Tracking-Methoden im Web: Cookies, Fingerprinting & Co.

Ein paar (viele) Worte zum Thema Tracking im Internet. So als Anschluss-Beitrag zu dem hier.

Tracking bedeutet in Bezug aufs Internet nichts anderes, als dass Nutzer "überwacht" werden. Weitreichender, lesenswerter Blog- äh... Buchbeitrag von Cory Doctorow zum Thema Überwachungskapitalismus (wirklich, ein ganzes Buch als Blogbeitrag hinter dem Link!).

Tracking ist die Aggregation von Informationen über einzelne User. Hat besondere Bedeutung für den Bereich E-Commerce, weil die Erstellung von Nutzerprofilen es ermöglicht, zielgerichtet zu werben und somit den Profit zu steigern.

Konkretes Beispiel: Wenn eine Werbeplattform, z.B. Google Ads, viele Dinge über jemanden weiß, dann ist es möglich, demjenigen Werbung zu bestimmten Produkten zu zeigen, bei denen die Wahrscheinlichkeit höher ist, dass sie gekauft werden. Nehmen wir an, unsere Zielperson Franz Obermüller wäre

Nimmt man diese Informationen (entweder, weil Herr Obermüller die alle freizügig in seinen Social Media- und Google-Accounts hinterlegt hat, oder weil sie auf anderen, teilweise obskuren Wegen erreichbar sind) und bastelt sich daraus ein Profil - welche Produkte würde ich demjenigen wohl in Werbeanzeigen präsentieren?

Genau, Damenbinden schon mal nicht. Auch Kosmetika dürften eher uninteressant sein. Der Mann ist nicht arm, für seinen Job erhält er mindestens ein gehobenes, fünfstelliges Jahreseinkommen. Er kommt aus Bayern, ist technikaffin, hat ein Kind. Was würde der kaufen? Vielleicht einen 3er BMW? Oder Tickets für das nächste Bayern-Heimspiel? iPads könnten auch interessant sein, um den Junior stillzulegen.

"Aber, aber... warum ist das mit der Profilbildung jetzt blöde? Ist doch toll, wenn ich keinen Mist in den Werbeanzeigen anschauen muss, der mich eh nicht interessiert!!!"

Warum Tracking zum Problem wird

Drei Beispiele, wieso Tracking und Profiling zu großer Scheiße führen können:

  1. Herr Obermüller leidet ja an offensichtlich an Depressionen. Oder er kennt jemanden. Sonst würde er nicht so intensiv recherchieren. Seine Recherchen haben vielleicht das hier zur Folge (seine Gesundheitsdaten sind unerwünscht Dritten zugänglich). Und das hat zur weiteren Folge, dass er Werbeanzeigen von unseriösen Produkten sehen könnte, die so viel Mist versprechen, dass Franz in einer Kurzschlussreaktion auf den Hokuspokus reinfällt und sich oder einem anderen Betroffenen schadet.
  2. Herr Obermüller will sich einen Lebenstraum erfüllen und plant einen Aufenthalt in den USA, will bei den Kill Devil Hills vorbeischauen, weil dort ein Bruderpaar das Fliegen gelernt hat. Herr Obermüller wird von den Einreisebehörden abgefangen, weil er als Extremist eingestuft wurde. Warum? Weil er Tor benutzt hat.
  3. Man wird manipuliert und wählt anders. Und uriniert ein Land noch urinöser als es ohnehin schon uriniert war.

Gibt bestimmt noch zahllose andere, interessante Fälle, die verdeutlichen, warum das Zulassen von Tracking eine schlechte Idee ist. Ja, meine Beispiele sind extrem. Aber langweilige Lapalien jucken ja niemanden.

Welche Tracking-Methoden verbreitet sind

Also, wie verhindert oder mindert man Tracking denn nun? Dazu muss man wissen, wie es funktioniert. Es gibt verschiedene Ansätze.

A. Die guten alten Cookies. Das sind Textdateien auf eurem Computer, erzeugt von Websites. Sie halten Infos vor, z.B. Warenkorbinhalte in Shops oder eine User-IDs, mit deren Hilfe man zum Beispiel tracken kann, was ein User auf einer Website so anschaut. Cookies sind domainspezifisch (will heißen, Google darf theoretisch nur Cookies sehen und auslesen, die von einer Google-Website angelegt wurden).

B. JavaScript-Hacks. Wenns über die Domain-Spezifität hinaus gehen soll, gibt es weitere Möglichkeiten, etwa via JavaScript. Wenn man zum Beispiel ein Youtube-Video auf seiner Seite einbettet: Youtube bzw. Google weiß dann, auf welcher Website das Video angeklickt wurde. Gleiches Prinzip bei Twitter, Facebook-Widgets, usw. Siehe auch Cross Domain Tracking von Google Analytics.

C. IP-Adressen. Nutzt man eine statische, dauerhaft vergebene IP (zum Beispiel von einem Firmenanschluss), fällt das Tracking natürlich leichter - ist ja immer der gleiche Anschluss, der sich hier im Netz bewegt. Dynamische, also immer wieder wechselnde IPs, wie sie von den meisten Internet-Providern vergeben werden, entschärfen das Problem etwas. Ändert nichts an der Tatsache, dass man zumindest grob einen Standort ermitteln kann. IPs sind gewissermaßen regionsspezifisch.

D. Fingerprinting. Als Beispiel mein eigenes Blog hier. Mein Webserver protokolliert folgende Daten, die für Fingerprinting relevant sind: IP-Adresse und User Agent.

Die IP-Adresse für sich allein genommen ist meist irrelevant, da sie in vielen Fällen dynamisch vergeben wird und nach 24h gewechselt wird (zumindest bei den einschlägigen DSL-Providern in Deutschland). Konkrete Information aus der IP, egal ob dynamisch oder fest: grober Standort.

Ein möglicher User Agent String sieht so aus:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80."

Konkrete Information hieraus: Betriebssystem und Browser. Also ein Windows-User, der Firefox als Browser nutzt.

Die im Folgenden genannten Zahlen sind frei erfunden, spart euch diesbezüglich Kritik. Geht hier nur ums Prinzip.

Soviel kann man schon mal mit den Angaben aus meinem Log anfangen. Nun ist ein Individuum in einer Masse von 4 Millionen Usern mit gleicher Ausstattung noch relativ anonym. Aber wenn noch mehr Informationen gesammelt werden, kann die Schlinge weiter zugezogen werden. Die Möglichkeit dazu ist selbstverständlich vorhanden, zum Beispiel via Javascript. Was kann man da alles ermitteln? z.B.

Kann jeder mal ausprobieren und schauen, wie einzigartig sein Browser-Fingerprint ist.

Tja. Und wenn man Pech hat und die eigene Konfiguration so exotisch ist, dass nur noch 1000, 100 oder 10 Leute die gleichen Einstellungen haben wie man selbst, wirds mit der Anonymität eher eng.

Besonders perfide Variante: Canvas-Fingerprinting. Ausprobieren.

E. Tracking in Smartphone-Apps. Zum Beispiel iOS oder Android. Wenn Apps mehr Berechtigungen zum Absaugen von Infos verlangen, als sie zum Betrieb benötigen. Immer beliebt als Datenquelle: Kontakte, Fotos/Dateien, Kalender,... wenn deine Furzkissen-App auf all diese Daten zugreifen will, ist das etwas fragwürdig.

Das kann man gegen Tracking tun

HILFE! HILFE! Das ist ja alles furchtbar! Überall wird man verfolgt! Was huhn? Gack, gack!

Fundamentale Empfehlungen:

Tracking komplett zu vermeiden ist schwer und aufwändig. Aber man muss es den Überwachungskapitalisten ja nicht leichter machen als nötig. Installiert wenigstens mal ein paar Browser-Addons!