t3n News Marketing

Hallo, Datenkrake! – Wie die Werbeindustrie mit Super-Cookies User-Stalking betreibt

Hallo, Datenkrake! – Wie die Werbeindustrie mit Super-Cookies User-Stalking betreibt

Wie genau funktioniert personalisierte Online-Werbung? Was sind ihre Chancen, vor allem aber Risiken? Diese und ähnliche Fragen beantwortet Jonas Huthmacher im Rahmen seiner Artikelserie.

Hallo, Datenkrake! – Wie die Werbeindustrie mit Super-Cookies User-Stalking betreibt

Wie arbeitet die deutsche Werbeindustrie? (Bild: James Steidl – Fotolia.com)

Personalisierte ist einer der größten „Moneymaker“ im digitalen Werbegeschäft. Die Vorteile sind schnell erklärt: Anzeigen werden perfekt auf Nutzer zugeschnitten, um die Interessen des Nutzers und die Zielgruppe des Werbers besser zu treffen. Ziel ist es, dem Nutzer dadurch relevante Werbung auszuliefern und die Performance der Anzeigen zu steigern.

Sind also alle glücklich? Nicht ganz. Das Prinzip ist bekannt, doch nur selten wird hinter die Kulissen geschaut.

So überwacht uns die Werbeindustrie

„Nugg.ad kennt theoretisch 80 Prozent der deutschen Surfhistorie.“

Um personalisierte Werbung zu schalten, müssen Werber wissen, was den Nutzer interessiert. Dafür gibt es sogenannte „Data Management Platforms“ (kurz: DMPs) die Nutzerdaten sammeln, kategorisieren und Muster erstellen. Ihre Daten werden hauptsächlich über Cookies gesammelt. Der Cookie fungiert dabei wie ein Nummernschild.

Beim Laden einer Webseite platziert das JavaScript der DMP einen Cookie im Browser des Nutzers. Auf allen Webseiten, auf denen dieses JavaScript eingebaut ist, erkennt die Software den Nutzer anhand seines „Nummernschildes“ und kann somit ein Verlaufsprofil erstellen.

Cookies von Googles Analytics sind laut einer Schweizer Studie auf knapp 70 Prozent aller Webseiten eingebaut. Über Doubleclick, Adwords und auch Publisher-Websites wie YouTube sammelt Google darüber hinaus weitere Nutzerdaten. Doch bleiben wir in Deutschland: Die deutsche DMP Nugg.ad ist nach eigener Aussage auf 80 Prozent aller deutschen Webseiten vertreten und sammelt dort „nicht personenbezogene Daten“.

Nugg.ad kennt dadurch theoretisch 80 Prozent der deutschen Surfhistorie. Ist das der richtige Moment um zu erwähnen, dass Nugg.ad eine 100-prozentige Tochterfirma der Deutschen Post ist? Ein Unternehmen, das ja bekanntlich einige personenbezogene Daten hat.

So arbeitet die deutsche Werbeindustrie

cookies
Cookies: Im echten leben eindeutig gut. Im Internet leider nicht immer. (Foto: alexdans – iStockphoto.com)

Da Cookies von Nutzern relativ einfach gelöscht werden können, gibt es für Datensammler effektivere Alternativen. Dazu gehören sogenannte Zombie- und Ever-Cookies, die sich im DOM-Storage des Browser festsetzen und sich nach einem Löschversuch reanimieren. Nugg.ad macht nach eigener Aussage keinen Gebrauch von Zombie- oder Ever-Cookies, respektiert aber wie alle anderen Datensammler nicht die „Do Not Track“-Einstellungen des Browsers. Das ist nämlich nicht verboten.

Abgesehen von Cookies gibt es eine ausgefeiltere Trackingmethode, dass sogenannte „Fingerprinting“. Dabei werden die Einstellungen eines Browsers ausgelesen. Sie sind so einzigartig, dass anhand dieser Informationen über 90 Prozent der Internetnutzer wiedererkannt werden können.

Die Electronic Frontier Foundation (EFF) hat eine Webseite veröffentlicht, die einen Teil dieser Informationen ausliest und Nutzern somit zeigt, wie sie identifiziert werden. Johndonym bietet an anderer Stelle einen etwas umfangreicheren Einblick in dieselbe Thematik.

Fingerprinting ist nichts Illegales und wird häufig in abgeschwächter Form verwendet, um Sprachvorlieben eines Nutzers festzustellen oder um die Website auf eine Bildschirmgröße anzupassen. Es kann jedoch weit mehr ausgelesen werden: Das führt in der Masse dann zur Identifikation eines Nutzers.

Die Springertochter Zanox ist stolz auf ihre Methode des „TPV Fingerprinting Tracking“, das nach eigener Aussage eine zuverlässige Alternative ist, „wenn Cookies gelöscht, deaktiviert oder mittels entsprechender Browsereinstellungen blockiert werden“.

Ist das alles noch „okay“?

Angeblich ist das alles unbedenklich, da keine personenbezogenen Daten gesammelt werden. Doch ab wann ist die Datendichte von nicht personenbezogenen Daten groß genug, um zu wissen, wer wirklich hinter dem Datenset steht?

Im zweiten Teil dieser Artikelserie beleuchte ich, wie „Data Management Platforms“ (kurz: DMPs) arbeiten.

Jonas HuthmacherÜber den Autor: Jonas Huthmacher arbeitet als „New Media Manager“ in der Berliner Startup-Szene. Er liebt Kaffee, Fußball und gute Musik.
Vorheriger Artikel Zurück zur Startseite Nächster Artikel
13 Antworten
  1. von Martin am 20.07.2014 (14:37 Uhr)

    Wie kann man sich denn als User dagegen wehren (außer JavaScript zu deaktivieren)?

    Antworten Teilen
    • von kahner am 21.07.2014 (00:47 Uhr)

      Erster Schritt natürlich
      1. keine Cookies von Drittanbietern (anderen als der aktuellen Seite)
      2. Cookies nach Beenden löschen.
      3. Flash-Cookies regelmäßig manuell löschen

      Aber...
      Auch bei ausgeschalteten Scripts und totalem Cookie-Verbot besteht die Möglichkeit Sie via sogenannter Cache-Cookies über Portale hinweg
      zu verfolgen.

      Es gibt diverse Script-Blocker.
      Mein Favorit ist Ghostery. Den gibt es in den App-Stores aller wesentlichen Browser zumindest unter Windows.

      Damit kann man selbst sehen, welche Scripts auf welchen Seiten vorhanden sind. Hier sind es zum Beispiel 11. Von DoubleClick über Google-Analytics, -Adsense, -Adword usw aber auch VG Wort, Cravatar, Visual revenue etc.

      Unter FireFox gibt es noch NoScript mit gleicher Aufgabe. NoScript ist fester Bestandteil der TOR-Variante von Firefox.

      Auch nicht schlecht ist parallel dazu Collusion. Das Programm zeigt gerade bei mehreren offenen Seiten an, wie die Verflechtungen der Tracker-Script-Anbieter untereinander sind. Das ist sehr interessant und man sieht, wer alles weiß, auf welchen Portalen ich mir welche Seiten angesehen habe.
      Da bekommt der Begriff world-wide-WEB gleich eine vollkommen neue eigentlich die alte Bedeutung. Collusion blockt auch einige Scripte weg, sein eigentlicher Zweck ist aber, die Beziehungen normalerweise eigenständiger Seiten via Tracker aufzuzeigen,
      Unter Firefox bekommt man eine andere Software angeboten, die aber das Gleiche macht. Der Name ist mir entfallen (Lighthouse??), aber nach Collusion suchen, bringt die richtige App.

      Script-Blocker sind übrigens nicht mir Ad-Blockern zu verwechseln.

      Allerdings sei an dieser Stelle auch erwähnt, dass das Abschalten von Cookies und Scripten nur unwesentlich die eindeutige Wiedererkennung im Netz verhindert.
      Wie auch im Artikel geschrieben verzichten einige Tracker-Firmen inzwischen ganz auf Scripts und Cookies und setzen für das Re-Targeting auf das sogenannte Browser-Fingerprinting und spezifische Hardware-Merkmale. Vor allem die unterschiedlichen, auf einem System installierten Schriften schaffen neben vielen anderen Details eine meist eindeutige Identifikation.

      Dazu gibt es die sogenannte Clock-Skew. Dabei werden produktionsbedingte und daher systemtypisch Abweichungen beispielsweise bei der Systemuhr verwendet - keine Chance :)
      Da helfen nur noch Proxys, aber dann werden eben die eindeutig erkannt.

      Und auf (nicht gerouteten) Smart-Phones ist es praktisch überhaupt nicht möglich, da hier aus Komfortgründen eine ganze Reihe von Track-Möglichkeiten bereits auf OS-Ebene installiert sind.
      Aber auch mit Alternativ-ROMs. Es gibt schon einen Grund, warum eine kostenlose Kompass-App Zugriff auf das Telefon, Kalender oder die Kontakte will.

      Antworten Teilen
  2. von Jonas Huthmacher am 20.07.2014 (15:02 Uhr)

    Hey, super Frage!
    Java abschalten etc. ist natürlich ein guter Anfang! Wird im Alltag zwar schwer aber sehr hilfreich. Es gibt einige Browser Erweiterungen die Abhilfe schaffen die werden in dem nächsten Artikel erläutert!
    Weiter Informationen zu dem Thema gibt es zum Fraunhofer SIT hier : https://www.sit.fraunhofer.de/wtr/

    Antworten Teilen
    • von tomte am 22.07.2014 (10:20 Uhr)

      Sie meinten sicher JavaScript abschalten, nicht Java.

      Antworten Teilen
      • von Armin am 22.07.2014 (12:05 Uhr)

        Herr Huthmacher meinte zudem in seinem Artikel sicher auch, dass Analytics auf 70% aller Internetseiten eingebunden ist, nicht "Cookies von Google Analytics".

        Ganz grundsätzlich ist es mir lieber Werbung mit für mich relevanten Informationen zu erhalten als zu irgendwelchen XXX Seiten, Schlankmachern, schnell reich werden usw.. Die ausgeprägte Angststörung gegen Werbung vor allem in Deutschland ist wirklich süß. Die Zeiten, in denen JavaScript dazu verwendet wurde um blinkende, sinnfreie Meldungen in Statusleisten zu schreiben oder fliegende Augen über den Bildschirm zu jagen sind längt vorbei. JavaScript ist essentiell geworden. Es heute auszuschalten ist Harakiri. Ich erlebe es immer wieder dass über irgendwelche Funktionen einer Website gemeckert wird, und nach aufwändiger Prüfung stellt man dann fest dass irgendwelche Browsererweiterungen so im Code rumfudeln dass nix mehr geht.

        Die andere Seite ist natürlich, dass alleine die Menge der Werbung jedes Maß überschritten hat. AdBlocker sperren auf üblichen Nachrichtenseiten längst über 20 oder gar 30 Werbeanzeigen. Da darf sich die andere Seite nicht groß wundern.

        Und mit AdBlock Plus gibt es von Werbetreibenden auch schon die passende Wegelagerei. http://www.mobilegeeks.de/adblock-plus-undercover-einblicke-in-ein-mafioeses-werbenetzwerk/
        Wurde eigentlich schon mal geprüft, wie viel die Macher der Werbeblocker über den User wissen? Das ist ja im Grunde auch nur ein Gateway was sämtlichen Datenverkehr protokollieren, kann. Und oho, hinter AdBlock Plus steckt auch die Werbeindustrie. Da hat man so richtig gewonnen!

        Gemotzt wird in jedem Fall immer und man wundert sich tatsächlich dass in einem Datennetzwerk Daten verarbeitet werden, bevor man die Kiste dann ausschaltet um gleich erst mal im dm ganz analog die Payback-Karte vorzuzeigen! :)

        Teilen
    • von Cruiser am 23.07.2014 (15:03 Uhr)

      Effektive Anonymität bietet wohl nur der Tor-Browser.

      Antworten Teilen
  3. von Atilla W. am 20.07.2014 (19:14 Uhr)

    Für die Kollegen von OnlineMarketingDe habe ich über einen recht ähnlichen Sachverhalt berichtet. Dabei ist die Perspektive eine ähnliche, jedoch aus Advertiser und Publisher Sicht.

    Und aus eben deren Sicht stellt sich mir eine ganz wichtige Frage: Na und?

    Was können Post, Amazon und Co denn mit den Daten anfangen, was mir schaden könnte? Theoretisch wohl einiges, praktisch aber doch überhaupt nichts relevantes.

    Grösser ist da sicherlich die von Institutionen ausgehende Gefahr, obgleich jeder bessere Amateur heute vermutlich genug Daten erheben kann, um herauszufinden, welche Partei jemand wählen wird und wer sich also Kinderpornografie reinzieht - wenn der Amateur das denn wissen will.

    Antworten Teilen
    • von Kation am 21.07.2014 (09:25 Uhr)

      Okay, dann können Sie ja demnächst rund um die Uhr 24/7 Ihre Haustür offen stehen lassen und jeglichen fremden Personen in Ihr privates Haus schauen lassen. Denn nichts anderes ist das sammeln von privaten Daten. Es ist ein Einbruch in meine ganz persönliche Privatsphäre.
      Genauso, wie ich nicht jemand fremden in mein Haus lasse, möchte ich auch nicht, dass jemand fremdes meine Daten abgreift. Egal, ob er damit etwas böses anstellen kann oder nicht.

      Antworten Teilen
      • von Atilla W. am 21.07.2014 (12:19 Uhr)

        Hallo Kation,
        das ist soweit korrekt - trifft hier nur leider überhaupt nicht den Punkt. Zumindest, wenn man in die Gesetzeslage vertraut. Dort ist die Erhebung personenbezogener Daten meines Wissens nämlich untersagt.
        Zudem habe ich meine digitale Haustür nicht geöffnet: Mit dem Blocken von JavaScript oder der Verwendung von Proxys kann jeder selbst entscheiden, wem seine digitale Haustür offen steht.
        Anders mache ich das mit meiner analogen Tür übrigens auch nicht. Sie etwa...?

        Teilen
      • von Kation am 21.07.2014 (14:16 Uhr)

        Hallo Atilla,

        dann entfernen Sie alle personenbezogenen Informationen aus Ihrem Haushalt. Würden Sie dann die Haustür offen stehen lassen?

        Was das deutsche Gesetz schreibt interessiert den Amerikanischen Kontinent nunmal überhaupt nicht. Sind Sie wirklich so blauäugig zu meinen, dass große Internet Firmen, wie z.B. Google, Amazon, Facebook etc. keine personenbezogenen Daten sammeln? Davon mal abgesehen möchte ich nicht einmal, dass nicht personenbezogene Daten von mir gesammelt werden. Sich davor zu schützen, ist wie in diesem Artikel sehr schön beschrieben, so gut wie gar nicht möglich. Das einzige was hilft, sind so gut es geht Fake-Namen und Mail Adressen zu verwenden, damit kein Bezug zur realen Personen hergestellt werden kann.
        Genauso wenig wie ich in der realen Welt meine Haustür offen stehen lasse oder meinen Lebenslauf auf der Straße verteile, möchte ich auch nicht, dass dies auf digitalen Weg passiert.

        Teilen
  4. von Kation am 21.07.2014 (09:21 Uhr)

    cooler Artikel, danke dafür.

    Antworten Teilen
  5. von Dominik am 22.07.2014 (05:48 Uhr)

    Wie kommt denn Nugg.ad auf 80 % der deutschen Nutzer? Bestehen hier Kooperationen mit Google & Co? Kann mir eigentlich nicht vorstellen, dass Google hier freiwillig an seiner Datenbasis Teilhaberschaften anbietet und frage mich sonst, wie eine solche Reichweite auf den Internetseiten möglich ist.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Werbung
API für Werbekunden: Snapchat vereinfacht Werbung
API für Werbekunden: Snapchat vereinfacht Werbung

Snapchat öffnet sich der Werbeindustrie. Über eine Programmierschnittstelle ist es den Werbekunden ab sofort erlaubt, Anzeigen und Videos in die App einzuspeisen. Den Nutzern werden diese Anzeigen … » weiterlesen

Schnelle Werbung für AMP: Google startet AMP-Ads
Schnelle Werbung für AMP: Google startet AMP-Ads

Monate nach dem Start der Instant-Article-Alternative AMP hat Google zur Monetarisierung den offiziellen Startschuss für die AMP-Werbeanzeigen gegeben: Die AMP-Ads sind da. » weiterlesen

Facebook zeigt künftig auch Nicht-Mitgliedern personalisierte Werbung an
Facebook zeigt künftig auch Nicht-Mitgliedern personalisierte Werbung an

Facebook weitet die Reichweite seines eigenen Werbenetzwerks „Audience Network“ aus. Wie der Konzern ankündigt, wird in Kürze auch Nicht-Mitgliedern personalisierte Werbung auf teilnehmenden … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?