Ratgeber

Tracking auf Webseiten: Cookies, Cache & Co.

Ein Artikel von , veröffentlicht am 14.01.2016, bearbeitet am07.01.2021
iStock.com/ Aleutie

Wer im Internet surft, hinterlässt Spuren. Welche Daten dabei an wen übermittelt werden, ist für Nutzer*innen meist nicht transparent. Wir stellen die wichtigsten Arten von Tracking auf Webseiten vor und erklären, wie man sich davor schützen kann.

Was ist Tracking?

Von Tracking sprechen wir, wenn das Verhalten von Personen auf mehreren Internetseiten beobachtet, zusammengeführt und analysiert wird. Datensammler*innen interessieren sich zum Beispiel dafür, welche Links Sie klicken, welche Produkte Sie kaufen, welche Daten Sie in Formulare eingeben, mit welchem Gerät Sie surfen und wo Sie sich befinden.

Zusammengeführt entstehen aus diesen Informationen Profile, die auf Interessen, Kaufkraft oder persönliche Vorlieben schließen lassen. Um solche Profile zu bilden und zu erweitern, müssen Personen auf unterschiedlichen Webseiten wiedererkennbar sein.

Diese Aufgabe übernehmen sogenannte Tracker. Für Nutzer*innen ist zunächst nicht erkennbar, ob Tracker in einer Webseite eingebunden sind. Mit speziellen Programmen lässt sich dies aber sichtbar machen.

Wie funktioniert Tracking?

Wenn Sie eine Webseite aufrufen, übermittelt Ihr Browser dem Server, auf dem diese Seite liegt, einige Standard-Informationen. Dazu gehört Ihre Browser-Version (zum Beispiel Firefox 113), die Namen von Browser-Addons, Betriebssystem-Version, Größe und Auflösung Ihres Bildschirms, welche Sprache Sie eingestellt haben und einiges mehr.

Die gängigen Browser übermitteln auch Ihre IP-Adresse und von welcher Internetadresse Sie auf die Seite gekommen sind. Zudem verständigen sich Browser und Webserver darüber, ob Sie diese Webseite schon einmal besucht haben.

Dieser Informationsaustausch dient eigentlich dazu, Ihnen das Surfen zu erleichtern. Doch Datensammler*innen nutzen ihn aus, um mehr über die Nutzer*innen im Internet zu erfahren.

Cookies

Cookies sind kleine Textdateien, die der Webserver auf Ihrem Smartphone oder Computer ablegt. Darin steht zum Beispiel eine Identifikationsnummer, welche Sprache Sie auf einer Webseite ausgewählt haben und das aktuelle Datum. Rufen Sie die Seite erneut auf, sendet Ihr Browser diese Textdatei automatisch an den Webserver. Dadurch erkennt der Webserver, dass Sie die Webseite schon mal besucht haben und zeigt zum Beispiel gleich die richtige Sprache an.

Ein Cookie kann immer nur von der Webseite ausgelesen werden, von der es auch gesetzt wurde. Es ist also an eine Internetadresse (Domain) gebunden. Wenn diese Adresse dieselbe ist, die Sie in der Adresszeile Ihres Browsers sehen, handelt es sich um ein normales Cookie. Solche Cookies können nur verfolgen, was Sie auf dieser einen Seite tun. Solche Cookies sind oft für die korrekte Darstellung der Seite nötig.

Drittanbieter-Cookies

Webseiten können Elemente von anderen Webservern einbinden, ohne dass man dies klar erkennen kann. Beispielsweise Bilder oder Werbebanner, Schaltflächen von sozialen Netzwerken oder auch nur ein einziges, unsichtbares Webseiten-Pixel, im Jargon „Beacon“ genannt.

Diese Bausteine von anderen Webservern nennt man Drittanbieter-Elemente. Sie können ebenfalls Cookies setzen – oder bereits vorhandene Cookies auslesen. Man spricht in diesem Fall von Drittanbieter-Cookies. Diese Cookies sind nicht an die Internetadresse gebunden, die ein*e Nutzer*in aufgerufen hat, sondern an eine ganz andere, die er*sie nie zu Gesicht bekommt.

Manche Unternehmen haben auf hunderten Webseiten ihre Elemente eingebunden, die Cookies setzen und auslesen. Jedes mal, wenn jemand eine solche Seite aufruft, erfährt der Drittanbieter dies, und kann die Person aufgrund der vorhandenen Cookies über die verschiedenen Webseiten hinweg identifizieren.

Cookies von Drittanbietern können in allen großen Browsern blockiert werden. Dies verhindert das Setzen eines neuen Cookies. Ist aber schon eins gespeichert, kann es trotzdem weiter ausgelesen werden. Darum empfehlen wir, nicht nur Drittanbieter-Cookies zu blockieren, sondern auch die vorhandenen Drittanbieter-Cookies zu löschen.

Browser-Fingerprinting

Die Zusammensetzung von verwendeter Browserversion, Betriebssystem und -version, verwendeten Add-ons, Hardware, Sprach-, Sicherheits- und Datenschutz-Einstellungen ergibt für viele Nutzer*innen eine nahezu einzigartige Kombination. Betrachtet man all diese Angaben zusammen, ergibt sich ein eindeutiger „Browser-Fingerabdruck“ jeder surfenden Person.

Weil der Browser all diese Daten standardmäßig an eine aufgerufene Webseite übermittelt, können Webseitenbetreiber Nutzer*innen relativ zuverlässig anhand dieses Fingerabdruckes erkennen. Bei dem 2017 durchgeführten Testprojekt Panopticlick der Electronic Frontier Foundation konnten 83 Prozent aller Nutzer*innen durch Fingerprinting eindeutig erkannt werden.

Seit die Anbieter der Browser Chrome (Google) und Safari (Apple) erhebliche Einschränkungen für Cookies eingeführt haben, setzt die Werbeindustrie zunehmend auf Varianten des Fingerprintings, um Nutzer*innen auf verschiedenen Webseiten zu erkennen. Dabei wird in der Regel aus der IP-Adresse, der Länder- und Sprachkennung sowie den technischen Browserdaten ein mathematischer Wert berechnet (ein sogenannter Hash), der für die*den selben Nutzer*in immer gleich ist.

Technisch ist dieses Verfahren kaum zu unterbinden. Der Browser Firefox versucht Fingerprinting daher über Sperrlisten zu blockieren. Dabei gleicht der Browser jede Internetadresse von Drittanbieter-Elementen auf einer Webseite mit einer Sperrliste ab. Auf der Sperrliste stehen Internetadressen, von denen bekannt ist, dass Sie zu Anbietern gehören, die Fingerprinting betreiben. Dahinter steht also ein manueller Prozess, der niemals ganz vollständig ist. Firefox nutzt dafür die Sperrlisten der Firma Disconnect.

E-Tags und Cache

Browser arbeiten mit Zwischenspeichern, sogenannten Caches, in die sie Teile einer Website ablegen können, zum Beispiel große Bilder. So können sie die Inhalte aus dem Zwischenspeicher laden, wenn Nutzer*innen die Seite nochmal aufrufen. Dadurch wird sie schneller geladen.

Damit eine Webseite weiß, welche Inhalte sie noch liefern muss und welche der Browser sich aus dem Zwischenspeicher holen kann, wird zu jedem Cache-Inhalt eine Hinweis-Datei gespeichert – ein sogenannter E-Tag. Wird die Seite erneut aufgerufen, sendet der Browser diesen E-Tag, und der Webserver kann daraus ermitteln, welche Dateien bereits im Cache liegen.

E-Tags können aber auch wie ein Cookie zum Tracken verwendet werden. Auch eingebundene Elemente von Dritten können solche trackenden E-Tags ablegen und auslesen. E-Tags kann man nur löschen, indem man den Cache löscht. Die meisten Browser bieten diese Option in den Einstellungen. In einigen Browsern kann man den Cache auch ganz deaktivieren. Webseiten laden dann aber etwas langsamer und Sie verbrauchen mehr mobiles Datenvolumen.

Super-Cookies

In der Welt der Computer sind sogenannte Super-Cookies bekannt. Eine andere Bezeichnung für Super-Cookies ist Local-Shared-Objects (LSO). Diese Cookies sind wesentlich größer als normale Cookies, sie haben kein Verfallsdatum und sind oft schwer zu löschen.

Man unterscheidet zwei Arten:

  • Flash-Cookies: Damit sie funktionieren, muss das Gerät die Programmiersprache „Flash“ unterstützen. Android unterstützt seit der Version 4.3 standardmäßig kein Flash mehr. Es gibt aber Wege, sich trotzdem Flash auf das Android-Gerät zu installieren. In dem Fall ist es auch für Flash-Cookies anfällig.
  • Local-Storage Cookies: Neben dem Cache gibt es noch einen anderen Ort im Browser, in dem Webseiten Inhalte ablegen können. Ursprünglich auch mit der Intention, diese Seiten später schneller laden zu können. Dieser Ort wird wahlweise als DOM-Storage, Web-Storage oder Local-Storage bezeichnet. Besonders auf Smartphones wird dieser Speicher oft benutzt, um trackende Elemente abzulegen. Wie man diesen Speicher löschen kann, ist in jedem Browser unterschiedlich gelöst.

Tracking per Browserverlauf

Tracking kann auch durch den Browser-Verlauf bzw. die -Chronik erfolgen. Fast alle Browser zeichnen in der Standardeinstellung auf, welche Webseiten besucht wurden.

Eigentlich gibt der Browser diese Aufzeichnung nicht an Webseiten heraus. Es gab aber in der Vergangenheit Methoden, mit denen Webseiten dem Browser Informationen über diese Aufzeichnung entlocken konnten. Dabei wurde ausgenutzt, dass der Browser einer Webseite verrät, welche Links jemand schon besucht hat, damit diese farblich anders dargestellt werden können. Diese Art des "History-Stealings" (Verlauf stehlen) ist inzwischen weitgehend unterbunden.

In der Desktop-Welt gibt es viele Programme, die direkt in den Browser eingebunden sind. Zum Beispiel Passwort-Manager, Clipping-Werkzeuge, Antiviren-Software, Browser-Add-ons oder Toolbars. Sie alle sind potentiell in der Lage, alle aufgerufenen Internetadressen mitzuschneiden. Vor allem bei den Toolbars und Add-ons werden immer wieder Fälle bekannt, bei denen der Browserverlauf mitgeschnitten und an Firmen versendet und verkauft wurde.

Bei Smartphones ist es nicht so einfach, eine App direkt in den Browser einzubinden. Unter iOS ist dies nur möglich, wenn der Browser Safari die entsprechende App zulässt. Bei Android sind dafür besondere Berechtigungen nötig. Browser-Add-Ons wie auf dem Desktop gibt es auf dem Smartphone nur für den Browser Firefox.

Prefetching

Alle großen Browser haben eine "Prefetching"-Funktion. Übersetzt heißt das soviel wie "vorab holen". Der Browser prüft dabei auf der Seite, die er gerade anzeigt, ob diese Links enthält. Sind Links vorhanden, lädt der Browser die Seiten, zu denen die Links führen, schon mal vor. Klickt der*die Nutzer*in dann tatsächlich auf einen der Links, wird die dahinter liegende Webseite schneller aufgebaut.

Dabei übermittelt der Browser die Standard-Informationen an die "vorab geladenen" Seiten, die er auch an tatsächlich aufgerufene Seiten übermitteln würde. Auch Cookies können ausgelesen werden. Es werden allerdings nicht alle verlinkten Seiten vorab geladen, sondern nur solche, die speziell von der Webseite dafür markiert wurden.

Durch Prefetching können persönliche Informationen an Webseiten übermittelt werden, die Sie nie aufgerufen haben. Bei Firefox lässt sich die Funktion nicht abschalten, in der weitgehend baugleichen nightly-Version aber schon. Eine Anleitung finden Sie hier. In Chrome lässt sich die Funktion über die Browser-Einstellungen deaktivieren (zur Anleitung).

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Die Spur der Daten

Wie eine aktuelle Recherche aufdeckte, sind detaillierte Datensätze von Millionen deutscher Nutzer auf dem internationalen Markt zu haben. Doch wie werden die Daten abgegriffen? Mobilsicher.de und NDR konnten es in einem Fall nachvollziehen.

Mehr
Ratgeber 

Nase voll? WhatsApp-Konto löschen (Android)

Sie möchten sich endgültig von WhatsApp trennen? Aus Datenschutzsicht eine gute Idee! Doch bevor Sie den Messenger vom Handy werfen, sollten Sie Ihr Profil löschen - sonst bleiben Daten beim Anbieter gespeichert. Wir zeigen, wie das geht.

Mehr
Ratgeber 

Wer sammelt am meisten? E-Schrott im internationalen Vergleich

Reparieren ist immer am besten. Aber wenn das nicht mehr geht, wie viel Elektroschrott wird dann korrekt gesammelt? Die Mengen unterscheiden sich stark von Land zu Land. Ein Staat in Osteuropa fällt dabei positiv auf. Deutschland hinkt hinterher.

Mehr
YouTube-Video 

iPhone weg? So finden Sie es wieder

iPhones und iPads bringen eine praktische Funktion zum Orten mit - falls Sie das Gerät verlegt haben oder es gestohlen wurde. Wie das Orten genau funktioniert und was Sie aus der Ferne noch unternehmen können, zeigen wir im Video.

Ansehen