Wo ist meine Privatsphäre?

Wenn wir etwas Peinliches über uns selbst auf, sagen wir mal Facebook, veröffentlichen, so ist das einzig und allein unsere Schuld. Aber es gibt durchaus auch andere, raffinierte Arten, um an Informationen über uns zu kommen. In diesem Zusammenhang einige Worte zum Thema Tracking.

Jedes Mal, wenn wir eine Website besuchen, fordern wir HTML-Code an, der im lokalen Browser dargestellt wird. Dieser Code kann externe Referenzen beinhalten, die man dann ebenfalls anfordert. Nichts Beunruhigendes soweit.

Doch was passiert, wenn diese externen Anfragen benutzt werden, um unsere Spuren zu verfolgen? Ist das überhaupt möglich? Nehmen wir einmal an, Sie sind in Ihrem bevorzugten sozialen Netzwerk unterwegs, nehmen wir wieder Facebook. Selbst nachdem Sie sich ausgeloggt haben, speichert Ihr Browser einige Cookies, die Sie auf Facebook identifizieren. Daraufhin besuchen Sie einige willkürliche Websites (www.randomwebsite.com), die irgendwelche “Gefällt mir”-Buttons enthalten, bei denen es sich tatsächlich um externe Referenzen zu Facebook handelt. Und da Facebook Zugriff auf seine eigenen Cookies hat, erhält es eine Anfrage mit dem HTTP-Referer www.randomwebsite.com sowie mit dem Cookie, der Sie identifiziert. Ergebnis: Facebook kennt alle Websites, auf denen Sie surfen, solange sie eine Referenz zu Facebook haben.

Man kann nun meinen, dass dieses Problem zu lösen ist, indem man einfach all diese Cookies von seinem Rechner runterschmeißt. Die schlechte Nachricht dabei ist, dass es viele andere Technologien gibt, die dazu benutzt werden können, den Anwender über den Fingerabdruck des Browsers zu identifizieren. Eine überaus interessante Studie zeigt, dass die Kombination aus Browser, installierten Plugins und den grundlegenden Informationen über den Computer bei 83% aller Anwender einen einmaligen Fingerabdruck ergibt. Und zwar, ohne dass aggressive Programme eingesetzt werden müssen! Man kann sich vorstellen, wie oft externe Referenzen Javascript-Code enthalten, der eine Menge an Informationen über den eigenen Computer erhält, um diesen zu identifizieren.

Lassen wir nun einmal die graue Theorie hinter uns und gehen zur Praxis über. Um die Ausmaße des Tracking-Problems aufzuzeigen, habe ich einige kleine Experimente unternommen. Ich plane einen ausführlichen und wesentlich detaillierteren Artikel zu diesem Thema, vorab aber schon mal einige Zahlen.

Experiment 1: Surfen auf einer sehr beliebten spanischen Nachrichten-Website

Das Ergebnis des Schnüffel-Traffics: 30 verschiedene Domains wurden angefragt, von denen 15 zum Tracken oder zu Werbezwecken verwendet wurden und 10 Cookies wurden in meinem Browser erstellt.

Nicht schlecht für eine einzige Anfrage!

Experiment 2: Surfen auf den 250 beliebtesten Sites in Spanien (laut Alexa.com)

20% des Traffics geht auf Tracking-/Werbe-Sites, 11,2 Tracking-Anfragen pro Website, 93% der Sites haben externe Referenzen zu Tracking-Sites. Google und Facebook sind die Spitzenreiter unter den Unternehmen, die ihre Anwender verfolgen, mit fast der gleichen Anzahl von Anfragen.

Schließlich noch einige Worte zu Standardoptionen. Auf dem Kaspersky Threatpost Security Analyst Summit 2012 hatte ich die Möglichkeit, den brillanten Ausführungen von Christopher Soghoian zu folgen, wobei er aufzeigte, dass Standardoptionen nicht vollkommen unschuldig sind. In diesem Fall haben Google Chrome und Safari unterschiedliche Standardoptionen, wenn es darum geht Cookies/Anfragen von Dritten beim Besuch einer Website zu senden. Ich überlasse es Ihnen, lieber Leser, sich auszumalen, wer von diesen beiden das größere Interesse am Tracking hat, doch trotzdem wollte ich das in einem letzten Experiment genau herausfinden.

Experiment 3: Surfen auf den beliebtesten 100 Websites in Spanien mit Chrome und Safari mit Standardeinstellungen.

Besuch derselben Websites mit unterschiedlichen Browsern und Abfangen des Traffics. Zu meiner Überraschung ergab sich kein großer Unterschied – weder in der Zahl der Anfragen noch in der Zahl der Tracking-Domains, die von jedem Browser angefragt wurden. Bei der Zahl der Cookies war die Differenz allerdings immens:

Chrome: 1029 Cookies, Safari: 269 Cookies

Konzentriert man sich auf die TOP 100 der von beiden Browsern angefragten Domains (die 75% der Gesamtzahl aller Anfragen ausmachen) und sucht dann nach Unterschieden zwischen beiden Listen der angefragten Domains, so stellt man fest, dass nur fünf Tracking-Domains in der Liste von Chrome nicht von Safari angefragt wurden. Das bedeutet, dass das Pendel bezüglich der Tracking-Aggressivität nur leicht in Richtung Chrome ausschlägt. Das bedeutet allerdings nicht, dass es in der Safari-Liste keine Tracking-Sites gibt.

Abschließende Betrachtungen

Wir haben es hier mit einem wirklich interessanten Thema zu tun, insbesondere, wenn man langsam dahinter kommt, wer hinter den Tracking- und Werbeunternehmen steckt. Dann nämlich wird deutlich, wem all die Daten in die Hände fallen; was wiederum recht gruselig ist, berücksichtigt man die Privatsphäre-Policies. Doch endgültige Schlussfolgerungen werde ich erst ziehen, wenn ich weitere Experimente abgeschlossen habe.

Die entscheidende Frage ist jedoch: Wozu das ganze Tracking? Die Antwort lautet wie so oft: Um des lieben Geldes Willen. Dabei geht es gar nicht um Werbung, sondern darum, möglichst exakte Anwenderprofile zu erstellen. Stellen Sie sich einmal vor, Sie möchten einen Kredit bei Ihrer Bank aufnehmen: Sie haben ein Profil, und ganz egal, was auch immer Sie sagen, Sie werden den Kredit nur dann erhalten, und nur ausschließlich dann, wenn der Computer feststellt, dass Ihr Profil den Anforderungen gerecht wird. In naher Zukunft könnten alle Unternehmen Zugriff auf Super-Profile haben, in denen all Ihre Daten verfügbar sind, und dann wird der Computer entscheiden….

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.