Ratgeber

Tracking im Internet: Cookies, Cache & Co.

Ein Artikel von , veröffentlicht am 14.01.2016, bearbeitet am21.03.2017
iStock.com/ Aleutie

Wer im Internet surft, hinterlässt Spuren. Es gibt viele Möglichkeiten, diese Datenspuren zu sammeln. Welche Informationen dabei zu wem gelangen, ist für Nutzer meist nicht transparent. Wir zeigen die wichtigsten Tracking-Arten, und wie man sich davor schützen kann.

Was ist Tracking?

Von Tracking spricht man, wenn Datensammler versuchen, Nutzer über mehrere Internetseiten hinweg zu beobachten, und in Erfahrung zu bringen, was Sie auf diesen Seiten tun. Zum Beispiel, welche Links sie klicken, welche Dinge sie kaufen, welche Daten sie in ein Formular eingeben.

Zusammengeführt entstehen aus diesen Informationen Profile, die Interessen, Kaufkraft oder persönliche Vorlieben des Nutzers beschreiben. Damit Datensammler Nutzerprofile erstellen können, müssen sie die Nutzer auf verschiedenen Webseiten, oder wenn sie dieselbe Seite mehrfach aufrufen, eindeutig wiedererkennen können.

Diese Aufgabe übernehmen sogenannte Tracker. Es gibt viele verschiedene Arten von Trackern. Für den Nutzer ist ihre Anwesenheit auf einer Webseite meist nicht erkennbar.

Wie funktioniert Tracking?

Wenn Sie eine Webseite aufrufen, übermittelt Ihr Browser dem Webserver, auf dem diese Seite liegt, eine Reihe Standard-Informationen. Dazu gehört Ihre Browser-Version, Browser-Plugins, Betriebssystem-Version, Größe und Auflösung Ihres Bildschirms, aber auch welche Sprache Sie eingestellt haben und einiges mehr.

Die gängigen Browser übermitteln auch Ihre IP-Adresse, und von welcher Internetadresse Sie auf die Seite gekommen sind. Zudem verständigen sich Browser und Webserver über verschiedene Dinge, zum Beispiel, ob Sie diese Website schon einmal besucht haben.

Dieser Informationsaustausch dient eigentlich dazu, das Surfen zu erleichtern. Doch Datensammler nutzen ihn aus, um mehr über die Nutzer im Internet zu erfahren.

Cookies

Cookies sind kleine Textdateien, die der Webserver auf Ihrem Gerät ablegt. Darin steht zum Beispiel eine Identifikationsnummer, welche Sprache Sie auf einer Webseite ausgewählt haben, und weitere Informationen. Rufen Sie die Seite erneut auf, sendet Ihr Browser das Cookie automatisch an den Webserver. Dadurch „erkennt“ der Webserver Sie wieder und weiß, dass Sie die Webseite schon mal besucht haben.

Ein Cookie kann immer nur von einer bestimmten Webseite gesetzt und auch von dieser ausgelesen werden. Es ist also an eine Internetadresse (Domain) gebunden. Wenn diese Adresse dieselbe ist, die der Nutzer in der Adresszeile seines Browsers sieht, handelt es sich um ein normales Cookie. Solche Cookies können nur verfolgen, was ein Nutzer auf dieser einen Seite tut. Solche Cookies sind oft zum Funktionieren der Seite nötig.

Drittanbieter-Cookies

Webseiten können Elemente von anderen Webservern einbinden, ohne dass man dies klar erkennen kann. Das sind meistens Bilder oder Werbebanner, Schaltflächen von sozialen Netzwerken, oder nur ein einziges, unsichtbares Pixel, im Jargon „Beacon“ genannt.

Diese Elemente von anderen Webservern heißen "Drittanbieter-Elemente". Sie können ebenfalls Cookies setzen – oder bereits vorhandene Cookies auslesen. Man spricht in diesem Fall von Drittanbieter-Cookies. Diese Cookies sind nicht an die Internetadresse gebunden, die der Nutzer aufgerufen hat, sondern an eine ganz andere, die der Nutzer gar nicht zu Gesicht bekommt.

Manche Unternehmen haben auf vielen hundert Webseiten ihre Elemente eingebunden, die Cookies setzen und auslesen. Jedes mal, wenn ein Nutzer eine dieser Seiten aufruft, erfährt der Drittanbieter dies, und kann den Nutzer aufgrund der vorhandenen Cookies über die verschiedenen Webseiten hinweg identifizieren.

Cookies von Drittanbietern können in allen großen Browsern blockiert werden. Dies verhindert das Setzen eines Cookies. Ist aber schon ein Cookie gespeichert, kann es trotzdem weiter ausgelesen werden. Darum empfehlen wir, nicht nur Drittanbieter-Cookies zu blockieren, sondern auch die vorhandenen Drittanbieter-Cookies zu löschen.

E-Tags und Cache

Browser arbeiten mit Zwischenspeichern, sogenannten Caches, in die sie Teile einer Website ablegen, zum Beispiel große Bilder. So können sie die Inhalte aus dem Zwischenspeicher laden, wenn Nutzer die Seite nochmal aufrufen. Dadurch wird sie schneller geladen.

Damit eine Webseite weiß, welche Inhalte sie noch liefern muss, und welche der Browser aus dem Cache holt, wird zu jedem Cache-Inhalt eine Datei gespeichert – ein sogenannter E-Tag. Wird die Seite erneut aufgerufen, sendet der Browser diesen E-Tag, und der Webserver kann daraus ermitteln, welche Dateien bereits im Cache liegen.

E-Tags können aber auch wie ein Cookie zum Tracken verwendet werden. Auch eingebundene Elemente von Dritten können solche trackenden E-Tags ablegen und auslesen. E-Tags kann man nur löschen, indem man den Cache löscht. Die meisten Browser bieten diese Option in den Einstellungen. In einigen Browsern kann man den Cache auch ganz deaktivieren. Webseiten laden dann langsamer und Sie verbrauchen mehr Datenvolumen.

Browser-Fingerprinting

Die Zusammensetzung von verwendeter Browserversion, Betriebssystem und -version, verwendeten Add-ons, Hardware, Sprach-, Sicherheits- und Datenschutz-Einstellungen ergibt für viele Nutzer eine nahezu einzigartige Kombination. Betrachtet man all diese Angaben zusammen, ergibt sich ein eindeutiger „Browser-Fingerabdruck“ des Nutzers.

Weil der Browser all diese Daten standardmäßig an eine aufgerufene Webseite übermittelt, können Webseitenbetreiber Nutzer relativ zuverlässig anhand dieses Fingerabdruckes erkennen. Bei dem Testprojekt „Panopticlick“ der Electronic Frontier Foundation konnten 83 Prozent aller Nutzer damit eindeutig erkannt werden.

Auch manche Drittanbieter-Elemente können den Browser-Fingerabdruck auslesen. Gegen Browser-Fingerprinting auf Smartphones bieten derzeit nur Sperrlisten Schutz. Es gibt verschiedene Organisationen, die solche Listen führen, zum Beispiel das Fraunhofer SIT, oder die Firma Disconnect.

Sie sammeln auf ihren Listen kontinuierlich Internetadressen, die Tracker setzen oder auslesen. Browser mit Tracking-Schutz gleichen jede Internetadresse von Drittanbieter-Elementen, an die der Browser Daten senden will, mit einer oder mehrerer dieser Listen ab.

Steht eine Adresse auf der Sperrliste, wird nicht nur das Ablegen von Cookies blockiert, sondern jegliche Kommunikation dorthin. Zum Beispiel der Browser Firefox arbeitet mit einer solchen Sperrliste. (Ab Version 42).

Was der Firefox-Browser ist, erklären wir im Hintergrundtext: Firefox-Browser Nutzen (Android). Wie man ihn konfiguriert, um zum Beispiel mit einer Sperrliste zu arbeiten, erfahren Sie im Ratgeber: Firefox konfigurieren (Android).

Super-Cookies

In der Welt der Computer sind sogenannte Super-Cookies bekannt. Eine andere Bezeichnung für Super-Cookies ist Local-Shared-Objects (LSO). Diese Cookies sind wesentlich größer als normale Cookies, sie haben kein Verfallsdatum und sind oft schwer zu löschen. Man unterscheidet zwei Arten:

  • Flash-Cookies: Damit sie funktionieren, muss das Gerät die Programmiersprache „Flash“ unterstützen. Android unterstützt seit der Version 4.3 standardmäßig kein Flash mehr. Es gibt aber Wege, sich trotzdem Flash auf das Android-Gerät zu installieren. In dem Fall ist es auch für Flash-Cookies anfällig.
  • Local-Storage Cookies: Neben dem Cache gibt es noch einen anderen Ort im Browser, in dem Webseiten Inhalte ablegen können. Ursprünglich auch mit der Intention, diese Seiten später schneller laden zu können. Dieser Ort wird wahlweise als DOM-Storage, Web-Storage oder Local-Storage bezeichnet. Besonders auf Smartphones wird dieser Speicher oft benutzt, um trackende Elemente abzulegen. Wie man diesen Speicher löschen kann, ist in jedem Browser unterschiedlich gelöst.
Bei dem Browser Firefox schützt zum Beispiel das Add-on "SDC" gegen diese Cookies. Mehr dazu im Beitrag Add-ons für Firefox (Android).

Browserverlauf

Fast alle Browser zeichnen in der Standardeinstellung auf, welche Webseiten besucht wurden. Diese Aufzeichnung nennt man Browserverlauf oder Browser-Historie.

Eigentlich gibt der Browser diese Aufzeichnung nicht an Webseiten heraus. Es gab aber in der Vergangenheit Methoden, mit denen Webseiten dem Browser Informationen über diese Aufzeichnung entlocken konnten. Dabei wurde ausgenutzt, dass der Browser einer Webseite verrät, welche Links der Nutzer schon besucht hat, damit diese farblich anders dargestellt werden können. Diese Art des "History-Stealings" (Browserverlauf stehlen), ist seit 2010 weitgehend unterbunden.

In der Desktop-Welt gibt es viele Programme, die direkt in den Browser eingebunden sind. Zum Beispiel Passwort-Manager, Clipping-Werkzeuge, Antiviren-Software, Browser-Add-ons oder Toolbars. Sie alle sind potentiell in der Lage, alle aufgerufenen Internetadressen mitzuschneiden. Vor allem bei den Toolbars und Add-ons wurden immer wieder Fälle bekannt, bei denen der Browserverlauf mitgeschnitten und ohne Wissen des Nutzers an Firmen versendet und verkauft wurde.

Bei Smartphones ist es nicht so einfach, eine App direkt in den Browser einzubinden. Unter iOS ist dies nur möglich, wenn der Browser Safari die entsprechende App zulässt. Bei Android sind dafür besondere Berechtigungen nötig, die der Nutzer genehmigen muss. Browser-Add-ons, wie auf dem Desktop, gibt es auf dem Smartphone nur für den Browser Firefox.

Prefetching

Alle großen Browser haben eine "Prefetching"-Funktion. Übersetzt heißt das Wort soviel wie "vorab holen". Der Browser prüft dabei auf der Seite, die er gerade anzeigt, ob diese Links enthält. Sind Links vorhanden, lädt der Browser die Seiten, zu denen die Links führen, schon mal vorab. Klickt der Nutzer dann tatsächlich auf einen der Links, kann der Browser die Seite, die dahinter liegt, schnell aufbauen.

Dabei übermittelt der Browser die Standard-Informationen an die "vorab geladenen" Seiten, die er auch an tatsächlich aufgerufene Seiten übermitteln würde. Auch Cookies können ausgelesen werden. Es werden allerdings nicht alle verlinkten Seiten vorab geladen, sondern nur solche, die speziell von der Webseite dafür markiert wurden.

Trotzdem gilt: Durch Prefetching können Nutzerinformationen an Webseiten übermittelt werden, die der Nutzer nie aufgerufen hat. In den meisten Browsern kann man die Funktion deaktivieren. Das schont auch das Datenvolumen - kann aber zu längeren Wartezeiten beim Seitenaufbau führen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

App-Test 

Telekom Mail im Test: Durchwachsen

Insgesamt erhalten neun verschiedene Unternehmen Daten aus der Mail-App der Telekom. Der Versuch, dabei die Privatsphäre der Nutzer zu respektieren, gelingt nicht immer. Löblich: Opt-out-Möglichkeiten und klare Datenschutzerklärung. Unser Fazit lautet dennoch: Es gibt bessere Mail-Apps.

Mehr
Firewalls und VPNs 

So richten Sie die NoRoot Firewall ein

Mit der App „NoRoot Firewall“ kann man kontrollieren, welche Verbindungen Apps ins Internet aufbauen. Die App bietet viele Filtermöglichkeiten, ist aber auch etwas unübersichtlich. Wir zeigen die wichtigsten Schritte, um die App zu konfigurieren.

Mehr
Ratgeber 

Schritt für Schritt: Bluetooth ausschalten

Ein ausgeschaltetes Bluetooth-Gerät kann niemand angreifen oder sich heimlich damit verbinden. Daher sollte die Funktion bei Smartphone oder Tablet nur an sein, wenn sie auch genutzt wird. Doch Vorsicht: Aus ist nicht gleich aus.

Mehr
Ratgeber 

Apps bei Depression: Sensible Daten sicher verpackt?

Jedes Jahr erkranken rund 5,3 Millionen Menschen in Deutschland an Depression. Kein Wunder, dass auch App-Entwickler die Volkskrankheit für sich entdeckt haben. Doch können Apps bei Depression helfen? Und wann sollte man besser die Finger davon lassen?

Mehr