Die meisten Webnutzer haben eine Vorstellung davon, dass besuchte Webseiten nachverfolgen, auf welche Links sie geklickt haben und welche Seiten geladen wurden. Viele wissen auch, dass eine große Anzahl an Webseiten diese Informationen mit Drittfirmen teilt – hauptsächlich zu Analyse- und Werbezwecken. Weniger bekannt ist, dass manche Webseiten auch alle Texteingaben speichern, selbst wenn der Nutzer die Daten gar nicht an die Webseite übermittelt. Mit einer Technik namens Session-Replay lassen sich so zum Beispiel auch die Eingaben in Textfeldern mitlesen, die der Nutzer überhaupt nicht abgeschickt hat.

Drei Forscher der Universität Princeton in den USA haben nun versucht, zu quantifizieren, auf wie vielen Webseiten diese Technik im Einsatz ist. Dazu testeten Sie mit den Skripten der beliebtesten Tracking-Firmen, die Session-Replay anbieten. Dabei kam heraus, dass von den laut Alexa meistbesuchten 50.000 Webseiten mindestens 482 ein oder mehr Skripte der Fimen Clicktale, FullStory, Hotjar, UserReplay, SessionCam, Smartlook oder der großen russischen Suchmaschine Yandex einsetzen. Sie schätzen, dass die Dunkelziffer viel höher ist, ihnen aber nicht alle Seiten ins Netz gingen weil Session-Replay oft nicht bei jedem Besucher aktiv ist.

Zwar bieten die meisten dieser Firmen Möglichkeiten an, private Daten von der Erfassung auszuschließen, dabei kommt es aber immer wieder zu Fehlern. Die Forscher fanden zum Beispiel oft Passwörter, obwohl diese explizit nicht erfasst werden sollten. Dazu kommt, dass Nutzer ab und zu Dinge aus ihrer Zwischenablage aus Versehen in Textfelder kopieren. Ist Session-Replay im Einsatz, werden diese Daten erfasst, auch wenn der Nutzer sie sofort wieder löscht. Und auch Daten, die der Nutzer nicht eingegeben hat, aber von der Webseite angezeigt werden, landen in den Händen der Datensammler. Fazit der Forscher: Laufen entsprechende Skripte, kann man sich nicht darauf verlassen, dass Daten nicht aufgezeichnet werden.

Dienstanbieter untergraben SSL-Verschlüsselung

Als besonders kritisch sehen die Forscher, dass einige der Anbieter die erhobenen Daten nicht per SSL/TLS verschlüsseln. So können Informationen aus eigentlich komplett verschlüsselten Verbindungen nach außen dringen, weil der Drittanbieter seine Hausaufgaben nicht gemacht hat. Und das ist keines Falls ein rein akademisches Problem, da diese Dienste ein denkbar günstiges Ziel für Hacker sind, die auf möglichst viele und genaue Nutzerdaten aus sind. Session-Replay-Anbieter sind das perfekte Ziel für solche Angriffe.

Für Webseitenbetreiber ist Session-Replay sehr nützlich. Sie können so etwa analysieren, wo die Aufmerksamkeit der Nutzer am größten ist, wo diese nicht gerne verweilen oder welche Teile einer Webseite den Besucher verwirren. Oft geben die Drittanbieter der Skripte den Seitenbetreibern die Möglichkeit, die Klarnamen oder E-Mail-Adressen der Besucher herauszufinden und so wertvolle Informationen über diese zu sammeln. Anwendern, die das Sammeln solcher Daten verhindern wollen, bleibt wohl nur die Möglichkeit, die entsprechenden Skripte per Skript-Blocker an der Ausführung zu hindern.

Wer genau wissen will, welche Webseiten welche Art Skript einsetzen, für den haben die Forscher eine Liste sowie ihre Rohdaten zur Verfügung gestellt. (fab)