Inhaltsverzeichnis |
Dieser Beitrag wurde im Rahmen der Vorlesung Gesellschaftliche Spannungsfelder der Informatik an der Technischen Universität Wien geschrieben.
Online Tracking, also das Aufzeichnen von Benutzerverhalten über mehrere Seiten einer Website, findet auf verschiedene Wege mit verschiedenen Mitteln zu verschiedenen Zwecken statt. Es ist ein Eingriff in die Privatsphäre, der technisch zwar bedingt umgehbar ist, aber wegen seiner mangelnden Sichtbarkeit kaum beachtet wird. Das Problem (aus Sicht der Benutzer) bzw. der Vorteil (aus Sicht der Website-Betreiber) an Online Tracking ist vor allem, dass es so einfach ist. Für die meisten Arten gibt es mittlerweile sehr einfache und sehr günstige (oder sogar kostenlose) Angebote.
Verschiedene Formen
Log-Dateien am Server
Die einfachste Form des Tracking ist das Aufzeichnen und Analysieren von Log-Dateien am Server. Der Server erhält bei jedem Aufruf verschiedene Daten vom Browser, unter anderem den User Agent (die Identifizierung von Browser & Betriebssystem), die Browser-Sprache, die IP-Adresse oder die Adresse der verweisenden Seite (Referrer). Diese Daten können zu einer einfachen Zugriffsstatistik zusammengefasst werden, es können durch eine Gruppierung durch IP-Adresse auch (unzuverlässige) Rückschlüsse auf die konkrete Navigation eines Benutzers durch die Website gezogen werden. Diese Form von Tracking kann vom Benutzer nur durch die Verwendung von Anonymisierungs-Proxies (zB TOR) komplett unterbunden werden. Diese können aber ihrerseits wieder die Zugriffe protokollieren, wirkliches Vertrauen kann man daher nur in selbstaufgesetzte Server haben.
Diese Log-Files können auf allen Servern erstellt werden. Sie ermöglichen aber keine verlässliche Eingrenzung der Daten in einzelne Computer, da hinter einzelnen IP-Adressen viele Computer stehen können (zB in Firmen-Netzwerken).
Tracking-Cookie
Das Tracking-Cookie erweitert die Funktionalität Log-Files um die Möglichkeit, einzelne Besuche nach Computer zu gruppieren und somit verlässliche Bewegungsprofile zu erstellen. Diese Tracking-Cookies haben für gewöhnlich nur eine ID, die am Server gespeichert wird. Daten zum Bewegungsprofil direkt in das Cookie zu speichern macht keinen Sinn, da die Daten sich dann nicht im “Besitz” der datenspeichernden Firma befinden und nicht verwendet werden können.
Diese Tracking-Cookies werden auch dazu verwendet, Aktivitäten von Computern über eine bestimmte Domain hinaus zu verfolgen. Sie werden über IFrames oder Grafiken aufgerufen, meistens von Werbenetzwerken oder Statistik-Firmen. Zur Möglichkeit des Deaktivierens dieser Funktion kommen wir später.
JavaScript
Die vom Browser automatisch mitgelieferten Daten sind zwar nützlich, aber manchmal nicht genug. Ein Browser schickt statische Daten beim Seitenaufruf über die eine Seite an den Server, nicht aber über irgendetwas, das später passiert. Mit JavaScript und dem XMLHttpRequest (kurz: AJAX) kann der Browser auch komplexere Daten, wie Mausklicks (auf welche Position der Seite wird geklickt, selbst wenn es kein Link ist; an welcher Stelle werden grafische Links angeklickt) oder Scrollverhalten (nach wie viel Zeit wird bei einem Artikel nach unten gescrollt, wie schnell) protokollieren und an den Server schicken, der diese Daten analysiert. Am Beispiel des Scrollverhaltens könnte man beispielsweise erkennen, ob ein Benutzer eines Blogs einen Artikel tatsächlich liest, und wie schnell er das in etwa tut. Man könnte auch sehen, ob er die Kommentare zu einem Artikel, oder nur den Text selbst liest.
Um diese Form des Online Tracking zu verhindern, muss JavaScript völlig deaktiviert werden. Das ist immer weniger möglich bzw. oft auch nicht im Interesse der Benutzer, wenn diese bestimmte Funktionen moderner Websites verwenden wollen. Alternativen sind JavaScript Whitelisting (JavaScript ist grundsätzlich deaktiviert, kann für einzelne Seiten aktiviert werden), wie mit der Firefox-Extension NoScript.
Tracking-Cookie löschen
Tracking-Cookies loszuwerden ist nicht so einfach. Eine Möglichkeit ist, Cookies zu deaktivieren. Das erlaubt mittlerweile jeder Browser, man geht damit auf Nummer sicher, riskiert aber auch
Die Network Advertising Initiative (NAI) bietet eine Möglichkeit an, sich von diesen Tracking-Cookies auszutragen. Alle Mitglieder der Initiative (viele hochrangige Namen sind dabei) haben sich verpflichtet, das Austragen aus Tracking-Cookies zu ermöglichen. Die Ironie der Sache: Das Austragen erfordert ein weiteres Cookie!
Die NAI umfasst zwar einige Werbenetzwerke, allerdings längst nicht alle. Mit Google, Yahoo und AOL sind wenigstens die größten am Markt dabei, größe europäische Werbenetzwerke fehlen allerdings beispielsweise.
Eine andere Möglichkeit wäre, die Cookies grundsätzlich zu deaktivieren. Viele Websites erfordern allerdings Cookies, um korrekt zu funktionieren. Auch diese Lösung ist also nicht optimal.
Die beste Halblösung ist, den Browser so zu konfigurieren, dass die Cookies erst nach Beendigung der Browser-Session (= nachdem der Browser geschlossen wurde) zu löschen. Das erlaubt zwar Tracking-Cookies das Mitverfolgen einer einzelnen Browser-Session, also meistens maximal einen ganzen Tag, andererseits aber auch die Verwendung der meisten Web-Anwendungen, bei denen man sich mittels Cookie einloggen kann. Moderne Browser wie der Mozilla Firefox unterstützen diese Funktion.
Gefahr von Tracking-Cookies & Daten
Cookies können grundsätzlich nur von der Domain abgefragt und geändert werden, für die sie erstellt wurden, selbst wenn sie abgefangen würden, sind sie aber ohne die Datenbank im Hintergrund ziemlich wertlos.
Cookies selbst haben fast nie konkrete Informationen gespeichert, sondern nur eine ID, die zur Zuordnung der Browser-Daten am Server verwendet wird. Sie sind damit nur in Verbindung mit dieser Datenbank interessant.
Die meisten Firmen verkaufen diese Daten nicht, da sie an sich nicht besonders wertvoll sind. Sie werden normalerweise verwendet, um die angezeigte Werbung auf Benutzer-Interessen zu optimieren (wobei keine Daten an Werbetreibende weitergegeben werden) oder zu verstehen, wie die Benutzer eine Website verwenden, um diese zu optimieren.
[...] bzw. Privatsphäre hab ich darüber geschrieben, wie böse Personensuchmaschinen wirklich sind und wie Online Tracking funktioniert. Heute möchte ich über das Sammeln von Daten im Internet ganz grundsätzlich schreiben und mit [...]