Ausgeforscht: Webanalyse unter der Lupe

Was verrät unser Browser eigentlich alles über uns? Beim Besuch einer Webseite wird weitaus mehr als nur die IP-Adresse übertragen. Die moderne Webanalyse erlaubt sogar anhand der hinterlassenen Spuren das Ausforschen all unserer Vorlieben.

IP-Adresse

Die bekannteste Spur im Web ist die eigene IP-Adresse. Die meisten Internetdienstanbieter (ISPs) vergeben eine dynamische IP-Adresse, die sich häufig ändert. Dabei werden die letzten Ziffern etwa alle 24 Stunden ausgetauscht. Wer unsere IP-Adresse erhält, weiß, welchen Internet-Anbieter wir benutzen und in welcher Großstadt oder Region wir wohnen. Beim Testlauf wurde zunächst erkannt, dass ich entweder in Köln oder Leverkusen wohne. Knapp vorbei! Ein anderes Mal wurde erkannt, die Redaktion der Tarnkappe soll in Aachen beheimatet sein, was natürlich auch falsch ist. Bergisch Gladbach wäre richtig gewesen.

Mein ISP muss diese Zahlenreihe für eine Woche vorhalten und sich merken, wer der dazu passende Anschlussinhaber ist. Musiklabels, Softwarefirmen, Porno- und Filmstudios und andere Rechteinhaber besitzen seit mehreren Jahren einen zivilrechtlichen Auskunftsanspruch.

Früher musste für den Versand von Abmahnungen bei der Teilnahme an einer Internet-Tauschbörse die Anschrift des Täters beim zuständigen Staatsanwalt eingeholt werden. Das dauerte lange, manche Staatsanwälte haben dabei nicht mitgespielt. Seit einigen Jahren ist die direkte Anfrage beim Internet-Anbieter möglich. Auch bei strafrechtlichen Delikten kann eindeutig zugeordnet werden, wer innerhalb der letzten 7 Tage eine bestimmte IP-Adresse benutzt hat. Alle Delikte im Alter von 8 Tagen und älter können nicht mehr aufgeklärt werden. Dann muss Netcologne, T-Online & Co. nicht mehr preisgeben, wer hinter der IP-Adresse steckt. Allerdings darf man getrost davon ausgehen, dass die meisten Unternehmen diese Daten für mindestens ein halbes Jahr und länger vorhalten. Schon wegen der Vorratsdatenspeicherung, die nach EU-Vorgaben hierzulande demnächst wieder eingeführt werden soll. Die meisten Täter stört das kaum, sie benutzen im Internet eine Umleitung, die ihre IP-Adresse verfremdet. Mit einem Virtual Private Network (VPN), Proxy oder dem Anonymisierungsnetzwerk TOR (The Onion Router) bleiben die Täter unerkannt.

Web-Analysetools

Doch zurück zur Webanalyse. WordPress-Blogger benutzen recht häufig das kostenlose Analysetool Jetpack. Damit kann ich als Blogger schon einiges über die Besucher meiner Seite in Erfahrung bringen. Beispielsweise kann ich daran erkennen, über welche andere Webseite die Besucher zu mir gelangt sind und was sie bei mir angeklickt haben. Manche Suchmaschinen geben zum Teil preis, welche Suchbegriffe von den Surfern eingegeben wurden. Interessant: Wie viele Besucher hatte ich heute oder im Vergleich dazu gestern? Wie viele waren es diese Woche, Monat oder Jahr? Bei der Zusammenfassung kann ich mir auch ansehen, welche Artikel bislang am besten gelaufen sind. Eine ausführliche Analyse der Besucherströme hat übrigens nichts mit der Gier nach Seitenzugriffen zu tun. Wer dauerhaft zu wenig Besucher anlocken kann, schreibt vielleicht einfach über die falschen Themen oder macht andere Fehler. Diese gilt es zu erkennen.

Die Benutzung von Jetpack muss zwingend im Impressum erwähnt werden. In der Datenschutzerklärung muss im Detail angegeben werden, von welchem Unternehmen die Daten außerhalb der Bundesrepublik Deutschland gespeichert und möglicherweise zu anderen Zwecken ausgewertet werden. Wer das nicht tut, kann sich als Seitenbetreiber juristischen Ärger einhandeln. Muster-Datenschutzerklärungen gibt es zum Beispiel hier. Der Gesetzgeber verpflichtet die Betreiber zur Angabe, weil Webanalyse-Tools von außen nicht ohne weiteres erkennbar sind. Von den Nutzern darf nicht erwartet werden, dass sie anhand des HTML-Codes erkennen, ob und und welchem Rahmen sie überwacht werden.

Tools: extrem datenhungrig oder keine Alleskönner!

Das perfekte Webanalysetool, welches bei einem großen Leistungsumfang auch den hohen Ansprüchen von Datenschützern gerecht wird, gibt es noch nicht. Entweder die Daten werden bei simplen Anwendungen lokal gespeichert. Oder aber der Hersteller bietet die Webanalyse kostenlos an, damit er an die Daten all seiner Nutzer gelangt. Einer der Anbieter, der nach diesem Verfahren arbeitet, ist Google Analytics.

Google Analytics

Die Installation ist schon einen Tick komplizierter als bei Jetpack. Aber was Google uns (und damit auch sich selbst) an Informationen liefert, ist extrem umfangreich. Google Analytics erhebt folgende Informationen:

• Herkunft der Surfer (Staat und Stadt bzw. Region)
• welche Sprache ist voreingestellt? Deutsch? Englisch?
• Betriebssystem (Linux Distribution, Windows, Mac OS X) oder Firmware vom Tablet-PC bzw. Smartphone
• welches Gerät kommt zur Anwendung?
• Browser mit Versionsnummer (Google Chrome? Firefox? Safari?)
• welche Add-ons werden in welcher Version verwendet? (Beispiel: Shockwave Flash, Java, JavaScript, Silverlight, Quicktime, Google Talk Plug-in etc.)
• Auflösung des Bildschirms (Anzahl Pixel Breite und Höhe)
• wie lange wurden die Artikel durchschnittlich gelesen? Haben sich die Surfer für einen ausführlichen Beitrag genug Zeit genommen?
• Besucherquellen: Suchmaschinen oder soziale Netzwerke (Facebook, Twitter), verweisende Webseiten?
• ging der Besucher innerhalb der Webseite woanders hin? Wenn ja, wohin? Oder wurde die Seite komplett verlassen?
• welche Dateien wurden heruntergeladen?
• welche Videos wurden angeschaut?
• kam der Besucher wieder oder besuchte er die Seite nur einmalig? (Feststellung per Cookie)
• wurden Werbebanner angeklickt?
• wurden Produkte verkauft?
• u.v.m.

Wer jetzt einen Schrecken bekommt, den kann ich zumindest teilweise beruhigen. Ja, Google Analytics ist wahnsinnig ausgereift und kann sehr viele Daten erheben und auswerten. Allerdings passiert dies laut Google stets anonymisiert. Rein theoretisch könnte der Suchmaschinenhersteller die IP-Adresse mit dem Cookie und dem Verhalten auf der Webseite verknüpfen. Google tut dies aber (angeblich) nicht. Das kann man glauben oder man glaubt es eben nicht. Man hat als Webseitenbetreiber glücklicherweise keine Möglichkeit, an diese Informationen zu gelangen. Nach eigenen Angaben werden die letzten Ziffern der IP-Adresse einfach abgeschnitten. Was Google mit den ganzen gesammelten Daten tut, weiß nur Google selbst. Da die Mehrheit der Webseiten die Webanalyse mithilfe von Google Analytics durchführt, gibt es keine Möglichkeit, dieser Datenkrake zu entgehen. Wer sich dagegen wehren will, muss JavaScript deaktivieren oder Tools wie NoScript anwenden. Das geht zwar mit allen Browsern recht einfach, dann funktionieren aber auch die meisten Webseiten nicht mehr.

Gegen die Wiedererkennung hilft nur, die auf unserer Festplatte abgelegten Cookies zu löschen. Ausführliche Informationen zum Thema Cookies sind übrigens hier verfügbar. Wie gesagt: Wenn jemand unsere IP-Adresse speichern kann, so kommt er nur unter den gesetzlichen Vorgaben an unsere Identität. Google weiß also nicht, wer hinter den IP-Adressen steckt. Trotzdem hat der US-Konzern sehr viele Möglichkeiten, uns zu belauschen.

Weitere Webtracking Tools

Ausführliche Informationen über uns übergeben wir aber nicht nur Google. Wer einen der im Web verfügbaren Anonymitätschecks macht, dürfte staunen. Auch was die Analyse der Seitenbesucher betrifft, gibt es wirklich nichts, was es nicht gibt. Fast 2.000 verschiedene Tracking-Tools sind derzeit bekannt. Facebook kann beispielsweise sehen, wo sich während unseres Aufenthaltes überall unser Mauszeiger aufgehalten hat. Erkannt werden also nicht nur die Klicks, sondern jede Aktivität in unserem Browser. Das klingt krank? Ein wenig ist es das auch. Aber dennoch: Für Verhaltenspsychologen ist es überaus spannend zu wissen, wie man unsere Aufmerksamkeit (durch Werbung) am effektivsten erreichen kann, ohne uns zu nerven. Ohne umfassende Beobachtung ist keine aussagekräftige Analyse möglich.

Übrigens. Wer wissen will, wie Google uns einschätzt, kann das hier tun. Umso mehr Angaben wir bei diversen Google-Diensten (YouTube, Gmail, G+ etc.) gemacht haben, umso detaillierter liegen sie vor. So auch Alter, Geschlecht, Sprachen, Interessen etc. Hier ist der Verlauf der letzten Suchanfragen, sofern man bei Google eingeloggt war. Der Standortverlauf ist übrigens hier verfügbar. Dort kann man sehen, von wo die Google-Dienste in Anspruch genommen wurden. Zieht man die Informationen aller Angebote von Google zusammen und wertet sie aus, so kann man sich ein umfangreiches Bild eines jeden Anwenders machen. Das bringt uns direkt zur nächsten Frage.

Wie kann ich mich dagegen wehren?

Ein gutes Tool zum Schutz gegen zu viel Neugier ist Ghostery. Das gibt es fast für alle bekannten Betriebssysteme und Browser und sogar für Android- und iOS-Nutzer. Das Browser Add-on zeigt nach der Installation oben rechts einen blauen Geist an. Darunter steht eine Ziffer, das ist die Anzahl der momentan verwendeten Webanalyse-Tools einer Webseite. Wer auf den blauen Geist klickt, sieht im Detail, welche Tools gerade in dieser Sekunde versuchen, mich zu belauschen. Bei jedem Eintrag kann man entscheiden, ob man die Analyse deaktivieren will. Ausgeschaltete Tools erscheinen in rot, die aktiven Tools in blau. Wer die Einstellungen verändert, muss die Seite neu laden. Beim nächsten Besuch hat sich Ghostery unsere Vorlieben gemerkt und führt die Blockade automatisch durch.

Für mich persönlich ist die Anwendung von Ghostery sehr heilsam, weil mir damit immer wieder vor Augen geführt wird, wie viele unterschiedliche Tools gerade versuchen, mich zu überwachen. Bitte keinesfalls die Option Ghostrank aktivieren! Im Anschluss werden diverse Daten an den Hersteller weitergeleitet. Evidon kam deswegen in der Vergangenheit ganz schön in Verruf, weil man die so eingesammelten Daten an die ach so bösen Firmen der Werbewirtschaft verkauft hat. Bei 40 Millionen Nutzern gibt es viel zu vermarkten, selbst wenn nur jeder einhundertste Nutzer den Ghostrank aktiviert haben sollte. Doch keine Sorge, die Weitergabe der eigenen Daten erfolgt nicht automatisch. Wer den Ghost-Rank aus lässt, muss keine Weitergabe des eigenen Nutzungsverhaltens befürchten. Zwar wird immer wieder berichtet, Evidon erhebe angeblich immer nur anonymisierte Daten. Im Privacy Statement des Anbieters ist davon aber leider keine Rede.

Eine mögliche Alternative ist der Privacy Badger vom US-Datenschutzverein Electronic Frontier Foundation. Die Erweiterung befindet sich noch in der Entwicklung und ist bisher für den Mozilla Firefox und Google Chrome erhältlich. Auch der Privacy Badger zeigt oben rechts im Browser ein Symbol an, welches sich je nach Gefahrenstufe in die rote, gelbe oder bei nicht verdächtigen Webseiten in die grüne Farbe verwandelt.

Immunity Zone

Diese Lösung ist derzeit noch nicht online. Aber schon bald soll Immunity Zone an den Start gehen. Im Prinzip ist dies ein Browser im Browser. Soll heißen: Nach der Anmeldung bleiben wir zwar in unserem Browser, werden aber über die Server des Schweizer Unternehmens geleitet. Ergo erhalten die Seitenbetreiber alle Informationen von dort, weil wir die Webseite nur indirekt besuchen. Auch die Cookies werden dort und nicht bei uns lokal gespeichert. Das sogenannte Fingerprinting funktioniert nicht mehr, auch können sich keine Drive-by-Trojaner bei uns einnisten. Zudem bleibt die wahre Identität des Seitenbesuchers verborgen.

Der Pferdefuß? Jede Lösung hat einen Haken, so auch diese. Warum? Weil die Schweizer Betreiber ganz genau erfassen können, wo wir uns im Internet aufgehalten haben. Wer damit leben kann, für den wird es eine gute Sache sein. Wer damit ein Problem hat, muss sich allerdings bewusst machen, dass das gleiche Problem bei allen VPN- und Proxy-Anbietern besteht. So ganz ohne Spuren geht es eben noch nicht. Das ist auch der Grund, warum Terroristen oftmals Internet-Cafés in Anspruch nehmen. In dem Fall müssen sie sich keine Sorgen über ihre Spuren machen.

Die Kosten bei Immunity Zone sind dafür mehr als überschaubar. Beim Testaccount wird man monatlich kostenlos bis zu 3 Gigabyte Daten übertragen können. Dafür wird den Nutzern Werbung eingeblendet. Die zahlenden Nutzer müssen sich hingegen keine Werbung anschauen. Für 9 Euro können demnächst bis zu 50 GB pro Monat übertragen werden. Premium-User ganz ohne Datenlimit sollen monatlich 20 Euro bezahlen. Weitere Informationen zum Projekt sind hier verfügbar. Bislang kann man sich dort lediglich für den Newsletter anmelden.

Bildquellen: Magic Mazik, Mike Licht, tonynetone – (CC BY 2.0) und Global Voices Online – (CC BY-SA 2.0)

Der Artikel wurde zunächst beim Blog “Der Datenhüter” beim Stern veröffentlicht.

Video: Wie funktioniert Immunity Zone?