Online-Werbung: Der Track-App-Nepp
Mit sogenannten Supercookies ist es möglich, auch jene PC-Nutzer durchs Web zu verfolgen, die sich verstecken wollen. Auf Smartphones ist die Gefahr noch größer.
Typisch: Erst krümeln Kekse (engl. Cookies) und dann findet sich in der Mitte auch noch eine Werbebotschaft. Bild: Photocase / jg_79
Werbung, die direkt auf einzelne Nutzer zugeschnitten ist, verbreitet sich immer mehr; kaum eine Media-Agentur kommt mehr ohne diese Reklameform aus. Da aber auch immer mehr User nicht wollen, dass die Internet- und Werbekonzerne sie durch das halbe Web verfolgen, werden auch die Methoden, Nutzer zu "tracken", immer ausgefeilter.
Wer beispielsweise die von Online-Angeboten auf den Rechner geschriebenen Datenkrümel, die sogenannten Cookies, löscht, wähnt sich gegenüber Tracking sicher. Ebenso fühlen sich jene, die den in vielen Browsern verfügbaren Privatsphären-Modus einsetzen. Doch leider gilt: Problem erkannt, Problem noch lange nicht gebannt.
Forscher der Stanford University und der University of California in Berkeley haben jüngst demonstriert, wie das Microsoft-Portal MSN oder der Videodienst Hulu mit sogenannten Supercookies arbeiten. Das sind Datenkrümel, die Nutzer (beziehungsweise ihre Browser) eindeutig zuordnen, aber kaum loszuwerden sind. Werden sie von den Nutzern einmal gelöscht, tauchen sie beim nächsten Besuch einer Website wieder auf.
Die Firmen bedienen sich dabei verschiedener Methoden. So werden eindeutige IDs in sogenannte Flash-Cookies gesteckt. Flash, eine Multimedia-Technik, mit der Online-Spiele oder Videos von YouTube und Co. im Browser dargestellt werden, besitzt einen eigenen Speicherbereich auf der Festplatte, der sich durch die Standardfunktionen im Browser nicht löschen lässt. Viele Nutzer wissen das nicht und so feiern die Identifikationsnummern fröhlich Auferstehung. Erst seit kurzem hat Flash-Hersteller Adobe das Löschen etwas vereinfacht.
Problem Flash
Nicht nur Flash-Cookies sind das Problem. Die Forscher in Berkeley fanden heraus, dass Kissmetrics, ein Anbieter von Web-Analysesystemen, seine ID mittels der neuen HTML5-Technik tief im Browser ablegt. Auch hier gibt es keinen Schalter, mit dem sich die Datenkrümel löschen ließen - man muss schon den Zwischenspeicher (Cache) leeren, was unter Umständen auch andere, liebgewonnene Browser-Daten verschwinden lässt.
Während man sich auf dem PC mit Mühe und Wissen dem Tracking noch widersetzen kann, wird das im stetig wachsenden mobilen Internet immer schwieriger. Jedes moderne Handy und jeder Tablet-Computer, sei es nun ein Gerät mit Googles Android-Betriebssystem oder Apples iOS, besitzt eine eigene Identifikationsnummer, die sogenannte UDID (Unique Device Identifier).
Diese Zahl, in einem Binärcode abgefasst, ist weltweit eindeutig und kann von jedem Programm, das man auf den Geräten installiert, gegebenenfalls ausgelesen werden. So ist es beispielsweise möglich, die Verwendung mehrerer Apps des gleichen Herstellers zu tracken - vielleicht interessiert sich Person X für Sportspiele und gleichzeitig für die Software eines Autoherstellers und eine medizinische App. Oder Entwickler geben die UDID gleich an Werbetreibende und Mediaagenturen weiter, die in den Anwendungen Reklame schalten, damit diese kostenlos angeboten werden können.
Apple reagiert, wenn auch spät
So müssen die Apps nicht einmal vom gleichen Hersteller sein, um nachzuverfolgen, was ein Nutzer so alles auf seinem Handy treibt. Sogenannte interessensbasierte Werbung wird möglich, die sich an den Vorlieben des Users ausrichtet oder die Verknüpfung mit Daten aus Umfragen. Da muss man nicht einmal mehr seinen Namen eingeben: Die Breite der erfassten Informationen samt der Zuordnung via UDID ist das ultimative Nutzertracking.
Da die Weitergabe der UDID bislang kaum gekennzeichnet ist und in der Standardeinstellung auch nicht vom Nutzer bestätigt werden muss, können Interessierte fleißig weiter Daten sammeln. Immerhin hat Apple in dieser Woche gegenüber seinen Entwicklern angekündigt, dass das Auslesen der UDID in der nächsten Version von iOS offiziell auslaufen soll, die Technik werde von nun an "abgelehnt".
Das passiert zunächst nur schrittweise und soll mit der fünften Version seines Betriebssystems , die im Herbst erscheint - bis dahin haben alle Entwickler und ihre Werbetreibenden noch genug Zeit, weiter fleißig Identifikationsnummern zu horten. Auch dürfen sie nach wie vor eigene IDs auf die Geräte schreiben, die die Nutzer nicht löschen können.
Leser*innenkommentare
Irgendein Name
Gast
Unter 'evercookie' gabs eine Referenz-Implementierung als Beispiel wie "klebrig" man IDs an Browser bzw. Rechner dranmachen kann. Das ist eine "Alternative" zu kissmetrics.
Bitte bei "individualisierter Werbung" ein 'vermeintlich' davorhängen. Wenn ich einen 5x-Switch kaufe kriege ich von Amazon ständig Werbung für den 8x-Switch. Wenn ich RAM-Speicher kaufen würde, kriege ich vermutlich Werbung für ein Modell größer oder kleiner. Sowas tauscht man aber nicht so einfach aus und ist ziemlich sinnfrei. Und sowas von Amazon! wo man schlaueres erwartet. Die würden Käufern von Eheringen oder Hochzeitsreisen vermutlich noch mehr Eheringe und Hochzeitsreisen anpreisen... .
"Deprecated" ist eher ein Hinweis es nicht mehr zu nutzen. Nicht jedoch, das es garantiert gar nicht mehr funktionieren wird.
Google hilft Anbietern nicht, sich gegen Raubkopien ihrer Apps zu schützen. Gleiches auch bei iPhones. Wer 79-Cent-Apps klaut, klaut auch bei Kik-Markt und da dürften 90% der Produkte 9,99 und weniger kosten.
Apple und Google müssten Raubkopie-Schutz und Halb-IDs einführen. Also IDs die nur in Verbindung mit Appstore+AppID+ID gelten. So wie limitierte Bücher die durchnumeriert sind aber für die verkauften Apps. Oder wie Startnummern beim Wettrennen. Damit wäre das Problem gelöst und Raubkopierer könnte man damit auch von Updates oder Multiplayer-Games ausschliessen.
Dasselbe übrigens für GigaLocal und die SteuerID. Das Finanzamt müsste mir eine Alternative ID geben (Jahr+FinanzamtsNummer+Zahl) und damit trage ich mich bei Gigalocal ein und muss jedes Jahr eine neue ID holen. Aber Datenschutz ist den wenigsten ihr Brot.
Ich hätte gerne funktionierende personalisierte Werbung, weil ich ja ständig irgendwas kaufen muss. Aber davon sind wir aktuell so weit weg die die Mittelalter-Chirurgie von der heutigen Chirurgie.
TuxTrainer
Gast
@me.toString:
Es gibt kein Allheilmittel gegen die Datenkraken.
Ein eigener User dessen Dateien beim Abmelden gelöscht werden hilft natürlich nur gegen SuperCookies, Flash-Krümel und den sonstigen Kram der sich auf dem heimischen PC abspielt.
Die vorgenannten PlugIns sind auch bei mir unverzichtbarer Bestandteil vom FireFox.
Hans
Gast
Ich muss es zugeben, Linux ist in vielerlei Hinsicht besser, doch leider kommt man nicht immer um das doofe Windows herum, gerade die Massen nicht.
Ich kann mich den Empfehlungen von Kommentator me.toString nur anschließen, wobei noscript mich auch manchmal nervt. Ich empfehle auch zum Ärger der Seiteninhaber "ghostery", da sieht man auch noch, was für Programme einen beobachten. Das ist so schön interaktiv die Dinger zu blocken.
WeitereInfo
Gast
Vielleicht noch ganz interessant für die nicht so Technikbewanderten:
- allein die vom Browser gelieferten Informationen über Programmversion, Plugins und Zeichensätze können zur Identifizierung eines Nutzers beitragen. Ein interessanter Selbsttest ist hier verfügbar: http://panopticlick.eff.org/
- sieht zwar nicht direkt wie Werbung aus, ist aber wesentlich gefährlicher: "Like"-Knöpfe wie z.B. die von Facebook - oftmals wird allein dadurch für Facebook nachvollziehbar, welche Seiten welcher Facebookbenutzer aufruft. Da sollte sich niemand wundern, warum der Wert des Unternehmens angeblich viele Milliarden Dollar betragen soll. Vom gute-Leute-sein kommt sowas nicht.
Knusperfein
Gast
Firefox mit Adblock Plus, Noscript, BetterPrivacy, ShareMeNot, Stealthy uvm. sollte als standard gelten (und auch noch individuell eingerichtet sein). Ja, auch ich nutze u.a. Linux, aber das schützt gegen Viren/Trojaner und so manchen Hackangriffen, aber nicht gegen Mustersuchende Algorhytmen.
Auch wenn man es schafft SuperCoockies und was noch alles kommt (und evtl. schon ist) zu löschen, so geht man immer noch auf Webseiten. Und die erhalten vom Browser genug Daten, um Anhand der Installierten Programmplugins (Java/Flash/Audiowiedergabe etc), Rechnerspeziefische Schrifttypen, Bildschirmauflösung etc. einen Fingerabdruck zu generieren. Dieser kann dann immer verfolgt werden. Leider: je mehr man sein System individualisiert und "sicherer" macht, um so einzigartiger ist man, um so besser ist man verfolgbar.
Ausführliches dazu und testbar: https://panopticlick.eff.org/
Viel Glück beim Anonym bleiben ;-)
duder
Gast
me.toString hat die meisten Methoden zur Vermeidung von Tracking schon aufgezählt. Wer ein unixoides Betriebssystem hat (GNU/Linux, BSD, OS X) kann auch (wie ich) jede Stunde einen cronjob* laufen lassen, der diese „Supercookies“ löscht. Bei OS X sieht das so aus:
find /Users/[NAME DES BENUTZERORDNERS]/Library/Preferences/Macromedia -mtime +2h -exec rm -rf {} 2> /dev/null ;
Ein gutes Programm, das unter OS X das Einrichten von cron-jobs erleichtert ist Cronnix**
* https://secure.wikimedia.org/wikipedia/de/wiki/Cron
** http://code.google.com/p/cronnix/
Branko
Gast
Gegen die Techniken wie und wo überall Werbung platziert wird vorzugehen, dürfte ein ziemlich aussichtsloser Kampf gegen Windmühlen sein.
Denn seit das Internet in Form von Browsern besurft wird, herrscht diese Schlacht - die Werbung wird immer mehr und immer aufdringlicher.
Aber vielleicht sollte man den Firmen mal verklickern, daß zuviel Werbung sogar kontraproduktiv, weil abschreckend wirkt.
Nur so kann man meiner Meinung nach wirklich gegen die Werbeflut vorgehen.
Die Tage habe ich einfach mal spontan bei Conrad geschaut, was mich ein Labornetzteil kosten würde.
Seit dem bekomme ich auf jeder zweiten Webpage Conrads Werbung für Labornetzteilangebote eingespielt.
Das wirkt dermaßen aufdringlich-flehend, ausspionierend und fast schon peinlich, daß ich bei Conrad gar nix mehr kaufen werden.
Auch sonst bin ich da hart. Wenn mir ein Unternehmen, mit dem ich eine entgeltliche Vertragsleistung eingegangen bin zuviel Werbung schickt, kriegen die von mir nen Schreiben:
"So, Sie sind also mit unserem Vertragsverhältnis nicht zufrieden." - und dann wird der Anbieter gewechselt.
Weil Werbung ansehen zu müssen heisst bezahlen.
Wird mir irgendwo Werbung eingeblendet, habe ich die Dienstleistung damit bezahlt.
(Das schließt auch taz.de hier mit ein.)
Ob die Werbung ausreicht, den Dienst zu finanzieren.. keine Ahnung; das ist aber auch nicht mein Problem.
Mir wird Werbung eingeblendet, also habe ich dafür bezahlt.
Nutzer
Gast
Abgesehen von den normalen Cookies und den super Cookies gibt es übrigens auch auf dieser Seite 2 Tracker ("INF Online" und "Adition").
Ich nutze ebenfalls Linux und habe mir BleachBit zugelegt. Da brauche ich nicht für jeden Browser ein extra Addon zum löschen der SuperCookies.
foobar
Gast
Anderer Ansatz: Ich benutze kein Flash mehr. 99% der Flashinhalte sind sowieso ungewollte Werbung und YouTube funktioniert inzwischen auch ohne Flash.
me.toString
Gast
@TuxTrainer:
Die Verwendung von Linux schützt vor 99% der im Umlauf befindlichen Viren / Würmer ... aber nicht vor dem Thema (Super)Cookie. Und auch der eigener User schützt nicht davor - denn hier geht es nicht um das ausspionieren der Daten auf dem Rechner, sondern um das ausspionieren des Surfverhaltens des Users.
Für das Problem Flash-Cookies benutzte ich das Firefox-Plugin "Better Privacy", mit dem ich die Flash-Cookies automatisch löschen lassen kann. Und da manche Sachen erst durch Java Script möglich sind, benutze ich das Plugin "NoScript", welches der Webseite die Verwendung von Java Script defaultmäßig untersagt und nur durch manuelle Freigabe meinerseits angeschaltet werden kann (da einige Seiten, ja ohne Java Script nicht funktionieren). Und um die meiste nervige Werbung von meinem Bildschirm zu verbannen, benutzte ich das Plugin "AdblockPlus" (auch wenn die werbefinanzierten Seitenbetreiber bei AdblockPlus aufschreien - die Internetwerbung ist in den letzten Jahren immer nerviger, bunter, lauter und resourcenfressender geworden (und schnüffeln dabei auch noch unser Surfverhalten aus), dass mir keine andere Wahl bleibt ... und wenn einer meint, seine Seite mir nicht zu zeigen, weil ich das Plugin benutzte, dann besuche ich die Seite eben nicht - die Konkurrenz ist groß)
TuxTrainer
Gast
Ich verwende ausschließlich Linux um mich im Internet zu bewegen. Ich habe mir zum Surfen einen separaten Nutzer angelegt dessen Daten (bzw. Dateien) bei jedem Abmelden gelöscht werden.
Aus die Maus.
Dass die Inhaltsanbieter bei sich Informationen anhand der IP-Adresse bzw. der Browser-Seriennummer speichern kann man so natürlich nicht verhindern - da bräuchte es dann schon dickere Kaliber.
Auf dem Smartphone ist die Problematik deutlich größer.
Die UUID ist zwar "verknüspelt" und läßt so einfach keinen Rückschluss auf den Benutzer zu aber sobald man persönliche Daten (z.B. beim Bestellvorgang) eingibt könnte die UUID zusammen mit den persönlichen Daten verarbeitet werden.
TuxTrainer
Gast
Ich verwende ausschließlich Linux um mich im Internet zu bewegen. Ich habe mir zum Surfen einen separaten Nutzer angelegt dessen Daten (bzw. Dateien) bei jedem Abmelden gelöscht werden.
Aus die Maus.
Dass die Inhaltsanbieter bei sich Informationen anhand der IP-Adresse bzw. der Browser-Seriennummer speichern kann man so natürlich nicht verhindern - da bräuchte es dann schon dickere Kaliber.
Auf dem Smartphone ist die Problematik deutlich größer.
Die UUID ist zwar "verknüspelt" und läßt so einfach keinen Rückschluss auf den Benutzer zu aber sobald man persönliche Daten (z.B. beim Bestellvorgang) eingibt könnte die UUID zusammen mit den persönlichen Daten verarbeitet werden.