Heimliche Sammlung von persönlichen Informationen beim Internet-Surfen: Ein Bericht über zählende Pixel und exotische Kekse

 
Vielleicht haben Sie sich schon einmal gewundert, wie Amazon sich Ihre zuletzt angesehenen Artikel merken konnte, ohne dass Sie sich eingeloggt haben oder aktiv etwas dazu beigetragen haben. Auch können Video-Flash-Player im Internet Ihre Lautstärke-Einstellungen oder die gewünschte Bitrate beibehalten, ohne dass Sie sie jedes Mals aufs Neue vornehmen müssen. Diese Einstellungen werden in den meisten Fällten mit Hilfe von Cookies gespeichert. Die bekannteste Form stellen die sogenannten http-Cookies dar. Diese wurden ursprünglich von Netscape entwickelt und sind seit Mitte der 1990er-Jahre in allen Browsern implementiert. Sie dienen vor allem zur Übergabe von Sitzungsdaten oder zur Benutzer-Nachverfolgung ("Tracking"). Auf der Festplatte zeigen sich http-Cookies meist als kleine Textdateien erkenntlich, deren Inhalt nicht fest vorgeschrieben ist. Sie können z.B. eine Expire-Eigenschaft – also ein Ablaufdatum – besitzen. Fehlt diese Eigenschaft, wird der Cookie beim Schließen des Internetbrowsers gelöscht. Daneben können Cookies Informationen zur Identifikation des Nutzers enthalten, beliebigen Text sowie sonstige Einstellungen, z.B. für Web-Anwendungen. Die Größe eines Cookies darf dabei 4 KByte nicht übersteigen, laut RFC-Spezifikation sind max. 20 Kekse pro Domain erlaubt.

 
Übertragung und Erzeugung von http-Cookies

Doch wie kommen die Cookies überhaupt auf den Rechner? Dazu schauen wir uns grob den Vorgang beim Besuch einer Internetseite an. Nach Bestätigen der Web-Adresse im Browser (und der dazugehörigen Namensauflösung sowie IP-Adressen-Zuordnung mittels DNS-Server, worauf wir hier allerdings nicht näher eingehen werden) stellt der Browser eine Anfrage beim Ziel-Server, auf dem sich die gewünschte Seite befindet. Die Anfrage sowie die gesamte restliche Übertragung von Internetseiten geschehen meist durch das http-Protokoll (bei verschlüsselten Internetseiten durch https), der Transport wird wiederrum durch das weitverbreitete TCP/IP-Protokoll geregelt. Bei der http-Anfrage sendet der Browser im sogenannten http-Header (Kopfzeile) diverse Informationen mit, unter anderem gibt er Auskunft über sich selbst, seine Version, die bevorzugten Sprachen (fall es eine internationale Webseite in mehreren Sprachen gibt), und nennt die Seite, von der man kommt (falls man per Hyperlink auf eine andere Webseite weitergeleitet wurde). Findet der Internetbrowser ein zur gewünschten Seite passendes Cookie, das gültig ist (Expires-Eigenschaft), leitet er den Keks ebenfalls per http-Header an den gewünschten Zielserver weiter. Falls das bestehende Cookie abgelaufen ist oder sich noch keines auf dem lokalen Computer befindet, kann der Zielserver beim Antworten mittels Cookie-Zeile im http-Header das Speichern eines neuen Cookies veranlassen. Bei einem Anfrage/Antwort-Paar bleibt es aber nicht, eine Webseite besteht nämlich aus verschiedenen Elementen wie Bildern, Videos, Skripten, etc., die der Browser auf gleiche Weise bestellt (inklusive Cookies). Webseitenbetreiber können auch Bilder oder andere Inhalte von Drittanbieter auf ihrer Webseite einbinden. Der Dritt-Server empfängt zwar dann nicht die Cookies des eigentlich aufgerufenen Servers, darf aber auf dem lokalen Benutzer-PC eigene Cookies setzen und verwalten.

Bei jeder Anfrage speichert der jeweilige Zielserver auch bestimmte Daten intern. Dazu gehören zumindest das Datum der Abfrage, die angefragte Seite sowie die IP-Adresse des Besuchers. Eine eindeutige Identifizierung des Besuchers ist dadurch aber nicht ohne Weiteres möglich, da Privathaushalte in der Regel keine feste IP-Adresse besitzen. Um zu erfahren, wer hinter einer IP-Adresse steckt, muss man sich an den Zugangsprovider wenden (Deutsche Telekom, Kabel Deutschland, Alice-DLS o.a.), der darf diese Daten allerdings nur auf gerichtliche Anordnung oder auf Anfrage eines Staatsanwaltes herausgeben.

 
Anwendung von http-Cookies

Der Nutzen von Cookies kann vielseitig sein, sowohl für den Betreiber einer Webseite als auch für den Besucher. Durch die Kekse können persönliche Einstellungen auf Webseiten gespeichert werden, so dass diese bei erneutem Besuch der Webseite nicht erneut eingegeben werden müssen. Durch Cookies können längere Sitzungen auf Seiten realisiert werden, in die man sich mit Benutzername und Passwort einloggen muss (Beispiel: Facebook oder StudiVZ). Um den Teilnehmer zu identifizieren, wird eine eindeutige Session-ID vergeben, die im Cookie gespeichert wird. Bei erneutem Aufruf der Webseite erkennt der Server (z.B. Facebook) den Client (Browser) wieder, so dass man Benutzernamen und Passwort nicht erneut eingeben muss.
In virtuellen Shops wie Amazon basieren die Warenkörbe auf Cookies. Auch können verschiedene Webanwendungen Benutzeraktionen und Benutzereingaben in Cookies sichern. Sinnvoll ist diese Art der Zwischenspeicherung auch, falls die Verbindung zwischendurch unterbricht (z.B. bei Mobilfunknetzen). Da ein Cookie jedoch nur 4 KByte an Daten speichern kann, können keine ganzen Romane gespeichert werden und der Zielserver muss Vorkehrungen gegen einen Cookie-Überlauf treffen.

 
Gefahren von Cookies

So praktisch Cookies auch sein mögen, bergen diese auch Gefahren. In Cookies werden zwar keine Informationen gespeichert, die eine Person eindeutig identifizieren lassen können, jedoch könnte beispielsweise ein Internetshop – sofern der Besucher mit seinem Benutzernamen angemeldet ist – die Informationen aus den Keksen mit den persönlichen Angaben (Name, Adresse) aus Kundendatenbank verknüpfen und so ein eindeutiges Surfprofil erstellen. Das klappt jedoch nur auf der Seite des Internetshops selbst. Anders sieht es bei den Cookies von Drittanbietern aus. Bindet ein Betreiber auf seiner Webseite Inhalte (Bilder oder Werbe-Banner) von Drittservern ein, so können diese Drittserver auf dem lokalen Rechner ebenfalls ein "Tracking-Cookie" (verfolgendes Cookie) setzen, obwohl deren Domain vom Benutzer eigentlich nicht aufgerufen wurde. So können auch domainübergreifende Surfprofile erstellt werden, und der Nutzer verliert letzten Endes die Kontrolle darüber, wo die Informationen über sein Surfverhalten gelangen. Denkbar wäre ein Szenario, in dem der Webshop-Betreiber mit einem Werbeunternehmen, von dessen Drittserver die Werbebanner herkommen, kooperiert und die Unternehmen untereinander Daten austauschen.
Aufpassen sollte man unbedingt bei Rechnern, die an öffentlichen Orten von mehreren Personen benutzt werden können. Speichert eine Webseite die bestehende Sitzung (Session) in einem Cookie ab, könnte der nachfolgende PC-Nutzer evtl. auf die Sitzung zurückgreifen, ohne den Benutzernamen oder das Passwort kennen zu müssen.

 
Datenschutz-Optionen im Browser

Jeder moderne Browser bietet heutzutage die Option an, private Daten manuell oder automatisch zu löschen. Dazu gehören auch die http-Cookies. Um die Privatsphäre zu schützen, kann man natürlich die Annahme von Cookies grundsätzlich verweigern. Einige Seiten im Internet sind jedoch auf Cookies angewiesen, so dass sie ohne Cookies nicht mehr richtig funktionieren würden. Als abgeschwächte Variante kann man einfach Cookies von Drittanbietern ablehnen, so dass nur Kekse von Domains auf dem lokalen Datenträger landen, die man auch tatsächlich besucht hat. Da die meisten Angebote im Internet für den Besucher zwar kostenlos sind, aber durch Werbepartner finanziert werden, fügt man dem Betreiber der Webseite durch das Ablehnen von Drittanbieter-Cookies evtl. finanziellen Schaden zu. Ach kann man in den Browsern einstellen, dass man vorher um Erlaubnis gefragt wird, bevor ein Cookie überhaupt entsteht. Da Cookies jedoch sehr häufig vorkommen und gegebenenfalls aktualisiert werden müssen, ist diese Methode in der Praxis eher untauglich, da man ständig mit Meldungen konfrontiert werden würde. Eine bequeme Methode könnte sein, Cookies (und evtl. andere persönliche Daten wie Browser-Verlauf, eingegebene Suchbegriffe und gespeicherte Formulardaten) nach einem bestimmten Zeitraum automatisch vom Browser löschen zu lassen. Internetseiten, denen man nicht traut, kann man in eine Ausnahmeliste eintragen, so dass diese keine Cookies mehr erstellen können.
Neben den bekannten http-Cookies gibt es jedoch auch andere, eher unbekannte Artgenossen wie Flash-Cookies oder die Speichertechnik "Web Storage" (ebenfalls bekannt unter den Namen "DOM Storage" oder "Supercookies"). Diese lassen sich mit browsereigenen Mittel nicht oder nur unzureichend verwalten.

 
Flash-Cookies

Mittlerweilen allgegenwärtig, aber verhältnismäßig unbekannt sind die "Local Shared Objects" (LSO), umgangssprachlich auch "Flash-Cookies" genannt. Wie der Name bereits andeutet werden diese Cookies von Flash-Anwendungen generiert. Ein typisches Beispiel für Informationen, die sich in Flash-Cookies befinden, sind die Lautstärke-Einstellung oder die gewählte Bitrate bei Flash-Videos. Daneben können sie diverse andere Anwendungseinstellungen sichern, Spielstände, Texte oder sogar Bilder speichern. In den Standard-Einstellungen stehen den Flash-Cookies pro Domain bis zu 100 KByte an Speicherplatz zur Verfügung, bei größerem Speicherbedarf wird der Benutzer erst um Erlaubnis gefragt. Ein Unterschied zu http-Cookies: Flash-Cookies gelten nicht nur für Browser, sondern für Flash-Anwendungen allgemein – unabhängig davon, ob die Anwendungen im Browser oder vom lokalen Datenträger gestartet werden. Mit herkömmlichen Browser-Funktionen lassen sich Flash-Cookies nicht löschen. Ein Grund, weswegen sie sich vor allem Flash-Werbebannern großer Beliebtheit erfreuen: Da nur wenige Nutzer von Flash-Cookies wissen und diese regelmäßig löschen, ist mit Flash-Bannern auch ein längeres Benutzer-Tracking seitens der Werbeunternehmen möglich.
Dennoch lassen sich Flash-Cookies anzeigen oder deren Einstellungen ändern, und zwar über Adobe-Flash-Einstellungsmanager. Dieser kann über folgenden Link im Internet aufgerufen werden:

http://www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager.html

Hier kann man unter anderem festlegen, ob Flash-Anwendungen auf Kamera und Mikrofon zugreifen dürfen, ob (Drittanbieter-)Cookies angenommen werden dürfen, und wie viel Speicherplatz auf dem lokalen Datenträger pro Domain zur Verfügung gestellt wird. Setzt man den Regler unter den "Globalen Speichereinstellungen" auf null, werden vorhandene Flash-Cookies gelöscht und in Zukunft keine neuen mehr erstellt.

 
Web-Storage-Objekte oder "SuperCookies"

Noch etwas exotischer als die Flash-Cookies ist die Speichertechnik "Web Storage", auch "DOM Storage" oder "Supercookies" genannt. Die Technik stammt aus dem Umfeld von HTML5 und wird mittlerweilen von den gängigen modernen Browsern unterstützt (Internet Explorer 8, Firefox 3.5, Safari 4, Google Chrome 4 und Opera 10.5.
Web Storage (oder Supercookies) haben einen großen Vorteil gegenüber herkömmlichen http-Cookies: Sie können bis zu 5 MByte an Informationen pro Domain speichern, beim Internet Explorer sind es sogar 10 MByte. Sie sind zwar eigentlich für die lokale Speicherung von Nutzerdaten angelegt (Notizen, Texte, Offline-Modus von Web-Anwendungen), könnten aber auch Cookie-Aufgaben übernehmen. Der Zugriff auf die Super-Kekse erfolgt über Skripte auf der Webseite. Wie bei http-Cookies wird unterschieden zwischen permanenten Speicherobjekten ohne Ablaufdatum und Session-Objekten, die beim Schließen des Browsers gelöscht werden.
Beim Internet-Explorer werden die Super-Cookies als XML-Datei im Benutzerverzeichnis abgelegt. Der Internet Explorer bietet zwar keine Funktion, diese anzuzeigen, jedoch werden die Web Storage Objekte beim löschen der Cookies ebenfalls gelöscht. Beim Firefox, Opera, Safari und Chrome werden die DOM-Storage-Objekte in einer abgespeckten SQL-Datenbank abgelegt: "SQLite". In Firefox und Opera lassen sich die Superkekse per "about:config" Einstellungsdialog anzeigen und konfigurieren, löschen kann man diese allerdings (noch) nicht. Beim Datenschutz verhalten sich die Web Storage Objekte im Allgemeinen wie http-Cookies.

 
Zählpixel

Die meisten Webangebote im Internet sind gratis, die Menschen und Technik, die dahinter stecken, müssen jedoch bezahlt werden. Finanziert wird dies üblicherweise durch Werbung. Für geeignete Werbemaßnahmen muss jedoch ermittelt werden, wie viele Besucher ein Internetauftritt pberhaupt hat. Das kann durch ein Zählpixel (oder "Web Bug") realisiert werden, in Deutschland speziell auch IVW-Pixel genannt. IVW steht für "Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern e.V. Fast jede größere Webseite, die mit Werbung Geld verdient, bindet ein solches IVW-Pixel ein, oder genauer gesagt, den Aufruf eines solchen Pixels vom Drittserver. Dabei handelt es sich um eine 1×1 Pixel große, meist unsichtbare oder an die Hintergrundfarbe angepasste Grafik, die vom IVW-Server (oder einem anderen Analyse-Server) kommt und zur Analyse auch Cookies setzen kann. Selbst wenn man die Cookies löscht oder verweigert, greift der Dienst auf http-Verbindungsdaten (IP-Adresse, Browser-Eigenschaften, etc.) zurück. Die IVW anonymisiert die Zugriffsdaten und schickt sie dann an die jeweiligen Webseitenbetreiber zwecks statistischer Zwecke weiter.

 
Browser-Cache und Chronik/Verlauf

Cookies sind bei Weitem mich die einzigen Daten, die vom Browser beim Surfen gesammelt werden. Um das Laden von Internetseiten zu beschleunigen, speichern die Browser die aufgerufenen Elemente (vor allem Bilder) im eigenen Cache ab. Beim nächsten Aufruf können diese Elemente dann schneller von der Festplatte gelesen werden, sofern sich diese seit dem letzten Aufruf nicht geändert haben. Auch werden in der Standardeinstellung ein Verlauf oder Chronik angefertigt, die dokumentieren, wann man welche Seite besucht hat. Eventuell merkt sich der Browser Eingaben in Formular-Feldern, dazu gehörten auch Passwörter – vorher Fragen die Browser jedoch nach, ob die Daten/Passwörter gesichert werden sollen.
Möchte man nicht, dass der Browser beim Surfen alles fleißig mitschreibt, Cookies oder Formulareingaben dauerhaft speichert, kann man im "Privaten Modus" surfen – auch unter der Bezeichnung "Pornomodus" bekannt :-) Hierbei werden keine Daten auf der Festplatte abgespeichert. Da Cookies jedoch oft notwendig sind, werden sie zwar temporär angelegt, beim Schließen des Browsers jedoch wieder gelöscht. Laut diversen Quellen funktioniert das Löschen zuverlässig. Dennoch lohnt sich ab und an ein Blick in die Privatsphäre-Einstellungen des Browsers.

 
Nach Hause telefonieren…

Wie gesprächig Browser sind, bekommt man im Alltag garnicht mit. Dies wird erst durch Anzeigen der Hintergrundkommunikation deutlich (bei manchen Browsern ist diese Anzeigefunktion integriert, bei anderen durch Plugins oder Dritt-Software nachrüstbar).

  • Firefox
    Beim Start des Browsers telefoniert dieser zunächst mit aus2.mozilla.org, um nach eventuellen Updates zu schauen. Um den Benutzer von potenziell gefährlichen Seiten zu schützen, greift Firefox auf den Dienst "Google Safebrowsing", wodurch Google ebenfalls etwas vom Surfverhalten der Firefox-Nutzer mitbekommt.
    Bereits während der Eingabe der Adresszeile liefert Firefox in der Standardeinstellung Vorschläge für mögliche Vervollständigungen. Hierbei wird der Browser ebenfalls von Google unterstützt. Um schneller auf verlinkte Seiten zu gelangen, löst Firefox mittels DNS-Prefetching die Links auf einer Seite im Hintergrund auf. Dabei bringt der Dienst nur die IP-Adresse der verlinkten Seite in Erfahrung, auf die verlinkte Seite selbst wird nicht zugegriffen.
  • Google Chrome
    Der Browser des Suchmaschinen-Riesen ruft regelmäßig die IP-Nummer 209.85.135.100 an, um z.B. nach Updates Ausschau zu halten. Die vom Safebrowsing-Dienst als gefährlich eingestuften Webseiten werden – wie bei Firefox – in einer SQLite-Datenbank auf der Festplatte im Profilverzeichnis abgespeichert, bei Verdacht kann Google jedoch zusätzliche Informationen vom Browser anfordern. Zudem können die Verbindungsdaten (IP-Adresse, aufgerufene Seite, Browser-Version) wochenlang von Google intern und durch Cookies gespeichert werden.
    Natürlich bietet Googles Chrome ebenfalls Vorschläge an zum Vervollständigen der URL während der Eingabe. Auch hier werden Links auf Webseiten mittels DNS-Prefetching im Hintergrund in IP-Adressen aufgelöst.
  • Internet Explorer
    Wem dies ein bisschen zu viel Informationen sind, die ständig an Google gehen, kann sich mal den Browser anschauen, der von Hause aus auf den meisten Computer zu finden sein dürfte: Den Internet-Explorer. Microsoft setzt beim Warnen vor gefährlichen Seiten auf eine eigene Lösung. Neben einer lokal abgespeicherten Whitelist greift der Browser bei eingeschaltetem SmartScreen-Filter auf die Server von Microsoft zu. Dabei geht der Betriebssystem-Riese sogar noch weiter als Google, denn die komplette http-Anfrage wird übermittelt. Microsoft versucht danach, die persönlichen Daten auszufiltern. Mit den so gesammelten Informationen erstellt das Unternehmen individuelle Nutzerstatistiken, erklärt aber in einer Selbstverpflichtung, die Benutzer nicht zu identifizieren.
    Wer also viel Wert auf einen verschwiegenen Browser legt, ist in dieser Hinsicht beim Microsoft Internet Explorer schlechter beraten als mit Firefox oder Google Chrome.
  • Opera
    Ein weiterer, nicht zuletzt wegen seiner Geschwindigkeit und innovativen Extras immer beliebtere Browser ist Opera. Beim Ausführen prüft Opera bei autoupdate.opera.com, ob Aktualisierungen vorhanden sind. Um den Benutzer vor kompromittierten Internetseiten zu schützen, greift der Browser auf die Dienste Netcraft, PhishTank und Truste zurück. Jeder Webseiten-Aufruft wird dabei an den Server sitecheck2.opera.com geschickt, der eine Blacklist enthält (also eine Schwarze Liste von Seiten mit schädlichen Inhalten). Die Übertragung der angefragten URL geht dabei nicht als Klartext durchs Netzt, sondern als ein kryptischer Hashwert. Als zusätzliches Schmankerl bietet Opera eine "Turbofunktion" fürs schnellere Surfen bei langsamen Verbindungen an. Dabei werden allerdings sämtliche Daten durch einen komprimierenden Proxy geschleust, der vor allem Bilder in Echtzeit komprimiert und in reduzierter Größe wieder zurück an den Browser schickt. Nach eigenen Angaben speichert Opera bei all dem keine Daten.

Zum Schluss möchten wir noch die Schnittstelle "Geolocation API" erwähnen. Hiermit können Anwendungen anhand der eigenen IP-Adresse oder der des Routers mit Hilfe des Browsers orten – dies geschieht nur nach aktiver Einwilligung des Benutzers. Google ist bisher der einzige Anbieter, der Ortung über die Geolocation API anbietet.

 
Fazit

Scheinbar kostenlose Funktionen, die das browsen komfortabler machen sollen, kosten auf den zweiten Blick doch etwas: Und zwar persönliche Informationen. Lässt man alle Funktionen aktiviert, verliert man die Kontrolle darüber, wo die Informationen über das persönliche Surfverhalten landen. Geht man aber auf Nummer sicher und schaltet alle Dienste ab, wird das Aufrufen von Internetseiten evtl. unmöglich. Man muss also einen Kompromiss aus Bequemlichkeit und Datenschutz finden. Unsere PC Hilfe Hamburg berät Sie gerne Dabei und nimmt die nötigen Einstellungen vor.


 
 
Weitere Beiträge aus diesem Bereich:
 
» Schutz des PCs vor Angriffen durch Hacker mit entsprechenden Firewalls
» Seit dem 11.06.2010 gilt das neue Widerrufsrecht: Zweiwöchige Widerrufsfrist nun auch bei Auktionsportalen wie eBay & Co.
» BGH-Urteil zur Störerhaftung für Betreiber von WLANs (Az. I ZR 121/08)
» Kritische Sicherheitslücke bei 64-Bit Windows-Systemen mit aktivierter Aero-Oberfläche entdeckt
» Nachtrag zum BGH-Urteil zur Störerhaftung: Voreingestellter WPA-Schlüssel bei WLAN-Routern zum Schutz nicht ausreichend
» Gefälschte Sicherheitssoftware (Rogue-Anti-Spyware) nimmt zu
» Kostenloser Schutz vor Viren, Malware und sonstigen Computer-Schädlingen
» Sichere Nutzung des Internets (rechtliche Grundlagen beim Onlinekauf, Online-Banking)
» Service Pack 1 für Windows 7 und Windows Server 2008 RC2
» Schutz des PCs vor Viren, Würmern und sonstigen Schädlingen (auch mit kostenlosen Programmen)

 
 
Statistik für » Heimliche Sammlung von persönlichen Informationen beim Internet-Surfen: Ein Bericht über zählende Pixel und exotische Kekse
[Gelesen: 8524 | heute: 2 | zuletzt: 22. November 2017]

Kommentar schreiben