Web-Anwender in der Tracker-Falle
Auf vielen Websites lauern Tracker darauf, die Besucher auszuspionieren. Zwischen Tracker- und Anti-Tracker-Programmierern findet ein Wettrüsten statt.
Eine berühmte Foto zeigt Mark Zuckerberg, wie er im Sommer 2016 in der kalifornischen Firmenzentrale vor seinem Computer sitzt und ein Kartonschild hochhält. Die Foto wurde berühmt, nicht weil der Facebook-Chef hier ein graues T-Shirt trägt – er trägt fast immer ein graues T-Shirt. Auch das Kartonschild ist nicht weiter bemerkenswert; es macht Werbung für Instagram, einen Social-Media-Dienst, der seit 2012 zu Facebook gehört. Nein, die Foto wurde berühmt, weil sie zeigt, dass Zuckerberg bei seinem Notebook-Computer die Kamera über dem Bildschirm und den seitlichen Mikrofon-Eingang mit Klebstreifen abgedeckt hat. Was glaubt der technisch hochgebildete Computerunternehmer befürchten zu müssen?
Allgemeine Verunsicherung
Es kursieren derzeit im Internet Gerüchte, wonach Facebook auf die Mikrofone von Computern zugreift, um Facebook-Anwender abzuhören. Das ist Unsinn. Es gibt weltweit bei weitem nicht genügend Computer-Ressourcen, um solche Audio-Aufzeichnungen zu sammeln und auszuwerten. Aber das Gerücht zeigt, wie Internetnutzer sich heute fühlen. Und nur weil jemand paranoid ist, heisst das ja nicht, dass er nicht überwacht und verfolgt wird.
Auf Facebook könnte man notfalls verzichten. Aber ohne das Web kann man nicht leben. Und sobald man den Web-Browser aufstartet und Websites aufruft, lädt man sich kleine Progrämmchen (Scripts) in den Hauptspeicher, die meist ohne Wissen des Betroffenen und manchmal auch ohne Wissen des zuständigen Website-Betreibers personenbezogene Informationen sammeln. Man nennt diese Progrämmchen Tracker. Es gibt Tausende solcher Tracker, und sie nutzen unterschiedliche Methoden, um an Informationen heranzukommen. Meist geht es darum, Web-Benutzer zu beobachten.
Das ist nicht unbedingt verwerflich. Solche Tracker können beispielsweise dazu beitragen, die Gestaltung von Websites zu verbessern, indem sie dem Website-Betreiber zeigen, wie die Benutzer bei der Informationssuche vorgehen. Manchmal aber folgen diese Tracker dem Benutzer von Website zu Website, nachdem sie – beispielsweise mit der Technik des Canvas Fingerprinting – besondere Merkmale des Computers feststellen konnten. Manchmal zeichnen solche Tracker – etwa mithilfe von sogenannten Session Replay Scripts – sehr detailliert alle Aktionen eines Web-Nutzers auf, registrieren jede Bewegung der Maus und jede Eingabe mit der Tastatur: Suchbefehle, Benutzernamen, Passwörter oder Online-Shopping-Transaktionen.
(Bild: Dado Ruvic / Reuters)
Viele Anwender glauben, man könne sich gegen das Tracking schützen, indem man bei den Browser-Einstellungen die Option «Do Not Track» aktiviert. Doch das hilft nichts, kein Tracker respektiert diese Einstellung, die einst als Selbstregulierungsmassnahme der Online-Werbebranche eingeführt wurde. Man kann Tracker abwehren, beispielsweise mit einer Ghostery genannten Software, die als Browser-Erweiterung installiert wird. Doch es finde, so hat der Computerwissenschafter Arvind Narayanan beobachtet, ein «Wettrüsten» statt zwischen den Trackern und den Anti-Trackern. Bereits gibt es Tracker, die sich laufend verändern, um so der Entdeckung zu entgehen.
Narayanan leitet an der Princeton University ein Forschungsprojekt, das rund eine Million Websites ständig beobachtet, um den Einsatz von Trackern zu dokumentieren. Laut den Informationen dieses Web Transparency and Accountability Project kommen in den USA auf den 50 populärsten Websites jeweils mehrere Dutzend Tracker zum Einsatz. Alles in allem haben die Forscher mehr als 80 000 Unternehmen beobachtet, die Tracker verwenden. Die meisten dieser Tracker haben nur einen sehr eingeschränkten Wirkungskreis, nur gerade 120 Firmen waren auf mehr als 1% der beobachteten Websites präsent. Die wichtigsten Hersteller von Tracker-Software sind Google, Facebook und Twitter. Die Tracker stehen meist im Dienst der Online-Werbung, laut Narayanan ist es aber leicht möglich, die Tracking-Infrastruktur für staatliche Überwachung umzufunktionieren.
Schweizer Tracker
In der Schweiz hat kürzlich Nico Ebert von der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) die Verbreitung von Trackern untersucht. Im Rahmen der «nicht abschliessenden Untersuchung» wurden im März 374 populäre Schweizer Websites aufgerufen, und dabei hat man herausgefunden, dass mindestens 24% der Websites – darunter jene von Digitec, NZZ, Swiss und Zalando – Fingerprinting-Verfahren nutzen. Knapp 8% der Websites – darunter die von Doodle, Jobs.ch, Migros-Magazin, Moneyhouse und Siroop – nutzen Session-Replay-Verfahren. Es gibt unter Umständen gute Gründe für den Einsatz von Trackern. Bei der NZZ wurde das Fingerprinting vorübergehend eingesetzt im Bemühen, die kostenpflichtigen Online-Inhalte besser zu schützen. Das Verfahren wird inzwischen nicht mehr eingesetzt.
Laut dem Zürcher Rechtsanwalt Martin Steiger kann Tracking eine Datenschutzverletzung darstellen, wenn es «an der notwendigen Erkennbarkeit» fehlt. «Die Besucherinnen und Besucher werden nicht oder nicht ausreichend informiert.» Manchmal finde man auf Websites in der Datenschutzerklärung auch die falsche Behauptung, allein durch den Besuch einer Website komme ein Vertrag zustande, der dem Website-Betreiber die Bearbeitung von Personendaten gestatte.
