Session-Replay-Skripte zeichnen alle deine Eingaben auf Websites als Video auf

Würdest du dir beim Apothekenbesuch, beim Klamottenkauf oder beim Pornogucken gerne von dutzenden Firmenvertretern über die Schulter schauen lassen? Sicherlich nicht! Aber genau das geschieht täglich im Internet. Immer mehr Websites gehen dazu über, sogenannte Session-Replay-Skripte einzubetten. Diese zeichnen alle deine Tastatureingaben, Mausbewegungen sowie Scrollvorgänge als Video auf und senden sie in dieser Form an Tracking-Firmen, die sie wiederum den Seitenbetreibern zur Verfügung stellen. Session-Replay-Skripte zielen darauf ab, komplette Browsersitzungen einzelner Nutzer mitzuschneiden und im Detail auswerten zu können. Seitenbetreiber wollen auf diese Weise herausfinden, wie Besucher mit ihrer Website interagieren oder ob manche Seiten fehlerhaft bzw. verwirrend sind.

Allerdings gehe der Umfang der Datensammlung weit über das hinaus, was Nutzer erwarteten, sagen Forscher der Princeton University. Sie haben die 50.000 meistbesuchten Websites (nach Alexa) auf solche Tracking-Skripte untersucht und wurden auf 482 Sites fündig. Für ihre Studie beschränkten sie sich auf die am häufigsten gefundenen Session-Replay-Skripte von Yandex, FullStory, Hotjar, Smartlook, Clicktale und SessionCam.

Am problematischsten sind die Skripte von FullStory, Hotjar, Yandex und Smartlook, weil sie standardmäßig Eingaben in Formularfelder wie Name, E-Mail-Adresse, Telefonnummer, Anschrift, Sozialversicherungsnummer und Geburtsdatum erfassen – noch bevor der Nutzer das Formular abgesendet hat und selbst dann, wenn er seine Eingaben wieder löscht. Auch Mausbewegungen werden aufgezeichnet, ohne dass der Seitenbesucher darüber informiert wird. Dem Forscherteam zufolge ist nicht davon auszugehen, dass die Daten ausreichend anonymisiert werden. Im Gegenteil: Manche Tracking-Anbieter ermöglichten es Seitenbetreibern sogar gezielt, die Bildschirmaufnahmen einer realen Einzelperson zuzuordnen.

„Das Sammeln von Seiteninhalten durch Replay-Skripte von Drittanbietern kann dazu führen, dass vertrauliche Informationen zum Gesundheitszustand, Kreditkartendetails und andere persönliche Daten, die auf einer Seite angezeigt werden, als Teil der Aufzeichnung an den Drittanbieter weitergegeben werden“, schreibt Steven Englehardt, einer der Autoren der Studie. Manche Sites erfassten über Session-Replay-Skripte Benutzereingaben auch während des Bezahl- und Registrierungsvorgangs. Mögliche Folgen seien Identitätsdiebstahl oder Online-Betrug. Nachfolgendes Video der Princeton-Forscher demonstriert die sogenannte Co-Browse-Funktion von FullStory, mit der Website-Betreiber alle Nutzeraktionen live verfolgen können.

Englehardt zufolge können Website-Betreiber zwar häufig automatisch oder manuell festlegen, welche aufgezeichneten Seiteninformationen unkenntlich gemacht werden sollen. Dies sei jedoch mit großem Zeit- sowie Arbeitsaufwand verbunden und die Unkenntlichmachung daher meist unzureichend. Selbst Unternehmen, die aufgrund gesetzlicher Vorschriften ein großes Interesse daran haben, die Daten ihrer Nutzer zu schützen, würden oft unbeabsichtigt vertrauliche Informationen erfassen und weiterleiten.

Als Beispiel nennen die Princeton-Forscher die US-Apothekenkette Walgreens, die trotz „extensiver manueller Unkenntlichmachung“ Informationen zum Gesundheitszustand samt Rezepten und Benutzernamen an FullStory übermittelte. Nach eigenen Angaben hat Walgreens die Datenweitergabe an FullStory inzwischen gestoppt. Gleiches gilt für die Bekleidungsfirma Bonobos. Sie hatte durch Bildschirmaufnahmen der Kontoseite ihres Onlineshops sämtliche Kreditkartendaten des Nutzers, inklusive Kartennummer, Gültigkeit und Sicherheitscode, in Echtzeit an FullStory gesendet.

Auf FullStorys Kundenliste steht auch das US-Gesundheitsportal Zocdoc, über das Nutzer Arzttermine vereinbaren und medizinische Daten eingeben können. Laut einer Analyse von Ghostery hat Zocdoc FullStory jedoch nicht in seine Website integriert, dafür aber ein Session-Replay-Skript von Crazy Egg. In jedem Fall dürften Bildschirmaufnahmen auch hier einige höchst private Informationen enthüllen.

Was das Ganze noch schlimmer macht: Anbieter von Session-Replay-Skripten sichern die gesammelten Nutzerdaten oft nicht ausreichend ab. Beispielsweise stellen Yandex, Hotjar und Smartlook ihren Kunden ein Dashboard zur Wiedergabe der aufgezeichneten Sitzungen über eine unverschlüsselte HTTP-Verbindung zur Verfügung, selbst wenn die Inhalte ursprünglich durch HTTPS geschützt war. Angreifer haben so leichtes Spiel, sich Zugriff auf die aufgezeichneten Daten zu verschaffen.

In Deutschland sind vor allem Hotjar, Crazy Egg, Mouseflow und Clicktale aktiv. In der von Whotracks.me erstellten Rangliste der 500 verbreitetsten Tracker belegen sie die Plätze 55, 111, 192 und 336.

Ghosterys Anti-Tracking-Tool, das als kostenlose Erweiterung für alle gängigen Browser – einschließlich Cliqz – vorliegt, blockiert alle genannten Session-Replay-Skripte. Zusätzlich sind in der umfangreichen Ghostery-Datenbank die Tracker Tamboo, Inspectlet, Mouseflow, Lucky Orange, Mousestats and Seevolution enthalten, die ebenfalls Bildschirmaufnahmen ermöglichen. Als Ghostery-Nutzer kannst du dir somit sicher sein, dass deine Webaktivitäten mit diesen Tracking-Skripten nicht aufgezeichnet werden.