Der Trick mit dem Tracking

Datenschützer wollen das Auswerten von Nutzerinformationen im Internet erschweren. Doch durch die Analyse von Log-Dateien lassen sich "Do-not-track"-Funktionen aushebeln.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 3 Min.
Von

Datenschützer wollen das Auswerten von Nutzerinformationen im Internet erschweren. Doch durch die Analyse von Log-Dateien lassen sich "Do-not-track"-Funktionen aushebeln.

In den USA diskutiert die Handelskommission FTC aktuell die Einführung einer Robinsonliste für das Internet: Damit soll es für Nutzer möglich werden, personalisierte Web-Werbung, die sich aus dem Surfverhalten speist, komplett abzuschalten.

Forscher bei Microsoft Research im Silicon Valley haben nun aber eine Methode entdeckt, bei der selbst ein Eintrag auf einem solchen "Do Not Track"-Verzeichnis nichts mehr hilft: Sie können Nutzer allein anhand ihrer Internet-Adresse (IP) durch das Netz verfolgen und ihren genauen Wohnort ermitteln. Zwar ist es schon lange möglich, aus einer einzelnen IP die Stadt des Nutzers festzustellen. Die Microsoft-Research-Methode geht aber noch deutlich weiter: Sie kann ermitteln, ob es sich bei der Adresse um den Arbeitsplatz eines Users, seinen Heim-PC oder seinen Reiselaptop handelt.

Dafür nutzten die Forscher statistische Modelle, die sie mithilfe von Log-Dateien von Software-Update- und E-Mail-Diensten aufgebaut haben. Die Quelle dieser Dateien gaben sie jedoch nicht preis. Das Datenmaterial analysierten die Wissenschaftler dann bezüglich verschiedener Indikatoren wie der Zeit des Online-Gehens oder Art des Rechners (Laptop oder stationärer PC). Laut Aussage der Forscher lässt sich die Vorgehensweise auch leicht auf Log-Dateien übertragen, die bei Providern und Suchmaschinen anfallen.

Ziel der Arbeit ist auch hier passendere Werbung: "Eine Web-Anwendung kann stark von Ortskontextinformationen profitieren", sagen die Wissenschaftler Yinglian Xie und Martin Abadi. Als Beispiel nennen sie einen Klempner, der seine Dienste lieber Heimnutzern als Büroarbeitern anbieten will.

Dass das Verfahren potenzielle Datenschutzfragen aufwirft, ist den beiden Microsoft-Forschern bewusst. Verfahren, um die so gewonnenen Daten noch zu verfeinern, etwa durch die Korrelation mit Nutzerdatenbanken bei Providern, lehnen sie deshalb ab. Das Verfahren könne zudem auch für andere Anwendungszwecke genutzt werden, etwa zur Absicherung von Web-Servern, die dann nur Nutzer heranließen, wenn sie sich wirklich "bei der Arbeit" befinden. Doch das ginge eigentlich schon über den Abgleich der IP-Adresse hinaus.

Immerhin: Noch werden die von Xie und Abadi entdeckten Methoden offenbar von Datensammlern nicht genutzt. "Ich kenne keine Firmen, die sich derart intelligent anstellen", sagt Jules Polonetsky vom Datenschutz-Think-Tank Future of Privacy Forum. Es würde den Experten aber nicht überraschen, wenn kleinere Werbeunternehmen "demnächst damit experimentieren".

Der Trend, wegzukommen von der alten Methode, Nutzer über Cookies, also kleine, im Browser gespeicherte Datenkrümel, zu "tracken", sei deutlich sichtbar. Dies geschehe, weil immer mehr Nutzer sich zu schützen versuchten, etwa durch "Private Browsing"-Funktionen, die Cookies nach einer Sitzung wegwerfen. "Die Firmen suchen nach Methoden, über die die Nutzer keine Kontrolle haben."

Wer IP-Tracking entgehen will, hat dann letztlich nur noch eine Methode: Den Einsatz von Anonymisierungswerkzeugen wie der Software Tor. Jacob Appelbaum, Sicherheitsforscher und einer der Programmierer des freien Privatsphärenhelfers, sieht darin eine "Opt-Out"-Möglichkeit für den Verbraucher. "Es gibt Leute, die Firmen einfach nicht dabei helfen wollen, mit jedem Website-Besuch mehr über sie zu erfahren." (bsc)