Hintergrund

Tracking im Internet: Cookies, Cache & Co

Satelliten-Antenne

Wer im Internet surft, hinterlässt Spuren. Es gibt viele Möglichkeiten, diese Datenspuren zu sammeln. Welche Informationen dabei zu wem gelangen, ist für Nutzer meist nicht transparent. Wir zeigen die wichtigsten Tracking-Arten, und wie man sich davor schützen kann.

Veröffentlicht am
Autor
Schlagworte
Browser · Chrome · Datensammeln · Datenschutz · Safari · Surfen · Tracking
Drucken

Beim Aufruf einer Webseite übermittelt der Browser dem Webserver eine Reihe Standard-Informationen. Dazu gehört die Browser-Version, Browser-Plugins, Betriebssystem-Version, Größe und Auflösung des Bildschirms, aber auch welche Sprache man eingestellt hat und einiges mehr.

Die gängigen Browser übermitteln auch die IP-Adresse, und von welcher Internetadresse man auf die Seite gekommen ist. Zudem verständigen sich Browser und Webserver über verschiedene Dinge, zum Beispiel, ob der Nutzer diese Website schon einmal besucht hat.

Dieser Informationsaustausch dient eigentlich dazu, das Surfen zu erleichtern. Doch Datensammler nutzen ihn aus, um mehr über die Nutzer im Internet zu erfahren.

Tracking – Dem Nutzer auf den Spuren

Von Tracking spricht man, wenn Datensammler versuchen, Nutzer über mehrere Internetseiten hinweg zu beobachten, und in Erfahrung zu bringen, was Sie auf diesen Seiten tun. Zum Beispiel, welche Links sie klicken, welche Dinge sie kaufen, welche Daten sie in ein Formular eingeben.

Zusammengeführt entstehen aus diesen Informationen Profile, die Interessen, Kaufkraft oder persönliche Vorlieben des Nutzers beschreiben. Damit Datensammler Nutzerprofile erstellen können, müssen sie die Nutzer auf verschiedenen Webseiten, oder wenn sie die selbe Seite mehrfach aufrufen, eindeutig wiedererkennen können.

Diese Aufgabe übernehmen sogenannte Tracker. Es gibt viele verschiedene Arten von Trackern. Für den Nutzer ist ihre Anwesenheit auf einer Webseite meist nicht erkennbar.

Cookies

Cookies sind kleine Textdateien, die der Webserver auf dem Nutzergerät ablegt. Darin steht zum Beispiel eine Identifikationsnummer, welche Sprache der Nutzer auf einer Webseite ausgewählt hat, und weitere Informationen. Ruft der Nutzer die Seite erneut auf, sendet der Browser das Cookie automatisch an den Webserver. Dadurch „erkennt“ der Webserver den Nutzer wieder, weiß, dass er die Webseite schon mal besucht hat, und welche Präferenzen er beim ersten Besuch angegeben hat.

Ein Cookie kann immer nur von einer bestimmten Webseite gesetzt und ausgelesen werden. Es ist also an eine Internetadresse (Domain) gebunden. Wenn diese Adresse dieselbe ist, die der Nutzer in der Adresszeile seines Browsers sieht, handelt es sich um ein normales Cookie. Solche Cookies können nur verfolgen, was ein Nutzer auf dieser einen Seite tut.

Drittanbieter-Cookies

Webseiten können Elemente von anderen Webservern einbinden, ohne dass der Nutzer dies klar erkennen kann. Das sind meistens Bilder oder Werbebanner, Schaltflächen von Sozialen Netzwerken, oder nur ein einziges, unsichtbares Pixel, im Jargon „Beacon“ genannt.

Diese Elemente von anderen Webservern heißen Drittanbieter-Elemente. Sie können ebenfalls Cookies setzen – oder bereits vorhandene auslesen. Man spricht in diesem Fall von Drittanbieter-Cookies. Diese Cookies sind nicht an die Internetadresse gebunden, die der Nutzer aufgerufen hat, sondern an eine ganz andere, die der Nutzer gar nicht zu Gesicht bekommt.

Manche Unternehmen haben auf vielen hundert Webseiten ihre Elemente eingebunden, die Cookies setzen und auslesen. Jedes mal, wenn ein Nutzer eine dieser Seiten aufruft, erfährt der Drittanbieter dies, und kann den Nutzer aufgrund der vorhandenen Cookies über die verschiedenen Webseiten hinweg identifizieren.

Cookies von Drittanbietern können in allen großen Browsern blockiert werden. Dies verhindert das Setzen eines Cookies. Ist aber schon ein Cookie gespeichert, kann es trotzdem weiter ausgelesen werden. Darum ist zu empfehlen, nicht nur Drittanbieter-Cookies zu blockieren, sondern auch die vorhandenen Drittanbieter-Cookies zu löschen.

E-Tags und Cache

Browser arbeiten mit Zwischenspeichern, sogenannten Caches, in die sie Teile einer Website ablegen, zum Beispiel große Bilder. So können sie die Inhalte aus dem Zwischenspeicher laden, wenn Nutzer die Seite nochmal aufrufen. Dadurch wird sie schneller geladen.

Damit eine Webseite weiß, welche Inhalte sie noch liefern muss, und welche der Browser aus dem Cache holt, wird zu jedem Cache-Inhalt eine Datei gespeichert – ein sogenannter E-Tag. Wird die Seite erneut aufgerufen, sendet der Browser diesen E-Tag, und der Webserver kann daraus ermitteln, welche Dateien bereits im Cache liegen.

E-Tags können aber auch wie ein Cookie zum Tracken verwendet werden. Auch eingebundene Elemente von Dritten können solche trackenden E-Tags ablegen und auslesen. E-Tags kann man nur löschen, indem man den Cache löscht. Die meisten Browser bieten diese Option in den Einstellungen. In einigen Browsern kann man den Cache auch ganz deaktivieren.

Browser-Fingerprinting

Die Zusammensetzung von verwendeter Browserversion, Betriebssystem und -version, verwendeten Plug-ins, Hardware, Sprach-, Sicherheits-, und Datenschutz-Einstellungen ergibt für viele Nutzer eine nahezu einzigartige Kombination. Betrachtet man all diese Angaben zusammen, ergibt sich ein eindeutiger „Browser-Fingerabdruck“ des Nutzers.

Weil der Browser all diese Daten standardmäßig an eine aufgerufene Webseite übermittelt, können Webseitenbetreiber Nutzer relativ zuverlässig anhand dieses Fingerabdruckes erkennen. Bei dem Testprojekt „Panopticlick“ der Electronic Frontier Foundation konnten 83 Prozent aller Nutzer damit eindeutig erkannt werden.

Auch manche Drittanbieter-Elemente können den Browser-Fingerabdruck auslesen. Gegen Browser-Fingerprinting auf Smartphones bieten derzeit nur Sperrlisten Schutz. Es gibt verschiedene Organisationen, die solche Listen führen, zum Beispiel das Fraunhofer SIT, oder die Firma Disconnect.

Sie sammeln auf ihren Listen kontinuierlich Internetadressen, die Tracker setzen oder auslesen. Browser mit Tracking-Schutz gleichen jede Internetadresse von Drittanbieter-Elementen, an die der Browser Daten senden will, mit einer oder mehrerer dieser Listen ab.

Steht eine Adresse auf der Sperrliste, wird nicht nur das Ablegen von Cookies blockiert, sondern jegliche Kommunikation dorthin. Zum Beispiel der Browser Firefox arbeitet mit einer solchen Sperrliste. (Ab Version 42).

Super-Cookies

In der Welt der Computer sind auch sogenannte Super-Cookies bekannt. Eine andere Bezeichnung für Super-Cookies ist Local-Shared-Objects (LSO). Diese Cookies sind wesentlich größer als normale Cookies, sie haben kein Verfallsdatum und sind oft schwer zu löschen. Man unterscheidet zwei Arten:

  • Flash-Cookies: Damit sie funktionieren, muss das Gerät die Programmiersprache „Flash“ unterstützen. Android unterstützt seit der Version 4.3 standardmäßig kein Flash mehr. Es gibt aber Wege, sich trotzdem Flash auf das Android-Gerät zu installieren. In dem Fall ist es auch für Flash-Cookies anfällig.
  • Local-Storage Cookies: Neben dem Cache gibt es noch einen anderen Ort im Browser, in dem Webseiten Inhalte ablegen können. Ursprünglich auch mit der Intention, diese Seiten später schneller laden zu können. Dieser Ort wird wahlweise als DOM-Storage, Web-Storage oder Local-Storage bezeichnet. Besonders auf Smartphones wird dieser Speicher oft benutzt, um trackende Elemente abzulegen. Wie man diesen Speicher löschen kann, ist in jedem Browser unterschiedlich gelöst.

Alle genannten Methoden können kombiniert werden, und kommen auch bei Smartphones und Tablets zum Einsatz. Allerdings surfen Nutzer auf Mobilgeräten eher selten mit dem Browser im Internet. Daher spielt das Tracking über Apps hier eine viel größere Rolle.

Browserverlauf

Fast alle Browser zeichnen in der Standardeinstellung auf, welche Webseiten besucht wurden. Diese Aufzeichnung nennt man Browserverlauf oder Browser-Historie.

Eigentlich gibt der Browser diese Aufzeichung nicht an Webseiten heraus. Es gab aber in der Vergangenheit Methoden, mit denen Webseiten dem Browser Informationen über diese Aufzeichnung entlocken konnten. Dabei wurde ausgenutzt, dass der Browser einer Webseite verrät, welche Links der Nutzer schon besucht hat, damit diese farblich anders dargestellt werden können. Diese Art des „History-Stealings“ (Browserverlauf stehlen), ist seit 2010 weitgehend unterbunden.

In der Desktop-Welt gibt es viele Programme, die direkt in den Browser eingebunden sind. Zum Beispiel Passwort-Manager, Clipping-Werkzeuge, Antiviren-Software, Browser-Add-ons oder Toolbars. Sie alle sind potentiell in der Lage, alle aufgerufenen Internetadressen mitzuschneiden. Vor allem bei den Toolbars und Add-ons wurden immer wieder Fälle bekannt, bei denen der Browserverlauf mitgeschnitten und ohne Wissen des Nutzers an Firmen versendet und verkauft wurde.

Bei Smartphones ist es nicht so einfach, eine App direkt in den Browser einzubinden. Unter iOS ist dies nur möglich, wenn der Browser Safari die entsprechende App zulässt. Bei Android sind dafür besondere Berechtigungen nötig, die der Nutzer genehmigen muss. Browser-Add-ons, wie auf dem Desktop, gibt es auf dem Smartphone nur für den Browser Firefox.

Prefetching

Alle großen Browser haben eine „Prefetching“-Funktion. Übersetzt heißt das Wort soviel wie „vorab holen“. Der Browser prüft dabei auf der Seite, die er gerade anzeigt, ob diese Links enthält. Sind Links vorhanden, lädt der Browser die Seiten, zu denen die Links führen, schon mal vorab. Klickt der Nutzer dann tatsächlich auf einen der Links, kann der Browser die Seite, die dahinter liegt, schnell aufbauen.

Dabei übermittelt der Browser die Standard-Informationen an die „vorab geladenen“ Seiten, die er auch an tatsächlich aufgerufene Seiten übermitteln würde. Auch Cookies können ausgelesen werden. Es werden allerdings nicht alle verlinkten Seiten vorab geladen, sondern nur solche, die speziell von der Webseite dafür markiert wurden.

Trotzdem gilt: Durch Prefetching können Nutzerinformationen an Webseiten übermittelt werden, die der Nutzer nie aufgerufen hat. In den meisten Browsern kann man die Funktion deaktivieren. Das schont auch das Datenvolumen – kann aber zu längeren Wartezeiten beim Seitenaufbau führen.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!