Cross-Device-Tracking: So schützen Sie sich

Werbevermarkter und Onlineshops wollen möglichst viel über Sie wissen, um zu Ihnen passende Werbung anzuzeigen. Die Tracking-Methoden, die Sie Schritt für Schritt durchs Netz verfolgen, werden immer ausgefeilter - und fieser. Der neueste Spionage-Coup: das Cross-Device-Tracking, bei dem der Vermarkter Nutzerdaten über mehrere Geräte hinweg einer Person zuordnet.

Eine dreiste Methode dieser Art wurde im November bekannt: Zugleich mit manchen Werbespots im Fernsehen oder Video-Werbung im Browser wird ein für Menschen unhörbarer, individueller Ultraschallton abgespielt. Bestimmte Apps auf Android-Smartphones oder -Tablets warten auf diesen Ton, indem sie ständig die Umgebungsgeräusche aufzeichnen und analysieren - ohne dass Sie dies mitbekommen.

Passiert das am Computer, kann der Vermarkter über ein verknüpftes Cookie genau nachvollziehen, ob und wie lange ein bestimmter Nutzer einen Spot ansieht. Und ob er danach nach dem Produkt googelt. Der Vermarkter weiß nun, welcher PC zu welchen Smartphone gehört.

Abhörtechnik versteckt sich in 70 Apps

Besonders tückisch: Sie merken nicht, dass Sie eine solche App installiert haben. Denn die Abhörtechnik steckt in Programmen mit ganz anderen Funktionen. Während der Installation schafft sich das Programm die Berechtigung, auf Ihr Mikrofon zuzugreifen. Hinter der Technik steckt die indische Firma Silverpush, die jedoch nicht veröffentlicht, in welchen Apps die Abhörmethode steckt, Sicherheitsexperten gehen von fast 70 Apps aus. Forscher von Avira entdeckten sie in einer App von McDonalds in Asien und einer kostenlosen Anwendung zum Entsperren des Handys mit Fingerabdruck.

Die amerikanische Datenschutzorganisation Center for Democracy and Technology (CDT) geht davon aus, dass neben Silverpush auch Adobe, Drawbridge und Flurry derartige Methoden entwickeln. Insgesamt sollen laut CDT 18 Millionen Smartphones und Tablets weltweit betroffen sein. Silverpush erklärt, die Technik bislang nur in Indien einzusetzen, aber plant, weltweit zu expandieren.

Avira hat Silverpushs Tracking-Software als Malware eingestuft - weil der Anbieter "invasiv und sorglos in der Übertragung von Nutzerdaten" sei, sagt Alexander Vukcevic, Director Virus Labs. Die Praxis, Nutzer über die Grenzen eines Geräts hinweg zu identifizieren "ist an sich schon fragwürdig", kritisiert Vukcevic. Darüber hinaus werden die Daten mit Sehgewohnheiten und zum Beispiel der Handy-Nummer kombiniert.

Aber wie schützt man sich davor? Avira erkennt Silverpush-Apps und warnt davor. Ansonsten hilft es, am Fernseher und Computer den Ton abzuschalten, wenn Werbung läuft. Der Avira-Experte rät zudem, bei der Installation von Apps generell "aufmerksam auf die angeforderten Berechtigungen zu schauen". Und vorsichtig bei App Stores von Drittanbietern zu sein. Silverpush-Anwendungen hat die Sicherheitsfirma vor allem bei solchen Shops gefunden, vereinzelt allerdings auch in Googles Play Store.

Ad-Firmen identifizieren das Gerät

Doch Silverpush & Co. sind längst nicht die einzigen Methoden zum Cross-Device- Tracking, also Tracking über mehrere Geräte hinweg. "Werbetreibende nutzen allerlei kreative neue Ansätze", erklärt Vukcevic. Auf mobilen Geräten setzen viele Werbeframeworks auf die Identifizierung des Gerätes über die Geräte-ID. Sie haben hier ein leichtes Spiel, weil es bei Apps keine Möglichkeit gibt, sie im privaten Modus zu nutzen - anders als im Browser. Daneben setzen die Firmen nach wie vor bekannte Tracking-Methoden wie Cookies, Flash- Cookies und Fingerprinting ein. Beim Surfen mit dem Browser kann man die Spionage durch Adfirmen zumindest deutlich einschränken: und zwar mithilfe des privaten Modus.

Tipp: Falls vorhanden, sollte ferner im Browser die Option Do not Track eingeschaltet werden, die zumindest bei respektableren Tracking-Anbietern für eine Deaktivierung sorgt. Viele Anbieter ignorieren diesen Mechanismus jedoch. Darüber hinaus helfen Anti-Tracking-Add-ons - etwa Privacy Badger der Electronic Frontier Foundation oder Avira-Browser-Safety.

Sicher im privaten Modus

"Am besten aktiviert man von Haus aus den privaten Modus im Browser seiner Wahl", rät der Avira-Experte. In diesem Modus speichert der Browser keine Daten mehr auf dem Computer. In Firefox klicken Sie dazu auf die drei Striche in der oberen rechten Ecke und wählen Privates Fenster. In Chrome öffnen Sie ein Neues Inkognito-Fenster mit dem entsprechenden Befehl im Menü, erreichbar über die drei Striche oben rechts. Im Internet Explorer aktivieren Sie den privaten Modus mit einem Klick auf das Zahnrad oben rechts. Wählen Sie Sicherheit/InPrivate-Browsen. Im Edge-Browser klicken Sie oben rechts auf die drei Punkte und wählen Neues InPrivate-Fenster.

Bei vielen Tracking-Methoden ist es nicht einfach sie loszuwerden. Evercookies etwa kombinieren verschiedene Speicherarten, zum Beispiel den Browser-Verlauf, HTML-Cookies und RGB-Infos, aus automatisch generierten Bildern. Sie werden auch Zombie-Cookies genannt, weil sie sich in verschiedenen Ordnern verteilt auf der Festplatte einnisten - und selbst neu erschaffen können, falls sie beseitigt werden. Evercookies kann man nur löschen, wenn man alle Dateien an allen Speicherorten gleichzeitig entfernt.

Einfacher ist es, ihre Speicherung von vornherein zu verhindern - eben mit dem privaten Modus. Hartnäckiger als normale Cookies sind auch die Flash-Cookies: Dabei handelt es sich nicht um Textdateien, sondern um komplexere Daten. Sie werden nicht vom jeweiligen Browser gespeichert, sondern arbeiten übergreifend. Der Flash-Player von Adobe sichert die Informationen zentral unter Windows.

Googles Chrome-Browser und der Internet Explorer in den jeweils aktuellen Versionen beseitigen auch die Flash-Cookies, wenn Sie Cookies löschen. Im Firefox-Browser brauchen Sie dafür ein Add-on, Better Privacy. Und auch Java und Silverlight legen Cookies auf dem Rechner ab. Firefox führt Plug-ins wie Flash derzeit nur noch bei expliziter Aktivierung durch den Nutzer aus, eine Einstellung, die man auch in Chrome treffen kann (unter Erweiterte Einstellungen/Datenschutz/Inhaltseinstellungen).

Tracking ohne Cookies

Das Tracking von Internetnutzern und ihre eindeutige Identifizierung erfolgen auch ganz ohne Cookies. Das können Sie deutlich schlechter abwehren, und auch der private Modus hilft wenig. Fast alle Surfer hinterlassen über ihren Browser einen eindeutigen Fingerabdruck im Netz. Denn Informationen zu IP-Adresse, Betriebssystem, Bildschirmauflösung, installierten Schriften, Updates, Plug-ins oder Betriebssystem ermöglichen eine ziemlich genaue Identifikation. Das nutzen Adfirmen beim Browser Fingerprinting aus. Je ungewöhnlicher die Browser-Konfiguration ist, desto leichter ist es, Sie zu identifizieren. Weil keine Daten auf dem Rechner gespeichert werden, merken Sie das nicht einmal. Welche Daten Sie beim Surfen preisgeben, ohne es zu wissen, verrät die Webseite www.dein-ip-check.de. Ein Schutz ist die Firefox-Erweiterung TOR-Button. Damit bewegen sich Nutzer anonym im Internet, der Tor-Button verschleiert auch die Browser-Einstellungen. Leider wird dadurch das Surfen ausgebremst.

Aktuell setzen viele Werbefirmen auf das noch fiesere Canvas Fingerprinting. Genutzt wird dabei HTML5: der Browser zeichnet, unbemerkt von Ihnen, eine kleine Grafik, Canvas genannt. Die sieht bei jedem Browser anders aus, abhängig von Betriebssystem, Schriften, Browser und mehr. So entsteht wieder ein unverwechselbarer Fingerabdruck des Rechners. Erschweren, aber nicht ganz verhindern können Sie Browser Fingerprinting, wenn Sie Java und Flash komplett deaktivieren. Aber dann lassen sich manche Webseiten nur eingeschränkter verwenden.

Ein weiterer Trend: Tracker sind mit anderen Dienstleistungen verknüpft. Bei manchen Web-Games werden sowohl Spieldaten als auch das Tracking über denselben Anbieter abgewickelt. Zudem ist das Tracking oft an Komponenten gebunden, die eine soziale Interaktion ermöglichen, beispielsweise das Teilen mit Freunden oder das Kommentieren von Beiträgen. Das Problem: Wird das Tracking verhindert, kann man nicht mehr mit anderen Nutzern interagieren.