Datenschutz ist ein Thema, welches in Deutschland durch den Gesetzgeber weitestgehend geregelt ist, global gesehen hingegen signifikant weniger Beachtung findet. Das Internet wird bislang allerdings auch hierzulande weitläufig noch immer als eine Grauzone wahrgenommen, insbesondere bei der Verwendung von Technologien zum Sammeln von Informationen über Websitebesucher. Aber auch hierzu gehen die Meinungen auseinander. Auf der einen Seite gibt es Datenschützer, die personenbezogene Daten um jeden Preis verteidigen und schützen möchten, die andere Seite wird von Unternehmen vertreten, die ebenso nachvollziehbar eine eher wirtschaftliche Ausrichtung verfolgen und im Idealfall den gläsernen Kunden bevorzugen.

Was bisher geschah

Tracking ist ein wichtiges Werkzeug für Unternehmen, um den Markt zu beobachten, um ökonomische Gefahren oder Chancen rechtzeitig wahrzunehmen und entsprechend reagieren zu können. Wer dem Tracking widersprechen möchte, um sich bei dem Besuch einer Website nicht beobachtet zu fühlen, findet die Rückendeckung des Gesetzgebers und hat in der Regel eine Opt-Out-Möglichkeit.

Cookies sind mittlerweile selbst dem Laien ein Begriff und wer auf die Protektion der eigenen Daten besonderen Wert legt, der löscht die kleinen Notizen des Browsers bei Beendigung einer jeden Internetsitzung ebenso wie den Website- und Suchverlauf, Formulardaten, etc. Dabei spielt es keine Rolle, ob diese Informationen manuell oder per Browsereinstellung entsorgt werden, sobald das letzte Fenster geschlossen wird. Neue Cookies werden gar nicht erst angenommen. Sicher ist sicher. Weg ist weg („watt fott es, es fott“ wie man bei uns in Köln sagt). Oder?

Wenn es bei den herkömmlichen Methoden bleibt, und man den oft durch wirtschaftliche Interessen getriebenen Fortschritt bei der Entwicklung neuer Methoden und Technologien mal außer Acht lässt, kann man im Normalfall davon ausgehen, den Großteil der Informationen über die eigene Person nicht an unerwünschte Dritte weitergegeben zu haben, wenn man die oben genannten Vorkehrungen getroffen hat. Der zusätzliche Verzicht auf die Einblendung von Werbeanzeigen über AdBlocker (gleiches gilt für Flash-Inhalte) einerseits sowie die stringente Selektion des Personenkreises (oder der Unternehmen), die auf die eigenen Daten Zugriff erhalten auf der anderen Seite (etwa über Gewinnspiele oder ähnliche Kausalzusammenhänge) runden die Vorkehrungen ab, die man selbst treffen kann. Hält man sich an diese Liste minimaler Einflussnahme, kann eigentlich niemals etwas schief gehen und die Daten sind sicher.

Never say never – Persistente Tracking-Mechanismen vs. Datenschutz

Trotz aller Bemühungen ist der gemeine Web-Benutzer dennoch nicht davor gefeit, dass seine Daten verwendet werden können, um ein wirtschaftliches Ziel aktiv und ohne sein Einverständnis zu verfolgen. Es gibt gleich mehrere Methoden, die dies ermöglichen. Einige davon wollen wir hier nennen:

Canvas Fingerprinting
Es handelt sich bei dieser Methode eher um eine Vielzahl von Möglichkeiten, Benutzer auch ohne den Einsatz von Cookies eindeutig zu identifizieren. Es werden Browsereigene Canvas-Elemente verwendet, um Texte darzustellen. Je nach Grafikkarte, Grafiktreiber, Browserclient und –Version, Betriebssystem und verwendeten Schriftarten kann eine sehr eindeutige Variation entstehen, die in einen spezifischen, digitalen Fingerabdruck gewandelt werden kann. Die Genauigkeit dieser digitalen Signatur liegt laut offiziellen Messungen immerhin bei über 80%. Wer sicher sein möchte, dass dieses Verfahren auf dem eigenen Rechner nicht eingesetzt wird, muss JavaScript deaktivieren.
Allerdings muss dann auch in Kauf genommen werden, dass die meisten modernen Websites nicht mehr in der Form verwendet werden können, in der sie vom Design her wahrgenommen werden sollten.

Evercookies & Respawning
Evercookies bedienen sich sogenannter Local Shared Objects (LSO), die mit Hilfe des Adobe Flash Players erzeugt werden. Evercookie ist eine JavaScript-basierte API, die es ermöglicht, mehr als reine Textinhalte zu speichern und erlaubt es den Clients, auf die gespeicherten Daten zuzugreifen. Diese Daten sind dabei teilweise mit Hilfe mehrerer unterschiedlicher Mechanismen gespeichert.
Es ist zwar mittlerweile möglich, dass sich auch diese Cookie-Variante zusammen mit den ursprünglichen Cookies löschen lässt, jedoch birgt dieses Verfahren ein gewisses Restrisiko, dass eine einzige dieser Methoden zur Speicherung beim Löschvorgang übersehen werden und der Inhalt sofort wieder auf alle anderen Varianten verteilt wird. Damit stehen alle Inhalte erneut zur Verfügung. Man spricht daher auch von „Zombie-Cookies“.

Cookie Syncing
Bei dieser Methode werden Header-Redirects eingesetzt, um die Informationen, die in einem Cookie für Website A gespeichert werden sollen über eine Weiterleitung und URL-Parameter an Website B (hierbei handelt es sich um eine sogenannte Tracker-Domain) übergeben werden und dort in ein Cookie eingetragen werden. Offiziell existiert somit für Website A kein Cookie, welches gelöscht werden müsste. Die Informationen werden allerdings über das Cookie für Website B zugreifbar und können so zu einem späteren Zeitpunkt abgegriffen werden.

Fazit

Eine absolute Sicherheit hinsichtlich der eigenen Daten kann nur gewährleisten, wer diese Daten so gut wie gar nicht weitergibt.

Kennen Sie weitere Techniken, die alternativ zu den bisherigen Cookies und dem üblichen Trackingverfahren verwendet werden können, um das Benutzerverhalten zu analysieren und ggf. Einfluss auf das Konsumverhalten zu nehmen oder haben Sie Tipps, wie man sich im Zweifel solche Techniken am besten vom Hals halten kann?

Thomas von Mengden

Social Media Manager & PR Comms bei Host Europe GmbH
Thomas von Mengden ist als Redakteur und Autor des Blog & SEO-Teams für die Host Europe GmbH tätig, einem der größten Anbieter von Domain- und Webhosting in Europa. Privat interessiert sich Thomas vor allem für alle Art technischer Gadgets, Web-Entwicklung, SEO und Sport.

Letzte Artikel von Thomas von Mengden (Alle anzeigen)

2 thoughts on “FOREVER YOU – Persistente Tracking-Mechanismen vs. Datenschutz

  1. Canvas Fingerprinting ist auch ohne Javaskript problemlos möglich. Ein Skript-Blocker ist aber generell sinnvoll.

    Die Nutzung verschiedener Browser und das Modifizieren der Header lassen Canvas Fingerprinting ins Leere laufen.

  2. Vielen Dank für die Ergänzung!

    Verschiedene Browser zu verwenden, macht die Identifizierung sicherlich deutlich schwerer, aber: der Mensch ist ein Gewohnheitstier. Die meisten haben auch, was die Browser betrifft, bestimmte Präferenzen. Sicher ist es schwer, jemanden zu überzeugen, in diesem Zusammenhang mehrgleisig zu fahren. Aber die Möglichkeit besteht jedenfalls, das ist richtig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.