Wer viel im Internet surft, weiß, wie Tracking funktioniert. Oder zumindest, wie es sich auswirkt: Sucht man zum Beispiel in einem Onlineshop nach einem Paar Schuhe, ist es wahrscheinlich, dass einem in den darauffolgenden Tagen auf unterschiedlichen Websites Schuhwerbungen angezeigt werden. Dafür sorgen Tracking-Tools, die das Surfverhalten auf den Websites mitlesen und an Dritte weitergeben. Die verbreitetste Tracking-Methode sind Cookies, die etwa über Werbebanner auf Websites eingebunden sind.

Weniger bekannt ist, dass manche Websites mit einer Technik namens Session Replay arbeiten, die umfänglichere Daten speichert als Cookies. Das haben vor kurzem drei Wissenschaftler der Princeton University herausgefunden. Die wichtigsten Fragen im Überblick.

Welche Daten zeichnen Session-Replay-Tools auf?

Im Gegensatz zu Cookies, die oft „nur“ Informationen wie die Häufigkeit von Besuchen auf einer bestimmten Website sammeln, zeichnen Session-Replay-Skripte jede Mausbewegung, jedes Scrollen und jede Tastatureingabe in Echtzeit auf. Der Betreiber der Website kann die aufgezeichneten Aktivitäten später abspielen und Schritt für Schritt nachverfolgen. Er kann also mitlesen, was ein Nutzer in ein Textfeld oder in eine Suchmaske auf der Website eingegeben hat. Selbst dann, wenn diese Informationen gleich wieder gelöscht wurden. So, als würde einem jemand beim Surfen über die Schulter schauen. Für Internet-User heißt das: Wer im Internet sensible Informationen preisgibt, muss damit rechnen, dass sie möglicherweise in falsche Hände geraten.

Wem bringt das was?

Webseiten-Betreibern sowie Firmen, die Session-Replay-Tools verkaufen. Wer beispielsweise einen Onlineshop betreibt, interessiert sich wahrscheinlich für die Nutzerfreundlichkeit seiner Website. Aufschluss darüber kann das Surfverhalten der Website-Besucher geben. Dabei kann Software mit der Session-Replay-Technik nützlich sein. Mit ihrer Hilfe lässt sich erkennen, wie lange ein Surfer auf der Seite verweilt, welche Elemente oder Produkte ihn ansprechen, welche er übersieht oder nicht findet – und welche ihn verwirren. Mit diesen Informationen, versprechen Session-Replay-Firmen, lassen sich Website-Auftritte optimieren. Zu den beliebtesten Anbietern gehören FullStory, Hotjar, UserReplay, Smartlook, Clicktale, SessionCam und Yandex. 

 

Was ist daran problematisch?

Die Datensicherheit. So erlaubt etwa der Anbieter FullStory seiner Software, die aufgezeichneten Daten der wahren Identität des Surfers zuzuordnen. Es kann also sein, dass ein Webseiten-Betreiber ohne explizite Zustimmung des Betroffenen sensible Informationen wie Privatadresse, Kreditkartendaten oder Angaben zur Gesundheit sammelt und unter dessen richtigem Namen ablegt. Nur zwei der sieben untersuchten Anbieter verzichten darauf, Tastatureingaben aufzuzeichnen. Zudem fanden die Princeton-Forscher heraus, dass teilweise sogar Passwörter gespeichert werden, obwohl die Skripte nach Angaben der Anbieter solche privaten Daten automatisch von der Erfassung ausschließen.

Besonders heikel ist dabei, dass einige der Firmen die Daten auf ihren eigenen Servern nur fahrlässig verschlüsseln. So liegen Daten, die eigentlich auf den besuchten, gut verschlüsselten Websites sicher vor Missbrauch wären, auch auf unsicheren Servern. Damit könnten Session-Replay-Firmen zur Zielscheibe von Hackern werden, die auf wertvolle Nutzerdaten aus sind.

Wo muss ich mit den Datenabsaugern rechnen?

Die Princeton-Wissenschaftler haben laufende Session-Replay-Skripte auf 482 der laut der Amazon-Tochterfirma Alexa meistbesuchten 50.000 Websites entdeckt, darunter auf t-mobile.com, adidas.com, britishairways.com oder lenovo.com. Die Wissenschaftler vermuten, dass sie auf mehr Websites eingesetzt werden, zum Zeitpunkt der Untersuchung aber nicht aktiv waren. Zumindest fanden sich ähnliche Skripte der Session-Replay-Firmen auf insgesamt mehr als 1.200 Websites, darunter bei Wordpress, Microsoft, Adobe und Spotify.

Ist das legal?

Gute Frage. In der Regel haben Unternehmen das Recht, personenbezogene Daten zu erheben. Ab 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO). Sie stärkt die Rechte der Verbraucher. Zwar erlaubt sie Firmen, wie bisher personenbezogene Daten von EU-Bürgern zu erheben. Allerdings müssen Betroffene ihre explizite Einwilligung erteilen. Und die Firmen sind neuerdings auch für den Schutz der Daten verantwortlich. Würden also Daten gehackt, die über Session-Replay-Tools auf unsichere Server geladen wurden, wäre das in der EU wohl ein Verstoß gegen geltendes Recht. 

Kann man sich selbst schützen?

Einen gewissen Schutz liefern Filterlisten wie „EasyPrivacy“, die von einem im Browser installierten Ad-Blocker ausgeführt werden und beim Surfen Tracking-Aktivitäten unterbinden sollen. Sie blockieren laut der Princeton-Studie die Datensauger von Yandex, Hotjar, Clicktale and SessionCam. Bei den Skripten von FullStory, Smartlook oder UserReplay funktioniert der Schutz hingegen nicht. Eine weitere Möglichkeit sind Skript-Blocker. Das sind Browser-Programme, die sämtliche oder manuell eingegebene Skripte auf den angesurften Websites blockieren. Der Nachteil von Skript-Blockern: Ihr Einsatz verhindert möglicherweise die flüssige Darstellung aller Website-Elemente. Und: Es gibt noch keine Untersuchung, wie effektiv Skript-Blocker bei Session-Replay-Skripten arbeiten. 

Linktipp: Drei Jahre hat es gedauert, bis die neue Datenschutz-Grundverordnung der Europäischen Union ausgehandelt war. Wie sie zustande kam, welche Interessen die verschiedenen Akteure vertraten und was sich nun ändern wird, kann man in diesem Special der bpb nachlesen und in dem Dokumentarfilm Democracy - Im Rausch der Daten“ nachgucken:

GIFs: Anthony Antonellis