Keine Privatsphäre im Web: Forscher finden Trackingmethode, die nicht umgangen werden kann

Forscher der Universität Berkeley fanden einen Trackingservice, dem Nutzer sich nicht entziehen können. Egal, ob der Websurfer die Anlage von Cookies blockiert, sogar egal, ob der Verwender die relativ neuen Inkognito-Modi der modernen Browser nutzt; Websites, die KISSmetrics nutzen, tracken ihn zuverlässig. KISSmetrics ist einer der vielen Wettbewerber des Marktführers Google Analytics.

U.C. Berkeley: KISSmetrics erzwingt Website-Statistik um jeden Preis

Im Grunde ist der Dienst KISSmetrics des gleichnamigen Start-Ups aus der San Francisco Bay Area lediglich eine Alternative zu Google Analytics und anderen Website-Analyse-Lösungen. Entsprechend trackt es auf den Kundenwebsites im Wesentlichen die Zahl der Besucher, sowie den Weg, den die Besucher auf der Site nehmen und was sie dort tun. Zudem informiert KISSmetrics den Betreiber über die Referrer, also die Herkunft der Besucher. Der Dienst ist also auf den ersten Blick nichts besonderes.

In den USA wird seit dem sog. Locationgate von vor einigen Monaten eine Gesetzesinitiative verfolgt, die das Tracking von Menschen rechtlich verhindern soll. Davon betroffen ist zum einen die Mobilfunkbranche, aber auch die Verhinderung des Tracking von Webnutzern ist Gegenstand der Initiative. Im gesamten Land befassen sich Fachleute mit der Frage, wie sich Tracking definieren lässt, was es letztlich eigentlich wirklich ist. Auch die Universität Berkeley beteiligt sich an diesem Vorhaben und untersucht diverse Trackingsysteme auf ihre Funktionsweisen.

Bei KISSmetrics stellten die Forscher einige kritische Punkte fest. Dabei ist die Tatsache, dass KISSmetrics Informationen, mit denen es Besucher eindeutig identifizieren kann, nicht bloß in einem traditionellen Cookie speichert, nur ein Teilaspekt. Vielmehr legt KISSmetrics nach Erkenntnissen der Wissenschaftler eine eindeutige ID zusätzlich an dafür nicht vorgesehenen Orten auf dem Rechner des Besuchers ab. So führt das Löschen der Cookies nicht zum Löschen der eindeutigen ID. Der Besucher kann auch danach noch durch KISSmetrics, anknüpfend an seine vorherigen Surfgänge getrackt werden.

Das Interessante an dieser Trackingmethode ist, dass sie browserunabhängig arbeitet, also Besucher selbst dann wiedererkennen kann, wenn sie zwischenzeitlich den Browser gewechselt haben. Dabei konnten die Forscher KISSmetrics nur entlarven, weil es sich einer vor einigen Jahren verbreiteten und ebenfalls in Berkeley entdeckten Vorgehensweise bedient.

Kritisch: Cookies nach Löschung durch den Benutzer automatisiert wieder herstellen

2009 war bekannt geworden, dass Clearspring und Quantcast neben den traditionellen Cookies eine Art Backup-Cookie auf Flash-Basis auf den Besucherrechnern ablegten. Auf der Basis des Flash-Cookies, der von etwaigen Löschversuchern des Nutzers nicht betroffen war, stellten sie den vormaligen traditionellen Cookie wieder her.

Clearspring dürfte vielen unserer Leser durch das vielgenutzte Tool AddThis bekannt sein. AddThis steht als Extension, Add-On oder Plugin für alle namhaften Browser zur Verfügung und stellt vordergründig einen einfachen Zugang zu den diversen Onlinediensten dar, auf denen Nutzer etwas speichern oder teilen können. Hat man AddThis installiert, kann man auf einer beliebigen Website etwa den entsprechenden Button im Browser nutzen, um den Link zur soeben besuchten Website zu Twitter oder Facebook oder Read It Later oder Dutzenden anderer Dienste zu posten.

AddThis ist kostenlos, der Nutzer zahlt mit seinen Daten, was vielen möglicherweise nicht klar sein wird. Websitebetreiber, die AddThis-Buttons einsetzen, erhalten ausführliche Statistiken zur sozialen Interaktion der Besucher mit dem angebotenen Content. Erst seit wenigen Wochen bietet auch Google Analytics ein zusätzliches Tracking der sozialen Interaktion an. t3n berichtete darüber.

Nach einem kostspieligen Vergleich, der im Nachgang zum Skandal um den Flash-Cookie-Missbrauch geschlossen wurde, versprach Clearspring künftig auf den Einsatz dieser Technologie zu verzichten.

Im Rahmen der aktuellen Diskussion um die Tracking-Regulierung griffen die Forscher aus Berkeley diese alte Methode neu auf und untersuchten gezielt populäre Websites auf die Verwendung einer Technik, Cookies nach dem Löschen wieder zu rekreieren. Bei Hulu wurden sie fündig.

KISSmetrics bietet eine Plethora an Maßnahmen, um den Schutzwunsch des Users zu umgehen

Was sie dann entdeckten, überstieg jedoch ihre Erwartungen bei weitem. Nicht nur konnten sie ermitteln, dass Hulu via KISSmetrics traditionelle Cookies rekreiert, sondern sie fanden weitere Trackingmethoden, die in ihrer Gesamtheit dazu führen, dass ein Besucher, der einmal von KISSmetrics getrackt ist, so gut wie keine Möglichkeit mehr hat, diesem Tracking zu entgehen.

Noch schlimmer ist, dass das KISSmetrics-Tracking quasi internetweit funktioniert. Websites, die KISSmetrics einsetzen, können theoretisch den kompletten Bewegungspfad ihrer Besucher im Weltnetz verfolgen, eine digitale Observierungsmöglichkeit. Davon geht jedenfalls Berkeley-Forschungsleiter Chris Hoofnagle aus. Hoofnagle hatte schon die Untersuchungen im Fall der Flash-Cookies geleitet.

Nach Hoofnagles Erkenntnissen steht der digitalen Vollobservierung technisch schon jetzt nichts im Wege. Er fand heraus, dass KISSmetrics tatsächlich identische eindeutige IDs der Nutzer auf unterschiedlichen Websites in die entsprechenden Cookies schreibt. Die Verbindung der Informationen ist danach nur eine Sache einer simplen Aggregation und einer folgenden Datenbankabfrage. So könnten die an sich anonymen Daten durch ihre gemeinschaftliche Auswertung schnell mit personenbezogenen Daten, etwa auf Ecommerce-Plattformen eingegebenen Adressen etc. verknüpft werden.

kissmetrics screenshot berkeley 595x86 Keine Privatsphre im Web: Forscher finden Trackingmethode, die nicht umgangen werden kann

KISSmetrics: Eindeutige ID über mehrere Websites (Quelle: U.C. Berkeley)

Dem Vernehmen nach bietet KISSmetrics diese Verknüpfung derzeit selbst nicht an, jedoch könnten sich Websitebetreiber miteinander ins Benehmen setzen und bereits zum jetzigen Zeitpunkt ihre jeweiligen Cookiedaten miteinander abgleichen. Erkenntnisse darüber, dass das tatsächlich passiert, liegen nicht vor. Die Möglichkeit ist technisch gegeben.

Die Erkenntnisse der Berkeley-Forscher haben einige Websitebetreiber bereits zum Anlass genommen, vorerst auf das Tracking mit KISSmetrics zu verzichten. Darunter befindet sich auch der eben erst in den USA gestartete europäische Musikdienst Spotify.

In einer Stellungnahme gegenüber dem amerikanischen Wired-Magazin schrieb der ehemalige Berkeley-Student Ashkan Soltani:

“Hulu und KISSmetrics nutzen praktisch jede bekannte Methode, zu verhindern, dass der Nutzer seine Privatsphäre schützen kann. Durch den multiplen Einsatz von Cookies, Flash Cookies, HTML5, CSS, Cache Cookies/Etag entsteht ein Whac-A-Mole mit der Privatsphäre des Nutzers.”

Laut Wired setzen viele weitere prominente Websites KISSmetrics ein. Deren Namen will man jedoch nicht nennen, um ihnen zunächst Gelegenheit zu eigenen Maßnahmen und einer Stellungnahme zu geben. Die neuerlichen Erkenntnisse aus Berkeley werden aller Voraussicht nach die Diskussion um die Notwendigkeit der Tracking-Regulierung in den Vereinigten Staaten in eine eindeutige Richtung lenken.

whack a mole 33475 595x446 Keine Privatsphre im Web: Forscher finden Trackingmethode, die nicht umgangen werden kann

Whac-A-Mole (Foto: eovemar / flickr.com, Lizenz: CC-BY)

Ich habe versucht zu ermitteln, welche deutschsprachigen Websites KISSmetrics einsetzen. Immerhin wird Amazon als Referenzkunde angegeben. Jedoch konnte ich das KISSmetrics-Tracking zwar auf der amerikanischen Amazonseite finden, auf Amazon.de gelang mir das nicht.

Wir könnten eine kleine Crowdsourcing-Aktion daraus machen. Cookies tragen das km im Namen, also zB km_ai. Schaut doch einfach mal in eurem Cookiecache nach. Die Javascripts, die für das Tracking eingebaut werden müssen, sollten auf den entsprechenden Websites zu finden sein. Sie lauten auf t.js und i.js. Vielleicht gelingt es uns so gemeinsam, die deutschen KISSmetrics-Verwender zu identifizieren.

Denn deutlich wird eines. KISSmetrics ist ganz offenbar ein Trackingsystem, das eine potenzielle Gefahr für die Privatsphäre des Einzelnen darstellt. Mindestens sollte der Verbraucher also wissen, wer es einsetzt, damit er eine bewusste Entscheidung treffen kann, ob er diese Sites künftig noch zu besuchen wünscht…

2 Gedanken zu „Keine Privatsphäre im Web: Forscher finden Trackingmethode, die nicht umgangen werden kann

  • 8. Oktober 2011 um 09:28
    Permalink

    Am schlimmsten sind aber solche Möchtegern-Schreiber wie der berüchtigte Jo Frank alias DL2MCD, die aus Eifersucht und Neid überall Diffamierungen gegen Autoren veröffentlichen und damit (wie lächerlich!) versuchen wollen, Leute daran zu hindern, bestimmt Bücher zu lesen.

    Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *