Ratgeber

Tracking im Internet: Cookies, Cache & Co.

Ein Artikel von , veröffentlicht am 14.01.2016, bearbeitet am07.01.2021
iStock.com/ Aleutie

Wer im Internet surft, hinterlässt Spuren. Welche Daten dabei an wen übermittelt werden, ist für Nutzer*innen meist nicht transparent. Wir stellen die wichtigsten Arten von Tracking vor und erklären, wie man sich davor schützen kann.

Was ist Tracking?

Von Tracking spricht man, wenn das Verhalten von Personen über mehrere Internetseiten hinweg beobachtet und analysiert wird. Datensammler*innen interessieren sich zum Beispiel dafür, welche Links sie klicken, welche Produkte sie kaufen, welche Daten sie in Formulare eingeben und so weiter.

Zusammengeführt entstehen aus diesen Informationen Profile, die auf Interessen, Kaufkraft oder persönliche Vorlieben von Nutzer*innen schließen lassen. Um solche Profile zu erweitern, müssen Personen auf unterschiedlichen Webseiten wiedererkennbar sein.

Diese Aufgabe übernehmen sogenannte Tracker. Für Nutzer*innen ist zunächst nicht erkennbar, ob Tracker in eine Webseite eingebunden sind. Erst spezielle Programme machen ihre Anwesenheit sichtbar.

Wie funktioniert Tracking?

Wenn Sie eine Webseite aufrufen, übermittelt Ihr Browser dem Server, auf dem diese Seite liegt, einige Standard-Informationen. Dazu gehört Ihre Browser-Version (zum Beispiel Firefox 82.0), die Namen von Browser-Plugins, Betriebssystem-Version, Größe und Auflösung Ihres Bildschirms, welche Sprache Sie eingestellt haben und einiges mehr.

Die gängigen Browser übermitteln auch Ihre IP-Adresse und von welcher Internetadresse Sie auf die Seite gekommen sind. Zudem verständigen sich Browser und Webserver darüber, ob Sie diese Website schon einmal besucht haben.

Dieser Informationsaustausch dient eigentlich dazu, Ihnen das Surfen zu erleichtern. Doch Datensammler*innen nutzen ihn aus, um mehr über die Nutzer*innen im Internet zu erfahren.

Cookies

Cookies sind kleine Textdateien, die der Webserver auf Ihrem Smartphone oder Laptop ablegt. Darin steht zum Beispiel eine Identifikationsnummer, welche Sprache Sie auf einer Webseite ausgewählt haben und weitere Informationen. Rufen Sie die Seite erneut auf, sendet Ihr Browser das Cookie automatisch an den Webserver. Dadurch erkennt der Webserver Sie wieder und weiß, dass Sie die Webseite schon mal besucht haben.

Ein Cookie kann immer nur von einer bestimmten Webseite gesetzt und auch von dieser ausgelesen werden. Es ist also an eine Internetadresse (Domain) gebunden. Wenn diese Adresse dieselbe ist, die Sie in der Adresszeile seines Browsers sehen, handelt es sich um ein normales Cookie. Solche Cookies können nur verfolgen, was ein*e Nutzer*in auf dieser bestimmten Seite tut. Solche Cookies sind oft für die korrekte Darstellung der Seite nötig.

Nach einem Urteil des Europäischen Gerichtshof im Oktober 2019 müssen Nutzer*innen ausdrücklich zustimmen, dass Cookies gesetzt werden dürfen, wenn sie eine Webseite das erste Mal aufrufen.

Drittanbieter-Cookies

Webseiten können Elemente anderer Anbieter einbinden, ohne dass man dies klar erkennen kann. Beispielsweise Bilder oder Werbebanner, Schaltflächen von sozialen Netzwerken oder auch nur ein einziges, unsichtbares Webseiten-Pixel, im Jargon „Beacon“ genannt.

Diese Bausteine von anderen Webservern nennt man Drittanbieter-Elemente. Sie können ebenfalls Cookies setzen – oder bereits vorhandene Cookies auslesen. Man spricht in diesem Fall von Drittanbieter-Cookies. Diese Cookies sind nicht an die Internetadresse gebunden, die ein*e Nutzer*in aufgerufen hat, sondern an eine ganz andere, die er*sie nie zu Gesicht bekommt.

Manche Unternehmen haben auf hunderten Webseiten ihre Elemente eingebunden, die Cookies setzen und auslesen. Jedes mal, wenn jemand eine solche Seite aufruft, erfährt der Drittanbieter dies, und kann die Person aufgrund der vorhandenen Cookies über die verschiedenen Webseiten hinweg identifizieren.

Cookies von Drittanbietern können in allen großen Browsern blockiert werden. Dies verhindert das Setzen eines neuen Cookies. Ist aber schon eins gespeichert, kann es trotzdem weiter ausgelesen werden. Darum empfehlen wir, nicht nur Drittanbieter-Cookies zu blockieren, sondern auch die vorhandenen Drittanbieter-Cookies zu löschen.

E-Tags und Cache

Browser arbeiten mit Zwischenspeichern, sogenannten Caches, in die sie Teile einer Website ablegen können, zum Beispiel große Bilder. So können sie die Inhalte aus dem Zwischenspeicher laden, wenn Nutzer*innen die Seite nochmal aufrufen. Dadurch wird sie schneller geladen.

Damit eine Webseite weiß, welche Inhalte sie noch liefern muss und welche der Browser sich aus dem Zwischenspeicher holen kann, wird zu jedem Cache-Inhalt eine Hinweis-Datei gespeichert – ein sogenannter E-Tag. Wird die Seite erneut aufgerufen, sendet der Browser diesen E-Tag, und der Webserver kann daraus ermitteln, welche Dateien bereits im Cache liegen.

E-Tags können aber auch wie ein Cookie zum Tracken verwendet werden. Auch eingebundene Elemente von Dritten können solche trackenden E-Tags ablegen und auslesen. E-Tags kann man nur löschen, indem man den Cache löscht. Die meisten Browser bieten diese Option in den Einstellungen. In einigen Browsern kann man den Cache auch ganz deaktivieren. Webseiten laden dann aber etwas langsamer und Sie verbrauchen mehr mobiles Datenvolumen.

Browser-Fingerprinting

Die Zusammensetzung von verwendeter Browserversion, Betriebssystem und -version, verwendeten Add-ons, Hardware, Sprach-, Sicherheits- und Datenschutz-Einstellungen ergibt für viele Nutzer*innen eine nahezu einzigartige Kombination. Betrachtet man all diese Angaben zusammen, ergibt sich ein eindeutiger „Browser-Fingerabdruck“ jeder surfenden Person.

Weil der Browser all diese Daten standardmäßig an eine aufgerufene Webseite übermittelt, können Webseitenbetreiber Nutzer*innen relativ zuverlässig anhand dieses Fingerabdruckes erkennen. Auch manche Drittanbieter-Elemente können den Browser-Fingerabdruck auslesen. Bei dem 2017 durchgeführten Testprojekt Panopticlick der Electronic Frontier Foundation konnten 83 Prozent aller Nutzer*innen durch Fingerprinting eindeutig erkannt werden.

Der Browser Firefox blockiert einiges an Fingerprinting mit der Funktion "verbesserter Schutz vor Aktivitätenverfolgung", die per Voreinstellung aktiviert ist. Um Tracker zu erkennen, die den Fingerabdruck auslesen, arbeitet Firefox mit der Firma Disconnect zusammen, die entsprechende Sperrlisten führt.

Disconnect sammelt kontinuierlich Internetadressen, die Tracker setzen oder auslesen. Der eingebaute Tracking-Schutz des Browsers gleicht jede Internetadresse von Drittanbieter-Elementen, an die der Browser Daten senden will, mit einer oder mehrerer dieser Listen ab. Steht eine Adresse auf der Sperrliste, wird nicht nur das Ablegen von Cookies blockiert, sondern jegliche Kommunikation dorthin.

Super-Cookies

In der Welt der Computer sind sogenannte Super-Cookies bekannt. Eine andere Bezeichnung für Super-Cookies ist Local-Shared-Objects (LSO). Diese Cookies sind wesentlich größer als normale Cookies, sie haben kein Verfallsdatum und sind oft schwer zu löschen.

Man unterscheidet zwei Arten:

  • Flash-Cookies: Damit sie funktionieren, muss das Gerät die Programmiersprache „Flash“ unterstützen. Android unterstützt seit der Version 4.3 standardmäßig kein Flash mehr. Es gibt aber Wege, sich trotzdem Flash auf das Android-Gerät zu installieren. In dem Fall ist es auch für Flash-Cookies anfällig.
  • Local-Storage Cookies: Neben dem Cache gibt es noch einen anderen Ort im Browser, in dem Webseiten Inhalte ablegen können. Ursprünglich auch mit der Intention, diese Seiten später schneller laden zu können. Dieser Ort wird wahlweise als DOM-Storage, Web-Storage oder Local-Storage bezeichnet. Besonders auf Smartphones wird dieser Speicher oft benutzt, um trackende Elemente abzulegen. Wie man diesen Speicher löschen kann, ist in jedem Browser unterschiedlich gelöst.

Tracking per Browserverlauf

Tracking kann auch durch den Browser-Verlauf bzw. die -Chronik erfolgen. Fast alle Browser zeichnen in der Standardeinstellung auf, welche Webseiten besucht wurden.

Eigentlich gibt der Browser diese Aufzeichnung nicht an Webseiten heraus. Es gab aber in der Vergangenheit Methoden, mit denen Webseiten dem Browser Informationen über diese Aufzeichnung entlocken konnten. Dabei wurde ausgenutzt, dass der Browser einer Webseite verrät, welche Links jemand schon besucht hat, damit diese farblich anders dargestellt werden können. Diese Art des "History-Stealings" (Verlauf stehlen) ist inzwischen weitgehend unterbunden.

In der Desktop-Welt gibt es viele Programme, die direkt in den Browser eingebunden sind. Zum Beispiel Passwort-Manager, Clipping-Werkzeuge, Antiviren-Software, Browser-Add-ons oder Toolbars. Sie alle sind potentiell in der Lage, alle aufgerufenen Internetadressen mitzuschneiden. Vor allem bei den Toolbars und Add-ons werden immer wieder Fälle bekannt, bei denen der Browserverlauf mitgeschnitten und an Firmen versendet und verkauft wurde.

Bei Smartphones ist es nicht so einfach, eine App direkt in den Browser einzubinden. Unter iOS ist dies nur möglich, wenn der Browser Safari die entsprechende App zulässt. Bei Android sind dafür besondere Berechtigungen nötig. Browser-Add-Ons wie auf dem Desktop gibt es auf dem Smartphone nur für den Browser Firefox.

Prefetching

Alle großen Browser haben eine "Prefetching"-Funktion. Übersetzt heißt das soviel wie "vorab holen". Der Browser prüft dabei auf der Seite, die er gerade anzeigt, ob diese Links enthält. Sind Links vorhanden, lädt der Browser die Seiten, zu denen die Links führen, schon mal vor. Klickt der*die Nutzer*in dann tatsächlich auf einen der Links, wird die dahinter liegende Webseite schneller aufgebaut.

Dabei übermittelt der Browser die Standard-Informationen an die "vorab geladenen" Seiten, die er auch an tatsächlich aufgerufene Seiten übermitteln würde. Auch Cookies können ausgelesen werden. Es werden allerdings nicht alle verlinkten Seiten vorab geladen, sondern nur solche, die speziell von der Webseite dafür markiert wurden.

Durch Prefetching können persönliche Informationen an Webseiten übermittelt werden, die Sie nie aufgerufen haben. Früher ließ sich die Funktion und damit auch das Tracking in Firefox recht einfach blockieren. Seit August 2020 steht diese Möglichkeit in der normalen Firefox-Version nicht mehr zur Verfügung sondern nur noch in der weitgehend baugleichen nightly-Version. In Chrome lässt sich die Funktion über die Browser-Einstellungen deaktivieren.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

3 Punkte für mehr Datenschutz beim ersten Start des Windows-10-Mobilgerätes

Die Standardeinstellungen für Datenschutz sind bei Windows 10 mobile nicht eben hoch. Wer mehr will, sollte bereits beim ersten Einschalten einige Hinweise beachten. Denn einmal versendete Daten sind nicht mehr rückholbar.

Mehr
Ratgeber 

Sicherheit bei Apples iOS9

Das aktuelle Betriebssystem für iPhones und iPads ist iOS9. Apple hat ihm zahlreiche Funktionen und Einstellungsmöglichkeiten zu Datenschutz und Datensicherheit verpasst. Ein Überblick.

Mehr
Ratgeber 

Bildschirmsperre einrichten (iOS 8)

Wenn Sie keine Bildschirmsperre einrichten und Ihr Telefon oder Tablet abhanden kommt, kommen Diebe und Finder an nahezu alle persönlichen Daten auf Ihrem Gerät. Hier zeigen wir, wie Sie eine Bilschirmsperre für Ihr iPhone oder iPad einrichten können.

Mehr
YouTube-Video 

Das eigene iPhone für den Verlustfall sichern

Ein geklautes iPhone kann vom Dieb mit dem "Recovery-Modus" in den Werkszustand zurückgesetzt und damit weiter verwendet werden. Es sei denn, Sie haben die Funktion "Mein iPhone/iPad suchen" eingeschalten. Wie das geht und worauf Sie achten müssen, sehen Sie hier.

Ansehen