Favicons und Zählpixel – Hä?

Favicons und Zählpixel

Website-Tracking ohne Cookies

Die Europäische Datenschutzverordnung (DSGVO) hat in den letzten Jahren viel Aufmerksamkeit in den Medien bekommen. Es hat viele nationale und internationale Gerichte beschäftigt, Website-Betreiber verunsichert, und Programmierer in den Wahnsinn getrieben. Selbst diejenigen, zu deren Wohl das ganze überhaupt erdacht wurde sind genervt. Viele User sehen die vielen Cookie-Banner eher als Behinderung denn als Hilfe.

Doch die DSGVO auf Cookies zu reduzieren ist falsch. Einmal, weil es um Datenschutz allgemein geht, sowohl On- als auch Offline, zum anderen, weil die mediale Reduzierung auf Cookies eine willkommene Ablenkung von anderen Tracking-Methoden ist. Zwei dieser Methoden wollen wir hier ins Rampenlicht zerren. Wir wollen dem geneigten Leser einige potentielle Schwachstellen in ihrem täglichen Umgang mit dem Internet zeigen, um eine Veränderung des eigenen Verhaltens anzuregen.

Favicons – Praktische kleine Helfer

Wer kennt das nicht: Im Browser sind mehrere (in meinem Fall mehrere Dutzend) Tabs offen. Um von einem Tab zum anderen zu wechseln hat man mehrere Möglichkeiten: 1. Man merkt sich, welcher Tab wo ist. 2. Man geht jeden Tab einzeln durch. 3. Man schaut in der Adresszeile auf die kleinen Icons, die einem den „Herausgeber“ der Seite anzeigen.

Diese 16×16 oder 32×32 Pixel großen Bilderchen sind die Favicons. Sie sollen wie in diesem Beispiel die Orientierung erleichtern, und dienen quasi als Markenbotschafter, denn meistens wird da das Firmenlogo dargestellt.

Doch Forscher der University Chicago haben nun ein weiteres Potential entdeckt. Diese Favicons lassen sich in sog. Supercookies umfunktionieren.

Der Trick

Der Trick liegt in der Funktionstechnik des Browser-Cache. In diesem werden Infos über die besuchten Seiten gespeichert, so dass man z.B. nur die ersten Buchstaben der URL eintippen muss, um die komplette Adresse angezeigt zu bekommen. Sehr bequem, aber ein Datenschutz-Risiko, denn diese Browser-Historie lässt den Schluss auf den genauen Verlauf des Nutzerverhaltens zu. Klassische Sicherheitsprogramme tun deshalb das, was jeder Browser inzwischen selbst anbietet, sofern man die entsprechende Sicherheits-Einstellung vornimmt: Nach schließen des Browsers wird der Cache gelöscht, und damit der Verlauf. Doch der Cache ist kein monolithischer Block, sondern ist fragmentiert, je nachdem welchem Zweck er dient. So ist z.B. das Favicon von der allgemeinen Löschung nicht betroffen, weil es in einem Sonder-Cache abgelegt ist.

Der Supercookie der Forscher setzt nun darauf, dem Nutzer beim ersten Besuch ein diverses Set unterschiedlichster Favicons über verschiedene Subdomains unterzujubeln. Die bleiben dann auf dem Rechner und werden beim nächsten Seitenbesuch nicht erneut abgerufen. Dank dieses Umstands weiß eine entsprechend sammelwütige Seite, welche Favicons vom Besucherbrowser nicht abgerufen werden, also bereits vorhanden sind. Kombiniert man diese Informationen mit anderen Fingerprinting-Techniken, lassen sich umfangreiche Nutzerprofile mit einer eindeutigen ID erstellen. Die Marketer würde das freuen.

Die Browser sind bislang gegen diesen Trick machtlos. Doch das dürfte sich hoffentlich bald ändern, denn die Forscher haben ihre Ergebnisse mit den Browser-Herstellern geteilt.

Der Zählpixel – Klein aber oho

Waren Sie schon einmal auf einer Website, die einen Counter verwendet und bei jedem Besuch um 1 nach oben geht? Manchmal sogar personalisiert! Wie funktioniert das?

All das schafft ein winziger 1×1 Pixel großer – Pixel. Um nicht weiter aufzufallen ist er transparent oder in der selben Farbe wie der Hintergrund. Technisch gesehen ist er eine Grafik, meist im gif- oder png-Format. Der Pixel ist über ein Script mit dem Server verbunden und teilt ihm Informationen über den Aufruf der Seite mit. Aber auch Infos über Ihren Browser werden erhoben, z.B. Browser-Typ, installierte Plug-Ins, und über die Verknüpfung von IP-Adresse und Geo-Daten, kann sogar eine grobe Verortung vorgenommen werden. Dies ist speziell hilfreich, um gezielte Regional-Werbung zu schalten.

Na und? Mein Browser ist geschützt!

Aber auch im E-Mail-Tracking werden Pixels gerne eingesetzt. Neben den oben genannten Informationen zu Ihrem Gerät kann der Pixel auch messen, ob und wann Sie die Mail geöffnet haben bzw. welche Links sie anklicken. Gerade Spam-Versender nutzen diese Technik gerne, denn sobald jemand die Mail öffnet, weiß der Versender, dass die Mail-Adresse aktiv ist. Das treibt den Verkaufspreis der Adresse in die Höhe und macht Sie als Ziel weiterer Spam-Mails beliebt.

Seriöse Nutzer, z.B. Versender von Newslettern, nutzen dagegen solche Informationen, um ihr Angebot zu optimieren. So kann beispielsweise ermittelt werden, welcher Tag und welche Uhrzeit die besten Versandzeiten sind. Auch die zielgerichtete Optimierung des Inhalts kommt dem Empfänger zugute.

Was tun?

Schützen können Sie sich gegen Pixels in E-Mails, indem Sie in Ihrem Post-Eingang die Darstellung von Bildern deaktivieren, wodurch natürlich die Nutzbarkeit leidet. Aber es spricht nichts dagegen, dass sie Mails Ihres Vertrauens die Darstellung explizit erlauben, denn wie gesagt: In der Regel dient der Pixel der Verbesserung des Newsletter-Angebots.

Fazit

Letztlich ist es ein Wettlauf zwischen dem Gesetzgeber und den technischen Möglichkeiten. Aber es bringt nichts, sich als Endnutzer einfach nur zurückzulehnen und über die Unannehmlichkeiten dieses Wettlaufs zu ärgern. Tatsache ist, dass Favicons und Zählpixel legal sind. Es geht hier darum die Aufmerksamkeit auch auf die kleinen Dinge zu lenken, denn es sind die Kleinigkeiten, die wir am ehesten selbst beeinflussen können. Zeigen Sie Vertrauen gegenüber denen, die Ihnen einen echten Mehrwert liefern und lassen Sie Spammer und Datenhändler ins Leere greifen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.