Sicherheit

Überwachung im Browser: Die oft unterschätzte Gefahr von Cookies

Cookies
geschrieben von Markus Werner

Hast du dich auch schon mal gefragt, wieso die Werbeanzeigen auf einer Webseite dir genau zeigen, was dich interessiert? Woher wissen die Werbefirmen so viel über dich? Ich stelle dir eine mögliche Methode vor und gebe dir ein paar Tipps, wie du dich davor schützen kannst. // von Markus Werner

Täglich surfen wir durchs Netz, shoppen online, chatten mit anderen oder sind in sozialen Netzwerken aktiv. Das Web eröffnet uns neue Welten, doch wo Licht ist, ist oftmals auch Schatten. Das Internet hat viele neue Geschäftsbereiche geschaffen, darunter auch das Online-Marketing:Werbung im Netz boomt. In den letzten Jahren ist der Werbeanteil auf Webseiten stetig gewachsen. Im Grunde könnte man sagen: Der Trend geht verstärkt zu weniger Seitencontent, aber hin zu mehr eingeblendeten Werbeanzeigen. Seit einigen Jahren gibt es die Möglichkeit, Online-Werbung zu personalisieren. Der Nutzer bekommt nur die Werbung gezeigt, die ihn wirklich interessiert – meistens jedenfalls. Das ist ungemein praktisch. Es macht auch herzlich wenig Sinn, mir Katzenfutter-Werbung einzublenden, wenn ich keine Katze habe oder mir niemals eine zulegen werde.

Doch woher weiß das Werbenetzwerk, für welche Dinge ich mich interessiere? Es gibt verschiedene Methoden, um im Internet etwas über eine Person zu erfahren. Eine Methode wären beispielsweise sogenannte Tracking-Cookies. Beim Besuch einer Webseite wird dir quasi ein Marker verpasst, um dich eindeutig zu identifizieren. Damit lassen sich dann entsprechende Informationen über dich sammeln.

Was sind eigentlich Cookies?

Ein Cookie ist laut Definition eine kleine Textdatei, die auf deinem Gerät gespeichert wird und zeitlich beschränkte Informationen über eine Webseite enthält. Ein Cookie besteht aus mindestens zwei Bestandteilen: dem Namen und seinem Wert (Inhalt). Die meisten Cookies besitzen zusätzlich ein Selbstlöschdatum. Cookies sind für viele Abläufe im Internet notwendig und gleichzeitig nützlich. Es kommt aber stark auf den Kontext an, ob ein Cookie gut oder böse ist.

Werden Cookies etwa bei Login-Verfahren genutzt, kann das ungemein praktisch sein. Bei der Anmeldung werden Benutzername und Kennwort abgefragt. War der Loginversuch erfolgreich, wird im Hintergrund ein Cookie gesetzt. Dieser verrät deinem Browser und der Webseite: Du bist eingeloggt. Besuchst du die Webseite erneut und der Cookie ist noch gültig, dann erkennen beide, dass du noch angemeldet bist. Ansonsten müsstest du deine Anmeldedaten erneut eingeben.

Setzt hingegen ein Webseitenbetreiber einen Tracking-Cookie ein, schaut die Sachlage ganz anders aus. Du rufst die Webseite auf und sogleich wird ein Cookie mit einer eindeutigen Kennung gesetzt. Anhand dieser ID erkennt dich der Seitenbetreiber und kann dir weitere Informationen zuordnen. So wäre es möglich herauszufinden, welche Seiten seines Webangebots du besucht oder wie lange du dich dort aufgehalten hast. Entscheidend ist, dass du durch den Tracking-Cookie eindeutig identifizierbar bist.

Problematik des seitenübergreifenden Trackings

Besonders datenschutzbedenklich wird es, wenn ein Tracking-Cookie so platziert wird, dass du seitenübergreifend durchs Web beobachtet werden kannst. Um die Problematik zu verdeutlichen, habe ich zwei Beispiele herausgesucht.

Facebooks Datr-Cookie

Seit 2011 setzt Facebook einen Tracking-Cookie, genannt Datr-Cookie, ein. Das soziale Netzwerk identifiziert damit seine Mitglieder und sogar Außenstehende. Ein Besuch auf Facebook oder einer Webseite, die Facebook-Plugins verwendet, reicht aus, um sich den Cookie einzufangen. Der Nutzer bekommt eine eindeutige Kennung zugewiesen und Facebook weiß fortan, wo der User unterwegs ist. Facebook wird für den Einsatz des Datr-Cookies scharf kritisiert. Erst kürzlich drohte ein belgisches Gericht mit einer Strafe von 250.000 Euro pro Tag, wenn Facebook weiterhin Nichtmitglieder mit seinem Datr-Cookie überwachen sollte. Facebook begründet den Einsatz seines Cookies immer wieder damit, dass dieser für die Sicherheit des Netzwerks unerlässich sei. Bei jedem Login prüft Facebook, ob auf dem Gerät ein Datr-Cookie mit vertrauenswürdiger „Historie“ vorhanden ist. Fehlt dieser, muss der Nutzer für die Anmeldung weitere Nachweise erbringen. Auf diese Art verhindere das soziale Netzwerk angeblich 600.000 missbräuchliche Login-Versuche pro Tag.

Doch bereits 2011 untersuchte der Hamburger Datenschutzbeauftragte Dr. Johannes Caspar den Datr-Cookie und wiedersprach Facebooks Darstellung. Der Cookie diene der Generierung von Bewegungsprofilen im Web. Personenbezogene Daten sind das Gold des 21. Jahrhunderts. Das ist Facebook bewusst und so sammeln sie alles, was nur irgendwie möglich erscheint. Vielleicht hast du dich auch schon mal gefragt, woher Facebook so viel über dich weiß. Unter anderem stammen die Informationen auch von eben jenem Cookie.

Supercookie von Verizon

Im vergangenen Jahr deckten mehrere Forscher auf, dass der US-Mobilfunkanbieter Verizon bei seinen Kunden einen Tracking-Cookie einsetzt. Genauer gesagt wird in jedem Webseitenaufruf eine zusätzliche HTTP-Headerinformation mitgegeben. Mittels dieser Header-ID ist ein Verizon-Kunde über einen gewissen Zeitraum webseitenübergreifend verfolgbar. Selbst im privaten Modus überwacht einen der Cookie. Verizon möchte im Anzeigengeschäft mitmischen und agiert mit seinem Programm „Precison Market Insights“ ganz offen. Werbekunden dürfen auf diese Daten kostenpflichtig zugreifen. Werbevermarkter erhalten dann Informationen über Wohnort, Geschlecht, Interessen, Altersgruppe etc. Zumindest den Namen und nähere Informationen zur Identifizierung einer Person soll der Cookie nicht liefern. Verizon-Kunden haben keine Chance, dem Tracking-Cookie zu entgehen.

Es gibt zwar mittlerweile eine Opt-out-Möglichkeit. Allerdings bewirkt diese nur, dass Verizon die Daten nicht weitergibt. Die Header-ID wird trotzdem gesetzt. Theoretisch kann jeder die ID auslesen und weiterverwenden. Es muss einem nur gelingen, einen Seitenaufruf mit einer Person zu verknüpfen. Bürgerrechtler fordern von Verizon, das Programm auf Opt-in umzustellen, damit Kunden nicht ungewollt überwacht werden. Die Nutzung des Verizon-Cookies nimmt mittlerweile teils bizarre Züge an. So nutzt der Werbeplatzvermarkter Turn den Tracking-Cookie dazu, um gelöschte Cookies wiederherzustellen. Zu den Kunden von Turn gehören unter anderem Google, Facebook, Twitter und Yahoo. Nutzer können der ungewollten Wiederherstellung mit einem Opt-out Cookie wiedersprechen. Damit wird allerdings nur die Wiederherstellung von Cookies seitens Turn beendet. Der Verizon-Cookie trackt munter weiter. Verizon kaufte vor wenigen Monaten AOL auf, damit verbunden auch dessen Werbenetzwerk. Dieses soll jetzt ebenfalls mit dem Tracking-Header versorgt werden.

Fünf Tipps gegen Tracking-Cookies

Facebooks Datr-Cookie und der Verizon Supercookie sind zwei sehr extreme Beispiele. Immerhin gibt es auch viele abgeschwächte Formen. Auch wenn Werbe- und andere Netzwerke immer raffinierter agieren, um dir persönliche Informationen abzuluchsen, bleiben dir ein paar Möglichkeiten, die Datensammelei teilweise zu unterbinden bzw. einzudämmen. Einen völligen Schutz vor Tracking gibt es leider nicht.

  1. Lösche in regelmäßigen Abständen deine Browser-Cookies. Dadurch entfernst du unter anderem auch angesammelte Tracking-Cookies und minimierst damit die Profilbildung. Idealerweise solltest du deine Cookies beim Beenden des Browsers löschen oder einmal in der Woche.
  2. Verwende Browsererweiterungen zum Schutz vor Tracking. Browsererweiterungen, wie Ghostery oder Privacy Badger helfen dir dabei Tracking auf Webseiten ausfindig zu machen und zu blocken. Auf BASIC thinking haben wir übrigens jegliche Werbenetzwerke oder Social-Media-Dienste längst verbannt.
  3. Surfe nach Möglichkeit im Inkognito-Modus. Im Inkognito-Modus verhindert der Browser das Setzen von Cookies. In vielen Fällen sind Werbenetzwerke gar nicht in der Lage, ihren Tracking-Cookie zu platzieren.
  4. Aktivierte in deinem Browser die Do-Not-Track-Funktion. Do-Not-Track soll Websiten mitteilen, dass du nicht verfolgt werden möchtest. Leider ist dieser Schutz nicht so wirksam, wie er sein sollte. Werbenetzwerke ignorieren diese Browserfunktion oftmals.
  5. Verwende ein VPN mit Tracking-Schutz. VPN-Lösungen, wie F-Secure Freedome oder CyberGhost VPN, stellen ihren Kunden neben der Anonymisierung der IP-Adresse auch einen Tracking-Schutz zur Verfügung.

Besseres Bewusstsein für Tracking schaffen

Das Problem ist weniger die Online-Werbung, sondern das Tracking dahinter. Facebook, Verizon und andere Unternehmen erhalten durch die Auswertung der Tracking-Informationen sehr viel Macht über ihre Nutzer bzw. sogar Nichtnutzer. Obendrein verdienen sie damit auch ordentlich Geld. Entweder, weil sie die Informationen selbst verwenden, um damit Werbeeinnahmen zu generieren oder aber sie verkaufen die Daten an Werbenetzwerke weiter. So oder so – der Rubel rollt. Die Gefahr besteht im Wesentlichen darin, dass ein einzelnes Unternehmen mittels seitenübergreifendem Tracking umfangreiche Bewegungsprofile praktisch über jeden anlegen könnte. Teilt es diese Daten dann noch mit weiteren großen Konzernen, ihr wisst schon. Unternehmen kann es gelingen, uns zielgerichtet auf Produkte zu lenken und damit unser Kaufverhalten zu beeinflussen. Das perfide daran ist jedoch, dass sie uns keine Wahl lassen.

Viel zu selten gibt es entsprechende Opt-Out Cookies, geschweige denn, dass ein Werbeprogramm Opt-in wäre. Für Nutzer ist es sehr schwer erkennbar, welche Webseite einen beobachtet und welche Daten dabei gesammelt werden. Unsere Politiker hegen kein sonderlich großes Interesse daran, sich für einen starken europäischen Datenschutz einzusetzen. Stattdessen arbeiten sie konsequent daran, unsere Privatsphäre auszuhebeln. Diese Bemühungen zeigt unter anderem der derzeitige Stand der EU-Datenschutzgrundverordnung. Erst kürzlich sagten Verkehrsminister Alexander Dobrindt und Bundeskanzlerin Angela Merkel fast einstimmig, dass wir uns selbst nicht mit einem zu starken Datenschutz im Weg stehen sollten.

Wer also ungern der Spielball der Werbeindustrie sein möchte, kann nur versuchen, sich selbst zu schützen und seinen Horizont erweitern. Manchmal ist es auch ganz hilfreich, die Cookies im Browser zu betrachten. Mitunter findest du darunter bereits den ein oder anderen Tracking-Cookie. Ganz offen und sichtbar. Nur schauen wir viel zu selten so genau hin. Deshalb entgeht uns meistens ein Großteil des Trackings. Wer denkt schon daran, wenn er auf seiner favorisierten Nachrichtenseite unterwegs ist? Wohl kaum einer. Deshalb sind Browsererweiterungen wie Ghostery etc. sehr nützlich, um einem das Thema Tracking am eigenen Leib besser zu verdeutlichen.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Markus Werner

Markus Werner (reraiseace) ist angehender Journalist und Fernstudent am Deutschen Journalistenkolleg. Er schreibt regelmäßig für SCREENGUIDE, BASIC thinking und seinen eigenen Blog reraise.eu über Android, IT Security, Netzpolitik und Webdesign.

15 Kommentare

  • „Das Problem ist weniger die Online-Werbung, sondern das Tracking dahinter. “ Da mag ich nicht uneingeschränkt zustimmen. Online Werbung auf mobilen Geräten kosten mich Geld für etwas, das ich nicht bestellt habe. Wenn ich Monat für Monat ein paar Euro mehr für das größere Datenpaket zahlen muss, kann mir das eigentlich nicht egal sein. Uneffektiv ist es obendrein. Die CTR von Werbebannern liegt bei durchschnittlich 0,06%. Das alles um mir ein besseres Einkaufserlebnis zu bieten?

    • Okay, da stimme ich zu. Ich habe es mehr aus dem Blickwinkel Datenschutz und Sicherheit betrachtet. Der Kostenfaktor, gerade auf mobilen Endgeräten, ist ein weiterer Aspekt.

    • @ Bernd:

      Online Werbung auf mobilen Geräten kosten mich Geld für etwas, das ich nicht bestellt habe.

      Betrachte es einmal anders. Der Betreiber dieses Angebots, welches du ohne direkte Kosten nutzen kannst, verdient durch diese Anzeigen. Wärst du bereit stattdessen direkt für die Nutzung des Angebots zu bezahlen? Irgendwie ist das doch die AdBlocker-Diskussion. Jetzt stört dich das, weil AdBocker mobil noch nicht so sehr verbreitet sind bzw. mobiles Internet noch recht teuer ist (glaubst du, Google baut das mobile Internet aus, weil ihnen soviel am Internet liegt? Nein. Sie wollen, dass der Preis sinkt und die Leute sich somit weniger Gedanken um Werbung und ihren Tarif machen, damit sie weiterhin an Werbung Geld verdienen).

  • Der Absatz mit dem Supercookie ist nicht ganz richtig. Du erklärst zu Beginn, dass Cookies Textdateien sind. Dem würde ich zustimmen. Nur hat das von Verizon nichts mehr mit Textdateien zutun. Am Client findet da nichts statt – weshalb die Sache ja so schlimm ist, weil man somit Clientseitig auch nichts dagegen tun kann.

    Das Problem ist vielmehr, dass Verizon-Kunden kein echtes vollwertiges Internet haben sondern in den Basis-Tarifen eben über einen Zwangsproxy geleitet werden. Dieser fügt dann eben die Header ein und erlaubt eine Markierung. Weitere Details gibt es hier: https://www.eff.org/de/deeplinks/2014/11/verizon-x-uidh

    Dass ich gar kein vollwertiges Internet hätte sondern der Zugang bereits „gefiltert“ erfolgt wäre für mich persönlich dabei das größere Problem.

    In dem Zusammenhang sei auch mal auf https://panopticlick.eff.org/ oder http://www.heise.de/ct/ausgabe/2014-18-Browserprofile-mit-Canvas-Fingerprinting-2283693.html verwiesen.

    • Danke für die Erklärung, die beruhigt! Bislang kannte ich Supercookies nämlich nur als Scripte, die man z.B. mit NoScript in Schach halten konnte. Einen Tarif mit Zwangsproxi oder Router würde ich niemals nutzen, egal wie günstig er wäre. Auch habe ich bei meinem letzten Wechsel auf dem guten, alten IPv4 bestanden.

      Gegen Fingerprinting gibt es übrigens für den FF ein Addon. Canvas Blocker.

  • Selbst wenn Du die Cookies bei jedem Schließen des Browsers löschst, wirst du feststellen, dass das Tracking trotzdem weiter funktioniert, sehr oft jedenfalls. Warum?

    Cookies sind im Grunde vorgestrig. Schon viel zu bekannt, viel zu viele wehren sich dagegen, stellen ihre Browser entsprechen ein. Deshalb hat man sich lange schon auf andere, effektivere und verlässlichere Methoden verlegt:

    1) Das Browser-Fingerprinting: hier werden die Surfer anhand der Angaben, die vom Browser über die jeweilige Einstellung, die AdOns, das Betriebssystem, die Bildschirmauflösung und vieles mehr identifiziert.
    Mehr dazu: http://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/

    2) Canvas-Fingerprinting: eine raffiniertere Version davon: http://www.pcwelt.de/ratgeber/Cookies_2.0__Tracking_per_Canvas-Fingerprint-Internet-8938465.html

    3) Und für mobile Surfer: Identifizierung anhand von Tastatureingaben und Akku-Ladestand (!)
    https://www.datenschutzbeauftragter-info.de/neue-tracking-methoden-tastatur-eingaben-und-akku-ladestand/

  • Vielleicht bin ich ja paranoid. Ich surfe seit Jahren nur mit NoScript, Ghostery, ImageBlock und RequestPolicy. Auch AdBlock+ hatte ich eine Zeit lang im Einsatz und werde es vielleicht wieder einsetzen. Und bevor es diese Möglichkeiten gab, habe ich Privoxy eingesetzt, um solcherlei Unfug aus den Webseiten herauszufiltern, bevor sie meinen Browser erreichten. Gelegentlich finde ich Seiten im Internet, bei denen so Nichts geht, oder manchmal auch die Seite einfach nur leer ist. Da gibt es dann nichts Interessantes, und ich surfe weiter.
    Auch Google benutze ich nur selten. Meist nutze ich DuckDuckGo. Das reicht auch. Und für spezielle Suchen z.B. bei Wikipedia nutze ich direkt deren Suchfunktion, ohne eine Suchmaschine dazwischen zu schalten. Mit der Firefox Erweiterung „add to search bar“ geht das ganz simpel.
    Und im privaten Bereich nutze ich noch eine nette Erweiterung, die Cookies direkt nach Verlassen der entsprechenden Domain löscht. Auch praktisch. Natürlich habe ich den Browser trotzdem so konfiguriert, dass Cookies beim Beenden automatisch gelöscht werden. Und ich werde bei jedem einzelnen Cookie gefragt, ob dieses auch wirklich angelegt werden soll. Wenn die Frage auf einer Seite so ein bis drei mal kommt, stimme ich häufig noch zu. Wenn es öfter wird, verlasse ich die Seite und suche meine Informationen anderswo.
    Das Facebook Cookie ist allerdings derart ärgerlich, dass ich Fecebook lokal per /etc/hosts auf 127.0.0.1 gelegt habe.

  • 2. Versuch, hier einen Kommentar einzubringen:

    Selbst wenn Du die Cookies bei jedem Schließen des Browsers löschst, wirst du feststellen, dass das Tracking trotzdem weiter funktioniert, sehr oft jedenfalls. Warum?

    Cookies sind im Grunde vorgestrig. Schon viel zu bekannt, viel zu viele wehren sich dagegen, stellen ihre Browser entsprechen ein. Deshalb hat man sich lange schon auf andere, effektivere und verlässlichere Methoden verlegt:

    1) Das Browser-Fingerprinting: hier werden die Surfer anhand der Angaben, die vom Browser über die jeweilige Einstellung, die AdOns, das Betriebssystem, die Bildschirmauflösung und vieles mehr identifiziert.
    Mehr dazu: http://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/

    2) Canvas-Fingerprinting: eine raffiniertere Version davon: http://www.pcwelt.de/ratgeber/Cookies_2.0__Tracking_per_Canvas-Fingerprint-Internet-8938465.html

    3) Und für mobile Surfer: Identifizierung anhand von Tastatureingaben und Akku-Ladestand (!)
    https://www.datenschutzbeauftragter-info.de/neue-tracking-methoden-tastatur-eingaben-und-akku-ladestand/

  • Kein besonders guter Artikel. Das Wesen/der Zweck von Cookies wurde gar nicht genannt und damit wird demjenigen, der davon keine Ahnung hat, auch nur „Cookies machen irgendwie möglich dass…“ in Erinnerung bleiben.

    Das wichtigste Kriterium an Cookies: Sie erlauben innerhalb der HTTP-Kommunikation, die zustandslos ist, eine Session zu erzeugen. Das heißt, über mehrere Seitenaufrufe (! nicht Besuche!) hinweg, den Rechner, genauer die Browserinstanz (! nicht den Nutzer!) wiederzuerkennen. Ohne Cookies wären nicht nur „Login merken“ nicht möglich, sondern selbst zwei nacheinander erfolgende Seitenabrufe einer Domain bei bestehnder Loginsession.

    Nicht zuletzt erwähnt der Artikel Plugins wie AdBlocker oder noch besser Blocker für FremdDomain-Einbundungen wie RequestPolicy nicht, welche entgegen Do-Not-Track garantierten Schutz bewirken (bei zugegeben Unbequemlichkeit).

  • Mein Setup seit längerem:
    Firefox mit
    – Privacy Badger
    – uBlock Origin mit aktivierten Filtern von Disconnect
    – Better Privacy
    – Self-Destructing Cookies
    – https-everywhere

    Mobil:
    Firefox mit
    – Ghostery (mangels Alternative)
    – uBlock Origin (Wie oben)
    – Self-Destructing Cookies
    – https-everywhere
    Wo immer möglich, verzichte ich auf Apps und nutze den Browser.

    Zusätzlich viele Maßnahmen auf Systemebene:
    – Apps konsequent Rechte entzogen
    – Firewall (auch vielen Teilen des Systems den Netzzugang verweigert)
    – Adaway

    Zugang zum Netz, ausschließlich via VPN, auch mobil.

    Das Setup ist über Jahre hinweg gewachsen.

Kommentieren