Intelligent Tracking Prevention: Apple will seitenübergreifendes Tracking verhindern
Der Safari-Browser soll künftig Drittanbieter-Cookies unter bestimmten Umständen automatisch blockieren. Noch ist aber unklar, wie zuverlässig das System tatsächlich arbeiten wird.
Apple stattet seinen Browser Safari mit einem Feature namens Intelligent Tracking Prevention aus, wie es auf seiner Entwicklerkonferenz WWDC im kalifornischen San Jose angekündigt hat. Mittels Maschinenlernen soll die neue WebKit-Funktion Tracking-Daten identifizieren und entfernen. Diese verwenden Werbetreibende, um die Webaktivitäten von Nutzern nachzuverfolgen und auf sie zugeschnittene Werbung auszuliefern. Bei Intelligent Tracking Prevention gehe es jedoch nicht darum, Werbung zu blocken, betonte Apples Senior Vice President für Software-Entwicklung Craig Federighi in seiner Präsentation auf der WWDC. „Die Web-Erfahrung ändert sich nicht, aber die Privatsphäre bleibt gewahrt.“
In erster Linie soll Intelligent Tracking Prevention (ITP) sogenanntes Cross-site Tracking verhindern. Apple liefert im WebKit-Blog auch gleich ein Beispiel für seitenübergreifende Verfolgung durch Tracker: Angenommen, der Nutzer sucht auf example-products.com nach einem neuen Produkt und später auf example-recipies.com nach Kochideen. Falls beide Websites Ressourcen von example-tracker.com laden und example-tracker.com einen Browser-Cookie auf dem Rechner des Nutzers speichert, weiß der Betreiber von example-tracker.com, dass der Nutzer sowohl die Produkt- als auch die Rezept-Website besucht hat, was genau er auf den Seiten gemacht hat, welchen Browser er verwendet und noch vieles mehr. Bei seinen Tests hat Apple nach eigenen Angaben auf häufig besuchten Websites über 70 solcher Tracker gefunden, „die alle heimlich Nutzerdaten sammeln“.
Apples heuristischer Cookie-Blocker
Das ITP-System soll dafür sorgen, dass Cookies von Webseiten blockiert werden, die User seitenübergreifend verfolgen. Dazu sammelt es Statistikdaten, auf deren Basis ein Maschinenlernmodell ermittelt, welche Domains Nutzer seitenübergreifend verfolgen. Die Datensammlung sowie Klassifizierung erfolgt Apple zufolge auf dem Endgerät des Users.
Wurde eine Website als Cross-site-Tracking-fähig eingestuft, analysiert das ITP-System die Häufigkeit, mit der der Nutzer diese Seite aufruft, und passt die Cookie-Richtlinien automatisch an: Für ein Zeitfenster von einem Tag erlaubt Intelligent Tracking Prevention Drittanbieter-Cookies, wenn der User auch die jeweilige Drittanbieter-Website direkt besucht hat. Wurde die Seite nach 24 Stunden nicht erneut aufgerufen, werden Drittanbieter-Cookies blockiert. Hat der Nutzer die Seite 30 Tage lang nicht mehr besucht, löscht das System automatisch alle zugehörigen Cookies. Außerdem verhindert es, dass weitere Daten gesammelt werden, bis der Nutzer die Seite wieder aufruft.
Mit diesem Verfahren will Apple dafür sorgen, dass nur Cookies von solchen Seiten längerfristig erhalten bleiben, mit denen der Nutzer auch tatsächlich interagiert, während Tracking-Daten proaktiv entfernt werden. Es soll zudem sicherstellen, dass der User an Seiten angemeldet bleibt, die er nur gelegentlich aufruft, aber die Cookies dieser Seiten nicht für seitenübergreifendes Tracking genutzt werden können.
Noch viele Fragen offen
Apples Bemühungen, die Privatsphäre der Nutzer besser zu schützen, sind grundsätzlich zu begrüßen und ein wichtiges Signal. Endlich nimmt sich einer der großen Hersteller der Tracking-Problematik an. Schließlich gehören Anti-Tracking-Tools und Werbeblocker schon lange zu den beliebtesten Browser-Erweiterungen. Fraglich bleibt allerdings, wie effektiv Apples Intelligent Tracking Prevention tatsächlich arbeitet. Der WebKit-Blogbeitrag legt nahe, dass es hauptsächlich Tracking durch Cookies unterbindet. Jedoch sind heutzutage viele Tracking-Betreiber bereits auf andere Techniken wie Fingerprinting umgestiegen, um bestimmte Anti-Tracking-Methoden zu umgehen und Nutzer weiter im Web zu verfolgen. Google Analytics setzt beispielsweise gar keine Cookies ein.
Darüber hinaus könnten die weltweit größten Tracking-Betreiber Google und Facebook Apples Anti-Tracking entgehen. Hier kommt es darauf an, wie Apple das System konkret implementiert. Der Teufel steckt also im Detail. Nach aktuellem Kenntnisstand lässt es Drittanbieter-Tracking durch Seiten zu, die selbst innerhalb der letzten 24 Stunden vom Nutzer besucht wurden. Bei Google oder Facebook dürfte die Wahrscheinlichkeit groß sein, dass dies der Fall ist. Niemand wird hingegen die Seiten reiner Tracking-Betreiber wie Criteo besuchen, so dass Apples Cookie-Blocking hier greifen sollte. Unterm Strich dürfte Apples Intelligent Tracking Prevention den Rattenschwanz an Trackern, die sich teils zu Hunderten auf einer Website tummeln, abschlagen. „Damit würde es – je nach Implementierung – aber indirekt seinen größten Konkurrenten Google stärken“, sagt Cliqz-Geschäftsführer Marc Al-Hames.
Was Cliqz und Ghostery anders machen
Anders als etwa das Anti-Tracking-Tool Ghostery blockiert Intelligent Tracking Prevention keine Tracking-Anfragen. Deshalb ist auch kein Geschwindigkeitsvorteil beim Aufruf von Webseiten zu erwarten. Ebenfalls noch offen ist die Frage, wie das Apple-System sich auf die Funktionsweise von Websites auswirkt. Denn Anti-Tracking kann bestimmte Website-Funktionen stören, was eine der größten Herausforderungen für Anbieter solcher Lösungen darstellt. Das ist auch der Grund, warum das selbstentwickelte Anti-Tracking von Cliqz an Tracker übermittelte Werte nicht generell blockiert, sondern modifiziert und warum Ghostery – trotz seiner ausgereiften Technik – auf aktives Feedback seiner Community angewiesen ist, um Funktionalität und Anti-Tracking auszubalancieren.
„Es ist ein Katz-und-Maus-Spiel“, erklärt Al-Hames. „Nutzer probieren verschiedene Dinge aus, um sich vor Tracking zu schützen. Und die milliardenschwere Ad-Tech-Industrie sucht nach Wegen, diese Schutzsysteme zu umgehen.“