Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
Ratgeber

Tracking auf Webseiten: Cookies, Cache & Co.

Ein Artikel von , veröffentlicht am 14.01.2016, bearbeitet am07.01.2021
iStock.com/ Aleutie

Wer im Internet surft, hinterlässt Spuren. Welche Daten dabei an wen übermittelt werden, ist für Nutzer*innen meist nicht transparent. Wir stellen die wichtigsten Arten von Tracking auf Webseiten vor und erklären, wie man sich davor schützen kann.

Was ist Tracking?

Von Tracking sprechen wir, wenn das Verhalten von Personen auf mehreren Internetseiten beobachtet, zusammengeführt und analysiert wird. Datensammler*innen interessieren sich zum Beispiel dafür, welche Links Sie klicken, welche Produkte Sie kaufen, welche Daten Sie in Formulare eingeben, mit welchem Gerät Sie surfen und wo Sie sich befinden.

Zusammengeführt entstehen aus diesen Informationen Profile, die auf Interessen, Kaufkraft oder persönliche Vorlieben schließen lassen. Um solche Profile zu bilden und zu erweitern, müssen Personen auf unterschiedlichen Webseiten wiedererkennbar sein.

Diese Aufgabe übernehmen sogenannte Tracker. Für Nutzer*innen ist zunächst nicht erkennbar, ob Tracker in einer Webseite eingebunden sind. Mit speziellen Programmen lässt sich dies aber sichtbar machen.

Wie funktioniert Tracking?

Wenn Sie eine Webseite aufrufen, übermittelt Ihr Browser dem Server, auf dem diese Seite liegt, einige Standard-Informationen. Dazu gehört Ihre Browser-Version (zum Beispiel Firefox 113), die Namen von Browser-Addons, Betriebssystem-Version, Größe und Auflösung Ihres Bildschirms, welche Sprache Sie eingestellt haben und einiges mehr.

Die gängigen Browser übermitteln auch Ihre IP-Adresse und von welcher Internetadresse Sie auf die Seite gekommen sind. Zudem verständigen sich Browser und Webserver darüber, ob Sie diese Webseite schon einmal besucht haben.

Dieser Informationsaustausch dient eigentlich dazu, Ihnen das Surfen zu erleichtern. Doch Datensammler*innen nutzen ihn aus, um mehr über die Nutzer*innen im Internet zu erfahren.

Cookies

Cookies sind kleine Textdateien, die der Webserver auf Ihrem Smartphone oder Computer ablegt. Darin steht zum Beispiel eine Identifikationsnummer, welche Sprache Sie auf einer Webseite ausgewählt haben und das aktuelle Datum. Rufen Sie die Seite erneut auf, sendet Ihr Browser diese Textdatei automatisch an den Webserver. Dadurch erkennt der Webserver, dass Sie die Webseite schon mal besucht haben und zeigt zum Beispiel gleich die richtige Sprache an.

Ein Cookie kann immer nur von der Webseite ausgelesen werden, von der es auch gesetzt wurde. Es ist also an eine Internetadresse (Domain) gebunden. Wenn diese Adresse dieselbe ist, die Sie in der Adresszeile Ihres Browsers sehen, handelt es sich um ein normales Cookie. Solche Cookies können nur verfolgen, was Sie auf dieser einen Seite tun. Solche Cookies sind oft für die korrekte Darstellung der Seite nötig.

Drittanbieter-Cookies

Webseiten können Elemente von anderen Webservern einbinden, ohne dass man dies klar erkennen kann. Beispielsweise Bilder oder Werbebanner, Schaltflächen von sozialen Netzwerken oder auch nur ein einziges, unsichtbares Webseiten-Pixel, im Jargon „Beacon“ genannt.

Diese Bausteine von anderen Webservern nennt man Drittanbieter-Elemente. Sie können ebenfalls Cookies setzen – oder bereits vorhandene Cookies auslesen. Man spricht in diesem Fall von Drittanbieter-Cookies. Diese Cookies sind nicht an die Internetadresse gebunden, die ein*e Nutzer*in aufgerufen hat, sondern an eine ganz andere, die er*sie nie zu Gesicht bekommt.

Manche Unternehmen haben auf hunderten Webseiten ihre Elemente eingebunden, die Cookies setzen und auslesen. Jedes mal, wenn jemand eine solche Seite aufruft, erfährt der Drittanbieter dies, und kann die Person aufgrund der vorhandenen Cookies über die verschiedenen Webseiten hinweg identifizieren.

Cookies von Drittanbietern können in allen großen Browsern blockiert werden. Dies verhindert das Setzen eines neuen Cookies. Ist aber schon eins gespeichert, kann es trotzdem weiter ausgelesen werden. Darum empfehlen wir, nicht nur Drittanbieter-Cookies zu blockieren, sondern auch die vorhandenen Drittanbieter-Cookies zu löschen.

Browser-Fingerprinting

Die Zusammensetzung von verwendeter Browserversion, Betriebssystem und -version, verwendeten Add-ons, Hardware, Sprach-, Sicherheits- und Datenschutz-Einstellungen ergibt für viele Nutzer*innen eine nahezu einzigartige Kombination. Betrachtet man all diese Angaben zusammen, ergibt sich ein eindeutiger „Browser-Fingerabdruck“ jeder surfenden Person.

Weil der Browser all diese Daten standardmäßig an eine aufgerufene Webseite übermittelt, können Webseitenbetreiber Nutzer*innen relativ zuverlässig anhand dieses Fingerabdruckes erkennen. Bei dem 2017 durchgeführten Testprojekt Panopticlick der Electronic Frontier Foundation konnten 83 Prozent aller Nutzer*innen durch Fingerprinting eindeutig erkannt werden.

Seit die Anbieter der Browser Chrome (Google) und Safari (Apple) erhebliche Einschränkungen für Cookies eingeführt haben, setzt die Werbeindustrie zunehmend auf Varianten des Fingerprintings, um Nutzer*innen auf verschiedenen Webseiten zu erkennen. Dabei wird in der Regel aus der IP-Adresse, der Länder- und Sprachkennung sowie den technischen Browserdaten ein mathematischer Wert berechnet (ein sogenannter Hash), der für die*den selben Nutzer*in immer gleich ist.

Technisch ist dieses Verfahren kaum zu unterbinden. Der Browser Firefox versucht Fingerprinting daher über Sperrlisten zu blockieren. Dabei gleicht der Browser jede Internetadresse von Drittanbieter-Elementen auf einer Webseite mit einer Sperrliste ab. Auf der Sperrliste stehen Internetadressen, von denen bekannt ist, dass Sie zu Anbietern gehören, die Fingerprinting betreiben. Dahinter steht also ein manueller Prozess, der niemals ganz vollständig ist. Firefox nutzt dafür die Sperrlisten der Firma Disconnect.

E-Tags und Cache

Browser arbeiten mit Zwischenspeichern, sogenannten Caches, in die sie Teile einer Website ablegen können, zum Beispiel große Bilder. So können sie die Inhalte aus dem Zwischenspeicher laden, wenn Nutzer*innen die Seite nochmal aufrufen. Dadurch wird sie schneller geladen.

Damit eine Webseite weiß, welche Inhalte sie noch liefern muss und welche der Browser sich aus dem Zwischenspeicher holen kann, wird zu jedem Cache-Inhalt eine Hinweis-Datei gespeichert – ein sogenannter E-Tag. Wird die Seite erneut aufgerufen, sendet der Browser diesen E-Tag, und der Webserver kann daraus ermitteln, welche Dateien bereits im Cache liegen.

E-Tags können aber auch wie ein Cookie zum Tracken verwendet werden. Auch eingebundene Elemente von Dritten können solche trackenden E-Tags ablegen und auslesen. E-Tags kann man nur löschen, indem man den Cache löscht. Die meisten Browser bieten diese Option in den Einstellungen. In einigen Browsern kann man den Cache auch ganz deaktivieren. Webseiten laden dann aber etwas langsamer und Sie verbrauchen mehr mobiles Datenvolumen.

Super-Cookies

In der Welt der Computer sind sogenannte Super-Cookies bekannt. Eine andere Bezeichnung für Super-Cookies ist Local-Shared-Objects (LSO). Diese Cookies sind wesentlich größer als normale Cookies, sie haben kein Verfallsdatum und sind oft schwer zu löschen.

Man unterscheidet zwei Arten:

  • Flash-Cookies: Damit sie funktionieren, muss das Gerät die Programmiersprache „Flash“ unterstützen. Android unterstützt seit der Version 4.3 standardmäßig kein Flash mehr. Es gibt aber Wege, sich trotzdem Flash auf das Android-Gerät zu installieren. In dem Fall ist es auch für Flash-Cookies anfällig.
  • Local-Storage Cookies: Neben dem Cache gibt es noch einen anderen Ort im Browser, in dem Webseiten Inhalte ablegen können. Ursprünglich auch mit der Intention, diese Seiten später schneller laden zu können. Dieser Ort wird wahlweise als DOM-Storage, Web-Storage oder Local-Storage bezeichnet. Besonders auf Smartphones wird dieser Speicher oft benutzt, um trackende Elemente abzulegen. Wie man diesen Speicher löschen kann, ist in jedem Browser unterschiedlich gelöst.

Tracking per Browserverlauf

Tracking kann auch durch den Browser-Verlauf bzw. die -Chronik erfolgen. Fast alle Browser zeichnen in der Standardeinstellung auf, welche Webseiten besucht wurden.

Eigentlich gibt der Browser diese Aufzeichnung nicht an Webseiten heraus. Es gab aber in der Vergangenheit Methoden, mit denen Webseiten dem Browser Informationen über diese Aufzeichnung entlocken konnten. Dabei wurde ausgenutzt, dass der Browser einer Webseite verrät, welche Links jemand schon besucht hat, damit diese farblich anders dargestellt werden können. Diese Art des "History-Stealings" (Verlauf stehlen) ist inzwischen weitgehend unterbunden.

In der Desktop-Welt gibt es viele Programme, die direkt in den Browser eingebunden sind. Zum Beispiel Passwort-Manager, Clipping-Werkzeuge, Antiviren-Software, Browser-Add-ons oder Toolbars. Sie alle sind potentiell in der Lage, alle aufgerufenen Internetadressen mitzuschneiden. Vor allem bei den Toolbars und Add-ons werden immer wieder Fälle bekannt, bei denen der Browserverlauf mitgeschnitten und an Firmen versendet und verkauft wurde.

Bei Smartphones ist es nicht so einfach, eine App direkt in den Browser einzubinden. Unter iOS ist dies nur möglich, wenn der Browser Safari die entsprechende App zulässt. Bei Android sind dafür besondere Berechtigungen nötig. Browser-Add-Ons wie auf dem Desktop gibt es auf dem Smartphone nur für den Browser Firefox.

Prefetching

Alle großen Browser haben eine "Prefetching"-Funktion. Übersetzt heißt das soviel wie "vorab holen". Der Browser prüft dabei auf der Seite, die er gerade anzeigt, ob diese Links enthält. Sind Links vorhanden, lädt der Browser die Seiten, zu denen die Links führen, schon mal vor. Klickt der*die Nutzer*in dann tatsächlich auf einen der Links, wird die dahinter liegende Webseite schneller aufgebaut.

Dabei übermittelt der Browser die Standard-Informationen an die "vorab geladenen" Seiten, die er auch an tatsächlich aufgerufene Seiten übermitteln würde. Auch Cookies können ausgelesen werden. Es werden allerdings nicht alle verlinkten Seiten vorab geladen, sondern nur solche, die speziell von der Webseite dafür markiert wurden.

Durch Prefetching können persönliche Informationen an Webseiten übermittelt werden, die Sie nie aufgerufen haben. Bei Firefox lässt sich die Funktion nicht abschalten, in der weitgehend baugleichen nightly-Version aber schon. Eine Anleitung finden Sie hier. In Chrome lässt sich die Funktion über die Browser-Einstellungen deaktivieren (zur Anleitung).

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Hintergrund 

Greenwashing-Check: Die Apple Watch und das Klima

Apple präsentiert sich gerne als grüner Handybauer. Wir schauen uns die Details in einer Serie an. Etwa die Klimabilanz der Watch.

Mehr
Ratgeber 

Was ist eigentlich eine Cloud?

Eine Cloud ist ein zentraler Speicher im Internet, auf den Sie jederzeit mit unterschiedlichen Geräten zugreifen können. Bekannte Dienste sind Dropbox und Google Drive. Doch auch bei App-Daten kommen Clouds zum Einsatz. Ein Überblick.

Mehr
Ratgeber 

Samsung Kindermodus einrichten – so geht’s

Sie haben ein Samsung-Handy und wollen es ab und an Ihrem Kind in die Hand geben? Mit der Samsung-App „Kindermodus“ können Sie das Gerät so sichern, dass dabei kein Unglück passiert. Wir zeigen Schritt für Schritt, wie Sie die App einrichten.

Mehr
YouTube-Video 

Wir sind wieder da!

Wir sind wieder da! Endlich! Im Video erfahrt ihr, wie wir unsere Arbeit finanzieren und was wir jetzt vorhaben.

Ansehen