Internet-Sicherheit Wie Unternehmen Sie ausspähen

Das Web ist längst verwanzt. Mit teilweise erschreckend einfachen Mitteln beobachten und verfolgen Firmen jeden Klick im Netz - und sammeln dabei wertvolle Daten, um ihre Produkte noch besser verkaufen zu können.

Von


Nicht nur der Staat wird immer neugieriger, auch Unternehmen versuchen, immer mehr über ihre Kunden und solche, die es werden sollen, zu erfahren. Gesetzesänderungen oder Abstimmungen müssen die professionellen Datenschnüffler freilich nicht abwarten. Sie sammeln einfach eifrig Material darüber, wann man sich welche Webseiten mit welchem Computer angesehen hat, woher man kam und woran man besonderes Interesse hatte.

Sammelwut: Unternehmen beobachten Websurfer bei jedem Ausflug ins Netz
Symantec

Sammelwut: Unternehmen beobachten Websurfer bei jedem Ausflug ins Netz

Diese Daten sind nicht nur für Marktforscher und Marketing-Experten, sondern auch für E-Mail-Spammer Gold wert. Denn die können sie nutzen, um ihre Werbung - oder gezielte Spam-Aktionen - besser vorzubereiten und durchzuführen. Die Werkzeuge der Datenschnüffler sind dabei längst bekannt und weit verbreitet. Das Problem: Einfach abschalten geht nicht, denn häufig werden sie zum Nutzen der Anwender eingesetzt - aber eben nicht immer. Die am weitesten verbreiteten Schnüffel-Methoden basieren auf missbrauchten Standards des Webs.

1. Überwiegend harmlos: Session-IDs

Mit Session-IDs können Webseiten-Betreiber einzelne Kunden während einer Online-Session markieren. Dazu wird beim ersten Aufruf der Seite eine Zufallszahl vom Server erzeugt und an den Browser des Anwenders geschickt. Der wiederum sendet nun mit jedem weiteren Seitenaufruf seine Session-ID zurück an den Server, so dass dieser den Besucher während seines gesamten Aufenthalts eindeutig identifizieren kann.

Die Begründung für dieses Vorgehen lautet in der Regel, dass man dem Kunden mehr Komfort bieten möchte. Beispielsweise, um noch während eines Online-Einkaufsbummels Einkaufstipps, die sich auf zuvor in den Warenkorb gelegte Produkte beziehen, geben zu können. Etwa: "Wer in der Camping-Abteilung Zelte betrachtet, interessiert sich auch für Mückenspray".

Vor allem aber dienen Session-IDs dazu, das Surfverhalten der Website-Besucher zu protokollieren und zu analysieren. Auf Basis dieser Daten optimieren geschickte Webmaster den Aufbau ihrer Seite und ihr Angebot. Abgesehen davon, dass diese Vorgehensweise dazu dient, den Absatz anzukurbeln, ist daran nichts Gefährliches zu finden. Und das Beste: sobald man das Browserfenster schließt, ist auch die Session-ID gelöscht. Nur selten werden Session-IDs dauerhaft in sogenannten Cookies (siehe unten) gespeichert.

So erkennen Sie Session-IDs
Grundsätzlich können Firmen ihre Session-IDs frei gestalten. Beim Surfen innerhalb einer Webseite, also etwa beim stöbern in einem Online-Katalog, sind sie meist nicht auf den ersten Blick zu identifizieren. Anders bei diesem Beispiel, wo der Betreiber so freundlich ist, die Session-ID durch ein voangestelltes "sid" zu markieren:

.../shop1/index.php/sid=213b1ba5f9f6b7cd8487923b7fbd0f83

Meist jedoch ist die Session-ID als mehr oder weniger beliebige Zahlen- und Ziffernkombination innerhalb der oft ohnehin sehr langen internen Adressbezeichnungen verborgen. Bei genauem Hinsehen offenbart sie sich aber trotzdem:

.../302-9901928-0277664?node=301128
.../302-9901928-0277664
.../302-9901928-0277664?v=glance&n=284266

2. Cookies sind keine Kekse

Vielen kommerziellen Anbietern genügt es nicht, ihre Besucher mit Session-ID temporär zu markieren, sie wollen sie bei jedem neuen Besuch sofort wiedererkennen und verwenden dazu die sogenannten Cookies. Die sind nicht etwa, wie man ob des englischen Begriffs denken könnte, leckeres Kleingebäck, sondern schlichte Textdateien.

Auch bei Cookies wird wieder der Komfortgewinn für den Kunden als Argument genannt. Schließlich ermöglichen sie personalisierte Webseiten, die sofort beim Aufruf ein auf den jeweiligen Nutzer zugeschnittenes Angebot präsentieren. Auch Grundfunktionen wie Warenkörbe, die es dem Kunden ersparen, jeden Artikel einzeln kaufen zu müssen und seine Einkäufe stattdessen sammeln zu können, kommen ohne solche Erfassungen nicht aus.

Aber natürlich dienen auch Cookies der Analyse des Surfverhaltens. Neben einer eindeutigen Benutzernummer enthalten sie oft Informationen darüber, wann man eine Webseite zuletzt aufgerufen hat und welche Inhalte man dabei abrief. Würde nur der Betreiber einer Webseite diese Informationen verwenden, wäre das gar nicht einmal verwerflich. Firmen wie Amazon nutzen solche Cookies beispielsweise, um dem potenziellen Einkäufer ein maßgeschneidertes Angebot auf Basis seiner letzten Einkäufe präsentieren zu können.

Allerdings werden Cookies auch genutzt, um Websurfer mit maßgeschneiderter Werbung zu bombardieren. Die Banner von Werbekunden beispielsweise können Internet-Nutzer mithilfe dieser Informationen sogar über mehrere unterschiedliche Web-Angebote hinweg eindeutig identifizieren. Da wundert man sich dann kaum noch, dass man stets Werbung für Segelzubehör zu sehen bekommt, ganz gleich auf welchen Websites man gerade unterwegs ist.

Vermeiden lässt sich das beispielsweise durch die Sicherheitseinstellungen des Browsers: Jede gute Surf-Software bietet die Möglichkeit, alle sensiblen Daten und Cookies bei jedem Schließen der Software zu löschen. Eine detaillierte Anleitung, wie man verschiedene Browser gegen eine Weiterleitung sensibler Daten abdichtet, lesen Sie morgen im dritten Teil unserer kleinen Internet-Sicherheits-Serie.

Auch bei den Cookies gilt, das es wohlschmeckende gibt, die dem User Möglichkeiten eröffnen, und verdorbene Kekse, die nichts Gutes für ihn tun. Ganz ohne Cookie-Einsatz kommt aber kein professionelles Internet-Angebot aus.

Domain Flag Secure Expiration Name
.ad.adnet.biz TRUE FALSE 1310672916 ADNETID
.google.com TRUE FALSE 2147368449 PREF
www.etracker.de FALSE FALSE 1160747781 etcnt_54490
.delti.com TRUE FALSE 1154971593 PLZ
.google.de TRUE FALSE 2147368449 PREF
www.pitstop.de FALSE FALSE 2137621729 USERLOGINLEVEL1
www.pitstop.de FALSE FALSE 2137621729 CFTOKEN
www.pitstop.de FALSE FALSE 2137621729 CFID
www.speed.t-mobile.de FALSE FALSE 1216043347 PrefCookie
.ivwbox.de TRUE FALSE 1184406800 i00

Ausschnitt aus einer Cookie-Datei. Besonders interessant ist die zweite Spalte. Sie gibt an, ob alle unter der aufrufenden Domain laufenden Anwendungen den Cookie auslesen dürfen.



© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.