Report: Tracking the Trackers
Tracker sammeln auf über drei Vierteln aller Webseiten private Daten.
Tracker sind im Internet inzwischen allgegenwärtig. Das belegt die von Cliqz und Ghostery durchgeführte internationale Studie „Tracking the Trackers: Analysing the global tracking landscape with GhostRank“ mit anonymen Statistiken von 850.000 Nutzern. Ziel war es, die Risiken der Datensammlung durch Drittanbieter-Tracker für die Privatsphäre zu untersuchen. Es ist die bisher umfangreichste Studie ihrer Art: Für sie wurden über 144 Millionen Seitenaufrufe (page loads) ausgewertet. Die Untersuchung deckt mehr als ein Dutzend Länder ab, darunter die USA, Kanada, Großbritannien, Deutschland, Österreich und die Schweiz.
Auf 77,4 Prozent der getesteten Seiten ist im Hintergrund mindestens ein Tracker aktiv. Diese verfolgen einzelne Nutzer mittels Cookie- oder Fingerprinting-Verfahren quer durchs Netz, um ihr Surfverhalten zu protokollieren. Im harmlosesten Fall dienen diese Informationen lediglich zur Analyse für statistische oder Werbezwecke. In der Regel sind auf beliebten Websites aber gleich mehrere Tracking-Skripte von Dritten vorhanden, die den Nutzer über Domains hinweg verfolgen können. Auf 21,3 Prozent der untersuchten Seiten finden sich sogar zehn oder mehr Tracker, die personenidentifizierbare Daten sammeln.
Der Nutzer bekommt im Normalfall nichts davon mit. Da die Tracker im Hintergrund agieren, sind sie für ihn unsichtbar. Es herrscht nur wenig bis keine Transparenz darüber, wer die Nutzeraktivitäten auf einer Website protokolliert. Oft wissen nicht einmal die Seitenbetreiber selbst, welche Tracking-Skripte und -Pixel genau auf ihrer Website aktiv sind.
Google und Facebook beobachten Nutzer fast überall
Die Studie gibt auch Aufschluss darüber, welche Tracker im Netz am weitesten verbreitet sind. Hier zeigt sich die Dominanz von Google und Facebook besonders deutlich. Google ist in der Top Ten der am weitesten verbreiteten Tracker nach Seitenaufrufen gleich mit fünf Diensten vertreten, Facebook mit drei. Google Analytics findet sich auf knapp der Hälfte (46,4 Prozent) aller aufgerufenen Seiten, Facebook Connect auf gut einem Fünftel (21,9 Prozent).
Betrachtet man die Gesamtreichweite der verschiedenen Tracking-Betreiber, ergibt sich ein ähnliches Bild: Google und Facebook bilden mit einem Anteil von 60,3 respektive 27,1 Prozent erneut das Spitzenduo, gefolgt von ComScore (11,4 Prozent) und Twitter (10,5 Prozent).
Schwerwiegende Eingriffe in die Privatsphäre
Besucht der Nutzer nacheinander mehrere Webseiten, in die Tracker desselben Betreibers eingebunden sind, kann dieser ein detailliertes Profil erstellen. Beispielsweise sieht er, welche Online-Shops und Nachrichtenseiten der Nutzer besucht hat, aber ebenso welche Erotikseiten, Websites mit Informationen zu Suchtkrankheiten oder zum Thema Privatinsolvenz. Tracker können an höchst vertrauliche Informationen gelangen, die nicht nur Rückschlüsse auf die finanzielle Situation, Interessen und Kaufabsichten erlauben, sondern etwa auch auf die sexuelle Orientierung, den Gesundheitszustand oder die politische und religiöse Einstellung. Meldet sich der Nutzer anschließend an seinem persönlichen Konto eines Webdiensts an, können ihm die zutiefst privaten Informationen aus vorherigen Seitenbesuchen problemlos zugeordnet werden. Die massenhaft gesammelten Daten sind also ein immanentes Privatsphärerisiko.
Nicht einmal auf Websites von Banken oder Kliniken sind Internetnutzer vor Trackern sicher. Im Rahmen weiterer Untersuchungen fand Cliqz bei einer Bank sogar einen Tracker auf der Seite zum Ändern des Passworts. Dadurch erhält der Tracker-Betreiber theoretisch die Zugangsdaten zum Online-Banking des Nutzers und damit vollen Zugriff auf dessen Konto.
Die US-amerikanische Mayo Clinic informiert auf ihrer Website über HIV-Tests. Auch hier lesen zahlreiche Tracker mit, wer die Infoseite aufruft. Wirklich problematisch ist jedoch, dass sie ebenfalls erfahren, wenn der Seitenbesucher den eingebetteten Button zur Vereinbarung eines Termins anklickt, sich also mutmaßlich für einen HIV-Test oder eine Behandlung anmelden möchte.
Wie kann ich mich schützen?
Die Ergebnisse der Studie belegen, dass Tracker im Netz omnipräsent sind. Zum einen gibt es teilweise deutliche regionale Unterschiede bei den Betreibern, zum andern sind die größten Tracking-Firmen weltweit bemerkenswert stark vertreten. Internetnutzer haben praktisch keine Möglichkeit, den Trackern von Google oder Facebook zu entgehen. Selbst wenn ein User sich bewusst entscheidet, keine Dienste oder Produkte von Google und Facebook zu verwenden, sehen die Internetkonzerne dank ihrer auf Websites von Dritten platzierten Tracking-Skripte noch einen Großteil von dem, was der User im Netz tut.
Darüber hinaus übermitteln 15 Prozent der untersuchten Webseiten teils höchst private Daten gleich an zehn oder mehr verschiedene Tracker-Betreiber. Was Google, Facebook, ComScore, Amazon und die tausenden anderen Tracking-Firmen mit den angehäuften Informationen anstellen, ist meist unklar. Für den Internetnutzer bleibt größtenteils im Dunkeln, welche Daten konkret erfasst, wo und wie lange sie gespeichert, wofür sie genau genutzt, mit welchen weiteren Daten sie verknüpft und wem sie zugänglich gemacht werden.
Nationale Datenschutzgesetze können im grenzenlosen Web niemals einen vollständigen Schutz dagegen bieten. Daher müssen Internetnutzer, die auf ihre Privatsphäre bedacht sind, selbst aktiv werden, um dem allgegenwärtigen Tracking zu entgehen. Eine einfach anwendbare und effiziente Maßnahme sind Anti-Tracking-Tools wie Ghostery.
Blocklisten versus KI-basiertes Anti-Tracking
Die meisten Anti-Tracking-Tools verwenden regelmäßig aktualisierte White- und Blacklists mit zugelassenen bzw. zu blockierenden Tracking-Skripten und -Pixeln. Blockierte Tracker werden beim Besuch einer Website gar nicht erst geladen. Dadurch verkürzt sich die Zeit, die die Seite zum vollständigen Laden braucht. Zugleich sinkt der Datenverbrauch, weil keinerlei Tracking-Daten mehr übertragen werden. Der bloße Einsatz von Blocklisten hat aber auch Nachteile: Einerseits können zu restriktive Blockregeln bestimmte Funktionen einer Website beeinträchtigen. Andererseits können definierte Ausnahmen zur Vermeidung von Website-Fehlfunktionen dazu führen, dass Tracker doch Zugriff auf einige personenbezogene Daten erhalten. Ein weiteres Problem besteht darin, dass Tracker-Betreiber ihre URLs, Domains und Methoden zur Umgehung von Sperren jederzeit ändern können und die Blocklist-Anbieter jedes Mal ihre Listen manuell anpassen müssen. Bis das geschehen ist, wurden eventuell schon Daten ausgelesen.
Um sich nicht an diesem Katz-und-Maus-Spiel beteiligen zu müssen, hat Cliqz ein auf Künstlicher Intelligenz (KI) basierendes Anti-Tracking-System mit dynamischer Erkennung entwickelt. Es filtert mittels lokaler und globaler Auswertung von Tracking-Daten solche Datenwerte in Tracker-Anfragen heraus, die eine Identifizierung des Nutzers erlauben (User Identifier, UID). Im Anschluss werden diese Werte mit zufälligen Informationen überschrieben, ehe sie an die Tracker zurückgehen. Die Tracker-Betreiber können den Seitenbesucher so nicht mehr identifizieren. Die KI-basierte Technik hat den Vorteil, dass sie deutlich seltener Website-Funktionen einschränkt und unabhängig von der eingesetzten Tracking-Methode funktioniert. Sie schützt somit auch vor modifizierten und neuartigen Tracking-Verfahren (einschließlich Fingerprinting) oder gezielten Maßnahmen zur Umgehung von Anti-Tracking.
Ghostery 8 – das Beste aus zwei Welten
Ghostery vereint als weltweit erster Anbieter die Vorteile von Blocklist- und KI-basiertem Anti-Tracking (Blocklist + UID Stripping). Durch die Kombination dieser beiden Technikansätze setzt Ghostery 8 neue Maßstäbe für den Schutz der Privatsphäre im Internet. Nutzer profitieren von mehr Geschwindigkeit sowie geringerem Datenverbrauch beim Surfen, da Ghostery die verbreitetsten Tracker gar nicht erst lädt, sondern von vornherein blockiert. Zugleich schützt es zuverlässig sowie ohne störende Nebeneffekte vor jeglichen Tracking-Methoden, die zum Ziel haben, User anhand personenbezogener Daten zu identifizieren. Dadurch macht Ghostery 8 das Surfen im Web schneller, einfacher und sicherer und gibt Internetnutzern die Kontrolle über ihre Daten zurück.
Zur Methodik: Die für die Studie verwendeten Daten wurden im Zeitraum vom 1. bis 14. Mai 2017 über die GhostRank-Funktion von Ghostery erhoben. GhostRank ist Bestandteil der von Ghostery angebotenen Browser-Erweiterungen für alle gängigen Desktop-Browser wie Chrome, Edge und Firefox sowie Mobilbrowser. Nutzer können per Opt-in zustimmen, Informationen über Tracker an Ghostery weiterzuleiten. Diese umfassen zum einen ein Signal für jede besuchte Seite und zum anderen ein Signal für jede Anfrage während eines Seitenaufrufs, die einem Muster in der Ghostery-Tracker-Datenbank entspricht.