Tracking im Web: Wer Sie überwacht & wie

Was Zähl- und Tracking-Pixel sind, was sie so lästig macht und wie sie deaktiviert werden können.

Stellen Sie sich vor, Sie betreten ein Einkaufszentrum und eine fremde Person fängt plötzlich an, Sie auf Schritt und Tritt zu verfolgen. Dabei notiert sie beispielsweise, welche Läden Sie besuchen. Wenn Sie einen Werbe-Flyer entgegennehmen, versucht Ihr Verfolger, Ihnen über die Schulter zu schauen, um zu sehen, ob Sie ihn auch aufmerksam genug lesen. Wenn Sie in einem Geschäft sind, misst die Person mit einer Stoppuhr die genaue Zeit, die Sie an jedem Regal verbringen. Das klingt nicht nur vollkommen absurd, sondern auch ziemlich unangenehm, nicht wahr? Leider passiert genau das, wenn Sie größere Websites, E-Mails von Online-Shops oder -Diensten abrufen oder deren offizielle mobile Apps nutzen. Die Person mit der Stoppuhr sind in diesem Fall Analysesysteme, die mit praktisch jeder Website, Anwendung und E-Mail-Kampagne verbunden sind.

Wozu benötigen Unternehmen diese Daten? Gründe dafür gibt es viele:

  • Um Ihre Vorlieben besser zu kennen und Ihnen Produkte und Dienste vorzuschlagen, die Sie mit größerer Wahrscheinlichkeit kaufen würden. Daher stammt auch die lästige Fahrradwerbung, die Sie noch zwei Monate nach dem Besuch einer Fahrrad-Website verfolgt;
  • Um effektivere Texte und Bilder zu Webseiten und E-Mails hinzuzufügen. Unternehmen prüfen verschiedene Bildunterschriften, Kopfzeilen und Banner und wählen diejenigen aus, die Kunden besonders ansprechend finden;
  • Um die beliebtesten Seiten einer Website oder App zu identifizieren und wie mit diesen interagiert wird;
  • Um neue Produkte, Dienste und Features zu testen;
  • Um Benutzerverhalten und -vorlieben an andere Unternehmen zu verkaufen.

In einem ausführlichen Securelist-Beitrag haben wir die Statistiken über die mit Abstand fleißigsten „Spione“ untersucht: Google, Microsoft und Amazon.

So funktionieren Zähl- und Tracking-Pixel

Die oben beschriebenen Tracking-Aktivitäten basieren auf sogenannten Zählpixeln (Web Beacons), auch bekannt als Tracking-Pixel oder Spy-Pixel. Die beliebteste Trackingmethode besteht darin, ein winziges (so winzig, dass es praktisch unsichtbar ist) Bild – in der Größe von 1×1 oder sogar 0x0 Pixeln – in eine E-Mail, App oder Webseite einzufügen. Wenn Ihr Bildschirm Informationen anzeigt, fordert Ihr E-Mail-Client oder Browser das Bild zum Download vom Server an und übermittelt dabei Informationen über Sie, die der Server erfasst: Uhrzeit, genutztes Gerät, Betriebssystem, Browsertyp und Seite, von der das Pixel heruntergeladen wurde. Dadurch erfährt der Betreiber des Beacons, dass und wie Sie die E-Mail oder die Webseite geöffnet haben. Anstelle eines Pixels wird oft ein kleines Stück Code (JavaScript) innerhalb der Webseite eingebettet, das noch detailliertere Informationen sammeln kann. In jedem Fall ist der Tracker in der E-Mail-Nachricht oder auf der Website nicht sichtbar: Man kann ihn schlichtweg nicht sehen. Solche Beacons, die auf jeder Seite oder jedem Anwendungsfenster platziert werden, ermöglichen es jedoch, Ihnen zu „folgen“, indem sie Ihre Navigationsroute und die Zeit, die Sie auf jeder Etappe dieser Route verbringen, verfolgen.

Cyberkriminelle & Zählpixel

Marketing-Agenturen und Technologieunternehmen sind nicht die einzigen, die Zählpixel verwenden: auch Cyberkriminelle nutzen sie. Sie sind eine praktische Methode zur Vorabklärung für zielgerichtete E-Mail-Angriffe (Spear-Phishing, Kompromittierung von Geschäfts-E-Mails). Sie helfen den Cyberkriminellen herauszufinden, wann ihre Opfer ihre E-Mails abrufen (oder nicht), um den besten Zeitpunkt für einen Angriff zu wählen: Es ist einfacher, die Konten der Nutzer zu hacken oder gefälschte E-Mails in ihrem Namen zu versenden, wenn sie offline sind.

Nutzerinformationen, einschließlich Verhaltens- und Interessendaten, können im Zuge eines Hackerangriffs geleakt werden. Selbst bei marktführenden Unternehmen wie Mailchimp, Klaviyo oder ActiveCampaign kommt es manchmal zu solchen Lecks. Die gestohlenen Informationen können für verschiedene Betrugsmethoden verwendet werden. So haben die Hacker, die Klaviyo angegriffen haben, Listen von Nutzern gestohlen, die sich für Investitionen in Kryptowährung interessieren. Eine spezielle Phishing-Taktik kann dann verwendet werden, um diese Zielgruppe anzusprechen und sie um ihre Kryptowährung zu betrügen.

So schützen Sie sich vor Tracking

Wir können Datenlecks und Hacking nicht kontrollieren, aber wir können dafür sorgen, dass die Server der Tech-Giganten so wenig Daten über uns sammeln wie möglich. Die folgenden Tipps können einzeln oder in Kombination angewendet werden:

  1. Blockieren Sie das automatische Laden von Bildern in E-Mails. Wenn Sie E-Mails auf Ihrem Telefon, Computer oder in einem webbasierten Client einrichten, stellen Sie sicher, dass Sie die Einstellung aktivieren, die die automatische Bildanzeige blockiert. Die meisten E-Mails ergeben auch ohne Bilder einen Sinn. Viele E-Mail-Clients fügen eine Schaltfläche wie „Bilder anzeigen“ direkt über dem E-Mail-Text hinzu, sodass Sie die Bilder bei Bedarf mit nur einem Klick laden können;
  2. Blockieren Sie Web-Tracker. Das Laden vieler Zählpixel kann verhindert werden. In den Sicherheitsprodukten von Kaspersky gibt es beispielsweise die Komponente Schutz vor Datensammlung. Firefox bietet Ihnen die Möglichkeit die Option, den Verbesserten Schutz vor Aktivitätenverfolgung zu aktivieren und individuell anzupassen. Spezialisierte Datenschutz-Plugins finden Sie in den Katalogen der offiziell empfohlenen Erweiterungen für Chrome, Firefox und Safari. Sie können diese finden, indem Sie in der Suchleiste Datenschutz oder Tracking-Schutz eingeben;
  3. Schützen Sie Ihre Internetverbindung. Der Tracking-Schutz funktioniert gut auf Betriebssystemebene oder auf der Ebene des Heimrouters. Wenn Sie Zählpixel auf Ihrem Router blockieren, können sie nicht nur in Ihren E-Mails und auf Webseiten, sondern auch in Anwendungen und sogar auf Ihrem Smart-TV nicht mehr funktionieren. Zu diesem Zweck empfehlen wir, in den Einstellungen des Betriebssystems oder des Routers die Funktion Sicheres DNS zu aktivieren und einen DNS-Server anzugeben, der Tracker blockiert. Eine VPN-Verbindung kann manchmal auch vor Tracking schützen. Wenn dies für Sie die praktischere Option ist, vergewissern Sie sich, dass Ihr VPN-Anbieter tatsächlich einen Service zum Blockieren von Tracking-Pixeln anbietet.

 

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.