Re: [InetBib] Wissenschaftler*innen in Deutschland publizieren Open Access in Nature – ein weiterer Meilenstein in der Transformation wissenschaftlicher Zeitschriften wird 2021 erreicht

["Siems, Renke via InetBib" <inetbib@xxxxxxxxxx>]

Lieber Herr Degkwitz,

ob IP-Domains hinreichend geschützt sind, entscheidet sich denke ich vor Ort. 
Es gibt Standards der Netzsicherheit, aber wie das bei der jeweiligen 
Hochschule umgesetzt ist und ob das jeweils ausreicht, kann ich nicht sagen. 
Aber vielleicht möchten die technisch Interessierten und Beschlagenen in dieser 
Liste dazu sich äußern? Bei diesem Thema wäre eine breitere Debatte innerhalb 
einer Liste, die dem Thema Internet in Bibliotheken gewidmet ist, doch sehr 
schön!

Was ich zu Ihrer Frage sagen kann, bezieht sich grob auf vier Aspekte:

1.       Wenn unsere Authentifizierungsinstrumente VPN, Shibboleth, IP-Range 
völlig sinn- und wertlos wären hinsichtlich Nutzerdatenüberwachung, dürften 
seitens der Verlage RA21, SeamlessAccess und GetFTR nicht mit solcher Verve 
vorangetrieben werden.

2.       Würden keine Daten abfließen, würden die Verlage kaum Third Parties im 
Dutzend installieren.

3.       Es kommt auf die konkreten Rechner / Mobilgeräte an.

4.       Es ist völlig unklar, ob die nachweisbaren Instrumente in Gänze für 
das genutzt werden, wofür sie fähig sind.
Zu 1. Authentifizierung / First Party Data:
First Party Data wie login-Daten, Verteiler mit Mailadressen usw. sind sehr 
wertvoll, weil man damit Personen eindeutig identifizieren und ihre weiteren 
Aktionen beobachten kann. „Software wants to remember“ sagt Cody Hanson dazu: 
es ist technisch ein gewisser Aufwand nötig, um sicherzustellen, dass bestimmte 
Informationen nicht erhoben oder festgehalten werden. Der Wille zu einem 
solchen Aufwand ist bei den entsprechenden Playern nicht da, sondern das 
Gegenteil – was bei den großen Internetkonzernen Features wie „Remember me on 
this device“ oder „log in with xyz“ sind, ist bei den Verlagen die hartnäckig 
verfolgte Umstellung auf Authentifizierungsmethoden, die in die 
Verlagsplattformen stärker integriert sind als bislang. Die 
DBV-Erwerbungskommission hat zu Recht bei RA21 starke Bedenken angemeldet, das 
hindert die Verlage aber nicht an teils rüden Methoden: als Ende März auch 
amerikanische Bibliotheken in den Lockdown rauschten, befand ACS, dass wäre 
doch jetzt der richtige Zeitpunkt, diesen eine Opt-out-Frist zu setzen, um 
nicht auf SeamlessAccess umgestellt zu werden.

Das Interesse an First Party Data ist also groß, umsomehr weil ja Google und 
Apple Third Parties immer mehr unter Beschuss nehmen. Dies erfolgt natürlich 
nicht aus Großherzigkeit, sondern als Demonstration von Monopolmacht: Google 
wird seine eigenen Cookies keineswegs in Frage stellen.

Hinzukommt, dass wir hier zwar viel über DEAL diskutieren, die Verlage aber ja 
weltweit verkaufen. Wer kürzlich Gelegenheit hatte, am von Elsevier und 
Springer veranstalteten SNSI Security Summit teilzunehmen, konnte dort ganz 
andere Mentalitäten und bisweilen bizarre Denkmuster wahrnehmen, für die eine 
widerrechtliche Vervielfältigung einer wissenschaftlichen Publikation – 
zugespitzt formuliert – kein Urheberrechtsverstoß ist, sondern fast der 
Diebstahl der Baupläne für die Atombombe, für dessen Verhinderung Verlage und 
Bibliotheken engstens zusammenarbeiten müssten. Natürlich ist der Missbrauch 
von Zugangsdaten im Bibliotheksbereich auch ein Risiko für andere 
Hochschulbereiche, aber genau dafür gibt es ein campusweites Sicherheitskonzept 
mit entsprechenden Zuständigkeiten und keinen Anlass, einen campusfremden 
Supplier alle Tore für eine ausgebaute behavioral analytics zu eröffnen.

Zu 2. Third Party Data:
Wenn Sie mit Ihrem Notebook auf dem Campus unterwegs sind und eine Webseite 
öffnen, hilft Ihnen die schlichte Präsenz innerhalb der IP-Range noch nichts 
gegen Cookies. Das ist eine Sache der Browsereinstellungen und ohne Cookies zu 
akzeptieren, werden Sie einige Ressourcen nur eingeschränkt oder gar nicht 
nutzen können. Was dann passiert, können Sie in einem Vortragsvideo von Cody 
Hanson sehen (https://www.youtube.com/watch?v=uAzt-iJEkvU&feature=youtu.be), wo 
er dies live aus einem Hochschulnetz heraus vorführt (ab Minute 21:45). Das 
funktioniert auch off-campus: mein Dienstherr bezahlt mich nicht für 
IT-Sicherheit, das wäre nicht so zielführend, daher hatte ich mir die meisten 
Sachen von zu Hause aus per VPN angesehen – und sah mich den gleichen Dingen 
gegenüber wie auf dem Campus. Die lange Liste an Webtechnologien auf der 
Nature-Seite bedeutet auch einen ganzen Strauß unterschiedlicher Methoden, 
Nutzerdaten strukturiert zu sammeln und auszuwerten. Und bei dieser Massivität 
kommen Schutzmechanismen an ihre Grenzen.

Zu 3. Geräte:
Devices sind unterschiedlich interessant für das Tracking von Nutzerverhalten. 
Haben Sie in Ihrer Bibliothek Rechner im Angebot, die typischerweise von 
Walk-In-Usern benutzt werden, als managed clients entsprechende 
Sicherheitseinstellungen haben und bei jedem Abmelden räumt sich der Browser 
auf – dann wird da nicht so unheimlich viel Schaden entstehen. Aber das ist in 
der Menge der Nutzungsfälle die völlige Ausnahme. Stattdessen haben Personal 
Computer bekanntlich die Eigenschaft, im Laufe der Zeit ausgesprochen 
persönlich zu werden in Einrichtung und Nutzungsgewohnheiten, das Notebook der 
Wissenschaftler*in begleitet ihn/sie überall hin in unterschiedlichste Netze 
und bei den Mobilgeräten der Studierenden gibt es noch wieder andere 
Möglichkeiten. D.h. die ganz große Masse an E-Medien-Nutzungen geschieht in 
verletzlichen Kontexten, was die Anfälligkeit fürs Tracking angeht.

Zu 4. Intransparenz des Technikeinsatzes:
Worüber wir am wenigsten wissen, ist das konkrete Geschehen in dieser 
Datenökonomie. Man kann vielfach die Existenz der Tracker im Browser nachweisen 
– was serverseitig vor sich geht, ist völlig im Dunkeln und damit kann die 
Tragweite überhaupt nicht eingeschätzt werden. Elsevier hat z.B. auf 
ScienceDirect ThreatMetrix installiert, die Technik einer Firma, die nach 
eigenen Angaben Daten von 1,4 Milliarden Menschen sammelt und 4,5 Milliarden 
Geräte identifizieren kann. ThreatMetrix kam vor einiger Zeit ins Gespräch, 
weil es die Technik ist, die ebay für das portscanning von Nutzern einsetzt. 
Portscanning ist in Deutschland am Rande der Legalität, weil die Suche nach 
offenen Ports das erste ist, was ein Hacker zur Vorbereitung eines Angriffs 
macht. Eines der beworbenen Features von ThreatMetrix ist dabei auch „True 
Location and Behavior Analysis: Detection of location cloaking or IP spoofing, 
proxies, VPNs, Tor browsers and changes in behavior patterns, such as unusual 
transaction volumes.“ Die De-Anonymisierung von Personen, die VPN benutzen, ist 
also klares Ziel.
ThreatMetrix gehört zum Elsevier-Mutterkonzern RELX und ist dort in der Risk 
Solution-Sparte angesiedelt. RELX ist mit dem Geschäftsbereich so wie auch 
Thomson Reuters seit einiger Zeit ins big data policing eingestiegen und 
verkauft Datenprodukte z.B. an die militarisierte Grenzpolizei ICE. Jetzt ist 
die Frage: arbeitet RELX beim Einsatz von ThreatMetrix branchenübergreifend? 
Wäre dem so, dann ließe sich das Szenario zeichnen, dass ein US-Anwalt, der 
sich in der entsprechenden Fachliteratur über das Einwanderungsrecht 
informiert, dadurch dazu beiträgt, dass seine Klienten gefunden und deportiert 
werden. Ob das so ist, wissen wir nicht, die amerikanische Juristin und 
Bibliothekarin Sarah Lamdan beschäftigt sich schon lange damit - unsere 
Chancen, hier eine gesicherte Antwort zu finden, werden überschaubar sein. Wir 
sehen nur Hinweise, z.B. auch in der Neubesetzung der Leitung von Elsevier. 
Kumsal Bayazit ist ein RELX-Konzerngewächs und hat viel Zeit auf Stationen in 
der Risk Solutions-Sparte verbracht. Es ist also eine Überwachungs-Fachfrau, 
die nun den Verlag steuert und die Bedingungen für die Verhandlungen setzt.

Das ist jetzt alles sehr lang geworden. Da es nun nicht mehr drauf ankommt, 
möchte ich gerne noch auf einen Vortrag von Cody Hanson verweisen, den er 
Jahre, bevor er auf das Tracking aufmerksam wurde, hielt 
(https://www.youtube.com/watch?v=fNr-nsTGV8w). Das Summary dazu findet sich 
auch auf seiner Webseite:

„Libraries are software. Our collections and services are delivered primarily 
via software. Most of our users' experience of the library occurs online and 
through software regardless of whether the user is physically present in the 
library. The choices we make in the development, selection, and implementation 
of this software are not incidental to our delivery of content and services. 
Rather, they define the limits of our content and services. We can only be as 
good as our software.“

In diesem Sinne viele Grüsse von R. Siems


Von: Andreas Degkwitz <andreas.degkwitz@xxxxxxxxx>
Gesendet: Samstag, 24. Oktober 2020 18:34
An: Siems, Renke <renke.siems@xxxxxxxxxxxxxxxx>; inetbib@xxxxxxxxxx
Betreff: Re: [InetBib] Wissenschaftler*innen in Deutschland publizieren Open 
Access in Nature – ein weiterer Meilenstein in der Transformation 
wissenschaftlicher Zeitschriften wird 2021 erreicht

Lieber Herr Siems,

mit VPN-Clients bzw. über IP-Domains des Uni-Campus sollten Zugriffe auf 
externe Plattformen eigentlich vor Third-Party-Tracking geschützt sein, wenn 
die IP-Domains vor nicht erwünschter Software hinreichend geschützt sind. Oder 
ist dem nach Ihren Erkundigungen nicht so?
Mit besten Grüßen
Andreas Degkwitz

Am Do., 22. Okt. 2020 um 09:55 Uhr schrieb Siems, Renke via InetBib 
<inetbib@xxxxxxxxxx<mailto:inetbib@xxxxxxxxxx>>:
Liebe Kolleginnen und Kollegen,

seitens der MPDL wird aktuell der Abschluss der Rahmenvereinbarung für einen 
Open Access-Transformationsvertrag mit Nature verkündet, was auf Twitter dann 
viele Anmerkungen vor allem zum Thema Kosten nach sich zog. Ich möchte gerne 
auf einen anderen Aspekt hinweisen, nämlich, welchen Dingen man schon jetzt 
begegnet, wenn man sich auf der Nature-Webseite bewegt. Als ich mir Ende 
August, also einige Zeit nach dem Schrems II-Urteil des EuGH, das letzte Mal 
die Seite näher ansah, waren dort folgende Tracker und verwandte 
Webtechnologien verankert:

Celtra
Usabilla
Google Tag Manager
Zemanta
Facebook Connect
ScoreCard Research Beacon
Google Analytics
AppNexus
Twitter Advertising
Permutive
Twitter Conversion Tracking
Facebook Custom Audience
Google Publisher Tags
Google Safeframe
Moat
Google Adsense
Google Ads Measurement
Amazon Associates
Rubikon
Amazon Mobile Ads
Rhythmone Beacon
Tradedesk
Adobe Audience Manager
Mediamath
Liveramp
Unruly Media
Yahoo Ad Manager Plus
DataXu
SiteScout
Simpli.fi
Turn Inc.
Rocket Fuel
Index Exchange
Yahoo Ad Exchange
Quantcast
Adition
MBR Targeting
Adform
Impresssion Desk
BidTheatre
Dotomi
Delta Projects
BlueKai
Beeswax
BidSwitch
OpenX
Teads
Bidtellect
Videology
MySpace
gumgum
AdGear
ScaleOut
Doubleverify
SpotXChange
PulsePoint
Tribal Fusion
Flashtalking
DoubleClick Spotlight
Advertising.com
Crimtan
Acuity Ads
Smart AdServer
The Reach Group
DoubleClick Floodlight
Affiliate Window
Atlas

Sie haben hier folglich das gleiche Potpourri an Third Parties wie bei 
Webseiten im frei zugänglichen Internet, die ihre Angebote über Werbetracking 
monetarisieren: einzelne Tracker, Audience Tools, die Informationen aus 
unterschiedlichsten Quellen gebündelt auswerten (und dafür mit vielen Partnern 
Daten austauschen), Real Time Bidding Data (also die Echtzeitversteigerung von 
Nutzerdaten) und Browser Fingerprinting, um Seitenbesucher zu identifizieren, 
die das durch ihre Browser-Einstellungen eigentlich unterbinden wollen.

Die eingesetzten Technologien sind in der Lage, jeden Seitenbesucher zu 
identifizieren und sein Informationsverhalten auszuwerten. Manche dieser 
Anbieter gehen dabei so weit, dass sie sich wie BlueKai (gehört zu Oracle) 
gegenwärtig Sammelklagen in den Niederlanden und Großbritannien gegenübersehen. 
Die Praxis personalisierter Werbung, die auf Echtzeitauktionen basiert, wird 
von der britischen Datenschutzbehörde mittlerweile als unvereinbar mit der 
DSGVO betrachtet. Anbieter wie Acxiom/liveramp sind wiederum seit Jahrzehnten 
im Geschäft und können daher für personalisierte Profilbildung auf Daten bis in 
analoge Zeiten zurückgreifen.

Für die Transformation des wissenschaftlichen Publikationswesens hin zu Open 
Access ist es wichtig, diese Entwicklung im Blick zu behalten. Der Einsatz 
dieser Technologien und deren Ergebnis wird durch eine Richtungsänderung der 
Zahlungsströme an sich erstmal nicht tangiert. Wir sehen seit Jahren eine 
Mutation der großen Verlage weg von einem Inhaltsanbieter zu einem data 
analytics business (das lässt sich in der „landscape analysis“ von SPARC 
komprimiert nachlesen) und manche werden sicher auch noch die Aussage des 
Marktführers im Ohr haben, zum „Betriebssystem der Wissenschaft“ werden zu 
wollen. Je nach eigener Meinung kann man das unterschiedlich wahrnehmen, auf 
den Einsatz von ThreatMetrix auf der Plattform ScienceDirect wurde hier auf der 
Liste ja auch gerade hingewiesen. Die Verlage bringen in diesem Kontext 
momentan gerne das Argument von der IT-Sicherheit und dem Schutz der 
Bibliotheksnutzer vor, gerade mit Verweis auf die böse Plattform aus dem Osten. 
Wenn man sich aber das Spiel erlaubt, den gleichen Artikel auf der 
Nature-Webseite und auf der Webseite der 
Frau-dessen-Name-nicht-genannt-werden-darf aufzurufen, so findet man bei Nature 
eben die Liste oben und auf der anderen Plattform Yandex Metrics, einem Pendant 
zu Google Analytics. Das Spiel geht also mit dem Endergebnis 73:1 aus, und da 
kann sich jede*r selbst seinen Reim auf das Thema Nutzerdatenschutz machen.

Es wäre daher gut, wenn die Kolleg*innen der MPDL bei den in Aussicht 
gestellten Detailinformationen auch genau darüber unterrichten, was die 
getroffenen Vereinbarungen im Bereich User Tracking und Datenschutz generell 
sind. Schließlich sind das ja alles keine neuen Erkenntnisse, sondern war auch 
schon zur Zeit der Verhandlungen des Springer-DEAL-Vertrags bekannt. Es wird 
gerade die Wissenschaftler*innen, die in patent-relevanten Forschungsbereichen 
aktiv sind oder generell in Bereichen, wo es eine starke Konkurrenz zwischen 
öffentlicher und kommerzieller Forschung gibt wie KI, personalisierte Medizin 
oder Materialwissenschaften, sicher interessieren, wer in welcher Form ihr 
Informationsverhalten beobachtet und wo die Daten dann überall hingehen. Ebenso 
möchten die Einrichtungen, die dem Nature-Vertrag beitreten wollen, vielleicht 
sicher sein, dass sie damit nicht einem neuen double dipping Vorschub leisten, 
worin Autoren mit APCs bezahlen und Leser mit der Preisgabe ihrer persönlichen 
Daten. Wir wollen alle Open Access unterstützen, aber vielleicht nicht gerade 
solche Dinge.

Wer sich mit der Thematik etwas mehr auseinandersetzen möchte, hier ein paar 
Links:

https://www.codyh.com/writing/tracking.html
https://www.youtube.com/watch?v=uAzt-iJEkvU&feature=youtu.be
http://www.inthelibrarywiththeleadpipe.org/2019/ice-surveillance/
https://twitter.com/WolfieChristl/status/1286341387718397952

Viele Grüsse von R. Siems


Date: Tue, 20 Oct 2020 08:27:48 +0000

From: "Geschuhn, Kai Karin" 
<geschuhn@xxxxxxxxxxx<mailto:geschuhn@xxxxxxxxxxx><mailto:geschuhn@xxxxxxxxxxx<mailto:geschuhn@xxxxxxxxxxx>>>

To: 
"inetbib@xxxxxxxxxx<mailto:inetbib@xxxxxxxxxx><mailto:inetbib@xxxxxxxxxx<mailto:inetbib@xxxxxxxxxx>>"
 
<inetbib@xxxxxxxxxx<mailto:inetbib@xxxxxxxxxx><mailto:inetbib@xxxxxxxxxx<mailto:inetbib@xxxxxxxxxx>>>

Subject: [InetBib] Wissenschaftler*innen in Deutschland publizieren

             Open Access in Nature – ein weiterer Meilenstein in der

             Transformation wissenschaftlicher Zeitschriften wird 2021 erreicht

Message-ID: 
<1819e546db8d401db085aeef97389808@xxxxxxxxxxx<mailto:1819e546db8d401db085aeef97389808@xxxxxxxxxxx><mailto:1819e546db8d401db085aeef97389808@xxxxxxxxxxx<mailto:1819e546db8d401db085aeef97389808@xxxxxxxxxxx>>>

Content-Type: text/plain; charset="Windows-1252"



Liebe Kolleginnen und Kollegen,

die Max-Planck-Gesellschaft und Springer Nature haben heute den Abschluss einer 
Rahmenvereinbarung für einen Open-Access-Transformationsvertrag nach dem 
Publish & Read-Modell für das Zeitschriftenportfolio von Nature bekannt 
gegeben. Die neue Vereinbarung gilt ab 1.1.2021 und läuft für vier Jahre 
(2021-2024). Die Vertragskonditionen werden zunächst den bisherigen 
Bezieher*innen von Nature-Zeitschriften in Deutschland angeboten.

Eckpunkte der Vereinbarung:

-          Eine abgestufte Preisstruktur berücksichtigt die vorherigen Ausgaben 
für Subskriptionen der Nature-Bestandskunden sowie ihr durchschnittliches 
jährliches Aufkommen an Veröffentlichungen in Nature-Zeitschriften.

-          Alle teilnehmenden Einrichtungen erhalten dauerhaften Lesezugriff 
auf das gesamte lizenzierte Portfolio der Nature-Zeitschriften, und die 
Vertragsbedingungen gelten automatisch auch für Nature-Titel, die während der 
Vertragslaufzeit neu hinzukommen.

-          Der wesentliche Anteil der Gesamtkosten aller Einrichtungen, die 
sich für das neue Modell entscheiden, fließt in die Finanzierung von 
Open-Access-Publikationsrechten, die ihren affiliierten Wissenschaftler*innen 
zugutekommen.

Weitere Informationen für Bibliotheken finden Sie auf der Website der Max 
Planck Digital Library: 
https://www.mpdl.mpg.de/ueber-uns/nachrichten/618-oa-nature-de.html

Die Pressemitteilung auf den Seiten von Springer Nature und der 
Max-Planck-Gesellschaft:

https://group.springernature.com/de/group/media/transformationsvertrag-nature-zeitschriften/18497632

https://www.mpg.de/15920387/open-access-fuer-nature-zeitschriften

Beste Grüße

Kai Geschuhn



Ms. Kai Karin Geschuhn

Scholarly Communication & Engagement

Max Planck Digital Library





Dr. Renke Siems

Universitätsbibliothek Tübingen
Leitung Abteilung Benutzung
Fachreferat Sozialwissenschaften
Wilhelmstraße 32
72074 Tübingen
Tel.: 07071/29-72838
Fax: 07071/29-3123
www.ub.uni-tuebingen.de<http://www.ub.uni-tuebingen.de><http://www.ub.uni-tuebingen.de>