Hast du dich auch schon mal gefragt, wieso die Werbeanzeigen auf einer Webseite dir genau zeigen, was dich interessiert? Woher wissen die Werbefirmen so viel über dich? Ich stelle dir eine mögliche Methode vor und gebe dir ein paar Tipps, wie du dich davor schützen kannst. // von Markus Werner
Täglich surfen wir durchs Netz, shoppen online, chatten mit anderen oder sind in sozialen Netzwerken aktiv. Das Web eröffnet uns neue Welten, doch wo Licht ist, ist oftmals auch Schatten. Das Internet hat viele neue Geschäftsbereiche geschaffen, darunter auch das Online-Marketing:Werbung im Netz boomt. In den letzten Jahren ist der Werbeanteil auf Webseiten stetig gewachsen. Im Grunde könnte man sagen: Der Trend geht verstärkt zu weniger Seitencontent, aber hin zu mehr eingeblendeten Werbeanzeigen. Seit einigen Jahren gibt es die Möglichkeit, Online-Werbung zu personalisieren. Der Nutzer bekommt nur die Werbung gezeigt, die ihn wirklich interessiert – meistens jedenfalls. Das ist ungemein praktisch. Es macht auch herzlich wenig Sinn, mir Katzenfutter-Werbung einzublenden, wenn ich keine Katze habe oder mir niemals eine zulegen werde.
Doch woher weiß das Werbenetzwerk, für welche Dinge ich mich interessiere? Es gibt verschiedene Methoden, um im Internet etwas über eine Person zu erfahren. Eine Methode wären beispielsweise sogenannte Tracking-Cookies. Beim Besuch einer Webseite wird dir quasi ein Marker verpasst, um dich eindeutig zu identifizieren. Damit lassen sich dann entsprechende Informationen über dich sammeln.
Was sind eigentlich Cookies?
Ein Cookie ist laut Definition eine kleine Textdatei, die auf deinem Gerät gespeichert wird und zeitlich beschränkte Informationen über eine Webseite enthält. Ein Cookie besteht aus mindestens zwei Bestandteilen: dem Namen und seinem Wert (Inhalt). Die meisten Cookies besitzen zusätzlich ein Selbstlöschdatum. Cookies sind für viele Abläufe im Internet notwendig und gleichzeitig nützlich. Es kommt aber stark auf den Kontext an, ob ein Cookie gut oder böse ist.
Werden Cookies etwa bei Login-Verfahren genutzt, kann das ungemein praktisch sein. Bei der Anmeldung werden Benutzername und Kennwort abgefragt. War der Loginversuch erfolgreich, wird im Hintergrund ein Cookie gesetzt. Dieser verrät deinem Browser und der Webseite: Du bist eingeloggt. Besuchst du die Webseite erneut und der Cookie ist noch gültig, dann erkennen beide, dass du noch angemeldet bist. Ansonsten müsstest du deine Anmeldedaten erneut eingeben.
Setzt hingegen ein Webseitenbetreiber einen Tracking-Cookie ein, schaut die Sachlage ganz anders aus. Du rufst die Webseite auf und sogleich wird ein Cookie mit einer eindeutigen Kennung gesetzt. Anhand dieser ID erkennt dich der Seitenbetreiber und kann dir weitere Informationen zuordnen. So wäre es möglich herauszufinden, welche Seiten seines Webangebots du besucht oder wie lange du dich dort aufgehalten hast. Entscheidend ist, dass du durch den Tracking-Cookie eindeutig identifizierbar bist.
Problematik des seitenübergreifenden Trackings
Besonders datenschutzbedenklich wird es, wenn ein Tracking-Cookie so platziert wird, dass du seitenübergreifend durchs Web beobachtet werden kannst. Um die Problematik zu verdeutlichen, habe ich zwei Beispiele herausgesucht.
Facebooks Datr-Cookie
Seit 2011 setzt Facebook einen Tracking-Cookie, genannt Datr-Cookie, ein. Das soziale Netzwerk identifiziert damit seine Mitglieder und sogar Außenstehende. Ein Besuch auf Facebook oder einer Webseite, die Facebook-Plugins verwendet, reicht aus, um sich den Cookie einzufangen. Der Nutzer bekommt eine eindeutige Kennung zugewiesen und Facebook weiß fortan, wo der User unterwegs ist. Facebook wird für den Einsatz des Datr-Cookies scharf kritisiert. Erst kürzlich drohte ein belgisches Gericht mit einer Strafe von 250.000 Euro pro Tag, wenn Facebook weiterhin Nichtmitglieder mit seinem Datr-Cookie überwachen sollte. Facebook begründet den Einsatz seines Cookies immer wieder damit, dass dieser für die Sicherheit des Netzwerks unerlässich sei. Bei jedem Login prüft Facebook, ob auf dem Gerät ein Datr-Cookie mit vertrauenswürdiger „Historie“ vorhanden ist. Fehlt dieser, muss der Nutzer für die Anmeldung weitere Nachweise erbringen. Auf diese Art verhindere das soziale Netzwerk angeblich 600.000 missbräuchliche Login-Versuche pro Tag.
Doch bereits 2011 untersuchte der Hamburger Datenschutzbeauftragte Dr. Johannes Caspar den Datr-Cookie und wiedersprach Facebooks Darstellung. Der Cookie diene der Generierung von Bewegungsprofilen im Web. Personenbezogene Daten sind das Gold des 21. Jahrhunderts. Das ist Facebook bewusst und so sammeln sie alles, was nur irgendwie möglich erscheint. Vielleicht hast du dich auch schon mal gefragt, woher Facebook so viel über dich weiß. Unter anderem stammen die Informationen auch von eben jenem Cookie.
Supercookie von Verizon
Im vergangenen Jahr deckten mehrere Forscher auf, dass der US-Mobilfunkanbieter Verizon bei seinen Kunden einen Tracking-Cookie einsetzt. Genauer gesagt wird in jedem Webseitenaufruf eine zusätzliche HTTP-Headerinformation mitgegeben. Mittels dieser Header-ID ist ein Verizon-Kunde über einen gewissen Zeitraum webseitenübergreifend verfolgbar. Selbst im privaten Modus überwacht einen der Cookie. Verizon möchte im Anzeigengeschäft mitmischen und agiert mit seinem Programm „Precison Market Insights“ ganz offen. Werbekunden dürfen auf diese Daten kostenpflichtig zugreifen. Werbevermarkter erhalten dann Informationen über Wohnort, Geschlecht, Interessen, Altersgruppe etc. Zumindest den Namen und nähere Informationen zur Identifizierung einer Person soll der Cookie nicht liefern. Verizon-Kunden haben keine Chance, dem Tracking-Cookie zu entgehen.
Es gibt zwar mittlerweile eine Opt-out-Möglichkeit. Allerdings bewirkt diese nur, dass Verizon die Daten nicht weitergibt. Die Header-ID wird trotzdem gesetzt. Theoretisch kann jeder die ID auslesen und weiterverwenden. Es muss einem nur gelingen, einen Seitenaufruf mit einer Person zu verknüpfen. Bürgerrechtler fordern von Verizon, das Programm auf Opt-in umzustellen, damit Kunden nicht ungewollt überwacht werden. Die Nutzung des Verizon-Cookies nimmt mittlerweile teils bizarre Züge an. So nutzt der Werbeplatzvermarkter Turn den Tracking-Cookie dazu, um gelöschte Cookies wiederherzustellen. Zu den Kunden von Turn gehören unter anderem Google, Facebook, Twitter und Yahoo. Nutzer können der ungewollten Wiederherstellung mit einem Opt-out Cookie wiedersprechen. Damit wird allerdings nur die Wiederherstellung von Cookies seitens Turn beendet. Der Verizon-Cookie trackt munter weiter. Verizon kaufte vor wenigen Monaten AOL auf, damit verbunden auch dessen Werbenetzwerk. Dieses soll jetzt ebenfalls mit dem Tracking-Header versorgt werden.
Fünf Tipps gegen Tracking-Cookies
Facebooks Datr-Cookie und der Verizon Supercookie sind zwei sehr extreme Beispiele. Immerhin gibt es auch viele abgeschwächte Formen. Auch wenn Werbe- und andere Netzwerke immer raffinierter agieren, um dir persönliche Informationen abzuluchsen, bleiben dir ein paar Möglichkeiten, die Datensammelei teilweise zu unterbinden bzw. einzudämmen. Einen völligen Schutz vor Tracking gibt es leider nicht.
- Lösche in regelmäßigen Abständen deine Browser-Cookies. Dadurch entfernst du unter anderem auch angesammelte Tracking-Cookies und minimierst damit die Profilbildung. Idealerweise solltest du deine Cookies beim Beenden des Browsers löschen oder einmal in der Woche.
- Verwende Browsererweiterungen zum Schutz vor Tracking. Browsererweiterungen, wie Ghostery oder Privacy Badger helfen dir dabei Tracking auf Webseiten ausfindig zu machen und zu blocken. Auf BASIC thinking haben wir übrigens jegliche Werbenetzwerke oder Social-Media-Dienste längst verbannt.
- Surfe nach Möglichkeit im Inkognito-Modus. Im Inkognito-Modus verhindert der Browser das Setzen von Cookies. In vielen Fällen sind Werbenetzwerke gar nicht in der Lage, ihren Tracking-Cookie zu platzieren.
- Aktivierte in deinem Browser die Do-Not-Track-Funktion. Do-Not-Track soll Websiten mitteilen, dass du nicht verfolgt werden möchtest. Leider ist dieser Schutz nicht so wirksam, wie er sein sollte. Werbenetzwerke ignorieren diese Browserfunktion oftmals.
- Verwende ein VPN mit Tracking-Schutz. VPN-Lösungen, wie F-Secure Freedome oder CyberGhost VPN, stellen ihren Kunden neben der Anonymisierung der IP-Adresse auch einen Tracking-Schutz zur Verfügung.
Besseres Bewusstsein für Tracking schaffen
Das Problem ist weniger die Online-Werbung, sondern das Tracking dahinter. Facebook, Verizon und andere Unternehmen erhalten durch die Auswertung der Tracking-Informationen sehr viel Macht über ihre Nutzer bzw. sogar Nichtnutzer. Obendrein verdienen sie damit auch ordentlich Geld. Entweder, weil sie die Informationen selbst verwenden, um damit Werbeeinnahmen zu generieren oder aber sie verkaufen die Daten an Werbenetzwerke weiter. So oder so – der Rubel rollt. Die Gefahr besteht im Wesentlichen darin, dass ein einzelnes Unternehmen mittels seitenübergreifendem Tracking umfangreiche Bewegungsprofile praktisch über jeden anlegen könnte. Teilt es diese Daten dann noch mit weiteren großen Konzernen, ihr wisst schon. Unternehmen kann es gelingen, uns zielgerichtet auf Produkte zu lenken und damit unser Kaufverhalten zu beeinflussen. Das perfide daran ist jedoch, dass sie uns keine Wahl lassen.
Viel zu selten gibt es entsprechende Opt-Out Cookies, geschweige denn, dass ein Werbeprogramm Opt-in wäre. Für Nutzer ist es sehr schwer erkennbar, welche Webseite einen beobachtet und welche Daten dabei gesammelt werden. Unsere Politiker hegen kein sonderlich großes Interesse daran, sich für einen starken europäischen Datenschutz einzusetzen. Stattdessen arbeiten sie konsequent daran, unsere Privatsphäre auszuhebeln. Diese Bemühungen zeigt unter anderem der derzeitige Stand der EU-Datenschutzgrundverordnung. Erst kürzlich sagten Verkehrsminister Alexander Dobrindt und Bundeskanzlerin Angela Merkel fast einstimmig, dass wir uns selbst nicht mit einem zu starken Datenschutz im Weg stehen sollten.
Wer also ungern der Spielball der Werbeindustrie sein möchte, kann nur versuchen, sich selbst zu schützen und seinen Horizont erweitern. Manchmal ist es auch ganz hilfreich, die Cookies im Browser zu betrachten. Mitunter findest du darunter bereits den ein oder anderen Tracking-Cookie. Ganz offen und sichtbar. Nur schauen wir viel zu selten so genau hin. Deshalb entgeht uns meistens ein Großteil des Trackings. Wer denkt schon daran, wenn er auf seiner favorisierten Nachrichtenseite unterwegs ist? Wohl kaum einer. Deshalb sind Browsererweiterungen wie Ghostery etc. sehr nützlich, um einem das Thema Tracking am eigenen Leib besser zu verdeutlichen.
