Websites hebeln Anti-Cookie-Maßnahmen aus

Laut einer wissenschaftlichen Untersuchung haben Benutzer keine Chance, raffinierte Tracking-Methoden durch Websites zu verhindern.

In Pocket speichern vorlesen Druckansicht 165 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Herbert Braun

Einige große Websites nutzen raffinierte Tracking-Techniken, mit denen sie Benutzer auch dann zurückverfolgen können, wenn sie dies zu verhindern versuchen – etwa durch Abweisen von Cookies und Surfen im privaten Modus. Wissenschaftler der Universität Berkeley haben die Mechanismen untersucht, die bekannte Angebote wie Amazon, Hulu, Spotify, Etsy oder GigaOm einsetzen, und sind dabei auf den Dienstleister KISSmetrics gestoßen.

Browser bringen längst brauchbare Werkzeuge mit, um mit gewöhnlichen HTTP-Cookies umzugehen. Lange Zeit galten die sogenannten Flash-Cookies (LocalStorage-Objekte) als größte Bedrohung für Datenschutz-sensible Nutzer, doch hat sich auf diesem Gebiet in letzter Zeit die Situation erheblich verbessert – die meisten Browser werfen inzwischen Flash-Cookies zusammen mit den anderen Keksen weg. Letztes Jahr machte jedoch ein "evercookie" Furore, das HTTP-, Flash- und Silverlight-Cookies mit HTML5-Techniken wie LocalStorage kombiniert. Auch ausgefallene Speichermethoden wie die alte userData-Technik des Internet Explorers, Caching mit Hilfe von PNG-Grafiken, History Stealing und HTTP-ETags kamen dabei zum Einsatz.

Kommerzielle Anbieter wie KISSmetrics sind mittlerweile auf einem ähnlichen Stand. Der Code des Tracking-Skripts macht es dem Benutzer praktisch unmöglich, dem Tracking zu entkommen. Wichtigste Stützen des Verfahrens sind offenbar HTTP- und Flash-Cookies, LocalStorage, IE-userData und ETags. Bei letzteren handelt es sich um einen HTTP-Header, der dem Browser eine Art Caching-Signatur mitteilt; die Website kann das ETag später wieder abfragen, um zu entscheiden, ob der Browser eine neue Version der betreffenden Datei benötigt.

KISSmetrics kann den Benutzer über mehrere seiner Kunden-Sites verfolgen und so umfangreiche Profilinformationen zusammentragen. Besonders peinlich ist die Angelegenheit für die Video-Website Hulu: Letztes Jahr waren die Tracking-Anbieter Clearspring und Quantcast verklagt worden, weil sie mit Hilfe von Flash-Cookies gelöschte HTTP-Cookies wiederherstellten; Hulu war einer von Quantcasts Kunden. Nach Informationen von Wired beendete Hulu jetzt umgehend die Zusammenarbeit mit KISSmetrics. Deren Gründer Hitten Shah betonte Wired gegenüber, dass KISSmetrics nichts Ungesetzliches und nichts Bösartiges tue.

In den USA und in Europa haben die Debatten über Tracking durch Webseiten in den letzten Jahren an Fahrt aufgenommen. Während die EU mit ihrem Beschluss, Cookies nur nach vorheriger Genehmigung durch den Benutzer zu erlauben, einige Verunsicherung angerichtet hat, scheint es in den USA derzeit auf eine Opt-out-Lösung hinauszulaufen, wie sie unter den Browser-Herstellern Mozilla befürwortet. Technisch scheint sich Tracking ohnehin nicht verhindern zu lassen: Laut einer Studie der Bürgerrechtsbewegung Electronic Frontier Foundation (EFF) ist fast jeder Browser eindeutig identifizierbar. (heb)