"Ein Wettrüsten zwischen Trackern und Datenschützern", sieht Professor Arvind Narayanan von der Princeton-Universität. Er betreibt Bots, die jeden Monat die wichtigste Million Webseiten aufrufen und auf Tracking- und andere Überwachungs-Methoden untersuchen. Dabei zeigt sich, dass die Datendealer laufend neue und tiefdringendere Methoden einsetzen, um an private Daten zu gelangen. heise online hat Prof. Narayanan im Silicon Valley getroffen.

Als Schutz empfiehlt er spezielle Browser, wie zum Beispiel Brave, sowie Browser-Erweiterungen, wie Ghostery und Privacy Badger. "Ich nutze sie selbst und ermuntere jeden, sie zu installieren und auszuprobieren", sagt Narayanan. Aber sie seien nicht unbedingt für Durchschnittsuser geeignet und den Datendealern immer wieder einen Schritt hinterher. Adblocker hingegen verbergen zwar Reklame, sind aber nicht auf Tracking ausgerichtet.

"Browser dürfen nicht neutral sein"

Arvind Narayanan war an den Verhandlungen über die Do-Not-Track-Einstellung beteiligt. Das Projekt gilt heute als gescheitert. (Bild: Daniel AJ Sokolov)

Daher nimmt Narayanan die Browser-Hersteller in die Pflicht: "Die Browser-Anbieter sollten klare Richtlinien über akzeptables und inakzeptables Tracking veröffentlichen, User bei Verletzung dieser Richtlinien warnen, und einen Tracking-Schutz-Modus anbieten, ähnlichem dem bereits bestehenden Inkognito-Modus."

Entgegen weit verbreiteter Meinung schützt der Inkognito-Modus nämlich nicht gegen Tracking, sondern dagegen, dass auf dem Endgerät Spuren gespeichert werden. Das verhindert vor allem, dass andere User des selben Endgeräts die Browser-History ausweiden – nicht aber Dritte, denen ein Script die Browser-Nutzung live frei Haus liefert.

Die meisten Browser-Anbieter ergreifen bisher keine nennenswerten Gegenmaßnahmen. Sie begreifen Tracking durch Dritte nicht als klassisches Sicherheitsproblem und verweisen darauf, "neutral" zu sein. Dieser Argumentation kann Narayanan nichts abgewinnen: "Ein Browser, der gegenüber Tracking durch Dritte neutral ist, ähnelt einem E-Mail-Provider, der gegenüber Spam neutral ist."

So werden Sie getrackt

Datendealer möchten Sie über möglichst alle Webseiten hinweg identifizieren (Fingerprinting) und verfolgen, um Nutzungsprofile zu erstellen. Diese lassen sich erstaunlich leicht de-anonymisieren und damit bestimmten Personen zuordnen. Dazu reicht es schon, die aufgerufenen Webseiten mit öffentlichen Facebook- oder Twitter-Konten abzugleichen. Die Links, die Sie dort gepostet haben, haben Sie mit hoher Wahrscheinlichkeit auch aufgerufen.

Klassische Methode, um User über mehrere Webseiten hin zu tracken, sind Cookies. Datendealer gleichen diese Identifikationsdaten auch gerne untereinander ab, um ihre Reichweite zu maximieren. Dazu gesellten sich Evercookies, die besonders schwer loszuwerden sind, und sich beispielsweise im Flash-Player einnisten. Die NSA verfolgt damit seit Jahren insbesondere Tor-User, die Werbebranche jedermann. Zur Identifikation werden auch Informationen wie Betriebssystem, Browserversion, Bildschirmauflösung, installierte Schriftarten und Erweiterungen ausgelesen.

Wiedererkannt ohne Cookies

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Doch es gibt Methoden, die ganz ohne lokalen Speicher auskommen. Beim so genannten Canvas Fingerprinting schreibt ein Script Text in Ihr Browserfenster, gerne nicht oder kaum sichtbar. Anschließend liest das selbe Script den entsprechenden Bildschirminhalt als graphische Information aus. Je nach Betriebssystemversion, Browserversion, Grafikkarte und Grafiktreiberversion unterscheidet sich das gerenderte Ergebnis minimal. Läuft auf einer anderen besuchten Webseite das gleiche Script, kann es Ihren Computer mit hoher Wahrscheinlichkeit wiedererkennen – ganz ohne Cookies.

In den 100.000 meistbesuchten Webseiten fanden Forscher für eine Studie im Jahr 2014 mehr als 5.500 Seiten, auf denen solches Canvas Fingerprinting lief. Auf rund 5.300 dieser Seiten waren das Scripte von addthis.com , auf 115 Seiten Scripte von ligatus.com . Dazu kamen etwa 18 weitere Betreiber mit geringerer Verbreitung. Ligatus erklärte inzwischen, seit einem "kurzen Testlauf" vor über vier Jahren kein Canvas Fingerprinting mehr einzusetzen.

Auf der Usenix Enigma zeigte Prof. Narayanan unter anderem, dass die selbe Audiodatei von unterschiedlichen Browsern unterschiedlich ausgewertet wird. (Bild: Daniel AJ Sokolov)

Ähnliche Tricks können die Datendealer dank Software-Schnittstellen (API) für Ton, Batteriestatus oder WebRTC anwenden. Beispielsweise lässt ein Script eine Tonfolge berechnen. "Sie müssen den Ton gar nicht über Lautsprecher ausgeben. Es reicht aus, die Sequenz zu berechnen. Das Ergebnis wird je nach Browserversion leicht anders ausfallen", erläutert Narayanan. Beim nächsten Mal kann der Tracker das Ergebnis wiedererkennen und zuordnen.

Online-Apotheke verrät Dritten Ihre Medikation

Und die Datenhändler sind an harten Daten interessiert: Welche Daten haben Sie wo eingegeben? Welche Daten haben Sie eingegeben aber wieder gelöscht und nie abgeschickt?

Mehr Infos Lesen Sie auch: Yahoo ignoriert Do Not Track bewusst

Besonders perfide sind so genannte Session Replay Scripts. Sie zeichnen alles auf, was in einem Browser bei Besuch einer Webseite geschieht, von Mausbewegungen bis hin zu Eingaben in Datenfeldern – Namen, Adressen, Kreditkartennummern, Usernamen und Passwörter können für Dritte wertvoll sein. Und selbst Eingaben, die der User nie abschickt und wieder löscht, werden von den Scripten erfasst. Durch nicht sichtbare Eingabefelder können zudem automatische Ausfüllhilfen dazu verlockt werden, Daten preiszugeben.

Dabei können auch brisante Informationen in falsche Hände gelangen: "Bei der Online-Apotheke Walgreens [in den USA] haben wir entdeckt, dass sensible medizinische Daten zu Dritten wandern", berichtete Narayanan auf der Konferenz Usenix Enigma. Der Kunde bestellt online Medikamente, was viel über seine Gesundheit aussagen kann, und gibt natürlich Namen und Lieferadresse ein. Ein Script kopiert diese Eingaben und schickt sie an den Server eines Datendealers.

Ohne Wissen der Webseitenbetreiber

Dabei handelt es sich keineswegs um gehackte Webseiten. Diese Scripte wurden in der Regel vom Webmaster selbst eingebaut – allerdings nicht immer bewusst. "Meistens ist es [den Webmastern] gar nicht bewusst. Das war eine der Überraschungen in unserer Untersuchung", unterstreicht Narayanan, "Online-Tracking ist heute so komplex, dass [die Webseiten-Betreiber] nicht wissen, dass jene Scripte von Dritten, die sie für Werbung oder Analysen eingebaut haben, auch sensible Nutzerdaten auf diese sehr problematische Weise herausholen."

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

"Viele dieser Werbe- und Analyse-Firmen werden sagen: 'Hier ist eine Zeile Code. Du kannst sie in Deine Seite einbauen, und wir kümmern uns um alles", so der Professor, "Ich dränge Webmaster dazu, sich dessen bewusst zu sein. Üblicher Weise gibt es da etwas, was der Dienstleister Ihnen nicht verrät. Das könnte sein, wie private Daten behandelt werden, was sich mit den Datenschutzbestimmungen der Webseite spießen kann."

"Schlechter Datenschutz gefährdet Demokratie"

Motivation für seine Datenschutz-Forschung zieht Narayanan unter anderem aus der Sorge um die Demokratie: "Schlechter Datenschutz ist ein Problem für die Demokratie", betonte er bei einem Vortrag auf der Konferenz Usenix Enigma 2018. Denn gerade der private Meinungsaustausch im kleinen Rahmen ermögliche die Weiterentwicklung der Wertehaltungen der Gesellschaft.

Szene einer Pride-Parade in Halifax, Neuschottland (Bild: Daniel AJ Sokolov)

Öffentlicher Widerspruch zu vorherrschenden Gesellschaftsnormen werde regelmäßig mit Ächtung und Ausgrenzung geahndet. Beispielsweise hätten die Fortschritte bei der Gleichstellung Homosexueller ihre Basis in vielen nicht-öffentlichen Diskussionen und Erfahrungsaustäuschen. Ohne Privatsphäre hätte dieser Prozess womöglich nie stattgefunden. "Das Web wird dazu genutzt, die Gesellschaft zu beeinflussen", erinnerte Narayanan, "Da können die Browser-Hersteller nicht vermeiden, Partei zu ergreifen."

Tracking-Crawler als Open Source

Zentrales Element Narayanans Forschung ist das Web Transparency & Accountability Project (WebTAP) seiner Universität. Die zugrundeliegende Software heißt OpenWPM (Open Web Privacy Measurement) und ist als Open Source verfügbar (Lizenz GNU GPLv3). Mit dieser Software kann jedermann große Mengen an Webseiten abklappern und auf Tracking und andere Datensammel-Methoden überprüfen.

Zu den Testmethoden gehören auch Script-Köder: Dabei werden browserseitig Eingabefelder in Webseiten gesetzt, die vom Webmaster nicht vorgesehen waren. Das aktiviert Scripte, die unspezifisch auf bestimmte Eingabefelder wie zum Beispiel "username", "password" oder "e-mail" warten, um solche Daten zu ernten.

[Update 21.02.2018 – 10:20 Uhr] Die Studie zum Canvas Fingerprinting ist von 2014, darauf wurde hingewiesen. Ligatus setzt nach eigenen Angaben nicht mehr darauf, das wurde ergänzt. (ds)