Tracking jenseits des Rechts

Technische Möglichkeiten der Nutzerverfolgung in Webbrowsern

Tracking (zu Deutsch: Verfolgung) online ist heutzutage allgegenwärtig. Ob und wie wir uns davor schützen können, ist eine der wichtigsten Fragen, die uns in Verbindung mit der Internetnutzung begegnet. Die Kernaufgabe eines Trackers ist, das Verhalten menschlicher Besucher auf einer Webseite zu messen bzw. aufzuzeichnen. Die Möglichkeiten der Messung reichen von einem einfachen Besucherzähler bis zur Feststellung der Identität über mehrere Seiten und Domains hinweg.

Mit der Zunahme des Trackings auf Internetseiten und Apps wurden auch die Techniken fortlaufend perfektioniert. So stieg z. B. die Zahl der Trackinganfragen, die eine Webseite im Hintergrund ausführt, von 0-1 (1996) auf bis zu 30 (2016)[1]. Während die Verfolgung von Benutzern oft mit der angezeigten Werbung und deren kommerziellen Nutzen in Verbindung gebracht wird, kann Tracking durchaus auch für kriminelle Ziele eingesetzt werden. Ein harmloses Beispiel ist die individualisierte Preisbildung bei Onlineshops, aber das Spektrum ist breit. Mit ausreichend vielen Daten über eine Person lässt sich sogar deren Identität stehlen[2]. Die zunehmende Verbreitung der großflächigen Datensammlung veranlasste auch den Gesetzgeber, die rechtlichen Rahmenbedingungen zu präzisieren und die erlaubten Praktiken einzugrenzen. So entstand unter anderem die DSGVO, die die Sammlung, Speicherung und Verarbeitung personenbezogener Daten regelt.

Doch das Gesetz vermag die technischen Möglichkeiten nicht einzuschränken. In diesem Beitrag werden ausgewählte Methoden zum Tracking im Internet dargestellt und anschließend die Frage untersucht, bis zu welchem Grad diese mittels technischer Maßnahmen durch den Endnutzer verhindert werden können.

Tracking im Internet

Obwohl die Verfolgungstechniken durch Webseiten den meisten bekannt sind, findet man Datensammler auch in Mobilen Applikationen und Computerprogrammen. Die Verfolgungsmöglichkeiten für Apps und Programme ragen weit über die Möglichkeiten des Trackings auf Webseiten hinaus, denn diese Programme verfügen über erhöhte Rechte und können (meist ohne Begrenzung) Dateien auf dem Computer oder Smartphone lesen und schreiben sowie Hintergrunddienste ausführen. Dadurch sind Programme in der Lage, Benutzerinteraktionen viel detaillierter zu erfassen als Webseiten.

Im Gegensatz dazu werden Webseiten durch den Browser in einer sehr stark eingegrenzten Umgebung (sog. Sandkasten) ausgeführt. Dies soll verhindern, dass böswillige Webseiten Schaden auf dem Endgerät anrichten können. Nach dem Verlassen der Webseite wird dieser Sandkasten vernichtet und es gibt keine Möglichkeit für die Webseite, weiterhin Programmcode auf dem Endgerät auszuführen.

Cookie ≠ Cookie

Doch auch in dieser eingeschränkten Umgebung bleibt die Verfolgung trotzdem grundsätzlich möglich. Da der Sandkasten nach dem Schließen der Seite vernichtet wird, musste eine Möglichkeit geschaffen werden, um zwischen mehreren verschiedenen Aufrufen der Webseite Informationen speichern zu können. Dies war insbesondere für nützliche Funktionen gedacht, wie z. B. das Speichern benutzerdefinierter Einstellungen oder das Merken einer Sitzung. Das Speichern von Informationen auf dem Computer des Benutzers durch eine Webseite nennen wir heute “Cookies”.

Zusätzlich zum Inhalt des Cookies merkt sich der Browser, welche Seite (Domainname) dieses gesetzt hat. Die Cookies der besuchten Seite werden Erstanbietercookies genannt. Diese dienen meistens dazu, individuelle Einstellungen der Webseite zu speichern, können aber auch beispielsweise in einem Onlineshop den Inhalt des Warenkorbs speichern.

Im Gegensatz zu den Erstanbietercookies werden Drittanbietercookies nicht durch die besuchte Seite, sondern durch dritte Parteien gesetzt. Ein bekanntes Beispiel dafür sind YouTube-Videos, die in einem Blog eingebunden sind. Das Video wird über eine Querverlinkung in die Webseite eingebunden. Dabei kann YouTube nach Belieben verschiedene Drittanbietercookies setzen. Cookies, die von externen Parteien gesetzt werden, eignen sich hervorragend für Werbezwecke. Ein Online-Werbeunternehmen kann beispielsweise eine bestimmte Querverlinkung bereitstellen, die von vielen Webseitenbetreibern eingebunden wird, und damit einen Benutzer über mehrere Seiten hinweg tracken.

Tracking ohne Cookies

Während sich Browserhersteller früher eher zurückhaltend gezeigt haben, wenn es darum ging, mehr Privatsphäre beim Surfen zu ermöglichen, haben sie in jüngerer Vergangenheit vermehrt Funktionen zur Blockierung von Drittanbietercookies implementiert. Dadurch gestaltet es sich für Werbefirmen immer schwieriger, Werbung über Drittanbietercookies abzuwickeln. Damit rücken Lösungen in den Vordergrund, die keine Cookies benötigen und den Benutzer durch andere Methoden erfassen können.

Das Stichwort dazu ist Browser-Fingerprinting. Dabei nutzen Tracker die Tatsache aus, dass jeder Browser beim Anfragen einer Webseite Informationen über sich preisgibt: Zum einen werden beim Laden der Webseite Informationen über Browser und Betriebssystem gesendet (User Agent String), zum anderen kann das Verhalten eines Browsers nach dem Laden der Seite erfasst werden. Dies passiert mit der Programmiersprache ECMAScript, die von allen modernen Browsern ausgeführt werden kann. ECMAScript (auch JavaScript genannt) dient dazu, dem Benutzer ein interaktives Webseitenerlebnis zu bieten.

Bei einfachen Webseiten kann das die Überprüfung der Eingaben in Formularen sein, aber auch fortgeschrittene Programme und sogar Spiele sind damit möglich. So können auch z. B. die Bildschirmauflösung mittels JavaScript ermittelt sowie die Position des Mauszeigers in Echtzeit erfasst werden. Mit diesen Möglichkeiten lassen sich selbstverständlich auch Verfolgungsmaßnahmen realisieren. Beispielsweise kann man einen eindeutigen Wert für einen bestimmten Browser berechnen, also seinen Fingerabdruck[3].

Kombiniert der Tracker die durch JavaScript gewonnenen Daten mit weiteren Informationen, die beim Laden der Webseite durch den Browser gesendet werden, ist der Fingerabdruck noch exakter.

Gegenmaßnahmen

Während die Möglichkeiten für Tracking sehr breit gefächert sind, existieren selbstverständlich auch Gegenmaßnahmen, die die Verfolgung einschränken können. Strebt man nach möglichst absoluter Anonymität, sollte man beispielsweise den Tor-Browser in Betracht ziehen. Bei diesem Browser ist standardmäßig JavaScript deaktiviert.[4] Fingerprinting durch JavaScript ist so durch den Tor-Browser praktisch ausgeschlossen. Zudem sind auch weitere Browsermerkmale so eingestellt, dass sie bei allen Tor-Browsern gleich sind. Dabei können Webseiten zwar erkennen, dass es sich um einen Tor-Browser handelt, jedoch nicht, um welche Variante. Diese Einschränkungen haben aber auch ihre Schattenseiten. Ein Großteil der heute verfügbaren Webseiten ist ohne JavaScript nicht oder nur bedingt funktionstüchtig. Daher ist der Tor-Browser nur für deutlich fortgeschrittene Anwender zu empfehlen.

Eine Alternative dazu bieten Erweiterungen, mit denen bestimmte Teile einer Webseite blockiert werden können. Man könnte diese auch als Website-Firewall bezeichnen, denn der Benutzer kann für jede Webseite seine eigenen Präferenzen einstellen. Als Beispiel für ein solches Programm sei uMatrix erwähnt. Diese Erweiterung erlaubt es dem Benutzer, je nach Anbieter und Typ der Querverlinkung zu entscheiden, ob die Ausführung zugelassen wird oder nicht. Ein wichtiger Unterschied zu Werbeblockern ist, dass Blocker primär das Ziel verfolgen, Werbeanzeigen von Webseiten zu entfernen, aber dabei die Funktionalität der Webseite zu erhalten. Im Gegensatz dazu erlaubt uMatrix jede Art von Blockierung, sodass die Seiten u. U. auch durch die Blockierung „kaputtgehen“ können. Der Entwickler selbst erwähnt auf der Projektseite, dass es sein kann, dass je nach Einstellung gewisse Aspekte einer Seite nicht mehr funktionieren. Dies ist auch der Grund, warum diese Methode ebenfalls eher für technisch versierte Benutzer empfohlen wird.

Wie im vorherigen Abschnitt beschrieben, können Drittanbietercookies auch durch den Browser blockiert werden. Die Funktion ist in allen populären Browsern verfügbar. Sie ist eine einfache Maßnahme, die Tracking jedoch sehr effektiv minimieren kann, da ein Großteil der Tracker auf Drittanbietercookies setzen. Wie eindeutig dagegen der eigene Browser-Fingerabdruck ist, lässt sich auf der Seite der Electronic Frontier Foundation (EFF) testen[5]. Nach einigen Testschritten bekommt der Benutzer Informationen über seinen Browser, so wie ihn ein Tracker sehen würde. Die einzelnen Merkmale sind jeweils mit einer Erläuterung versehen. Zu jedem Merkmal werden außerdem Möglichkeiten vorgeschlagen, wie der Fingerabdruck weiter verschleiert werden kann. Diese Maßnahme ist für jedermann empfohlen, denn sie fördert die Anonymität im Netz ohne große technische Kenntnisse und Aufwand.

Fazit

Zusammenfassend ist zu sagen, dass es fast unmöglich ist, sich als Durchschnittsnutzer des Internets komplett vor Tracking zu schützen. Mit einigen wenigen, einfach durchzuführenden Maßnahmen lässt sich der Umfang, in dem man getrackt wird, trotzdem minimieren. Sowohl auf der Seite der EFF als auch in zahlreichen anderen Informationsangeboten lassen sich gängige Methoden finden, seine eigenen Spuren im Netz zumindest zu reduzieren.

Lóránt Meszlényi

Dieser Beitrag erschien erstmals im BayWiDI-Magazin 4/2020. Die vollständige Ausgabe finden Sie hier.

[1] Lerner et al., Internet Jones and the Raiders of the Lost Trackers: An Archaeological Study of Web Tracking from 1996 to 2016, in: 25th USENIX Security Symposium (USENIX Security 16), Austin, TX: USENIX Association, August 2016 (zuletzt abgerufen am: 05.12.2020).

[2] Bujlow et al., A Survey on Web Tracking: Mechanisms, Implications, and Defenses, in: Proceedings of the IEEE, Vol. 105 Nr. 8 (2017), S. 1476–1510.

[3] Tremmel, Browser-Fingerprinting gestern und heute, Golem.de, 20.06.2019 (zuletzt abgerufen am: 05.12.2020).

[4] Vgl. die Webseite des Tor-Projekts (zuletzt abgerufen am: 05.12.2020).

[5] EFF, Cover Your Tracks – See How Trackers View Your Browser, A Project of the Electronic Frontier Foundation (zuletzt abgerufen am: 05.12.2020).