Manfred Kloiber: Keine Verfolgung bitte – do not track – solch einen Knopf soll es also demnächst leicht auffindbar auf der Browseroberfläche geben. Aber, das frage ich den Kollegen Wolfram Koch: Kann man damit wirklich wirksam die Verfolger im Internet abschütteln?
Wolfram Koch: Man kann das, aber es ist natürlich schon sehr unpraktisch. Wenn man zum Beispiel hergeht und keine Cookies akzeptiert, dann bedeutet dass, dass die Website einen schlicht und ergreifend nicht mehr erkennt. Alle Einstellungen sind weg und Websites wie zum Beispiel Einkaufsportale erfordern, dass man Cookies akzeptiert, ansonsten kann man dort nicht einkaufen. Und deswegen muss man also das Verfolgen schon zulassen. Es ist außerdem möglich, festzustellen, ob eine E-Mail von einem Empfänger gelesen wurde oder nicht. Und das geschieht damit, dass man diese Zählpixel runterlädt. Also wenn ich eine E-Mail öffne, wird automatisch dieser Zählpixel geladen und der Empfänger kann eine Nachricht bekommen, dass diese E-Mail gelesen wurde. Möchte ich das jetzt verhindern, muss ich meine E-Mails offline lesen. Das ist ja total unpraktisch. Da muss ich erst, bevor ich die E-Mail lese, sie runterladen, aber nicht öffnen. Und dann, wenn ich die E-Mail auf dem Rechner habe, kann ich den Rechner vom Internet trennen und dann kann ich sie lesen – dass der andere nicht merkt, dass die E-Mail gelesen wurde. Also das ist total unpraktisch. Generell bieten diese ganzen Programme und Tracking-Protection-Technologien halt eine trügerische Sicherheit. Denn in Wirklichkeit verhindern sie die Verfolgung im Netz nur sehr oberflächlich.
Kloiber: Funktionieren denn solche Tracking-Programme auch in Zusammenarbeit mit sogenannten Anonymisierern?
Koch: Also Anonymizer verschleiern lediglich die eigentliche IP im Netz und verhindern dadurch zum Beispiel eine örtliche Zuordnung eines bestimmten Rechners. Das heißt, der Provider, über den man also ins Netz geht – da bekommt man ja seine IP, seine Adresse im Internet vermittelt – und die kann man halt nicht mehr ermitteln. Und das heißt, dass man zum Beispiel von einer bestimmten Internetseite über einen Registrierserver im Netz nicht mehr an einen bestimmten Ort auf der Erde zurückverfolgt werden kann. Aber generell hilft es nicht vor der Verfolgung.
Kloiber: Aber es gibt keine Probleme, beide Systeme einzusetzen: einen Anonymisierer und auch einen Trackingschutz?
Koch: Das kann ich natürlich machen. Ich kann beide Technologien einsetzen. Aber im Endeffekt hilft das tatsächlich nicht vor einer Verfolgung. Es gibt technische Mittel, wo man da wirklich noch verfolgt werden kann.
Kloiber: Sie haben ja beschrieben, dass der Einsatz solcher Schutzmechanismen nur möglich ist, wenn man zum Beispiel nicht auf bestimmten Seiten einkaufen geht – dass eben halt verlangt wird, dass zum Beispiel Cookies aktiv sind. Da fragt sich natürlich, ob dieser Schutz überhaupt tatsächlich reell ist oder ob das alles nur Augenwischerei ist.
Koch: Derzeit gibt es keine technische Lösung, mit der man einen Verfolger im Netz wirklich abhängen kann. Also einfach im Auto Vollgas geben und über die rote Ampel davonbrettern, dass der Verfolger abgehängt ist, sowas gibt es nicht. Denn ein Browser überträgt bei einem Seitenaufruf eine ganze Menge an Informationen. Also das funktioniert ja so, dass der Rechner sich auf einen Computer im Internet raufwählt quasi, stellt eine Verbindung her. Und bevor die eigentliche Seite geladen wird, unterhält sich der Computer zu Hause mit dem Server im Netz. Da werden Informationen getauscht wie: Welcher Browser ist installiert? Welche Systemschriften stehen zur Verfügung? Kann der Rechner Video und Audio abspielen? Wie groß ist das Display? Welche Software-Versionen sind installiert? Der Browser sendet also so viele Informationen, Listen mit Fähigkeiten und Systeminformationen vor diesem eigentlichen Seitenaufruf an den Server, dass der Server natürlich ganz klare Rückschlüsse auf das System, was ich zu Hause stehen habe, ziehen kann. Das sind natürlich nicht nur Systeme, die zu Hause stehen, sondern jeder beliebige Rechner, der irgendwo in einer Firma steht, wird diese Information übermitteln. Und diese Information dient eigentlich ja dazu, dass eine Webseite auf dem Endgerät vernünftig angezeigt wird. Gerade heute: Wir haben nicht alle nur einen Flachbildschirm, wir haben mobile Endgeräte, die ich mit mir rumtragen kann. Ich habe Telefone mit kleinen Displays, diese ganzen Smartphones. All diese Displays möchten natürlich erreichen, dass die Webseite optimal dargestellt wird, beziehungsweise wollen das natürlich auch die Leute erreichen, die die Websites ins Netz stellen. Und die Summe dieser ganzen Informationen gibt einen ganz klaren digitalen Fingerabdruck, da keine zwei System auf der Welt exakt gleich sind. Ich brauche nur ein kleines Programm mit einer unterschiedlichen Software-Version haben, und schon habe ich einen abweichenden Fingerabdruck. Und deshalb ist es damit ganz klar möglich, mit diesen ganzen Informationen einen Rechner durch das ganze Netz zu verfolgen. Also ich kann genau sagen, dass Rechner mit diesem Fingerabdruck jetzt an diesem Server gerade war und dann sich die Webseite auf dem anderen Server angeschaut hat. Wenn ich jetzt hergehe und habe einen Rechner komplett dichtgemacht mit Anomynizer, mit Tracking-Protection-Technologien, dann wird der sich dadurch im Netz auszeichnen, dass er keine Spuren hinterlässt.
Wolfram Koch: Man kann das, aber es ist natürlich schon sehr unpraktisch. Wenn man zum Beispiel hergeht und keine Cookies akzeptiert, dann bedeutet dass, dass die Website einen schlicht und ergreifend nicht mehr erkennt. Alle Einstellungen sind weg und Websites wie zum Beispiel Einkaufsportale erfordern, dass man Cookies akzeptiert, ansonsten kann man dort nicht einkaufen. Und deswegen muss man also das Verfolgen schon zulassen. Es ist außerdem möglich, festzustellen, ob eine E-Mail von einem Empfänger gelesen wurde oder nicht. Und das geschieht damit, dass man diese Zählpixel runterlädt. Also wenn ich eine E-Mail öffne, wird automatisch dieser Zählpixel geladen und der Empfänger kann eine Nachricht bekommen, dass diese E-Mail gelesen wurde. Möchte ich das jetzt verhindern, muss ich meine E-Mails offline lesen. Das ist ja total unpraktisch. Da muss ich erst, bevor ich die E-Mail lese, sie runterladen, aber nicht öffnen. Und dann, wenn ich die E-Mail auf dem Rechner habe, kann ich den Rechner vom Internet trennen und dann kann ich sie lesen – dass der andere nicht merkt, dass die E-Mail gelesen wurde. Also das ist total unpraktisch. Generell bieten diese ganzen Programme und Tracking-Protection-Technologien halt eine trügerische Sicherheit. Denn in Wirklichkeit verhindern sie die Verfolgung im Netz nur sehr oberflächlich.
Kloiber: Funktionieren denn solche Tracking-Programme auch in Zusammenarbeit mit sogenannten Anonymisierern?
Koch: Also Anonymizer verschleiern lediglich die eigentliche IP im Netz und verhindern dadurch zum Beispiel eine örtliche Zuordnung eines bestimmten Rechners. Das heißt, der Provider, über den man also ins Netz geht – da bekommt man ja seine IP, seine Adresse im Internet vermittelt – und die kann man halt nicht mehr ermitteln. Und das heißt, dass man zum Beispiel von einer bestimmten Internetseite über einen Registrierserver im Netz nicht mehr an einen bestimmten Ort auf der Erde zurückverfolgt werden kann. Aber generell hilft es nicht vor der Verfolgung.
Kloiber: Aber es gibt keine Probleme, beide Systeme einzusetzen: einen Anonymisierer und auch einen Trackingschutz?
Koch: Das kann ich natürlich machen. Ich kann beide Technologien einsetzen. Aber im Endeffekt hilft das tatsächlich nicht vor einer Verfolgung. Es gibt technische Mittel, wo man da wirklich noch verfolgt werden kann.
Kloiber: Sie haben ja beschrieben, dass der Einsatz solcher Schutzmechanismen nur möglich ist, wenn man zum Beispiel nicht auf bestimmten Seiten einkaufen geht – dass eben halt verlangt wird, dass zum Beispiel Cookies aktiv sind. Da fragt sich natürlich, ob dieser Schutz überhaupt tatsächlich reell ist oder ob das alles nur Augenwischerei ist.
Koch: Derzeit gibt es keine technische Lösung, mit der man einen Verfolger im Netz wirklich abhängen kann. Also einfach im Auto Vollgas geben und über die rote Ampel davonbrettern, dass der Verfolger abgehängt ist, sowas gibt es nicht. Denn ein Browser überträgt bei einem Seitenaufruf eine ganze Menge an Informationen. Also das funktioniert ja so, dass der Rechner sich auf einen Computer im Internet raufwählt quasi, stellt eine Verbindung her. Und bevor die eigentliche Seite geladen wird, unterhält sich der Computer zu Hause mit dem Server im Netz. Da werden Informationen getauscht wie: Welcher Browser ist installiert? Welche Systemschriften stehen zur Verfügung? Kann der Rechner Video und Audio abspielen? Wie groß ist das Display? Welche Software-Versionen sind installiert? Der Browser sendet also so viele Informationen, Listen mit Fähigkeiten und Systeminformationen vor diesem eigentlichen Seitenaufruf an den Server, dass der Server natürlich ganz klare Rückschlüsse auf das System, was ich zu Hause stehen habe, ziehen kann. Das sind natürlich nicht nur Systeme, die zu Hause stehen, sondern jeder beliebige Rechner, der irgendwo in einer Firma steht, wird diese Information übermitteln. Und diese Information dient eigentlich ja dazu, dass eine Webseite auf dem Endgerät vernünftig angezeigt wird. Gerade heute: Wir haben nicht alle nur einen Flachbildschirm, wir haben mobile Endgeräte, die ich mit mir rumtragen kann. Ich habe Telefone mit kleinen Displays, diese ganzen Smartphones. All diese Displays möchten natürlich erreichen, dass die Webseite optimal dargestellt wird, beziehungsweise wollen das natürlich auch die Leute erreichen, die die Websites ins Netz stellen. Und die Summe dieser ganzen Informationen gibt einen ganz klaren digitalen Fingerabdruck, da keine zwei System auf der Welt exakt gleich sind. Ich brauche nur ein kleines Programm mit einer unterschiedlichen Software-Version haben, und schon habe ich einen abweichenden Fingerabdruck. Und deshalb ist es damit ganz klar möglich, mit diesen ganzen Informationen einen Rechner durch das ganze Netz zu verfolgen. Also ich kann genau sagen, dass Rechner mit diesem Fingerabdruck jetzt an diesem Server gerade war und dann sich die Webseite auf dem anderen Server angeschaut hat. Wenn ich jetzt hergehe und habe einen Rechner komplett dichtgemacht mit Anomynizer, mit Tracking-Protection-Technologien, dann wird der sich dadurch im Netz auszeichnen, dass er keine Spuren hinterlässt.