Online-Tracking - Wie funktioniert Tracking im Internet?

Online-Tracking

Wie funktioniert Tracking im Internet?

Ralph Meier
von Ralph Meier
am 25. März 2021
Lesezeit: 9 Minuten

Keypoints

So schützen Sie sich vor Online-Tracking

  • Gängiste Tracking Methode ist mittels Cookies
  • Aufgrund von Änderungen in der DSGVO und der Blockierung von Third-Party-Cookies wird vermehrt auf andere Technologien gesetzt
  • Wie wird ein Fingerabdruck meines Browsers erstellt
  • Tipps um sich vor Tracking zu schützen

“Ich habe ja nichts zu verbergen, online Tracking betrifft mich nicht, oder?” Aufgrund von solchen Aussagen entstand dieser Artikel und die Antwort auf die Frage: Wie funktioniert eigentlich Tracking im Internet?

Es gibt verschiedene Wege, wie Tracking im Internet eingesetzt wird. Im Folgenden werden einige Varianten aufgezeigt und erklärt. Die Aufzählung ist nicht abschliessend.

Tracking durch Cookies

Die gängigste und am meisten verbreitete Methode ist Tracking mittels Cookies. Cookies sind Textdateien, welche im Browser eines Benutzers gespeichert werden. Durch Cookies können wiederkehrende Benutzer auf dem gleichen Gerät und Browser ohne erneutes Login den gewünschten Onlineshop oder ein Forum im angemeldeten Zustand verwenden. Cookies können aber auch verwendet werden, um die Interaktionen und Bewegungen auf einer Webseite zu verfolgen und zu protokollieren. Mit normalen Cookies ist das Nachvollziehen der Besucherinteraktionen nur auf der gleichen Webseite möglich.

Tracking-Anbieter

Oftmals reicht Onlineshop-Betreibern die Funktionalität normaler Cookies nicht. Deshalb greifen sie auf einen Tracking-Anbieter zurück. Tracking-Anbieter arbeiten mit eingebetteten oder verlinkten Scripts und Komponenten wie Bilder, Zählpixel, Webseiten und Schriften, um einige zu nennen. Diese Objekte werden beim Aufruf einer Webseite mitgeladen und lösen dabei Anfragen an Tracking-Servern aus.

Ein sehr berühmtes Beispiel ist der Gefällt mir Button von Facebook. Dieser informiert Facebook über jeden Besuch einer Webseite, auf der der Button eingebunden wurde. Facebook kann zudem den Besuch der Webseite mit dem eingebundenen Gefällt mir Button mit einem zuvor verwendeten Facebook-Konto verknüpfen, falls die angelegten Cookies nicht entfernt wurden. Sonst wird der Besuch mit einer Werbe-ID verknüpft.

Nebst dem Like-Button verfügt Facebook noch über weitere Trackingmethoden wie den neueren Facebook Pixel. Dieser wird eingesetzt, um bei einem Kauf in einem Onlineshop nachvollziehen zu können, welche Ads (Werbeanzeigen) der Käufer zu Gesicht bekommen hat oder aufgrund welcher Werbung man die Webseite besucht hat. Die Events, auf welche der Facebook Pixel reagiert und protokolliert, können angepasst werden. Facebook setzt den Pixel ein, um den Onlineshop-Betreibern einen besseren Überblick über ihre aktuellen Ad-Kampagnen zu geben, und um mehr Ads auf ihrer Plattform verkaufen zu können.

Tracking-Anbieter speichern die gewonnen Informationen über den jeweiligen Benutzer in einem Cookie in seinem Browser. Solche Cookies werden oft auch als Tracking-Cookies oder auch Third-Party-Cookies bezeichnet, da sie nicht von der besuchten Webseite selbst, sondern von Drittanbietern stammen. Tracking-Cookies speichern oftmals auch Benutzermerkmale wie IP-Adresse und Informationen zum eingesetzten Browser oder Gerät.

Blockierung von Third-Party-Cookies

Internetbrowser wie Safari oder Firefox begannen vor einigen Jahren mit dem Blockieren von Third-Party-Cookies als Standarteinstellung, um genau solchem Tracking entgegen zu wirken. Darauf haben Tracking-Anbieter Kunden angewiesen, ihren Tracking-Code direkt in die Webseite zu integrieren, um First-Party-Cookies, also Cookies im Kontext der besuchten Webseite, erstellen zu können.

Veränderung durch die DSGVO

Aufgrund der Änderungen in der Europäischen DSGVO, welche seit dem 25. Mai 2018 angewendet werden, sind Tracking-Cookies oder allgemein Cookies durch die gängigen Cookie-Banner auf den Webseiten, deutlich sichtbarer geworden. Das Speichern von Cookies ist ohne die Zustimmung des Besuchers seit jener Änderung nicht mehr gestattet. Trotz drohenden Strafen bei Nichteinhaltung, werden Cookies teilweise bereits vor dem Auswählen der gewünschten Option durch den Besucher in deren Browser gespeichert. Zudem kommt es vor, dass der Besucher zwar nur notwendige Cookies erlauben auswählen kann, die Webseite aber alle Cookies erlauben abspeichert und beim Besucher sämtliche Cookies im Browser hinzufügt.

Fingerprinting

Beim Browser-Fingerprinting geht es um das Erstellen eines Fingerabdrucks des verwendeten Browsers. Dies kann durch das Kombinieren von für den Browser verfügbaren Informationen wie Bildschirmauflösung, installierte Schriftarten oder verfügbare Plugins geschehen.

Es gibt jedoch auch raffiniertere Varianten wie der Canvas-Fingerprint. Als Voraussetzung dafür muss JavaScript im Browser des Besuchers aktiviert sein. Die besuchte Webseite enthält Code für das Erstellen eines Fingerabdrucks, welcher zuerst ein Canvas-Element erstellt. Canvas-Elemente können durch den HTML-Tag <canvas> generiert werden und ermöglichen es Formen/Figuren wie Rechtecke, Kreise in allen Grössen, Farben und Kombinationen zu erstellen.

Auf dieses erstellte Canvas-Element werden dann verschiedene 2D-Grafiken und Texte gerendert. Bei Texten wird meistens ein Panagramm verwendet. Dies ist ein Satz, welcher alle Buchstaben des Alphabets enthält. Dabei werden verschiedene Schriftarten und Schriftgrössen verwendet, um eine höhere Entropie (Informationsgehalt) zu erreichen. Der Code für die Generierung des eigentlichen Fingerabdrucks verwendet die Methode toDataURL(), welche den Inhalt des erstellten Canvas-Element als DOMString im Base64 Format zurückgibt. Aufgrund vorliegender Unterschiede in der OpenGL-Version, Rendering-Engine des Browsers und installierten Schriftarten kann der daraus resultierende DOMString gut genug von anderen Webseite-Besuchern und deren eingesetzten Browsern unterschieden werden. Um den Informationsgehalt zusätzlich zu erhöhen, werden weitere Informationen wie konfigurierte Zeitzone, eingesetztes Betriebssystem sowie vorher bereits genannte Informationen dem Fingerabdruck hinzugefügt. Am Schluss kommt ein langer eindeutiger String heraus, welcher gehasht und dann per HTTP-Request verschickt oder auch in einem Cookie gespeichert werden kann, um den eingesetzten Browser auf anderen Webseiten wiedererkennen zu können.

Favicon-Methode

Diese Tracking-Methode geht ebenfalls in die Richtung Fingerprinting, wobei dies über viele Favicons geschieht. Bei jedem Webseitenaufruf wird geprüft, ob das zugehörige Favicon der Webseite bereits im Cache vorhanden ist oder es heruntergeladen werden muss. Im Paper Tales of Favicons and Caches: Persistent Tracking in Modern Browsers wurde gezeigt, dass es möglich ist, mit verschiedenen Favicons einen Fingerprint eines Geräts zu erzeugen. Dabei leitet die aufgerufene Seite den Request an verschiedene andere Webseiten weiter, welche unterschiedliche Favicons besitzen. Bei jeder Webseite wird geprüft, ob das Favicon im Cache vorhanden ist oder nicht. Aus diesen Informationen wird ein Fingerprint hergestellt, welcher für das Wiedererkennen des Geräts genutzt werden kann. Der Browserhersteller Brave hat dieses Problem bereits behoben und erlaubt es nun die gespeicherten Favicons auch manuell zu löschen. Bei Firefox wurden die Favicons gar nie gecacht. Bei den Browsern Safari, Google Chrome sowie Microsoft Edge steht eine Behebung des Problems noch aus.

Ob diese Methode bisher von Tracking-Anbietern genutzt wurde, ist nicht bekannt.

Was weiss Google über mich?

Google zeigt standartmässig personalisierte Werbung beim Verwenden ihrer Dienste sowie auf Webseiten und Apps von Google Werbepartnern. Dabei wird das Google-Konto oder eine Werbe-ID verwendet, welche an ein Gerät beziehungsweise einen Browser geknüpft ist. Alle Daten, die während der Nutzung mit Google Diensten anfallen, sprich Aktivitäten und Informationen, werden gesichert, um dem Benutzer passende Kategorien zu zuweisen. Aufgrund dieser Kategorien wird später passende Werbung geschaltet. Alle Inhaber eines Google-Kontos können sich die zugewiesenen Kategorien anschauen.

Ein Ausschnitt von ausgewählten, zugewiesenen Kategorien meines Google-Kontos:

Auszug von zugewiesenen Kategorien meines Google-Kontos

Besonders hat mich die Kategorie Elternstatus überrascht. Durch Klicken liefert Google weitere Details, auch wenn diese sehr allgemein gehalten sind, wieso diese Kategorie zugewiesen wurde. Beim Elternstatus war die Begründung wie folgt:

Google schätzt dieses demografische Merkmal auf Grundlage Ihrer Aktivitäten in Google-Dienste und auf anderen Websites und Apps, bei denen Sie in Ihrem Konto angemeldet waren.

Auf der oben genannten Seite kann auch personalisierte Werbung deaktiviert werden. Informationen zu den eigenen Google-Aktivitäten und ob diese in einem Verlauf festgehalten werden sollen, kann unter myactivity.google.com eingesehen beziehungsweise konfiguriert werden. Es ist durchaus spannend, sich diese Informationen anzuschauen, sofern sie noch aktiviert sind. Wer nun neugierig wurde und alle Daten, die mit seinem/ihrem Google-Konto in Verbindung stehen einsehen will, wird unter takeout.google.com bedient.

Wie kann man als Benutzer Tracking eindämmen?

Weitere Tipps und Empfehlungen in Sachen Unterbinden von Tracking und allgemein dem Wahren der Privatsphäre können unter privacytools.io und ssd.eff.org gefunden werden.

Fazit

Die gewonnenen Erkenntnisse durch die obigen Trackingmethoden werden meistens für personalisierte Werbung verwendet. Einige sehen in personalisierter Werbung einen Vorteil, “dann sehe ich wenigstens das, was mich interessiert”. Hingegen hat der Cambridge Analytica Skandal gezeigt, dass solche personenbezogenen Daten genutzt werden können, um Personen gezielt mit Wahlwerbung im grossen Stil zu beeinflussen.

Am Schluss ist es jedem Einzelnen überlassen, wie viele Informationen man welcher Webseite oder welchem Hersteller preisgeben möchte. Das Wahren der Privatsphäre durch Umgehen von Tracking ist meistens mit einem gewissen Aufwand verbunden.

Über den Autor

Ralph Meier

Ralph Meier hat eine Lehre als Applikationsentwickler, Fokus Webentwicklung mit Java, bei einer Schweizer Grossbank absolviert und danach einen Bachelor of Science ZFH in Informatik an der ZHAW School of Engineering abgeschlossen. Er fokussiert sich auf die sicherheitstechnische Untersuchung von Webapplikationen. (ORCID 0000-0002-3997-8482)

Links

Herausforderung Datenschutz-Grundverordnung DSGVO?

Unsere Spezialisten kontaktieren Sie gern!

×
Burp Bambdas & BChecks

Burp Bambdas & BChecks

Ralph Meier

Disk Cloning

Disk Cloning

Ralph Meier

Das BIOS

Das BIOS

Ralph Meier

Flipper Zero

Flipper Zero

Ralph Meier

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv