Verlage
als Datenkraken
(24.05.2022) Kommerzielle Wissenschaftsverlage haben ein neues Geschäftsmodell: Sie handeln mit Nutzerdaten. Forscher sind sich dessen selten bewusst.
Liegen Manuskripte auf Preprint-Servern und bei Wissenschaftsverlagen in unterschiedlichen Versionen vor, lassen sie sich anhand von Metadaten in ihren PDF-Dateien unterscheiden – also Informationsschnipseln zum Artikeltitel, zu seinen Autoren, zu Erstellungs- und Zugriffszeiten, zum Digital Object Identifier (DOI), zum Dokumentenstatus im Publikationsprozess und zu seiner urheberrechtlichen Lizenzierung. Den Publikationsprozess machen sie transparent und nachvollziehbar.
Doch Metadaten eignen sich für mehr. Beispielsweise begann der niederländische Wissenschaftsverlag Elsevier Ende vergangenen Jahres, jede Kopie einer PDF-Datei mit einer einmaligen Zeichenfolge zu versehen. Das Verlagshaus legte diese Praxis nicht offen. Sie fiel einem Twitter-Nutzer auf. Elseviers Erklärung: Mit diesem Fingerprint schütze man Kunden vor Ransomware – also Schadsoftware, mit der IT-Gauner fremde Computer über E-Mail-Anhänge, Sicherheitslücken in Webbrowsern oder Cloud-Dienste infizieren und alle Daten des Rechners verschlüsseln, um Lösegeld für die Entschlüsselung zu fordern. Schutz davor bieten nur aktualisierte Betriebssysteme und Antivirusprogramme sowie E-Mail- und Websicherheits-Tools.
Keine Erklärung parat
Hat ein Verlagshaus ein weiteres Werkzeug der Internetsicherheit erfunden? Laut dem Magazin Vice kann Elsevier nicht erklären, wie es Erpressungs-Software mit PDF-Fingerabdrücken unterbinden will („Academic Journal Claims it Fingerprints PDFs for ‚Ransomware,’ Not Surveillance“, 31.1.2022). Im Übrigen sei dem Datenschutz aber Genüge getan, da keine persönlichen Nutzerdaten gespeichert würden. Das Thema sei keiner weiteren Korrespondenz würdig. Eines ermöglicht der zusätzliche Meta-Tag allerdings: Kombiniert mit dem Zeitstempel eines Downloads kann Elsevier das Nutzerkonto identifizieren, über das die PDF-Datei heruntergeladen wurde. Überwacht der Verlag seine Nutzer?
Elsevier wäre damit nicht allein. Unter dem Namen Scholarly Networks Security Initiative (SNSI) werben Elsevier, Springer Nature, Taylor & Francis, Thieme, Wiley, Wolters Kluwer und andere seit Frühling 2020 dafür, Cyberkriminelle durch sicherheitstechnisch aufgerüstete Bibliotheken bekämpfen zu lassen. Schließlich würden Piraterie-Websites wie Sci-Hub nicht nur Profitmodelle untergraben, sondern stellten ein vom Kreml gesponsertes Sicherheitsrisiko und Hindernis für internationale Forschungseinrichtungen dar. Geht es nach der SNSI, sollen Tracking-Werkzeuge in Bibliothekssoftware in großem Umfang Nutzerdaten erheben: Zugriffszeiten, Verweildauern, Seitenansichten, Geräte- und Account-Informationen, IP-Adressen und Standortdaten.
Hochschulnetze gefährdet
Besonders wichtig sind Verlagen dabei biometrische Daten. Denn Nutzungsmuster, Tippgeschwindigkeiten und die Art der Mausführung oder Tastensteuerung lassen sich zu individuellen Verhaltensdatenprofilen verdichten, anhand derer Einzelpersonen – trotz Proxy-Servern und VPN-Tunneln – identifiziert und von den Verlagshäusern zum „Schutz vor Internet-Piraterie“ kontaktiert werden könnten. Renke Siems, Abteilungsleiter an der Universitätsbibliothek Tübingen, machte in einem Vortrag auf dem Bibliothekartag 2021 klar, dass dies die Sicherheit von Hochschulnetzen gefährden und IT-Angriffe ermöglichen könne („Das Lesen der Anderen: User Tracking auf Verlags-Plattformen“, 18.6.2021).
Inwieweit arbeiten derartige Tracker auf verlagseigenen Seiten bereits im Hintergrund? Im Juni 2021 warf Laborjournal online einen kurzen Blick auf Elsevier („Der Verlag, der zu viel wusste“, 7.6.2021) und fand auf Anhieb verschiedene Cookies „to store information regarding mouse position, clicks, scrolls, and highlighted elements and text“ und „to store a unique visitor identifier and organisation identifier […] to track users across domains and services”. Die Stichprobe steht im Einklang mit Langzeitdaten der Münchner Ghostery GmbH („WhoTracks .Me: Shedding light on the opaque world of online tracking“, 25.4.2019 auf arXiv): Wer die American Chemical Society, Cambridge University Press, Elsevier, Springer Nature, Taylor & Francis oder Wiley besucht, wird von 31, 39, 36, 55, 28 beziehungsweise 45 Instrumenten nachverfolgt. Zum Vergleich: Facebook, Google, Twitter, Wikipedia und YouTube belästigen nur mit 11, 13, 9, 4 beziehungsweise 14 Trackingtools. Auch Sci-Hubs Informationsbedarf ist geringer: Acht Instrumente kommen dort zum Einsatz.
Auch DFG besorgt
Tatsächlich ist Tracking in der Wissenschaft bereits so verbreitet, dass die Deutsche Forschungsgemeinschaft (DFG) im Mai 2021 ein warnendes Informationspapier herausgab („Datentracking in der Wissenschaft“). Sie sieht nicht nur Persönlichkeits- und Wettbewerbsrechte, sondern auch die Freiheit von Lehre und Forschung bedroht. Elsevier widersprach am 18.6.2021 auf seiner Website: Die DFG-Stellungnahme enthalte nur Mutmaßungen und falsche Beschuldigungen („Elsevier-Antwort auf DFG-Papier Datenverfolgung in der Forschung“). Zum einen genieße die Privatsphäre von Nutzern höchste Priorität bei Wissenschaftsverlagen, zum anderen würden sie Nutzungsdaten nicht an Dritte verkaufen.
Längst ist der Handel mit Wissen über Forschungsinhalte und ihre Akteure jedoch relevanter Aspekt von Elseviers „Verlagstätigkeit“ geworden. Laut Jahresbericht 2021 erwirtschafteten seine Datenbanken und IT-Werkzeuge über 35 Prozent der 3,2 Milliarden Euro Einkommen.
Stillschweigend hingenommen
Und die Betroffenen? Forscher scheint es wenig zu stören, dass eine privatisierte Wissensindustrie im Gegensatz zur Wissenschaftsfreiheit steht. So verzeichnet beispielsweise die Initiative „Stop Tracking Science“ gegenwärtig knapp 1.300 Unterzeichner – bei 480.000 deutschen Wissenschaftlern. „Dabei bräuchte sich die Wissenschaftsgemeinde die Publikationsregeln nicht von Verlagen diktieren lassen“, kommentiert Open-Science-Advokat Felix Schönbrodt von der LMU München. „Ohne unsere Forschungsdaten, unsere Arbeitsleistung und unser stillschweigendes Einverständnis wären kommerzielle Akteure machtlos.“
Während Forscher das Hamsterrad des wissenschaftlichen Publikations- und Reputationssystems weiter in Schwung halten, agieren ehemalige Verlagshäuser schon mal als Auftragnehmer des Open Science Monitors der Europäischen Kommission. Dort überwachen sie den Übergang zum Open Access – also dem Zugriff auf Wissen ohne kommerzielle Interessen.
Henrik Müller
Dieser hier stark gekürzte Artikel erschien zuerst in Laborjournal 5/2022. Dort lesen Sie auch die ausführliche Version.
Bild: Juliet Merz
Mehr Illustrationen von Juliet gibt es auf ihrer Behance-Seite.
Weitere Artikel zu Journals, Paper und Co.
- Sci-Hub – Zukunftsvision oder Sackgasse?
Die kostenfreie Schattenbibliothek Sci-Hub von Alexandra Elbakyan ist kommerziellen Wissenschaftsverlagen seit zehn Jahren ein Dorn im Auge. Sie stellt Zeitschriftenkonzerne an den öffentlichen Pranger und zugleich die Moralvorstellungen des Wissenschaftsbetriebs zur Diskussion. Welche Alternative zum derzeitigen Publikationswesen bietet Sci-Hub?
- Zwischen prahlen und tiefstapeln
Der Gender Gap hat sich auch in die geschriebene Sprache von Wissenschaftlerinnen und Wissenschaftlern eingeschlichen. Das Ergebnis: Männer und Frauen kommunizieren ihre Forschung auf ganz unterschiedliche Art und Weise. Wie diese Unterschiede aussehen, woher sie kommen und was wir dagegen tun können.
- Im Raubtiergehege der Wissenschaft
Die aktuelle Diskussion dreht sich um Betrug und Verantwortungslosigkeit. Entsprechend sind „Predatory Journals“ ein Dorn im Auge … ja, von wem eigentlich?