Eine der bekanntesten Tracking-Methoden im Internet sind Cookies – kleine Textdateien, die lokal auf dem Computer abgelegt werden und das Surfverhalten des Nutzers ausspionieren (helfen).
Ein anderes, weniger bekanntes Tracking-Tool sind Session-Replay-Skripte. Im Vergleich zu Cookies sind sie wesentlich leistungsfähiger und für den Internet-Nutzer bedrohlicher. Session-Replay-Skripte erfassen jede Mausbewegung und jede Tastatureingabe in Echtzeit – und der Nutzer bekommt davon nichts mit. Das können Sie sich so vorstellen, als ob der Betreiber einer Website auf Ihrer Schulter eine Action-Cam platziert hat, die bei allem zuschaut, was Sie an Ihrem Computer tippen, klicken oder auch nur mit Ihrer Maus umkreisen.
Nutzer-Tracking par excellence
Es gibt viele Software-Anbieter auf dem Markt, die diese Verfolgungs-Skripte an Website-Betreiber verkaufen – zumindest offiziell mit dem Ziel, Schwachstellen von Online-Präsenzen zu erkennen. Die Analyse-Werkzeuge können nachverfolgen, was der Nutzer klickt, wohin er scrollt, welche Taste er berührt, an welcher Position er sich besonders lange aufhält, wo er ins Stocken gerät oder gar abbricht.
Besonders perfide: Auch wenn zum Beispiel Eingaben in Formularen gar nicht verschickt oder wieder gelöscht werden – das Skript „sieht“ und erfasst alles. Auf diesem Weg landen auch sensible Daten, wie Kreditkartennummern oder Passwörter, in den Fängen des Analyseprogramms. Dass deren Übertragung zum Teil unverschlüsselt erfolgt, erschreckt dann noch mehr. Einige Anbieter erlauben, die aufgezeichneten Daten der wahren Identität eines Nutzers zuzuordnen, wie folgende Studie zeigt:
Forscher der Princeton Universität in USA haben herausgefunden, dass fast 500 der etwa 10.000 bekanntesten Website-Betreiber (ausgewählt aus der Top 50.000 bei Alexa), Session-Replay-Skripte einsetzen. Darunter sind große Marken wie Intel, Lenovo, HP, Microsoft, Adobe, Sky, Yandex (russische Suchmaschine), Sputniknews oder die US-Botschaft.
Daten können mit der Identität der Person zusammengeführt werden
Das Forscherteam hat sieben der bekannten Session-Replay-Anbieter unter die Lupe genommen. Dazu gehören FullStory, SessionCam, Clicktale, UserReplay, Smartlook, Hotjar und Yandex. Das Software-Haus FullStory beispielsweise entwirft Verfolgungsskripte, die es Website-Besitzern erlauben, die Daten mit den Nutzeridentitäten zusammenzuführen. Besonders kritisch bewerten die Forscher, dass einige Anbieter die Übertragung nicht per SSL/TLS verschlüsseln.
Und alles geschieht in der Regel ohne Einwilligung des Anwenders!
Wie kann man sich schützen?
Es ist zunächst einmal nicht verwerflich, dass Unternehmen ihre Web-Angebote analysieren und im zweiten Schritt verbessern möchten. Einige der in der Studie kritisierten Betreiber haben mittlerweile die Skripte entfernt. Dass vor dieser Tracking-Methode aber wirklich nichts mehr sicher ist – nicht einmal Daten, deren Eingabe korrigiert oder widerrufen wird, oder auch Passwörter und sensible Kreditkartendaten -, ist ein Skandal.
Verhindern kann man das unter anderem mit dem aktuellen Firefox-Browser und Add-ons wie etwa Noscript oder anderen Skript-Blockern. Allerdings mit Einschränkungen, denn wie effektiv diese Blocker arbeiten, hängt nicht zuletzt immer wieder davon ab, wie schnell die Skripte-Schmieden ihre Produkte mit Workarounds aufrüsten. Und dann sind da ja noch die Betreiber solcher Späh-Webseiten, die alles tun, um uns, um Selbstschutz bemühten, Anwendern das Leben schwer zu machen.
Hier ein Demo-Video, wie Session-Replay funktioniert!
Hier geht es zur Newsletter-Anmeldung!
Eines verstehe ich ja bis heute bei Google nicht: Man entwickelt in Mountain View so viele und zum Teil wirklich sehr interessante FOSS-Projekte, fragmentiert sich dann aber wieder dabei, wenn es darum geht, wie sie entwickelt werden. Microsoft verfährt ja so, dass man all seine Bereiche, egal ob .NET, Xamarin, Webentwicklung oder was sonst noch, in Visual Studio zusammenführt. Google hat zwar mit Android Studio eine eigene IDE, die speziell auf diese Plattform ausgelegt ist, aber andere Projekte wie Go und Angular bleiben weiter außenvor und werden über Drittanbieter bedient. Ich kann mir gut vorstellen, dass ein Rundum-Sorglos-Paket aus einer umfangreichen (und gleichzeitig wie Visual Studio modularen) Entwicklungsumgebung im Zusammenspiel mit anderen Tools wie Google Chrome durchaus seinen Reiz hätte. Sie haben ja nun wirklich genug Projekte, die sie damit abdecken könnten, und es ist insofern schade, weil man die Möglichkeit verpasst, seine Fähigkeiten wirklich mal gebündelt anzubieten.