, die ausschließlich Fake-Viagra-Seiten toll finden, wären auch allzu einfach auszusortieren.

Dies hat zum Beispiel Facebook grade wieder bei einer großen Lösch-Aktion festgestellt.

The accounts had been created not en masse, but through “more sophisticated means” in an attempt to disguise the link between them. Proxies were used to disguise their true location. “The apparent intent of the campaign was to deceptively gain new friend connections by liking and interacting primarily with popular publisher pages on our platform, after which point they would send spam.”

Wenn ihr also wieder die Geschichte seht, in der die schiere Existenz von Spamaccounts als Beweis für bezahlte Manipulationen verkauft wird, schenkt ihr nicht allzu viel Glauben.

Über Backdoors

Grade ist ein erbitterter Streit zur Frage ausgebrochen: Gibt es in WhatsApp eine Sicherheitslücke, die es dem Facebook-Tochterunternehmen ermöglicht, Nachrichten mitzulesen?

Ausgelöst hat den Streit ein Artikel des Guardian, der in einem Artikel sehr alarmistisch auf diese vermeintliche „Backdoor“ aufmerksam macht.

Jeder Leser wird bei dieser Überschrift denken, es gehe um einen der Vorfälle, wie wir sie in der jüngsten Vergangenheit immer wieder gesehen haben: Geheimdienste und/oder Verbrecher haben eine Sicherheitslücke entdeckt und können massenhaft auf Botschaften zugreifen. WhatsApp hatte da bekanntermaßen eine unrühmliche Vergangenheit.

Doch im Artikel selbst sind die Vorwürfe deutlich schwächer.

However, WhatsApp has the ability to force the generation of new encryption keys for offline users, unbeknown to the sender and recipient of the messages, and to make the sender re-encrypt messages with new keys and send them again for any messages that have not been marked as delivered. The recipient is not made aware of this change in encryption, while the sender is only notified if they have opted-in to encryption warnings in settings, and only after the messages have been re-sent. This re-encryption and rebroadcasting effectively allows WhatsApp to intercept and read users’ messages.

Versandte Nachrichten nicht betroffen

Sprich: Es geht erstens um eine theoretische Lücke, die nach bisherigen Informationen nicht in der Praxis ausgenutzt wurde. Es geht zweitens nur um das Abfangen nicht-versandter Nachrichten — sind die Nachrichten einmal beim Empfänger eingetroffen, würde WhatsApp auch weiterhin in die Röhre schauen. Und drittens: Der skizzierte Angriff verläuft nicht unbemerkt.

Die vermeintliche Lücke ist auch alles andere als neu. Es handelt sich um ein Verhalten der App, das seit Beginn der End-zu-End-Verschlüsselung bei WhatsApp besteht und seit damals auch öffentlich dokumentiert ist. Ich hatte mich im vergangenen Jahr für die Website mobilsicher.de mit der WhatsApp-Verschlüsselung auseinandergesetzt und wusste daher von dem vermeintlichen Problem. Ich wäre jedoch nie auf die Idee gekommen, dies eine „Backdoor“ zu nennen.

Es gibt nämlich zwei ungleich größere Probleme mit dem Sicherheitsversprechen von WhatsApp. Das erste und wichtigste: Die Software ist closed-source und daher nicht unabhängig überprüfbar. Das zweite: Bei der Ende-zu-Ende-Verschlüsselung hat WhatsApp eine wichtige Warnmeldung in der Voreinstellung deaktiviert. Wenn ein Nutzer seinen privaten Schlüssel ändert, wird der Nutzer nur informiert, wenn er diese Warnmeldung einschaltet.

Verschlüsselung ist unbequem, closed source ist unsicher

Um etwas Kontext zur Bewertung der vermeintlichen Lücke zu geben, muss man sich in Erinnerung rufen, was Ende-zu-Ende-Verschlüsselung überhaupt bedeutet: Beide Seiten der Kommunikation haben private und öffentliche Schlüssel. Die privaten Schlüssel werden auf dem Smartphone erzeugt und bleiben auch dort. Die öffentlichen Schlüssel werden von WhatsApp an die Kommunikationspartner verteilt. Diese Konstruktion ist an sich ziemlich sicher, hat aber auch viele praktische Nachteile. So kann man sich nicht einfach mit einem neuen Handy einloggen und auf alle seine bisherigen Nachrichten zugreifen — dazu muss man schon das alte Nachrichtenarchiv auf dem alten Gerät exportieren und auf dem neuen Gerät importieren. Man kann auch nicht mal eben den gleichen Messenger auf Tablet und Smartphone gleichzeitig benutzen. Um WhatsApp auf dem Desktop zu nutzen, wird der Browser mit dem Handy verbunden, das die Ver- und Entschlüsselung der Nachrichten übernimmt.

Die WhatsApp-Entwickler musste sich auch einem speziellen Problem widmen: Was passiert, wenn ein Kommunikationspartner sein Handy verliert oder es plötzlich defekt ist? Typischerweise dauert die Beschaffung eines Ersatzgeräts einige Zeit. Es gibt nun zwei Alternativen: Entweder werden alle Nachrichten, die an das alte Gerät geschickt werden, für immer unlesbar gemacht. Die zweite Alternative: WhatsApp speichert Nachrichten auf dem Handy des Senders, bis sie tatsächlich vom Empfänger auf seinem neuen Gerät empfangen werden können. Signal entschied sich für die erste Variante, das mehr auf Usability getrimmte WhatsApp jedoch für die zweite Alternative.

Dutzende Angriffs-Möglichkeiten

Nun könnte WhatsApp tatsächlich auf die Idee kommen, den Key eines Gesprächspartners heimlich auszutauschen und so die unversandte Nachrichten an ihn abzufangen. Für jede Nachricht müsste WhatsApp einen neuen Schlüssel ausstellen und damit rechnen, dass dies auf dem Smartphone des Senders angezeigt wird. Wahrscheinlich würde die Kommunikation nach kurzer Zeit zusammenbrechen, da die Kommunikation bei WhatsApp durch eine ganze Reihe Keys abgesichert ist und das resultierende Chaos durch ständigen Austausch das Protokoll überfordern würde. Wenn sich WhatsApp zu einem solchen Schritt entschlösse, wäre diese Methode unnötig kompliziert und bemerkenswert ineffektiv. WhatsApp verwaltet schließlich das Adressbuch seiner Nutzer. So könnte das Gespräch auf einen alten Blackberry umgeleitet werden, dessen WhatsApp-Client noch keine Ende-zu-Ende-Verschlüsselung unterstützt. Natürlich würde auch hier der Alarm ausgelöst, aber das würde die vom Guardian beschriebene Attacke ja auch.

WhatsApp könnte in seine Clients auch eine echte Backdoor einbauen — es ist schließlich Closed Source. Die Facebook-Tochter könnte überhaupt das ganze Adressbuch eines Nutzers durch NSA-Kontakte ersetzen, worauf sich die NSA-Agenten als die echten Gesprächspartner ausgeben. Für staatliche Angreifer gar bieten sich noch mehr Optionen. Von der simplen Malware, die Screenshots von jeder Kommunikation macht, bis zur gefälschten SIM-Karte, die dem Attackierten seine Telefonnummer entzieht.

Kurzum: Man mag das Verhalten von WhatsApp eine „Sicherheitslücke“ nennen, wenn man möchte. Es ist aber die geringste Stufe von Sicherheitslücke, die man sich in der Praxis vorstellen kann. Eine Backdoor ist es nicht.