Datenschutz- und Sicherheitslücke bei T-Mobile, Vodafone, etc.?

Viele der führenden Mobilfunkanbieter setzen bei der Auslieferung von Internetseiten auf den Dienst des U.S. Unternehmens Bytemobile:
http://www.bytemobile.com/company/customers/success-stories.html

T-Mobile International Optimizes Mobile Multimedia throughout Europe
Deutsche Telekom’s T-Mobile International expanded its Mobile Internet Gateway (MIG) services to include video optimization, as multimedia consumption on smartphones and laptops was increasing rapidly across its European subscriber base.

T-Mobile – a Bytemobile customer since 2002, which had adopted the Unison™ Mobile Internet Platform as the consolidation node for its MIG platform – picked the company’s Media Optimization solution for deployment at five properties in Europe.

Today, T-Mobile subscribers in Austria, the Czech Republic, Germany, the Netherlands, and the U.K. are enjoying a superior video experience as a result of multimedia traffic management within the MIG architecture of the carrier’s network.

Vodafone Group Selects Bytemobile Optimization for Mobile Video across 20 Properties Worldwide
Vodafone Group, the world’s largest telecommunications service provider, formulated a strategy to manage the growth of multimedia usage among its hundreds of millions of subscribers and continue delivering a top-quality mobile video experience.

Vodafone Group selected Bytemobile’s Media Optimization solution for mandatory deployment by 20 of its operating companies in Europe, the Middle East, Africa, and Asia. Initial deployments in 2010 included Vodafone operating companies in Egypt, Germany, Greece, Italy, Netherlands, Portugal, and Spain.

Bytemobile has provided wireless network infrastructure solutions to Vodafone since 2001, when Vodafone UK adopted web optimization to accelerate its laptop downloads.

 

Wer also über eine 3G/4G Funkverbindung ins Internet geht und eine Internetseite wie z.B. http://www.amazon.de/ öffnet, der erhält die Inhalte der Seite nicht von Amazon, sondern „optimiert“ vom Bytemobile Proxy-Server. Das gilt übrigens nur für „http://“, also unverschlüsselten Internetseiten.

Warum optimieren?

Mobilfunkanbieter haben ein großes Interesse daran den Traffic niedrig zu halten. Weniger Traffic, bedeutet weniger Kosten und mehr Nutzer pro Funkmast.

Was heißt „optimiert“?

Optimierung heißt, dass Multimedia-Inhalte wie Bilder und Videos komprimiert werden (die Qualität wird in der Regel schlechter) oder der Quelltext einer Internetseite von unnützen Zeichen wie Zeilenumbrüchen befreit wird. Oder es wird schlicht die allgemeine Datenübertragung komprimiert (Chunked Transfer Encoding). Manche Inhalte werden sogar auf dem Proxy-Server zwischengespeichert um sie direkt ausliefern zu können. Im Grunde eine gute Sache.

Bessere Ladezeiten?

Doch wer dadurch bessere Ladezeiten erwartet wird in den meisten Fällen enttäuscht. Denn eine Verbindung über einen Proxy kann niemals so schnell sein wie der direkte Zugriff. Es gibt nur wenige Fälle, in denen ein Geschwindigkeitsvorteil entsteht. z.B. wenn ein Bild in voller Auflösung auf einer Internetseite eingebunden wurde und das nun stark verkleinert übertragen wird. Also mit Glasfaser-Leitung zum Proxy-Server und der leitet es verkleinert mit 3G an den Besucher weiter. Nur welche Internetseite überträgt heute noch Bilder die größer sind als wirklich notwendig? Und welchen Anteil machen diese Seiten im Gesamten überhaupt aus. Den meisten Traffic produzieren heutzutage Youtube, Facebook, Twitter, Google, usw. Und diese Anbieter haben ihre Internetseiten bereits optimiert. Auch für mobile Endgeräte.

Was ist mit dem Datenschutz?

Und jetzt kommen wir zum eigentlichen Problem. Zwischen Besucher und Internetseite schalten die Mobilfunkanbieter also einen Proxy-Server, der von einem amerikanischen Unternehmen kontrolliert oder zumindest gewartet wird. Genaueres war nicht zu ermitteln, denn es gibt nirgendwo Informationen dazu. Eine Google-Suche nach „site:www.t-mobile.de bytemobile“ oder „site:www.vodafone.de bytemobile“ werfen jedenfalls nur Verweise zu der FAQ aus, in denen Fehlerkorrekturen bei Ladefehlern empfohlen werden. Dass aber standardmäßig der gesamte Datenverkehr über diesen Anbieter läuft, steht nicht in den Datenschutzhinweisen und auch nicht in den Allgemeinen Geschäftsbedingungen.

Daraus resultiert natürlich ein Datenschutzproblem. Denn alle Informationen landen zuerst auf diesen Proxy-Servern und können dort eingesehen, gefiltert, kopiert, etc. werden.  Es könnte also eine Zensur stattfinden oder die gesammelten personenbezogenen Daten werden schlicht missbraucht.

Und wo bleibt die Sicherheit?

Das ist genau die Frage. Wie kann die Telekom sicher stellen, dass die Proxy-Server nicht gehijacked und die ausgelieferten Daten nicht kompromittiert werden. Und gerade weil der Service nur auf unverschlüsselten Seiten funktioniert, laufen alle Klartext-Passwörter hier auf. Also nicht der Login vom Onlinebanking, aber der von der Lieblingscommunity, -blog, etc. Eben alle, die sich kein Verschlüsselung ihrer Internetseite leisten können oder wollen. Und wie wir wissen nutzen viele dummerweise Passwörter mehrfach.

Warum ist diese Optimierung schlecht?

Mal abgesehen von dem Datenschutz, den Sicherheitsbedenken und der Tatsache, dass die größten Internetseiten-Betreiber bereits optimiert haben, stammt diese Idee und Technik aus einer Zeit, in der mobile Endgeräte wie Handys nicht in der Lage waren Daten zwischenzuspeichern. Nehmen wir z.B. das stark verbreitete Javascript-Framework „jQuery“. Dieses wird von optimierten Servern ausgeliefert (CDN). Sei es von jQuery selbst oder von Mirrorn wie Google sie stellt. Doch was macht Bytemobile: Sie binden den gesamten Quelltext von jQuery ein. Das sieht dann also nicht mehr so aus:

Sondern so (gekürzt, der Scrollbalken lässt die eigentliche Größe erahnen):

Damit wollte man wohl erreichen, dass der Besucher nur eine Datei lädt und nicht mehrere, weil damals die ersten Handys nicht in der Lage waren geladene Dateien zwischenzuspeichern. Doch mittlerweile können auch mobile Endgeräte (Smartphones, Tablets, etc.) Daten zwischenspeichern und diesen Vorteil nutzen. Statt also die Datei nur zu verlinken, damit sie im Cache vorgehalten werden kann, lädt der Besucher die Inhalte immer wieder aufs neue. Damit spart man also keinen Traffic, sondern verursacht noch extra welchen.

Bei Bildern läuft es ähnlich. Statt, dass ein Bild über „http://beispielseite.de/bild.jpg“ geladen wird, lädt der Besucher es über die Bytemobile Proxy-Adresse „http://1.2.3.4/bmi/beispielseite.de/bild.jpg“. In dem Fall in einer etwas schlechteren Qualität um die Dateigröße zu reduzieren. Das wäre ja ganz gut, wenn die Bilder denn auch angezeigt würden. Häufig antwortet der Proxy nur sehr langsam oder auch gar nicht. Insbesondere bei Bildern, die zum ersten Mal über den Proxy angezeigt werden:

 

Also muss ich die Seite neu laden. Da bringt die ganze Ersparnis natürlich nichts. Mal abgesehen vom geschädigten Nutzererlebnis.

Zuletzt kommt es dann noch zu Folgeproblemen. Immer dann wenn jemand eine Bild verlinken möchte und er nutzt (unbewusst) den Proxy, können andere das Bild nicht sehen. Ich betreibe mehrere Internetforen und wir haben immer wieder Nutzer die Bilder mit „http://1.2.3.4/bmi/…“ verlinken. Eine kurze Suche in Google zeigt auch wie oft so ein Link bereits als Text vorkommt (tote Bilderlinks kann man über Google nicht finden, es werden aber sicher 10x mehr sein). Bytemobile zerstört also langfristig das Internet und verursacht damit sogar einen wirtschaftlichen Schaden, weil Administratoren fehlerhafte Links korrigieren müssen.

Bytemobile wirbt außerdem ganz groß mit der Komprimierung von Videos. Hier sehe ich überhaupt keinen Vorteil. Nicht dass Videos komprimiert nicht schneller beim Besucher landen. Das tun sie natürlich. Aber welche Videoseiten nutzen wir. Und welche davon ist nicht für mobile Endgeräte optimiert. Und wer wartet schon mit einer 3G Verbindung auf ein Full HD Video. Das ist schlicht Unsinn bzw. wenn jemand wartet, dann will er auch Full HD und nicht komprimierte Inhalte. Ich frage mich wirklich welche Märchen Bytemobile hier ihren Kunden auftischt. Klar, wenn die Datei gar nicht ausgeliefert wird, spart man natürlich Traffic. Und so abwegig ist das nicht. Denn bei mir wird ca. jedes 10. Video auf Youtube nicht sofort geladen. Über 4G (LTE) lädt es gar nicht erst, während ich es mit DSL anschauen kann. Wobei es interessant ist, dass ich die Werbespots immer zu Gesicht bekomme 😉

Allgemein sind aber gerade die schlechte Performance und die mangelhafte Stabilität Grund dafür, dass manche Internetseiten überhaupt nicht mehr funktionieren. z.B. wenn sie externe Dateien dynamisch nachladen und der Proxy gerade einen Aussetzer hat. Oder wenn die Internetseiten so programmiert sind, dass sie externe Scripte voraussetzen. Die „Eieruhr“, die mir signalisiert, dass noch nicht alle Inhalte geladen wurden, sehe ich eigentlich immer:

(in diesem Beispiel war das „Warten auf 1.2.3.13“ auch nach 5 Minuten noch zu sehen)

Was sollten die Mobilfunkanbieter stattdessen machen?

Statt die Daten nachträglich zu optimieren sollten die Daten auf den Ursprungsservern optimiert werden. Und das wäre gar nicht so schwer umzusetzen, wie es sich anhört. Es bedarf dazu auch kein Rundschreiben  an alle Webmaster.

Man muss nur dafür sorgen, dass die Hersteller der Webserver-Software entsprechende Techniken standardmäßig einbinden. Ich meine statt jedes Jahr Millionen an Bytemobile zu überweisen könnte man sicherlich günstiger dafür sorgen, dass Optimierungen in der Software selbst stattfinden. Ein Beispiel ist das Modul mod_pagespeed für den Webserver Apache. Auf die Art würde man nicht nur den mobilen, sondern gleich den gesamten Traffic weltweit reduzieren. Ein weiteres Beispiel wäre die Förderung des SPDY-HTTP-Standards.

Also statt dass ich mich als Webmaster darum bemühen muss meinen HTML Quelltext oder Javascript-/CSS-Dateien zu minifizieren und meine Bilder zu komprimieren, könnte mein Server diesen Job von Haus aus erledigen und dazu könnte ich mir sicher sein, dass der Overhead so gering wie möglich gehalten wird.

Aber unabhängig von allen technischen Verbesserungsmöglichkeiten:

Es darf nicht sein, dass unsere Daten über ausländische Dienstleister abgewickelt werden!

Ein Gedanke zu „Datenschutz- und Sicherheitslücke bei T-Mobile, Vodafone, etc.?“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*