In 1.000 Worten …

Von Keksen, die Menschen beschatten, von technischen Notwendig- und gewerblichen Begehrlichkeiten. Permanent soll man online damit „einverstanden“ sein, dass Webseiten Cookies benutzen. Wozu diese Cookies gut sind und wie sie die Privatsphäre stören.

Veröffentlicht am 09.09.2019

Computer Privatsphäre

Cookies und Tracking

Dieser Tage ist es allgegenwärtig: Wenn man eine Webseite zum ersten Mal öffnet, muss man zustimmen, dass sie Cookies benutzen darf. Tut man das nicht, kann man selber die Webseite nicht benutzen. Meistens ist die Entscheidung also klar: „Einverstanden!“ Das hat aber Folgen. Vor- und Nachteile. Immerhin ist es ein juristisch gültiger Vertrag, den man da abnickt. Was passiert danach? Es folgt ein Überblick darüber, was Cookies den Nutzer*innen bringen – und was der Werbeindustrie.

Wenn zwei Besucher*innen zur selben Zeit auf einer Webseite surfen, kann die Webseite die beiden zunächst nicht auseinanderhalten. Wenn es sich bei der Webseite um einen Blog handelt, könnte den beiden das ziemlich egal sein. Bei einer E-Mail-Seite ist es aber wichtig, wer von den beiden gerade das Passwort von max.mueller@example.com eingegeben hat, und wer das von susi.schmidt@example.com. Daran haben Susi, Max und die Webseite selbst gleichermaßen ein Interesse. Möglich wird die Unterscheidung in dem Moment, in dem die Webseite eine Datei auf den Computern der Besucher*innen abspeichern kann – das sogenannte Cookie. Typischerweise speichert die Webseite in dieser Datei, dem Cookie, eine zufällig generierte Zahl. Diese Zahl heißt Sitzungs-ID und das Cookie entsprechend Sitzungscookie. Man könnte auch Kundennummer sagen, wobei die Zahl zunächst weniger zum „Kunden“ als vielmehr zu dessen Browser gehört. Wenn ich die Seite zum ersten Mal aufrufe, versucht sie, das Sitzungscookie auszulesen, findet es aber noch nicht. Sie generiert daher eine neue Sitzungs-ID und speichert sie im Cookie auf meinem Computer ab. Wenn ich jetzt innerhalb der Seite navigiere, also verschiedene Unterseiten aufrufe, oder wenn ich die Seite zu einem späteren Zeitpunkt neu aufrufe, findet die Seite meine Kundennummer auf meinem Computer. Auf diese Weise bekommen Max, Susi und ich verschiedene Nummern, die Webseite kann uns unterscheiden und niemand bekommt die E-Mails der Anderen zu Gesicht.

Man könnte einwenden, warum man denn eine zufällige Nummer nimmt und nicht die ohnehin bestehende E-Mail-Adresse? Dann aber könnte Susi ihren eigenen Computer manipulieren und Max’ Adresse eintragen. Schon würde die Webseite seine E-Mails anzeigen. Es darf Susi also nicht gelingen, Max’ Sitzungs-ID zu erraten.

Sitzungscookies sind also eine technische Notwendigkeit für Webseiten, auf denen man sich einloggen kann. Zwar gibt es Alternativen dazu (zum Beispiel Single-Page-Applications (SPAs) ohne dauerhaftes Cookie, oder in Query-Parametern durchgeschleifte Sitzungs-IDs), die sind aber deutlich weniger verbreitet und bringen ihre eigenen Vor- und Nachteile mit. Und den Login braucht man, um online seine eigenen E-Mails, Bankkonten, Warenkörbe, Lieblingsfilme und so weiter zu sehen. Und damit Andere ihre sehen, und zwar nur ihre.

Wie aber funktioniert das sogenannte Tracking, das man – unkonventionell, aber durchaus zutreffend – als Beschattung übersetzen könnte? Dazu müssen Webseiten in einem Tracking-Netzwerk miteinander kooperieren. Viele tun das auch, weil sie so ihre Werbeeinnahmen steigern können (die eingangs erwähnten gewerblichen Begehrlichkeiten). Was dabei passiert, ist Folgendes: Max ruft die Seite eines Online-Händlers auf. Dort wird auch Werbung eingeblendet. Da die Werbung von den Servern des Werbeanbieters eingebunden wird, können sowohl der Händler als auch der Werbeanbieter Cookies auf Max’ Computer speichern. Das Cookie des Werbeanbieters nennt man Drittanbietercookie. Der Werbeanbieter generiert seine eigene Sitzungs-ID für Max und merkt sich in seiner eigenen Datenbank den Online-Händler, den Max aufgerufen hat – nebst den Produkten, die Max angeschaut hat, wie lange er sie angeschaut hat und welche Teile der Produktbeschreibung er gleich weggescrollt hat (für die Zeit- und Scroll-Informationen wird Cookie-Tracking mit Javascript-Tracking kombiniert – auch der Javascript-Code kommt teils vom Online-Händler und teils vom Werbeanbieter). Später ruft Max eine Nachrichtenseite auf, die im selben Tracking-Netzwerk kooperiert. Der Werbeanbieter findet auf Max’ Computer das Sitzungscookie und kann ihn so identifizieren. Noch weiß zwar niemand, dass der Mensch hinter der Sitzungs-ID Max heißt (es sei denn, Max hätte sich beim Online-Händler eingeloggt), aber es ist klar, dass es derselbe Mensch ist, der zuvor beim Online-Händler war (oder jemand, der dessen Computer benutzt). Auch auf der Nachrichtenseite wird aufgezeichnet, welche Schlagzeilen Max anklickt und über welche er drüber scrollt. Sobald Max sich auf einer Social-Media-Seite oder einem Online-Händler aus demselben Tracking-Netzwerk einloggt, können die bisher gesammelten Informationen mit Max’ Namen, seiner E-Mail-Adresse, möglicherweise seiner Bankverbindung oder Wohnanschrift verbunden werden. Je nachdem, welche Daten Max in seinem Profil dort gespeichert hat.

Auf diese Weise können die Betreiber von Tracking-Netzwerken eine beeindruckende Menge an Informationen über einzelne Nutzer*innen sammeln. Dieses Tracking, diese Beschattung, funktioniert wegen der Drittanbietercookies besonders effektiv. Sie sorgen dafür, dass Nutzer*innen auf verschiedensten Webseiten immer dieselbe Sitzungs-ID haben, weil die ID immer vom selben Werbeanbieter generiert wird. Würden die Nachrichten-, Social-Media-, E-Mail- und vielen anderen Seiten immer nur die eigenen Cookies setzen, dann hätte Max auf jeder Seite eine neue Sitzungs-ID. Es gäbe dann zwar pro Webseite einen Datensatz darüber, was Max dort getan hat, aber die verschiedenen Datensätze könnten nicht so einfach miteinander in Verbindung gebracht werden. Es gibt daher eine Reihe an Werkzeugen für Nutzer*innen, die Drittanbietercookies blockieren und damit die wichtigste Art des Trackings unterbinden (an dieser Stelle eine wohlwollende Erwähnung des Privacy Badger – Privatsphärendachs –, eines Programms der Bürgerrechtsorganisation Electronic Frontier Foundation).

Allerdings gibt es für Tracking-Netzwerke auch andere Möglichkeiten, die verschiedenen Datensätze korrekt miteinander zu verbinden. Im einfachsten Fall melden sich Nutzer*innen beim Online-Händler und der Nachrichtenseite mit derselben E-Mail-Adresse an. Damit verrät man als Nutzer*in explizit und unmissverständlich, welche Datensätze zusammen gehören. Aber auch Webseiten, auf denen man vermeintlich anonym surft, haben ihre Möglichkeiten. Sie können beispielsweise die Bildschirmgröße erkennen, installierte Schriftarten, oder die Tippgeschwindigkeit der Nutzer*innen. Die Kombination dieser und weiterer Informationen nennt man Browser Fingerprinting: Man nimmt einen „Fingerabdruck“ vom Browser. Der ist nicht genauso zuverlässig wie menschliche Fingerabdrücke, aber auch er ist extrem präzise.

Einer gut umgesetzten Beschattung zu entgehen, ist eben schwierig. Und weil diese Beschattung im Internet – wie so vieles „dort“ – in sehr großem Stil stattfindet, entstehen bei den Tracking-Netzwerken („Datenkraken“) unheimlich detaillierte Profile einzelner Menschen, die die allgegenwärtige Werbefinanzierung ermöglichen. Im vierten Quartal 2018 hat Google mit Werbung 32 Milliarden US-Dollar eingenommen. Man bezahlt Online-Dienstleistungen in Daten statt in Geld.

In eigener Sache: in1000worten.de speichert übrigens kein einziges Cookie auf Ihrem Computer und beteiligt sich auch an keinem Tracking-Netzwerk.

993 Worte

Kommentare & Kritik

Bei In 1.000 Worten sind Kommentare und Kritik gern gesehen. Schreibt einfach eine E-Mail an feedback@in1000worten.de (gerne auch verschlüsselt). Konstruktive Kommentare lasse ich in die Artikel einfließen oder veröffentliche sie, wenn gewünscht, an dieser Stelle.

Falls euch ein bestimmtes Thema als Fortsetzungsartikel interessiert, lasst es mich gerne per E-Mail wissen.