Internet-Sicherheit Wie Unternehmen Sie ausspähen
Nicht nur der Staat wird immer neugieriger, auch Unternehmen versuchen, immer mehr über ihre Kunden und solche, die es werden sollen, zu erfahren. Gesetzesänderungen oder Abstimmungen müssen die professionellen Datenschnüffler freilich nicht abwarten. Sie sammeln einfach eifrig Material darüber, wann man sich welche Webseiten mit welchem Computer angesehen hat, woher man kam und woran man besonderes Interesse hatte.
Diese Daten sind nicht nur für Marktforscher und Marketing-Experten, sondern auch für E-Mail-Spammer Gold wert. Denn die können sie nutzen, um ihre Werbung - oder gezielte Spam-Aktionen - besser vorzubereiten und durchzuführen. Die Werkzeuge der Datenschnüffler sind dabei längst bekannt und weit verbreitet. Das Problem: Einfach abschalten geht nicht, denn häufig werden sie zum Nutzen der Anwender eingesetzt - aber eben nicht immer. Die am weitesten verbreiteten Schnüffel-Methoden basieren auf missbrauchten Standards des Webs.
1. Überwiegend harmlos: Session-IDs
Mit Session-IDs können Webseiten-Betreiber einzelne Kunden während einer Online-Session markieren. Dazu wird beim ersten Aufruf der Seite eine Zufallszahl vom Server erzeugt und an den Browser des Anwenders geschickt. Der wiederum sendet nun mit jedem weiteren Seitenaufruf seine Session-ID zurück an den Server, so dass dieser den Besucher während seines gesamten Aufenthalts eindeutig identifizieren kann.
Die Begründung für dieses Vorgehen lautet in der Regel, dass man dem Kunden mehr Komfort bieten möchte. Beispielsweise, um noch während eines Online-Einkaufsbummels Einkaufstipps, die sich auf zuvor in den Warenkorb gelegte Produkte beziehen, geben zu können. Etwa: "Wer in der Camping-Abteilung Zelte betrachtet, interessiert sich auch für Mückenspray".
Vor allem aber dienen Session-IDs dazu, das Surfverhalten der Website-Besucher zu protokollieren und zu analysieren. Auf Basis dieser Daten optimieren geschickte Webmaster den Aufbau ihrer Seite und ihr Angebot. Abgesehen davon, dass diese Vorgehensweise dazu dient, den Absatz anzukurbeln, ist daran nichts Gefährliches zu finden. Und das Beste: sobald man das Browserfenster schließt, ist auch die Session-ID gelöscht. Nur selten werden Session-IDs dauerhaft in sogenannten Cookies (siehe unten) gespeichert.
2. Cookies sind keine Kekse
Vielen kommerziellen Anbietern genügt es nicht, ihre Besucher mit Session-ID temporär zu markieren, sie wollen sie bei jedem neuen Besuch sofort wiedererkennen und verwenden dazu die sogenannten Cookies. Die sind nicht etwa, wie man ob des englischen Begriffs denken könnte, leckeres Kleingebäck, sondern schlichte Textdateien.
Auch bei Cookies wird wieder der Komfortgewinn für den Kunden als Argument genannt. Schließlich ermöglichen sie personalisierte Webseiten, die sofort beim Aufruf ein auf den jeweiligen Nutzer zugeschnittenes Angebot präsentieren. Auch Grundfunktionen wie Warenkörbe, die es dem Kunden ersparen, jeden Artikel einzeln kaufen zu müssen und seine Einkäufe stattdessen sammeln zu können, kommen ohne solche Erfassungen nicht aus.
Aber natürlich dienen auch Cookies der Analyse des Surfverhaltens. Neben einer eindeutigen Benutzernummer enthalten sie oft Informationen darüber, wann man eine Webseite zuletzt aufgerufen hat und welche Inhalte man dabei abrief. Würde nur der Betreiber einer Webseite diese Informationen verwenden, wäre das gar nicht einmal verwerflich. Firmen wie Amazon nutzen solche Cookies beispielsweise, um dem potenziellen Einkäufer ein maßgeschneidertes Angebot auf Basis seiner letzten Einkäufe präsentieren zu können.
Allerdings werden Cookies auch genutzt, um Websurfer mit maßgeschneiderter Werbung zu bombardieren. Die Banner von Werbekunden beispielsweise können Internet-Nutzer mithilfe dieser Informationen sogar über mehrere unterschiedliche Web-Angebote hinweg eindeutig identifizieren. Da wundert man sich dann kaum noch, dass man stets Werbung für Segelzubehör zu sehen bekommt, ganz gleich auf welchen Websites man gerade unterwegs ist.
Vermeiden lässt sich das beispielsweise durch die Sicherheitseinstellungen des Browsers: Jede gute Surf-Software bietet die Möglichkeit, alle sensiblen Daten und Cookies bei jedem Schließen der Software zu löschen. Eine detaillierte Anleitung, wie man verschiedene Browser gegen eine Weiterleitung sensibler Daten abdichtet, lesen Sie morgen im dritten Teil unserer kleinen Internet-Sicherheits-Serie.
Auch bei den Cookies gilt, das es wohlschmeckende gibt, die dem User Möglichkeiten eröffnen, und verdorbene Kekse, die nichts Gutes für ihn tun. Ganz ohne Cookie-Einsatz kommt aber kein professionelles Internet-Angebot aus.
| Domain | Flag | Secure | Expiration | Name |
|---|---|---|---|---|
| .ad.adnet.biz | TRUE | FALSE | 1310672916 | ADNETID |
| .google.com | TRUE | FALSE | 2147368449 | PREF |
| www.etracker.de | FALSE | FALSE | 1160747781 | etcnt_54490 |
| .delti.com | TRUE | FALSE | 1154971593 | PLZ |
| .google.de | TRUE | FALSE | 2147368449 | PREF |
| www.pitstop.de | FALSE | FALSE | 2137621729 | USERLOGINLEVEL1 |
| www.pitstop.de | FALSE | FALSE | 2137621729 | CFTOKEN |
| www.pitstop.de | FALSE | FALSE | 2137621729 | CFID |
| www.speed.t-mobile.de | FALSE | FALSE | 1216043347 | PrefCookie |
| .ivwbox.de | TRUE | FALSE | 1184406800 | i00 |
Web-Wanzen und Referrer
3. Der Browser wird verwanzt: Web-Bugs
Missbrauchsgefährdet ist auch eine andere Technologie, die - je nachdem, wofür sie eingesetzt wird - mal als Zählpixel bezeichnet wird, mal als Web-Bug. Auch Ihnen wurde vor wenigen Minuten ein solches Zählpixel überspielt, denn die Leserzählung durch die Auflagenkontrolle ivw funktioniert genau so - bei allen erfassten Publikationen deutscher Sprache. Auf der so erfassten Zahl der Leserkontakte fußt die Vermarktung der Medien - ohne Zählpixel könnten Webseiten von TV-Sender-Seiten über Fachpublikationen bis zu populären Angeboten wie Heise oder SPIEGEL ONLINE den Betrieb einstellen.
Das ist nicht weiter schlimm, denn Zählpixel sind soweit harmlos: Sie sind meist nur 1 x 1 Pixel groß und transparent, damit man sie nicht sieht. Tatsächlich handelt es sich dabei um winzige Grafiken, die in Webseiten eingebaut werden - allerdings nicht als Bits-und-Bytes-Objekt, sondern als "embedded" Link. Das ist ein Verweis auf eine Internetadresse, von der die eigentliche Grafik dann abgerufen wird. Jeder so entstandene Abruf wird beispielsweise bei der Reichweitenerfassung der ivw dann der "fordernden" Adresse zugeschrieben. Dabei werden also Daten über die Webseite erfasst, nicht aber über den Nutzer.
Doch die gleiche Technik lässt sich auch missbrauchen. In Html-E-Mails eingebunden nennt man solche Pixelverweise Web-Bugs, weil sie dort nichts anderes sind als Wanzen. Eingesetzt wird diese Technik vor allem von Spam-Versendern, um ihren Werbebriefchenversand zu optimieren.
Sie erfahren durch die Mini-Bildchen, ob und wann ihre elektronische Wurfpost gelesen wurde und ob die angeschriebene Mail-Adresse überhaupt existent und genutzt ist. Das ermöglicht es, E-Mail-Adressen nach Zufallskriterien automatisch zu kreieren, in Massen auszusenden und durch den Informations-Rückfluss durch Web-Bugs Spreu von Weizen zu trennen. Am Ende des Prozesses steht dann ein frischer Verteiler verifizierter E-Mail-Adressen - und schon der allein ist Geld wert und wird meist fleißig weiter verkauft, auf dass die Spam-Lawine rolle...
Darüber hinaus lässt sich per Web-Bug in Erfahrung bringen, mit welchem Mail-Programm und Browser jemand unterwegs ist, welches Betriebssystem er verwendet, mit welcher IP-Adresse sein PC aktuell online ist und über welchen Provider der Internet-Zugang erfolgt.
Diese Daten lassen sich von Spammern hervorragend ausnutzen, um ihren E-Mail-Versand auf bestimmte Zielgruppen zu optimieren oder gar, um ihnen mit Schadsoftware versehene Mails zuzusenden, die bekannte Sicherheitslücken auf ihrem System ausnutzen sollen.
4. Sie wissen, woher Du kommst: Referrer
In der Standardeinstellung sind Webbrowser außerordentlich geschwätzig. Beim Anklicken eines Links teilen sie dem angesurften Web-Server freimütig mit, von welcher Webseite aus man den Link angeklickt hat. Referrer, vom englischen "to refer", also "verweisen" nennt man diese Informationen. Normalerweise ist auch das keine schlimme Sache.
So dienen die Referrer beispielsweise Suchmaschinen dazu, die Relevanz einer Webseite einzuschätzen. Die Grundregel: Je häufiger von anderen Webseiten auf eine bestimmte Webseite verlinkt, also "referred" wird, desto wichtiger ist sie. Bestünde die Möglichkeit, so etwas zu erfassen, nicht, hätte das negative Rückwirkungen auf die Qualität der Suchergebnisse, die Suchmaschinen wie Google zu liefern imstande sind.
Doch auch diese Technik lässt sich missbrauchen. Spammer nutzen diese Eigenschaft, um die Suchmaschinen auszutricksen. Sie rufen automatisiert bestimmte Webseiten in kurzen Abständen auf, um ein und dieselbe Internet-Adresse zuhauf in den sogenannten Log-Dateien auftauchen zu lassen. Den Roboterprogrammen der Suchmaschinen sollen auf diese Weise zahllose Links vorgegaukelt werden, was zu einer ungerechtfertigt hohen Platzierung der so beworbenen Internet-Adresse in den Suchergebnissen führt.
Lesen Sie morgen in Teil 3: Wie sie sich gegen die Ausspähversuche der Unternehmen schützen können.
