29.08.2020 | Letztes Update: 29.08.2020

Tracking-Methoden im Web: Cookies, Fingerprinting & Co.

Ein paar (viele) Worte zum Thema Tracking im Internet. So als Anschluss-Beitrag zu dem hier.

Tracking bedeutet in Bezug aufs Internet nichts anderes, als dass Nutzer "überwacht" werden. Weitreichender, lesenswerter Blog- äh... Buchbeitrag von Cory Doctorow zum Thema Überwachungskapitalismus (wirklich, ein ganzes Buch als Blogbeitrag hinter dem Link!).

Tracking ist die Aggregation von Informationen über einzelne User. Hat besondere Bedeutung für den Bereich E-Commerce, weil die Erstellung von Nutzerprofilen es ermöglicht, zielgerichtet zu werben und somit den Profit zu steigern.

Konkretes Beispiel: Wenn eine Werbeplattform, z.B. Google Ads, viele Dinge über jemanden weiß, dann ist es möglich, demjenigen Werbung zu bestimmten Produkten zu zeigen, bei denen die Wahrscheinlichkeit höher ist, dass sie gekauft werden. Nehmen wir an, unsere Zielperson Franz Obermüller wäre

• Deutscher
• männlich, 35, verheiratet, ein Kind
• angestellt bei einem Software-Unternehmen als Entwickler
• wohnhaft in München Pasing
• surft auf Techblogs und schaut sich auf Amazon oft Computer-Teile an
• googelt viel nach irgendwelchen Lösungsansätzen für eine bestimmte Programmiersprache, außerdem besucht er Websites, die sich mit Depressionen beschäftigen und sucht im Netz nach Medikamenten gegen Depressionen
• ist ein Flugzeugfetischist, der in seiner Kindheit zahllose Revell-Modelle gebaut hat
• hat Urlaub in Portugal gebucht
• folgt auf Facebook dem FCB und ist auch in einer zugehörigen Fan-Gruppe aktiv
• hat schon manches Mal Tor benutzt, um Websites zu besuchen, über die man nicht spricht

Nimmt man diese Informationen (entweder, weil Herr Obermüller die alle freizügig in seinen Social Media- und Google-Accounts hinterlegt hat, oder weil sie auf anderen, teilweise obskuren Wegen erreichbar sind) und bastelt sich daraus ein Profil - welche Produkte würde ich demjenigen wohl in Werbeanzeigen präsentieren?

Genau, Damenbinden schon mal nicht. Auch Kosmetika dürften eher uninteressant sein. Der Mann ist nicht arm, für seinen Job erhält er mindestens ein gehobenes, fünfstelliges Jahreseinkommen. Er kommt aus Bayern, ist technikaffin, hat ein Kind. Was würde der kaufen? Vielleicht einen 3er BMW? Oder Tickets für das nächste Bayern-Heimspiel? iPads könnten auch interessant sein, um den Junior stillzulegen.

"Aber, aber... warum ist das mit der Profilbildung jetzt blöde? Ist doch toll, wenn ich keinen Mist in den Werbeanzeigen anschauen muss, der mich eh nicht interessiert!!!"

Warum Tracking zum Problem wird

Drei Beispiele, wieso Tracking und Profiling zu großer Scheiße führen können:

1. Herr Obermüller leidet ja an offensichtlich an Depressionen. Oder er kennt jemanden. Sonst würde er nicht so intensiv recherchieren. Seine Recherchen haben vielleicht das hier zur Folge (seine Gesundheitsdaten sind unerwünscht Dritten zugänglich). Und das hat zur weiteren Folge, dass er Werbeanzeigen von unseriösen Produkten sehen könnte, die so viel Mist versprechen, dass Franz in einer Kurzschlussreaktion auf den Hokuspokus reinfällt und sich oder einem anderen Betroffenen schadet.
2. Herr Obermüller will sich einen Lebenstraum erfüllen und plant einen Aufenthalt in den USA, will bei den Kill Devil Hills vorbeischauen, weil dort ein Bruderpaar das Fliegen gelernt hat. Herr Obermüller wird von den Einreisebehörden abgefangen, weil er als Extremist eingestuft wurde. Warum? Weil er Tor benutzt hat.
3. Man wird manipuliert und wählt anders. Und uriniert ein Land noch urinöser als es ohnehin schon uriniert war.

Gibt bestimmt noch zahllose andere, interessante Fälle, die verdeutlichen, warum das Zulassen von Tracking eine schlechte Idee ist. Ja, meine Beispiele sind extrem. Aber langweilige Lapalien jucken ja niemanden.

Welche Tracking-Methoden verbreitet sind

Also, wie verhindert oder mindert man Tracking denn nun? Dazu muss man wissen, wie es funktioniert. Es gibt verschiedene Ansätze.

A. Die guten alten Cookies. Das sind Textdateien auf eurem Computer, erzeugt von Websites. Sie halten Infos vor, z.B. Warenkorbinhalte in Shops oder eine User-IDs, mit deren Hilfe man zum Beispiel tracken kann, was ein User auf einer Website so anschaut. Cookies sind domainspezifisch (will heißen, Google darf theoretisch nur Cookies sehen und auslesen, die von einer Google-Website angelegt wurden).

B. JavaScript-Hacks. Wenns über die Domain-Spezifität hinaus gehen soll, gibt es weitere Möglichkeiten, etwa via JavaScript. Wenn man zum Beispiel ein Youtube-Video auf seiner Seite einbettet: Youtube bzw. Google weiß dann, auf welcher Website das Video angeklickt wurde. Gleiches Prinzip bei Twitter, Facebook-Widgets, usw. Siehe auch Cross Domain Tracking von Google Analytics.

C. IP-Adressen. Nutzt man eine statische, dauerhaft vergebene IP (zum Beispiel von einem Firmenanschluss), fällt das Tracking natürlich leichter - ist ja immer der gleiche Anschluss, der sich hier im Netz bewegt. Dynamische, also immer wieder wechselnde IPs, wie sie von den meisten Internet-Providern vergeben werden, entschärfen das Problem etwas. Ändert nichts an der Tatsache, dass man zumindest grob einen Standort ermitteln kann. IPs sind gewissermaßen regionsspezifisch.

D. Fingerprinting. Als Beispiel mein eigenes Blog hier. Mein Webserver protokolliert folgende Daten, die für Fingerprinting relevant sind: IP-Adresse und User Agent.

Die IP-Adresse für sich allein genommen ist meist irrelevant, da sie in vielen Fällen dynamisch vergeben wird und nach 24h gewechselt wird (zumindest bei den einschlägigen DSL-Providern in Deutschland). Konkrete Information aus der IP, egal ob dynamisch oder fest: grober Standort.

Ein möglicher User Agent String sieht so aus:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80."

Konkrete Information hieraus: Betriebssystem und Browser. Also ein Windows-User, der Firefox als Browser nutzt.

Die im Folgenden genannten Zahlen sind frei erfunden, spart euch diesbezüglich Kritik. Geht hier nur ums Prinzip.

• Nehmen wir also an, es gibt 10 Milliarden Geräte weltweit, mit denen man Websites absurfen kann. Smartphones, Tablets, Spielekonsolen und anderes Geraffel inklusive. Wir nehmen über den o.g. Zugriff aus dem Logfile weiterhin folgendes an:
• Das Gerät wird von einem deutschen Anschluss aus genutzt. Nur noch 100 Millionen Geräte übrig.
• Es nutzt Windows. Nur noch 50 Millionen Geräte übrig.
• Es nutzt Firefox Version 80. Nur noch 4 Millionen Geräte übrig.

Soviel kann man schon mal mit den Angaben aus meinem Log anfangen. Nun ist ein Individuum in einer Masse von 4 Millionen Usern mit gleicher Ausstattung noch relativ anonym. Aber wenn noch mehr Informationen gesammelt werden, kann die Schlinge weiter zugezogen werden. Die Möglichkeit dazu ist selbstverständlich vorhanden, zum Beispiel via Javascript. Was kann man da alles ermitteln? z.B.

• Bildschirmauflösung
• installierte Schriftarten
• Werden Werbebanner geblockt?
• Sind Benachrichtigungen erlaubt?
• Ist die Ermittlung des Standorts erlaubt?
• Genaue Versionangaben des Browsers
• Welche Plugins im Browser installiert sind
• und ZIG andere Parameter, die bei vielen Menschen unterschiedlich eingestellt sind

Kann jeder mal ausprobieren und schauen, wie einzigartig sein Browser-Fingerprint ist.

Tja. Und wenn man Pech hat und die eigene Konfiguration so exotisch ist, dass nur noch 1000, 100 oder 10 Leute die gleichen Einstellungen haben wie man selbst, wirds mit der Anonymität eher eng.

Besonders perfide Variante: Canvas-Fingerprinting. Ausprobieren.

E. Tracking in Smartphone-Apps. Zum Beispiel iOS oder Android. Wenn Apps mehr Berechtigungen zum Absaugen von Infos verlangen, als sie zum Betrieb benötigen. Immer beliebt als Datenquelle: Kontakte, Fotos/Dateien, Kalender,... wenn deine Furzkissen-App auf all diese Daten zugreifen will, ist das etwas fragwürdig.

Das kann man gegen Tracking tun

HILFE! HILFE! Das ist ja alles furchtbar! Überall wird man verfolgt! Was huhn? Gack, gack!

Fundamentale Empfehlungen:

• Google und Facebook und Twitter, Xing, LinkedIn, WhatsApp und so weiter abschwören, oder wenn überhaupt, nur SEHR eingeschränkt nutzen. Stichwort "Attention Economy" - also der Versuch, eure Aufmerksamkeit so lange wie möglich zu binden und daraus Profit zu schlagen.
  Es gibt jede Menge Alternativen. Man muss nur wollen (und gewisse Einschränkungen hinnehmen, die es wert sind hingenommen zu werden). Was ich so an Alternativen nutze oder gut finde, blogge ich demnächst mal in einem gesonderten Beitrag (Update: Beitragsserie hat begonnen).
• Darüber, welche Browser und Addons geeignet sind, um Tracking einzudämmen, haben sich schon andere den Kopf zerbrochen, z.B. RiseUp.net (schon etwas älter, aber immer noch valide). Und wenn sonst nix, dann wenigstens das hier: uBlock Origin. Das beeinträchtigt euer Surf-Erlebnis nicht allzu sehr. Hier für Firefox Desktop. Gibt es auch im Firefox Android (Addon-Funktion im Browser nutzen). Firefox-Nutzer auf iOS gehen leer aus. Andere Browser bespreche ich derzeit nicht.
• Und nein, irgendwelche Privacy-VPNs sind keine Lösung. Darum und deswegen.

Tracking komplett zu vermeiden ist schwer und aufwändig. Aber man muss es den Überwachungskapitalisten ja nicht leichter machen als nötig. Installiert wenigstens mal ein paar Browser-Addons!