An Cookies, die uns täglich verfolgen, hatten wir uns gewöhnt. Nun missbraucht die NSA auch diese Technologie und liest Google-Cookies mit. Es könnte noch schlimmer kommen.
Eigentlich war die von der Werbeindustrie eingesetzte Cookie-Technologie auf einem guten Weg, ihren schlechten Ruf los zu werden. Doch seit diesem Mittwoch ist sie unfreiwillig wieder in Verruf geraten. Die Washington Post berichtet, dass der amerikanische Geheimdienst NSA Google-Cookies missbraucht, um das Surfverhalten von Internetnutzern auszuspionieren. Die kleinen Textschnipsel, die als Mini-Datei auf nahezu jedem Computer liegen, sind prinzipiell harmlos, weil sie keine Personendaten enthalten. Entschlüsselt jemand den Code, weiß er lediglich, welche Webseiten wie oft besucht wurden, aber nicht, wer diese Person ist. Unangenehm und illegal wird es dann, wenn das Surfverhalten mit der Identität des Nutzers verknüpft wird. Und genau diese Verknüpfung macht offenbar die NSA. Wird jemand aufgrund seines Such- und Surfverhaltens verdächtigt, legt der amerikanische Geheimdienst nach und installiert gezielt Spionagesoftware.
Dies ist insofern beunruhigend, weil nicht nur Google, sondern auch Unternehmen wie Microsoft oder Facebook ihre Server kontinuierlich mit Daten füllen, die immer genauere Auskunft über das Verhalten einzelner Nutzer geben und ihnen auch eine gewisse Identität zuweisen. Das Branchenportal Digiday berichtet von einem Programm, das Google noch in der Beta-Version testet. Damit werden Orte, an denen sich Nutzer gerade befinden, mit Geschäften abgeglichen, die sich in der Nähe befinden. Kaufen Smartphone-Nutzer häufig ein Produkt in einem einzigen Laden, der von ihnen bei Google gesucht wurde, ist dieses Tracking ein Beweis für funktionierende Werbung. Der Kunde kauft offenbar dort ein, wo Google ihn hinschickt.
Gemäß Wall Street Journal könnte man solche neuen Tracking-Methoden als Nachfolger des klassischen Cookies interpretieren. Denn auch Microsoft und Facebook hätten in den letzten Monaten Systeme entwickelt, mit deren Hilfe sie massenhaft Daten sammeln und auswerten können, ohne dass sie auf den Einsatz von Cookies der Werbefirmen angewiesen seien. Das Wall Street Journal prophezeit sogleich das Ende des Cookies.
Das Ende der Cookies?
„Seit sieben Jahren höre ich ein bis zwei Mal, dass Cookies am Ende seien“, sagt Stephan Noller von Nugg.ad. Sein Unternehmen ist Europas größte Targeting-Plattform und bietet die Cookie-Technologie an, damit Vermarkter und Medienagenturen gezielt ihre Online-Werbung auf den Seiten der Nutzer setzen können. Die Werbung auf Webseiten sagt einem dann, was man kaufen soll. Cookies dienen aber auch dazu, Profile auf Webseiten zu speichern. Oder sie merken sich für die Zeit unseres Einkaufs, was wir im Warenkorb abgelegt haben. Wenn Unternehmen nun die Informationen mit den persönlichen Daten verknüpfen, werde das „Gebot der Identitätssparsamkeit“ nicht mehr eingehalten, sagt Noller.
Cookies versammeln sich in einem Ordner der Verzeichnisstruktur und können jederzeit gelöscht werden. Da man sich Cookies durch die Nutzung des Browsers einfängt, gibt es auch dort in den Tiefen der Optionen die Möglichkeit, sich von ihnen zu befreien. Die meisten Browser bieten mittlerweile eine Do-not-track-Funktion, um Cookies generell zu unterbinden. Das will aber nicht jeder, weil gespeicherte Profile praktisch sind und bei einigen Webseiten Cookies sowieso zugelassen werden müssen. Dass zehn bis zwanzig Prozent der Nutzer einmal im Monat ihren Cookie-Ordner löschen, ist für Nugg.ad-Geschäftsführer Noller kein Hinweis auf das Ende des Cookies. Ganz im Gegenteil. Es zeige das „hohe Engagement“ der Nutzer und deren Wissen, wie transparent die Cookie-Technologie sei.
Ein transparentes Verfahren?
Ganz so transparent und offen ist es nicht. So ist zum Beispiel die Do-not-track-Funktion lediglich eine Empfehlung für die Cookie-Anbieter. In Apples Safari deutet sich dies aufgrund der Formulierung auch schon an: „Ask websites not to track me.“ Rechtsanwalt Thomas Schwenke schreibt in seinem Blog, dass Do-Not-Track voraussetze, „dass der Server des Anbieters auf diese Einstellung hört. Derzeit ist das nicht der Fall, weil es keinen technischen Standard gibt.“ Außerdem wäre dieses Verfahren ein großer Verlust für die Werbeindustrie. „Wenn beim ersten Aufruf auf Tracking verzichtet wird, wird auch auf die Werbung verzichtet. Und wenn man bedenkt, wie viele Nutzer eine Website nur einmalig aufrufen, um z.B. einen Artikel zu lesen und dann nie wieder zu kommen, ist der Verlust immens.“
Der Umgang mit Cookies ist gesetzlich immer noch nicht geregelt. Es gibt nur eine EU-Richtlinie. Sie nennt sich 2009/136/EG, wurde vom europäischen Parlament und Rat erlassen und sollte bis zum 31. Mai 2011 in den EU-Ländern umgesetzt werden. Diese ist aber nach Ansicht des Bundesbeauftragten für Datenschutz und Informationsfreiheit Peter Schaar in Deutschland nicht umgesetzt worden. Deswegen sei die EU-Richtlinie direkt anwendbar und müsse von deutschen Unternehmen beachtet werden.
Rechtsanwalt Schwenke sieht das anders: „Der aktuelle gesetzliche Stand sieht wie folgt aus (§ 15 Abs.3 Telemediengesetz): Nutzer müssen über die Trackingmaßnahmen informiert werden. Nutzer müssen jederzeit den Trackingmaßnahmen widersprechen (Opt-Out) können. Das heißt, was bei uns im Gesetz steht (Opt-Out), widerspricht den EU-Vorgaben (Opt-In).“ Es bleibt also dabei, dass trotz der EU-Richtlinie beim alltäglichen Gang durch das Internet gilt: Man muss immer erst das Häkchen entfernen, um Cookies zu verhindern und die Webseite klärt mich darüber auf.
Wie trackt man mobile Endgeräte?
Cookies haben für die Werbeindustrie den Nachteil, dass sie Daten von nur einem Gerät auswerten. Doch heutzutage wird auf Smartphone, Tablet, Smart-TV oder Spielekonsole gesurft. Daher entwickelt die Industrie alternative Methoden. Diese sind genauer beim Tracken, unabhängig vom Gerät und identifizieren den Nutzer mit einer Nummer. Es sind vor allen Dingen große Unternehmen wie Google, Facebook und Microsoft, die das Ende der Cookies als Chance begreifen.
Advertising Age berichtete als erstes, dass Microsoft eine Technik entwickelt habe, mit der das Unternehmen seine Nutzer unabhängig von dem Gerät tracken könne. Grundlage sei lediglich das Windows-Betriebssystem, das auf dem Computer, Tablet, Smartphone oder XBox installiert ist. Es würde aber auch funktionieren mit Diensten, die den Internetexplorer oder die Suchmaschine Bing verwenden. AdAge bezieht sein Erkenntnisse aus Quellen, die nicht näher genannt werden.
Das Wall Street Journal beruft sich auf einen nicht verlinkten Blogeintrag von Microsoft, in dem ebenfalls die neue Trackingmethode angedeutet würde. Dabei geht es insbesondere um die Möglichkeit, anwendungsübergreifend Windows8-Nutzer tracken zu können. Es wird ein Profil erstellt, das sich auf alle verwendeten Apps bezieht. Microsoft setzt diese Tracking-Technik offenbar so um, indem Nutzern bei allen Aktivitäten eine ID („unique identifier“) zugewiesen wird. Wie das genau geschieht, wird nicht beschrieben. Microsoft könnte ID möglicherweise immer dann abgleichen, wenn der Nutzer sich mit seiner Windows-ID anmeldet.
Facebook setzt auf das Profil
Facebook nutzt schon länger diese Methode. Das soziale Netzwerk kann relativ einfach seine Nutzer tracken. Sobald man sich eingeloggt hat und die Seite offen lässt, sammelt Facebook fleißig Informationen während man auf anderen Seiten surft. Da die Identität aufgrund des Profils immer eindeutig ist, können die Informationen auf allen Geräten direkt zugewiesen werden. Die Weitergabe einer Information funktioniert allerdings nur, wenn die jeweilige Webseite einen Code-Schnipsel enthält. Das können Like-Buttons oder andere Facebook-Plugins sein.
Nach Informationen von USAToday trackt Facebook auch Nutzer, die ausgeloggt sind. Es gibt also zwei Cookies: einen für den Browser und einen für die Session. Letzterer ist aktiv bei eingeloggten Nutzern und sammelt Daten über Name, Mail-Adresse, Freundesliste, Vorlieben, IP-Adresse, Bildschirmauflösung, Browserversion, Zeit, Datum und alle Webseiten, die ein Facebook-Plugin beinhalten. Doch Facebook kann offenbar auch tracken, wenn man abgemeldet ist. Dann wird der Browser-Cookie aktiv. Dann fehlen lediglich die Informationen über Name, Mail-Adresse, Freundesliste und Vorlieben.
Die Unternehmen tun momentan also vieles dafür, die Daten auf ihren Servern so zu verknüpfen, dass die NSA sie leicht findet.