Browser-Erweiterung „Lightbeam“: Das Ende des Cookies

Auf den ersten Blick erkennt man nur ein wirres Geflecht aus Kreisen und Dreiecken. Die runden Körper geballt in der Mitte, drum herum kreisen spitze Pyramiden wie Planeten um die Sonne. Ein Universum aus Websites, Cookies und Tracker. Die Grafik zeigt, in welchem Umfang Onlinedienste unser Surfverhalten im Netz mitverfolgen und protokollieren. Und sie erklärt, warum eine ganze Branche in hellem Aufruhr ist.

Lightbeam, die neue Browser-Erweiterung für den Mozilla Firefox, die seit vergangener Woche verfügbar ist, macht sichtbar, wie viele Cookies von Dritten auf den Websites, die wir besuchen, verborgen liegen. Auf den Startseiten der deutschen Top-100-Seiten entdeckt die Software über 350 solcher Datensauger. Und es werden mehr, je länger man auf den Seiten bleibt. Mit jedem Klick erweitert sich die Galaxie auf dem Bildschirm bis zur Undurchdringlichkeit.

An den Knotenpunkten sitzen Top-Tracker wie der Google-Dienst Doubleclick, die auf bis zu 70 der 100 Seiten ihre Spione eingebunden haben. So vernetzt tragen sie ein vielschichtiges Surfer-Profil zusammen und können individuell zugeschnittene Werbung anbieten.

„Mit der Verkettung über Cookies verdienen Unternehmen wie Facebook und Google hauptsächlich ihr Geld“, sagt Hannes Federrath, Professor für Informationssicherheit an der Uni Hamburg. „Deswegen arbeitet die Branche daran, die Verkettungsmethoden umfassend einzusetzen.“ Noch wächst die sogenannte Tracking-Industrie rasant, wie der Web Privacy Census der kalifornischen Berkeley Law School zeigt. Doch möglicherweise steht ihr bald eine komplette Umstellung bevor.

Denn lange konnte die Branche im Verborgenen Daten zu Geld machen. Mit Mozillas Lightbeam ist es nun erstmals möglich, parallel zum Surfen am eigenen Rechner die komplexen Strukturen einer ganzen Industrie auszuleuchten. Mozilla will diese Daten zusammentragen, um die Tracking-Industrie umfassend zu entmanteln. Crowd-Sourcing trifft Wikileaks.

Was der Werbeindustrie damit drohen könnte, zeigt eine einfache Hochrechnung. Denn seit die Firefox-Entwickler Mitte des Jahres eine Version auf den Markt brachten, die standardmäßig Dritt-Cookies blockiert, haben bereits zwei der vier weltweit führenden Web-Browser der Werbeindustrie die Türen zugeschlagen.

Kein Ende des Tracking

Potenziell brechen den Onlinediensten demnach 27 Prozent ihrer Datenlieferanten weg. Im konsumstarken Europa sind es noch mehr: Über ein Drittel der Surfer verwenden Firefox oder den Apple-Browser Safari. In Deutschland sogar jeder Zweite. Doch wer glaubt, damit sei bereits das Ende der Tracking-Industrie eingeläutet, irrt sich gewaltig.

Martin Rieß, Deutschlandchef der Werbefirma Zanox, empfiehlt der Branche, „sich fit zu machen für die Post-Cookie-Ära“. Seine Firma ist einer der ersten in Deutschland, die bereits alternative Tracking-Methoden einsetzt – ergänzend zu Cookies, wie die Firma in ihrem Webauftritt stolz verkündet: Werden diese gelöscht oder durch Browsereinstellung deaktiviert, kann Zanox die Surfer auch Tage später eindeutig identifizieren, etwa wenn ein Surfer ein Produkt kauft, für das ihm Tage zuvor Werbung auf einer Zanox-Partnerseite eingeblendet wurde.

Wie die Wiedererkennung ohne Cookies funktioniert, kann Henning Tillmann erklären. Der Informatiker hat in seiner Diplomarbeit an der Humboldt-Universität Berlin dargestellt, auf welche Weise jeder Browser eine einzigartige Datenspur im Netz hinterlässt. Aus der Kombination verschiedener Rechner-Einstellungen – Betriebssystem, Bildschirmauflösung, installierte Plugins, die Zeitzone, Hintergrundfarben und Schriftarten – entsteht ein unverwechselbarer Fingerabdruck.

Das Verlockende für die Tracking-Industrie: Viele dieser Informationen sendet der Browser freiwillig, der Rest lässt sich leicht auslesen. Das bedeutet: Tracken ist längst ohne Cookies möglich. Und als Nutzer ist man dagegen fast hilflos. Denn das sogenannte Fingerprinting sei nicht nur schwer nachzuweisen, man könne sich auch kaum davor schützen, erklärt Tillmann. „Werbenetzwerke haben natürlich ein sehr großes Interesse daran.“

Anonymisierungsdienste und Cookie-Verbot bringen keinen Schutz

Dass der digitale Fingerabdruck schon längst zur digitalen Spurenlese genutzt wird, haben gerade Wissenschaftler der KU Leuven in Belgien herausgefunden. Nächste Woche präsentieren sie auf einer IT-Fachmesse in Berlin die Ergebnisse seiner Studie. Sie zeigt: Die Industrie kann schon ziemlich viel.

Der größte Fingerprinter BlueCava liest auf 250 Seiten umbemerkt die Schriftarten der Rechner aus. Das Bemerkenswerte ist, dass das Tracking-Skript sich nach dem Einsammeln der Informationen selbst entfernt. Ein anderer Dienst, Threat Metrix, kann sogar verschleierte IP-Adressen auslesen.

„Dies zeigt, dass weder Anonymisierungsdienste wie Tor noch ein gesetzliches Cookie-Verbot wirksamen Schutz bieten können“, fasst IT-Experte Federrath die Entwicklung zusammen.

taz.am wochenende

Monsanto gibt auf: 2013 wurde in Deutschland keine gentechnisch veränderte Pflanze angebaut. Die Geschichte dieses Konsumkriegs lesen Sie in der taz.am wochenende vom 2./3. November 2013. Terror und Überwachung haben eins gemeinsam: Sie können jede treffen. Und: „Die Sendung mit der Maus“ atmet den Geist von '68, sagt Christoph Biemann. Außerdem: Der Mensch in der Revolte - In ein paar Tagen wäre Albert Camus 100 geworden. Am eKiosk, Kiosk oder gleich im praktischen Wochenendabo.

Chefprogrammierer bei Mozilla, Brendan Eich, der auch für Lightbeam verantwortlich ist, räumt ein: „Es ist fast unmöglich, Tracking zu verhindern. Wenn man sagt, weg mit den Cookies, dann werden die Spione halt aus anderen Löchern auftauchen. Und es gibt viele Spione und viele Löcher.“