Tracking Protection im Internet Explorer 9

  • Article

Bei den mit Internet Explorer 9 konkurrierenden Browsern Firefox und Chrome ist AdBlock das Add-on Nummer eins. Es wird primär genutzt, unerwünschte Werbung auf Webseiten zu blockieren. Mit Tracking Protection (auf Deutsch Tracking-Schutz) hat Internet Explorer 9 eine ähnliche Funktion zukünftig fest eingebaut, die sich jedoch nicht gegen Onlinewerbung richtet, sondern gegen das unerwünschte Nachverfolgen des eigenen Surfverhaltens durch Dritte, ohne dass der Anwender etwas davon weiß.

Über die Auslieferung von Inhalten an den Webbrowser, die nicht von der ursprünglichen Domain stammen, die der Anwender im Browser aufgerufen hat, können Dritte das Surfverhalten protokollieren und analysieren. Auf der Internet Explorer Test Drive-Seite zeigt das Beispiel Tracking Protection, wie der Schutz funktioniert.

image

Wenn man die Test Drive-Seite aufruft, erwartet man Inhalte von der Domain microsoft.com. Zur leichteren Erkennung hebt Internet Explorer 9 den Domainnamen automatisch hervor (Domain Highlighting). Die Testseite enthält zusätzlich Inhalte von drei anderen Webseiten: greendomain.com, reddomain.com und bluedomain.com.

Wenn Anwender also obige URL aufrufen, lädt ihr Browser weitere Inhalte von diesen drei anderen Webseiten nach. Dabei erhalten die Betreiber dieser Webseiten nicht nur Informationen über die aktuelle IP-Adresse des Surfers, sondern auch, woher dieser kam und auf welcher Seite er gerade surft. Kombiniert mit weiteren Techniken wie zum Beispiel Cookies, JavaScript und vielem mehr können somit Dritte das Surfverhalten von Anwendern mitprotokollieren.

Mittlerweile existieren umfangreiche Netzwerke von hunderten Firmen, die derart das Surfverhalten von Anwendern protokollieren. Dahinter kann sich ein Dienstleister verbergen, der dem Webseitenbetreiber umfangreiche Auswertungen über die Nutzung seiner Webseite liefert, damit er zum Beispiel seine Seite attraktiver und erfolgreicher gestalten kann. Dahinter können sich aber auch Werbenetzwerke verbergen, die über das Protokollieren des Surfverhaltens Nutzervorlieben herausfinden wollen, um zum Beispiel Werbung effektiver platzieren zu können. Dahinter können sich genauso Marktplätze verbergen, auf denen derartige Daten als Ware gehandelt werden.

Ohne diese Techniken jetzt zu bewerten sind wir der Ansicht, dass es jedem Anwender selbst überlassen sein sollte, darüber entscheiden zu können, ob er möchte, dass seine Daten auf diese Art und Weise Dritten zugänglich gemacht werden oder nicht. Heute ist es aber für Anwender sehr schwierig bis nahezu unmöglich, zu erfahren, wer welche Daten von ihm speichert, verarbeitet, auswertet und möglicherweise weiterverkauft. Dazu ein paar Beispiele aus der Praxis:

Ich habe mir einmal mehrere deutsche Tech-Webseiten angesehen um herauszufinden, ob und wenn ja welche Drittanbieter von meinem Besuch auf der jeweiligen Seite erfahren. Dazu lassen sich in Internet Explorer 9 sehr gut die Developer Tools nutzen, welche mit F12 aufgerufen werden können.

SNAGHTML1c98fd86

Angefangen habe ich mit dem Windows 7-Blog von Microsoft. Ein Aufruf von blogs.technet.com/b/sieben sieht in etwa so aus (die Timing-Spalte kann ignoriert werden, das Konferenz-WLAN war ein wenig überlastet):

TPL-sieben

In Summe nach dem Erstkontakt mit blogs.technet.com werden 77 Elemente heruntergeladen, von denen 69 von der Domain blogs.technet.com (zu erkennen an dem führenden / in der URL) und anderen Microsoft-Servern stammen . Die verbleibenden 8 Elemente (~10%) stammen von 2 verschiedenen Seiten:

  • microsoftsto.112.2o7.net (Omniture Webanalyse)
  • twimg.com (Twitter-Widget)
  • twitter.com (Twitter-Widget) 

Von meinen Blogbesuchern erfahren also noch zwei weitere Parteien etwas: Twitter (über das eingebundene Widget) und in gewisser Art und Weise der Webstatistik-Dienstleister Omniture. Wenn man die Seite insgesamt betrachtet, erhält man in Summe Informationen von der Quelle, die man aufgerufen hat.

Schauen wir jetzt auf andere, exemplarisch ausgesuchte Webseiten. Ich habe einmal computerbild.de, golem.de, heise.de, stadt-bremerhaven.de und winfuture.de ausgewählt, wobei die Auswahl keinerlei Wertung enthält. Im Ergebnis teilen diese Webseiten Daten ihrer Kunden mit einer Vielzahl von Onlinewerbung, -marketing und –trackingdiensten (die diese Daten teilweise weiterverkaufen) und auch mit Facebook, einer Immobilienvermarktung, einer Jobbörse und C&A (richtig gelesen, dem Textil-Einzelhändler):

TPL-computerbild TPL-golem TPL-heise TPL-stadt-bremerhaven TPL-winfuture

computerbild.de
  • 173 Elemente insgesamt
  • 38% stammen nicht von *.computerbild.de oder *.computer-bild.de (67/173)
    • 1x nuggad.net (Predictive Behavioral Targeting Webtracking)
    • 2x facebook.com (Facebook)
    • 33x fbcdn.net (Facebook)
    • 4x doubleclick.net (Google Doubleclick Onlinewerbung und Webtracking)
    • 2x google-analytics.com (Google Webanalyse und Webtracking)
    • 5x googlesyndication.com (Google Webtracking)
    • 1x immonet.de (Tochterunternehmen von Axel Springer zur crossmedialen Immobilienvermarktung)
    • 2x ivwbox.de (Organisation zur Ermittlung unabhängiger Nutzungszahlen)
    • 17x smartadserver.com (Onlinewerbung, Onlinemarketing und Webtracking)
golem.de
  • 81 Elemente insgesamt
  • 29% stammen nicht von *.golem.de (24/81)

    • 10x doubleclick.net (Google Doubleclick Onlinewerbung und Webtracking)

    • 6x ivwbox.de (Organisation zur Ermittlung unabhängiger Nutzungszahlen)

    • 1x jobware.de (Online Jobbörse)

    •

      4x nuggad.net (Predictive Behavioral Targeting Webtracking)

    • 3x serverkompetenz.net (Webanalyse beim Hoster?)
heise.de
  • 104 Elemente insgesamt
  • 42% stammen nicht von *.heise.de (44/104)
    • 1x 2mdn.net (Google DoubleClick Advertising Server)
    • 2x atdmt.com (Atlas Institut Webtracking)
    • 17x doubleclick.net (Google Doubleclick Onlinewerbung und Webtracking)
    • 8x googlesyndication.com (Google Webtracking)
    • 2x ivwbox.de(Organisation zur Ermittlung unabhängiger Nutzungszahlen)
    • 1x just4business.de (Icon vom Onlinepublishing-Martplatz hijacked)
    • 13x ligatus.com (Ligatus Onlinewerbung und Webtracking)
stadt-bremerhaven.de
  • 135 Elemente insgesamt
  • 64% stammen nicht von *.stadt-bremerhaven.de (87/135)
    • 1x 2mdn.net (Google DoubleClick Advertising Server)
    • 4x afy11.net (Cox Digital Solutions Onlinewerbung und Webtracking)
    • 4x atdmt.com (Atlas Institut Webtracking)
    • 1x bernd-distler.net (RSS-Icon von fremdem Blog hijacked)
    • 1x bloggerei.de (Icon vom Blogverzeichnis hijacked)
    • 1x bluekai.com (Marktplatz für Webtracking-Daten)
    • 7x collective-media.net (Contentprovider für NetShelter Onlinewerbung und Webtracking)
    • 2x crowdscience.com (Crowd Science Webtracking)
    • 14x doubleclick.net (Google Doubleclick Onlinewerbung)
    • 1x feedburner.com(Google Doubleclick Webanalyse und Webtracking)
    • 2x google.com (Google Suchmaschine)
    • 3x googleadservices.com (Google Onlinewerbung und Webtracking)
    • 2x google-analytics.com (Google Webanalyse und Webtracking)
    • 1x googleapis.com (Google Content Delivery Network
    • 9x googlesyndication.com (Google Webtracking)
    • 2x gyazo.com (Online Screen-Grabbing)
    • 1x hosteurope.de (Werbung vom Hoster)
    • 2x imrworldwide.com (Nielsen Onlinewerbung und Webtracking)
    • 7x mediaplex.com (Valueclick Onlinewerbung und Webtracking)
    • 7x netshelter.net (NetShelter Onlinewerbung und Webtracking)
    • 1x nexac.com (NextAction Onlinewerbung und Webtracking)
    • 5x quantserve.com (Quantcast Onlinewerbung und Webtracking)
    • 2x scorecardresearch.com (Full Circle Studies, Inc Webtracking)
    • 1x wikio.de (WIKIO S.A. Webtracking)
    • 2x wordpress.com (WordPress Webtracking)
    • 1x youtube.com (Google Videoportal und Webtracking)
    • 3x ytimg.com (Google YouTube IMaGe server Webtracking)
winfuture.de
  • 61 Elemente insgesamt
  • 57% stammen nicht von *.winfuture.de oder *.wfcdn.de (35/61)
    • 2x 2mdn.net (Google DoubleClick Advertising Server)
    • 1x cunda.de (C&A Textileinzelhandel)
    • 3x doubleclick.net (Google Doubleclick Onlinewerbung)
    • 7x freenet.de (FreeNet Onlinewerbung und Webtracking)
    • 5x google-analytics.com (Google Webanalyse und Webtracking)
    • 3x googlesyndication.com (Google Webtracking)
    • 2x ivwbox.de (Organisation zur Ermittlung unabhängiger Nutzungszahlen)
    • 1x metalyzer.com (Metapeople Webtracking)
    • 1x microsoft.com (IE Infobar)
    • 1x nuggad.net (Predictive Behavioral Targeting Webtracking)
    • 5x onad.eu (ON|AD GmbH Onlinemarketing, –werbung und Webtracking
    • 4x wunderloop.net (Tomorrow Focus Onlinewerbung und Webtracking)

Allein die Menge der zusätzlich eingebundenen Drittwebseiten spricht Bände. Ist hier wirklich jederzeit gewährleistet, dass der Webseitenbetreiber die Verantwortung über den Umgang mit den Daten seiner Besucher trägt oder wird diese an eine Vielzahl weiterer Firmen delegiert, zu denen der Anwender keinerlei Beziehung hat und von denen er beim Besuch der Seite noch nicht einmal etwas ahnt?

Microsoft bietet im Internet Explorer 9 mit Tracking Protection erstmals eine effektive Möglichkeit für Anwender, dafür zu sorgen, dass beim Besuch von Webseite A Anfragen an andere Webseiten nicht ausgeführt werden. Dazu muss der Anwender keine zusätzliche Software oder Add-ons installieren. Er muss lediglich sich für den Einsatz der Funktion entscheiden und sie aktivieren – von Haus aus ist sie nicht eingeschaltet.

Dazu kann er entweder eine intern automatisch erstellte Liste aktivieren und nutzen oder eine sogenannte Tracking Protection List (TPL) von einem vertrauenswürdigen Anbieter installieren. Die interne Liste entsteht automatisch beim Surfen im Netz durch eine lokale Analyse der Webseitenaufrufe von Drittwebseiten aus den besuchten Webseiten heraus. Werden hier Drittwebseiten so oft eingebunden, dass sie einen Schwellwert von 10 überschreiten (Wert kann von 3 – 30 angepasst werden), werden sie vom Browser in der Zukunft ignoriert. Die Seiten werden jedoch nicht blockiert – man kann sie jederzeit über die jeweilige URL direkt aufrufen. Lediglich indirekte Aufrufe durch das Einbinden in Seiten, die der Anwender eigentlich besuchen möchte, werden nicht mehr ausgeführt.

Natürlich können bei der automatisch erstellten Liste auch Webseiten in den Filter geraten, die Anwender dort nicht haben möchten. Deswegen können sie die Liste problemlos einsehen und die Einträge selbst ändern:

Bei der Installation von TPLs dagegen gibt man als Anwender die Verantwortung für die Entscheidung, welche Drittwebseiten als Trackingseiten erlaubt oder geblockt werden sollen, an eine vertrauenswürdige Organisation weiter. Die Listen können von jedermann erstellt und angeboten werden. Das Format wurde von uns offengelegt und freigegeben. Wir arbeiten mit dem W3C daran, diese Technologie bei der HTML5-Standardisierung mit aufzunehmen.

Wir gehen davon aus, dass hier verantwortungsbewusste Firmen und Organisationen, die sich bisher schon dem Schutz der Privatsphäre gewidmet haben, als vertrauenswürdige Anbieter solcher Listen auftreten werden. Da die Listen im Browser im Klartext eingesehen werden können, ist eine Community-basierende Kontrolle leicht möglich.

Microsoft arbeitet zum Start von Internet Explorer 9 Release Candidate mit vier Firmen zusammen und stellt deren Listen unter https://ie.microsoft.com/testdrive/Browser/TrackingProtectionLists/Default.html zur Verfügung. Zur Installation muss man lediglich den Link anklicken und das Abonnieren der Liste bestätigen. Die Inhalte werden dann von Internet Explorer 9 automatisch aktualisiert.

TPLs können nicht nur als Blacklist fungieren, sondern auch Daten für Whitelisting enthalten. Während die TPLs von Abine, EasyList (AdBlock) und PrivacyChoice fast ausschließlich Tracking-URLs als Blacklist führen, führt TRUSTe® die von ihnen zertifizierten und überprüften Webtracking-Firmen in einer Whitelist. Man sollte daher bei der Entscheidung, welche Listen man selbst nutzen möchte, beachten, dass Whitelisting gegenüber Blacklisting Vorrang hat.

In Zukunft hoffen wir, dass diese Technologie unseren Kunden ein Mittel an die Hand gibt, die eigene Privatsphäre in diesem Punkt besser schützen zu können und Webseitenbetreiber dadurch ermuntert werden, mehr Verantwortung zu übernehmen.