Werbung versus Sicherheit

Probleme bei der Umstellung von Websites auf HTTPS

Wissen | Know-how

Immer mehr Websites verschlüsseln die Datenverbindung zum Browser und schützen damit die Privatsphäre ihrer Besucher. Doch bei Nachrichtenportalen ist diese Entwicklung noch nicht angekommen. Das wirft ein Schlaglicht auf technische und wirtschaftliche Zusammenhänge im Web.

Der Ruf wird lauter: Seit einigen Jahren fordern Bürgerrechtsorganisationen wie die Electronic Frontier Foundation (EFF), den kompletten Datenverkehr im Web zu verschlüsseln. Die Snowden-Enthüllungen gaben diesem Anliegen kräftig Auftrieb. Unter letsencyrpt.org wollen EFF und Mozilla demnächst kostenlos Zertifikate verteilen, um Hürden für HTTPS abzubauen.

Viele Website-Betreiber haben reagiert. Wer heute Google, Facebook, Yahoo oder Twitter aufruft, bekommt automatisch eine verschlüsselte Version der Seiten geliefert. Selbst für die Wikipedia existiert eine HTTPS-Variante. Andererseits haben viele große Websites noch keine Verschlüsselung implementiert, darunter viele der großen Nachrichtenportale.

Deren Betreiber würden diesen Service gerne anbieten, der mit überschaubaren Mehrkosten verbunden ist. Schon weil Google verschlüsselte Websites durch besseres Ranking in der Suchmaschine belohnt. Doch sie würden damit ihr Geschäftsmodell gefährden: Denn Online-Werbung und HTTPS vertragen sich derzeit nicht gut.

Geheime Nachrichten

Für Nutzer solcher Sites ist das unbefriedigend. Googles HTTP-Alternative SPDY verschlüsselt zwar generell und beim kommenden Standard HTTP/2 ist das zumindest der Default. Aber nur bei HTTPS kann der Nutzer erkennen, ob seine Daten verschlüsselt übertragen werden.

Für öffentlich zugängliche Inhalte ist Verschlüsselung nicht so wichtig wie für Login-geschützte Bereiche des Web. Dennoch gibt es gute Gründe dafür: HTTPS schützt auch bei einem normalen Seitenaufruf die Privatsphäre des Nutzers. Zwar lässt sich nicht verbergen, welche Domains er oder sie aufruft, wohl aber, welche Seite.

Auch Suchbegriffe bleiben vor unbefugten Überwachern versteckt – sie erfahren nicht, ob sich der Ausgespähte für Gerüchte vom Fußball-Transfermarkt interessiert, einen Kommentar über die Bundeskanzlerin postet oder zum CIA-Folterskandal recherchiert. Außerdem können in der HTTP-Kommunikation andere sensible Daten stecken, zum Beispiel Cookies von Werbenetzwerken, die einen Nutzer identifizierbar machen und Aufschluss über seine Surf-Gewohnheiten geben. Zu guter Letzt lassen sich mit HTTPS auch Manipulationen der Inhalte während der Übertragung ausschließen.

Alarm

Allerdings gilt beim Verschlüsseln alles oder nichts. Öffnet man per HTTPS eine Seite, die unverschlüsselte Elemente enthält, schlägt der Browser Alarm. Diesen Effekt veranschaulicht die Seite von Ben Kennisch (siehe c’t-Link). Alle gängigen Browser weigern sich in der Standardeinstellung, die eingebundenen HTTP-Inhalte herunterzuladen. Beim Internet Explorer etwa poppt am unteren Fensterrand ein Dialog auf: Der Button „Gesamten Inhalt anzeigen“ baut die Seite komplett neu auf, der Link „Welches Risiko besteht“ führt zu einer wenig hilfreichen Hilfeseite.

Auch die Konkurrenz weist auf das Problem hin: Bei Firefox ist es ein Schild-Icon links neben der Adresszeile, Chrome platziert es rechts, Opera zeigt dort eine Schaltfläche „Blockierter Inhalt“, jeweils ergänzt durch einen Verweis auf eine Hilfeseite. Lässt man die ungeschützten Inhalte zu, sieht die Seite im günstigsten Fall aus, als wäre sie nur mit HTTP übermittelt worden; Firefox und Chrome visualisieren das gemischte Sicherheits-Level in der Adresszeile, was wie ein Fehlerhinweis aussieht.

Schafft es der Webmaster also nicht, auch noch die letzte Mini-Grafik verschlüsselt ausliefern zu lassen, erhält der Nutzer eine Warnung, die für den Laien schlimmer aussieht als eine komplett ungeschützte Übertragung. Daher ist klar: Wer seine Inhalte per HTTPS ausliefern will, muss alles umstellen.

Marktrundgang

Egal ob man die großen deutschen oder internationalen Nachrichten-Websites anschaut: Nirgendwo fanden wir eine komplette HTTPS-Alternative. Ruft man eines der Portale mit https:// statt http:// auf, bricht entweder das Laden nach einer Weile mit einer Fehlermeldung ab oder die Sites leiten stillschweigend auf die unverschlüsselte Variante weiter – oder aber sie antworten mit einem Zertifikatsfehler. Letzteres passiert, wenn die Website ihre Inhalte über ein Content Delivery Network wie Akamai zustellt, ohne deren HTTPS-Angebot zu nutzen. Wenige Sites wie Der Westen, Computerbild und news.yahoo.com lassen sich mit HTTPS öffnen, wollen aber unverschlüsselte Elemente nachladen.

Gegenbeispiele sind rar: Medium.com, The Intercept, Krautreporter – allesamt Seiten, die die Regeln der Nachrichtenbranche ändern wollen und sich nicht durch Werbung finanzieren. Doch vollständige oder teilweise Unabhängigkeit von Werbung allein genügt auch nicht: ARD, ZDF und BBC lassen sich auch nur per http:// aufrufen.

Anläufe zu einer HTTPS-Umstellung haben bisher noch nicht gefruchtet. Die New York Times experimentierte vergangenes Jahr mit einer verschlüsselten Version ihrer Website, die jedoch wieder vom Netz ging. Auch der Heise Zeitschriften Verlag hat seinen Plan, eine HTTPS-Variante von heise.de anzubieten, vorerst aufgeschoben.

Die deutschen Marktführer Bild und Spiegel online mochten sich nicht zu Plänen für eine HTTPS-Version äußern. Für Zeit online erklärt Technikleiter Marco Kaiser unter Verweis auf extern eingebundene Inhalte: „Eine vollständige Verschlüsselung aller Verbindungen ist zurzeit noch nicht möglich.“ Selbst der Guardian, der an der Speerspitze der NSA-Enthüllungen steht, kann seine Website nicht verschlüsselt ausliefern – zumindest noch nicht, denn laut Wolfgang Blau, der dort die Digitalstrategie verantwortet, mache man sich über dieses Thema „regelmäßig“ Gedanken.

Stichprobe

Aus 17 verschiedenen Domains sucht sich laut httparchive.org eine durchschnittliche Website ihre Inhalte zusammen – klar, dass das die HTTPS-Umstellung schwierig macht. Diese Zahl mag unglaublich hoch klingen. Doch unsere Stichproben bei sechs populären deutschsprachigen Nachrichten-Sites belegten, dass die Nachrichtenportale allesamt noch über diesem Durchschnittswert liegen. So blieb Spiegel online mit zirka 20 Domains (der genaue Wert ändert sich mit jedem Aufruf) noch am bescheidensten. Heise online kam auf ungefähr 30; Buzzfeed und Zeit online luden von 35 Domains nach. Und das ist noch gar nichts gegen die deutsche Huffington Post oder Marktführer Bild online: Dort funken Besucher ihre IP-Adresse und eventuelle Cookies an stolze 60 Domains.

Bild online setzte übrigens auch eine einsame Bestmarke bei der Zahl der HTTP(S)-Aufrufe: Während der Browser bei der Konkurrenz zwischen 125 und 200 Anfragen verschickt, waren es dort bei einer Stichprobe unglaubliche 673 Requests. Alleine die Liste der URLs ist mehr als dreimal so lang wie der Text dieses Artikels. Per HTTPS gehen zwischen 2 und 25 Prozent aller Ressourcen durch die Leitung.

Zustande kommen solche Werte durch extern gehostete Skripte, Bilder und Videos, Social-Media-Buttons, Inhalte von Content Delivery Networks und anderen Domains, die der Anbieter selbst kontrolliert – so wie beispielsweise www.google.de auch www.google.com und apis.google.com aufruft, greifen die Newsportale im Schnitt etwa auf ein halbes Dutzend eigene Domains zu.

Weiterleiter

Hauptverursacher des Domain-Chaos ist die Online-Werbung. Sie setzt massiv auf Weiterleitung und Skripte, die wiederum andere externe Inhalte aufrufen, bis zuletzt eine Banner-Grafik oder ein Zählpixel in der Seite erscheint.

Werbung ist jedoch derzeit das einzige erprobte Erlösmodell, über das Verlage ihre Online-Auftritte finanzieren können. Professioneller Online-Journalismus kommt daher nicht ohne Banner, Cookies, Tracking-GIFs und Overlays aus. Es geht also nicht darum, Werber und Verlage an den Pranger zu stellen, sondern Ansätze für Verbesserung zu finden – und dazu braucht es zuerst einmal ein Grundverständnis dafür, wie die Branche funktioniert.

Online-Werbung ist ein kompliziertes Geschäft, bei dem mehrere Parteien mitspielen und viel über Automatisierung und in Echtzeit läuft. Technische Tricks wie mehrfache Weiterleitungen und skriptgesteuerte Einbettungen tragen ebenso zur Vernebelung bei wie die Buzzword-gesättigte Geheimsprache, in der die Dienstleister ihre Angebote umschreiben.

Wer auf einer reichweitenstarken Website ein Banner platzieren will, ruft in der Regel nicht die Marketing-Abteilung an, um per E-Mail eine Bilddatei zu schicken. Außer bei Sonderkampagnen in individuellem Format kommen die Anzeigenbuchungen über Handelsplätze und Agenturen zustande. Und das sind längst nicht alle Mitspieler: Werbenetzwerke, Auslieferungssysteme, Tools für Analyse und Prüfung, Targeting-Experten und Datensammler mischen munter mit. Am Ende einer Kette von Weiterleitungen spielt schließlich von irgendwo ein Adserver das Banner auf die Seite ein, während diverse Zählpixel und Tracker den Beteiligten ermöglichen, den Überblick zu behalten.

Werbe-Automatik

Der wichtigste Trend der Online-Werbebranche ist Programmatic Advertising, bei dem Algorithmen gemäß den Vorgaben von Publishern und Werbetreibenden die Platzierung der Anzeigen aushandeln. Da das meist in Echtzeit passiert, spricht man auch von Real-Time Advertising (RTA). Dominierende Verkaufsform von RTA sind Auktionen – besser bekannt als Real-Time Bidding (RTB).

Beim Aufruf einer Seite startet für jeden per RTB vermarkteten Werbeplatz in Echtzeit eine Auktion. Deren Ausgang beeinflussen die über den Benutzer zur Verfügung stehenden Informationen, beispielsweise sein Aufenthaltsort und die per Cookies erfasste Surf-History. Innerhalb einer Zehntelsekunde ist üblicherweise alles vorbei und der Höchstbietende darf seine Anzeige einblenden.

Dabei bleiben nicht nur die Werbetreibenden anonym, sondern oft auch die Vermarkter, die ähnlich wie bei Google AdSense den Werbeplatz nur durch Schlagwörter und Kenngrößen beschreiben. Der Handel findet auf Demand-side- und Supply-side-Plattformen statt; bei ersteren bieten die Werbetreibenden auf Plätzen, bei letzteren stellen die Vermarkter ihre Werbeplätze ein und legen Mindestpreise dafür fest.

Es ist ein merkwürdig promiskes System: Bis der Nutzer die Seite aufruft, weiß niemand, welcher Werbetreibende bei welchem Publisher welche Anzeige zu welchem Preis platzieren wird. Wahrscheinlich wird bald der größte Teil aller Anzeigen weltweit über solche Systeme verkauft werden. Angesichts ihrer Komplexität überrascht es nicht, dass das Öffnen einer einzelnen Webseite oft weit mehr als hundert HTTP-Requests auslöst, die sich auf 30, 40 oder noch mehr Domains verteilen.

Doppelklick

Größter Online-Werber ist Google, das auch in Sachen Werbetechnik die Trends setzt. Finanziell steht Google auf drei Hauptsäulen: AdWords – das sind die Anzeigen in der Suchmaschine – Google AdSense und DoubleClick Ad Exchange (AdX), die beide Werbeplätze auf fremden Websites vermarkten.

AdSense bietet vor allem kleinen Website-Betreibern die Möglichkeit zur Monetarisierung, ursprünglich mit Textanzeigen, längst aber auch mit Bannern, Videos und interaktiven Werbeformen. Die Buchung und Platzierung geschieht weitgehend automatisch, indem der Seitenbetreiber Werbeplätze, Mindestgebote und Schlagwörter zur Beschreibung des Werbeumfelds ausweist.

DoubleClick ist dagegen bei den großen Kunden zu Hause, die deutlich mehr Zeit und Expertise in die Feinjustierung und Ertragsmaximierung der Angebote stecken können. Mit DoubleClick for Advertisers (DFA) planen Werbetreibende ihre Kampagnen und liefern die Banner aus. Vermarkter bieten Werbeplätze mit DoubleClick AdX feil; mit DoubleClick for Publishers (DFP) können sie auch AdSense, AdX und andere Werbenetzwerke parallel nutzen sowie direkt gebuchte Werbung verwalten.

Geheimwerbung

Sowohl mit DoubleClick als auch mit AdSense kann Google Werbung verschlüsselt ausliefern. Unter dem Schlagwort 3PAS hat Google eine Reihe von Drittanbietern zur Werbung auf den eigenen Angeboten zertifiziert. Diese Partner drängt Google seit zwei Jahren zur Umstellung auf HTTPS, was viele von ihnen auch getan haben.

Bei AdSense bietet Google seit Herbst 2013 Verschlüsselung an. Doch die Hilfeseite dazu erklärt ehrlicherweise: „Wenn Sie sich entscheiden, Ihre HTTP-Website in HTTPS umzuwandeln, denken Sie bitte daran, dass wir nicht-SSL-kompatible Anzeigen aus der Auktion entfernen und dadurch den Auktionsdruck reduzieren, sodass Werbung auf Ihren HTTPS-Seiten womöglich weniger einbringt als solche auf HTTP-Seiten“. Wie einige AdSense-Kunden erfahren mussten, ist das in der Tat zu erwarten. So vermeldete die Website schooldigger.com Einbußen von 37 Prozent – und war damit offenbar noch gut bedient, denn anderswo gingen mehr als die Hälfte der Werbeeinnahmen verloren. Natürlich enden HTTPS-Experimente unter solchen Umständen schnell.

Übrigens hat ja auch Google selbst mitunter Probleme mit HTTPS: So können Online-Shops die bei US-Händlern beliebte „Google Trusted Stores“-Plakette nur in Shop-Seiten einbinden, die nicht verschlüsselt sind – und der Google-News-Indexer ignoriert HTTPS-Seiten, weil es in ihnen keine nachrichtlichen Inhalte vermutet, sondern Bestell- oder Login-Seiten.

Aufgefischt

Unsere Stichproben bei sechs großen deutschen Nachrichten-Sites fanden Werbung von 31 verschiedenen Netzwerken und Dienstleistern sowie 14 Tracker und Monitoring-Anbieter; die Grenzen zwischen beiden sind freilich fließend. Außerdem förderten wir Social-Web-Plug-ins und Content-Delivery-Networks zutage. Vereinzelt zeichneten wir Anzeigen auf, die der Werbetreibende selbst hostete, etwa telekom.de oder westlotto.de.

Vier Tracker und sieben Werber lieferten mindestens einen Teil der Antworten verschlüsselt aus. Bei den Übrigen testeten wir, ob sie dazu in der Lage wären, indem wir Anfragen an den Server mit https://-Vorspann losschickten – zuerst mit einer der aufgezeichneten URLs, dann, falls das nicht klappte, die Domain-Startseite.

Erfreulicherweise konnten alle Tracking- und die große Mehrheit der Werbeserver verschlüsselt kommunizieren. Nur bei wenigen (mediavoice.com, brightcove.com und visualrevenue.com) gelang uns das nicht. Trotz Anfrage erfuhren wir nicht, ob diese Unternehmen eventuell spezielle HTTPS-Subdomains nutzen – so wie das etwa nugg.ad tut. Man sei schon seit mehreren Jahren auf die Einbettung der Inhalte in HTTPS-Websites vorbereitet, erklärte uns der Berliner Targeting-Experte.

Viele Werbeunternehmen passen sich automatisch dem Protokoll an, das die Wirtsseite verwendet, was meist ein JavaScript-Einzeiler erledigt. Für Plista etwa seien weder HTTPS noch SPDY ein Problem, wie uns Head of Data Engineering Torben Brodt erklärte. Das Unternehmen, das seit einigen Monaten zum Werbekonzern WPP gehört, hat sich auf Native Ads spezialisiert, die sich an das redaktionelle Umfeld anpassen. Verschlüsselung verbrauche zwar mehr Ressourcen, aber dieser geringe Overhead sei kein Problem: „Wir würden begrüßen, wenn mehr Publisher auf HTTPS umsteigen.“ Einige Kunden von Plista setzen bereits HTTPS ein, beispielsweise Webmailer.

Als „Standardfunktionalität“ bezeichnet Jörg Klekamp, Aditions Technikvorstand, die Auslieferung per HTTPS. Adition gehört zu der mit 1&1 Internet verbandelten Holding VirtualMinds, von deren Tochterfirmen auch Yieldlab und Batch Media in unserer Stichprobe auftauchten. Probleme sieht er jedoch im Wachstumssegment Real-Time Advertising, bei dem auch die Partnersysteme Verschlüsselung unterstützen müssen. Das sei zum Beispiel bei US-Anbietern nicht immer der Fall, sagte Klekamp. Gesteigerte Nachfrage nach HTTPS könne er nicht erkennen.

HTTPS ist auch Thema im zuständigen Fachverband, dem Online-Vermarkterkreis im Bundesverband Digitale Wirtschaft (OVK im BVDW). „Relevante Hindernisse“ zwischen Agenturen und Vermarktern sieht der im OVK für Werbetechnologie zuständige Andreas Kühner nicht. Der über Netzwerke angebotene Werbe-Content sei allerdings oft „nicht secure-fähig“, räumt er ein.

Lausige Pennys

Auf 1,4 Milliarden Euro schätzt der OVK das Gesamtvolumen des deutschen Online-Werbemarkts für das Jahr 2014; das wären 200 Millionen Euro mehr als 2012. Ein stolzer Zuwachs und eine Menge Geld – so scheint es. Doch entspricht dies gerade mal einem Zehntel des Gesamt-Werbemarktes. Die oft belächelten Tageszeitungen etwa nehmen immer noch mehr als doppelt so viel ein. Und der getrennt ausgewiesene Bereich der Suchmaschinenwerbung (von dem vor allem Google profitiert) ist für sich alleine mehr als anderthalbmal so groß wie die gesamte übrige Online-Werbung.

Für ein Medium, mit dem der durchschnittliche Deutsche anderthalb Stunden pro Tag aktiv verbringt, ist das wenig – zumal Werbetreibende im Internet über technische Möglichkeiten in Sachen Datensammeln, Targeting und Interaktivität verfügen, von denen Fernseh-Spot-Regisseure und Plakatkleber nur träumen können. Dafür, dass Online-Werbung direkte Nutzeraktion ohne Medienbruch ermöglicht und zugleich tief in die Privatsphäre der Umworbenen eindringt, ist sie zu billig.

Der Kampf um die mageren Tröge prägt das Web. Auf die vergleichsweise kleine Baustelle der HTTPS-Websites heruntergebrochen bedeutet das: Solange irgendwo ein halbwegs zahlungskräftiger Adserver herumsteht, der keine Verschlüsselung beherrscht, werden die Inhalteanbieter wenig Lust auf die Umstellung haben. Echtzeit-Werbebörsen verschärfen das Problem: Auktionen bringen weniger ein, weil sich bei HTTPS-Sites nicht alle Interessenten beteiligen können, und die Publisher verlieren noch mehr Kontrolle über ihre Websites.

Dennoch: Der Trend zu HTTPS ist ungebrochen. Geheimdienste belauschen an Leitungen und in Verteilerknoten den Datenverkehr. Und unverschlüsselt nachgeladene Inhalte sind ein Sicherheitsrisiko. Über kurz oder lang werden daher auch die ersten Herausgeber von Nachrichten-Sites den Schritt wagen – und damit hoffentlich die letzten Nachzügler in der Online-Werbung anschubsen, denn die meisten Dienstleister stehen dafür bereit. (ad)

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Infos zum Artikel

Kapitel
  1. Geheime Nachrichten
  2. Alarm
  3. Marktrundgang
  4. Stichprobe
  5. Weiterleiter
  6. Werbe-Automatik
  7. Doppelklick
  8. Geheimwerbung
  9. Aufgefischt
  10. Lausige Pennys
2Kommentare
Kommentare lesen (2 Beiträge)
  1. Avatar
  2. Avatar
Anzeige
weiterführende Links
  1. Zu diesem Artikel hat die Redaktion noch folgendes zusammengestellt:

    Links (10)

Anzeige