Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Marketing

Hallo, Datenkrake! – Wie die Werbeindustrie mit Super-Cookies User-Stalking betreibt

    Hallo, Datenkrake! – Wie die Werbeindustrie mit Super-Cookies User-Stalking betreibt

Wie arbeitet die deutsche Werbeindustrie? (Bild: James Steidl – Fotolia.com)

Wie genau funktioniert personalisierte Online-Werbung? Was sind ihre Chancen, vor allem aber Risiken? Diese und ähnliche Fragen beantwortet Jonas Huthmacher im Rahmen seiner Artikelserie.

Personalisierte Werbung ist einer der größten „Moneymaker“ im digitalen Werbegeschäft. Die Vorteile sind schnell erklärt: Anzeigen werden perfekt auf Nutzer zugeschnitten, um die Interessen des Nutzers und die Zielgruppe des Werbers besser zu treffen. Ziel ist es, dem Nutzer dadurch relevante Werbung auszuliefern und die Performance der Anzeigen zu steigern.

Sind also alle glücklich? Nicht ganz. Das Prinzip ist bekannt, doch nur selten wird hinter die Kulissen geschaut.

So überwacht uns die Werbeindustrie

„Nugg.ad kennt theoretisch 80 Prozent der deutschen Surfhistorie.“

Um personalisierte Werbung zu schalten, müssen Werber wissen, was den Nutzer interessiert. Dafür gibt es sogenannte „Data Management Platforms“ (kurz: DMPs) die Nutzerdaten sammeln, kategorisieren und Muster erstellen. Ihre Daten werden hauptsächlich über Cookies gesammelt. Der Cookie fungiert dabei wie ein Nummernschild.

Beim Laden einer Webseite platziert das JavaScript der DMP einen Cookie im Browser des Nutzers. Auf allen Webseiten, auf denen dieses JavaScript eingebaut ist, erkennt die Software den Nutzer anhand seines „Nummernschildes“ und kann somit ein Verlaufsprofil erstellen.

Cookies von Googles Analytics sind laut einer Schweizer Studie auf knapp 70 Prozent aller Webseiten eingebaut. Über Doubleclick, Adwords und auch Publisher-Websites wie YouTube sammelt Google darüber hinaus weitere Nutzerdaten. Doch bleiben wir in Deutschland: Die deutsche DMP Nugg.ad ist nach eigener Aussage auf 80 Prozent aller deutschen Webseiten vertreten und sammelt dort „nicht personenbezogene Daten“.

Nugg.ad kennt dadurch theoretisch 80 Prozent der deutschen Surfhistorie. Ist das der richtige Moment um zu erwähnen, dass Nugg.ad eine 100-prozentige Tochterfirma der Deutschen Post ist? Ein Unternehmen, das ja bekanntlich einige personenbezogene Daten hat.

So arbeitet die deutsche Werbeindustrie

cookies
Cookies: Im echten leben eindeutig gut. Im Internet leider nicht immer. (Foto: alexdans – iStockphoto.com)

Da Cookies von Nutzern relativ einfach gelöscht werden können, gibt es für Datensammler effektivere Alternativen. Dazu gehören sogenannte Zombie- und Ever-Cookies, die sich im DOM-Storage des Browser festsetzen und sich nach einem Löschversuch reanimieren. Nugg.ad macht nach eigener Aussage keinen Gebrauch von Zombie- oder Ever-Cookies, respektiert aber wie alle anderen Datensammler nicht die „Do Not Track“-Einstellungen des Browsers. Das ist nämlich nicht verboten.

Abgesehen von Cookies gibt es eine ausgefeiltere Trackingmethode, dass sogenannte „Fingerprinting“. Dabei werden die Einstellungen eines Browsers ausgelesen. Sie sind so einzigartig, dass anhand dieser Informationen über 90 Prozent der Internetnutzer wiedererkannt werden können.

Die Electronic Frontier Foundation (EFF) hat eine Webseite veröffentlicht, die einen Teil dieser Informationen ausliest und Nutzern somit zeigt, wie sie identifiziert werden. Johndonym bietet an anderer Stelle einen etwas umfangreicheren Einblick in dieselbe Thematik.

Fingerprinting ist nichts Illegales und wird häufig in abgeschwächter Form verwendet, um Sprachvorlieben eines Nutzers festzustellen oder um die Website auf eine Bildschirmgröße anzupassen. Es kann jedoch weit mehr ausgelesen werden: Das führt in der Masse dann zur Identifikation eines Nutzers.

Die Springertochter Zanox ist stolz auf ihre Methode des „TPV Fingerprinting Tracking“, das nach eigener Aussage eine zuverlässige Alternative ist, „wenn Cookies gelöscht, deaktiviert oder mittels entsprechender Browsereinstellungen blockiert werden“.

Ist das alles noch „okay“?

Angeblich ist das alles unbedenklich, da keine personenbezogenen Daten gesammelt werden. Doch ab wann ist die Datendichte von nicht personenbezogenen Daten groß genug, um zu wissen, wer wirklich hinter dem Datenset steht?

Im zweiten Teil dieser Artikelserie beleuchte ich, wie „Data Management Platforms“ (kurz: DMPs) arbeiten.

Jonas HuthmacherÜber den Autor: Jonas Huthmacher arbeitet als „New Media Manager“ in der Berliner Startup-Szene. Er liebt Kaffee, Fußball und gute Musik.

Finde einen Job, den du liebst

13 Reaktionen
Dominik

Wie kommt denn Nugg.ad auf 80 % der deutschen Nutzer? Bestehen hier Kooperationen mit Google & Co? Kann mir eigentlich nicht vorstellen, dass Google hier freiwillig an seiner Datenbasis Teilhaberschaften anbietet und frage mich sonst, wie eine solche Reichweite auf den Internetseiten möglich ist.

Antworten
Kation
Kation

cooler Artikel, danke dafür.

Antworten
Atilla W.

Für die Kollegen von OnlineMarketingDe habe ich über einen recht ähnlichen Sachverhalt berichtet. Dabei ist die Perspektive eine ähnliche, jedoch aus Advertiser und Publisher Sicht.

Und aus eben deren Sicht stellt sich mir eine ganz wichtige Frage: Na und?

Was können Post, Amazon und Co denn mit den Daten anfangen, was mir schaden könnte? Theoretisch wohl einiges, praktisch aber doch überhaupt nichts relevantes.

Grösser ist da sicherlich die von Institutionen ausgehende Gefahr, obgleich jeder bessere Amateur heute vermutlich genug Daten erheben kann, um herauszufinden, welche Partei jemand wählen wird und wer sich also Kinderpornografie reinzieht - wenn der Amateur das denn wissen will.

Antworten
Kation
Kation

Okay, dann können Sie ja demnächst rund um die Uhr 24/7 Ihre Haustür offen stehen lassen und jeglichen fremden Personen in Ihr privates Haus schauen lassen. Denn nichts anderes ist das sammeln von privaten Daten. Es ist ein Einbruch in meine ganz persönliche Privatsphäre.
Genauso, wie ich nicht jemand fremden in mein Haus lasse, möchte ich auch nicht, dass jemand fremdes meine Daten abgreift. Egal, ob er damit etwas böses anstellen kann oder nicht.

Antworten
Atilla W.

Hallo Kation,
das ist soweit korrekt - trifft hier nur leider überhaupt nicht den Punkt. Zumindest, wenn man in die Gesetzeslage vertraut. Dort ist die Erhebung personenbezogener Daten meines Wissens nämlich untersagt.
Zudem habe ich meine digitale Haustür nicht geöffnet: Mit dem Blocken von JavaScript oder der Verwendung von Proxys kann jeder selbst entscheiden, wem seine digitale Haustür offen steht.
Anders mache ich das mit meiner analogen Tür übrigens auch nicht. Sie etwa...?

Kation
Kation

Hallo Atilla,

dann entfernen Sie alle personenbezogenen Informationen aus Ihrem Haushalt. Würden Sie dann die Haustür offen stehen lassen?

Was das deutsche Gesetz schreibt interessiert den Amerikanischen Kontinent nunmal überhaupt nicht. Sind Sie wirklich so blauäugig zu meinen, dass große Internet Firmen, wie z.B. Google, Amazon, Facebook etc. keine personenbezogenen Daten sammeln? Davon mal abgesehen möchte ich nicht einmal, dass nicht personenbezogene Daten von mir gesammelt werden. Sich davor zu schützen, ist wie in diesem Artikel sehr schön beschrieben, so gut wie gar nicht möglich. Das einzige was hilft, sind so gut es geht Fake-Namen und Mail Adressen zu verwenden, damit kein Bezug zur realen Personen hergestellt werden kann.
Genauso wenig wie ich in der realen Welt meine Haustür offen stehen lasse oder meinen Lebenslauf auf der Straße verteile, möchte ich auch nicht, dass dies auf digitalen Weg passiert.

Jonas Huthmacher

Hey, super Frage!
Java abschalten etc. ist natürlich ein guter Anfang! Wird im Alltag zwar schwer aber sehr hilfreich. Es gibt einige Browser Erweiterungen die Abhilfe schaffen die werden in dem nächsten Artikel erläutert!
Weiter Informationen zu dem Thema gibt es zum Fraunhofer SIT hier : https://www.sit.fraunhofer.de/wtr/

Antworten
tomte
tomte

Sie meinten sicher JavaScript abschalten, nicht Java.

Antworten
Armin

Herr Huthmacher meinte zudem in seinem Artikel sicher auch, dass Analytics auf 70% aller Internetseiten eingebunden ist, nicht "Cookies von Google Analytics".

Ganz grundsätzlich ist es mir lieber Werbung mit für mich relevanten Informationen zu erhalten als zu irgendwelchen XXX Seiten, Schlankmachern, schnell reich werden usw.. Die ausgeprägte Angststörung gegen Werbung vor allem in Deutschland ist wirklich süß. Die Zeiten, in denen JavaScript dazu verwendet wurde um blinkende, sinnfreie Meldungen in Statusleisten zu schreiben oder fliegende Augen über den Bildschirm zu jagen sind längt vorbei. JavaScript ist essentiell geworden. Es heute auszuschalten ist Harakiri. Ich erlebe es immer wieder dass über irgendwelche Funktionen einer Website gemeckert wird, und nach aufwändiger Prüfung stellt man dann fest dass irgendwelche Browsererweiterungen so im Code rumfudeln dass nix mehr geht.

Die andere Seite ist natürlich, dass alleine die Menge der Werbung jedes Maß überschritten hat. AdBlocker sperren auf üblichen Nachrichtenseiten längst über 20 oder gar 30 Werbeanzeigen. Da darf sich die andere Seite nicht groß wundern.

Und mit AdBlock Plus gibt es von Werbetreibenden auch schon die passende Wegelagerei. http://www.mobilegeeks.de/adblock-plus-undercover-einblicke-in-ein-mafioeses-werbenetzwerk/
Wurde eigentlich schon mal geprüft, wie viel die Macher der Werbeblocker über den User wissen? Das ist ja im Grunde auch nur ein Gateway was sämtlichen Datenverkehr protokollieren, kann. Und oho, hinter AdBlock Plus steckt auch die Werbeindustrie. Da hat man so richtig gewonnen!

Gemotzt wird in jedem Fall immer und man wundert sich tatsächlich dass in einem Datennetzwerk Daten verarbeitet werden, bevor man die Kiste dann ausschaltet um gleich erst mal im dm ganz analog die Payback-Karte vorzuzeigen! :)

Cruiser
Cruiser

Effektive Anonymität bietet wohl nur der Tor-Browser.

Antworten
Martin
Martin

Wie kann man sich denn als User dagegen wehren (außer JavaScript zu deaktivieren)?

Antworten
kahner
kahner

Erster Schritt natürlich
1. keine Cookies von Drittanbietern (anderen als der aktuellen Seite)
2. Cookies nach Beenden löschen.
3. Flash-Cookies regelmäßig manuell löschen

Aber...
Auch bei ausgeschalteten Scripts und totalem Cookie-Verbot besteht die Möglichkeit Sie via sogenannter Cache-Cookies über Portale hinweg
zu verfolgen.

Es gibt diverse Script-Blocker.
Mein Favorit ist Ghostery. Den gibt es in den App-Stores aller wesentlichen Browser zumindest unter Windows.

Damit kann man selbst sehen, welche Scripts auf welchen Seiten vorhanden sind. Hier sind es zum Beispiel 11. Von DoubleClick über Google-Analytics, -Adsense, -Adword usw aber auch VG Wort, Cravatar, Visual revenue etc.

Unter FireFox gibt es noch NoScript mit gleicher Aufgabe. NoScript ist fester Bestandteil der TOR-Variante von Firefox.

Auch nicht schlecht ist parallel dazu Collusion. Das Programm zeigt gerade bei mehreren offenen Seiten an, wie die Verflechtungen der Tracker-Script-Anbieter untereinander sind. Das ist sehr interessant und man sieht, wer alles weiß, auf welchen Portalen ich mir welche Seiten angesehen habe.
Da bekommt der Begriff world-wide-WEB gleich eine vollkommen neue eigentlich die alte Bedeutung. Collusion blockt auch einige Scripte weg, sein eigentlicher Zweck ist aber, die Beziehungen normalerweise eigenständiger Seiten via Tracker aufzuzeigen,
Unter Firefox bekommt man eine andere Software angeboten, die aber das Gleiche macht. Der Name ist mir entfallen (Lighthouse??), aber nach Collusion suchen, bringt die richtige App.

Script-Blocker sind übrigens nicht mir Ad-Blockern zu verwechseln.

Allerdings sei an dieser Stelle auch erwähnt, dass das Abschalten von Cookies und Scripten nur unwesentlich die eindeutige Wiedererkennung im Netz verhindert.
Wie auch im Artikel geschrieben verzichten einige Tracker-Firmen inzwischen ganz auf Scripts und Cookies und setzen für das Re-Targeting auf das sogenannte Browser-Fingerprinting und spezifische Hardware-Merkmale. Vor allem die unterschiedlichen, auf einem System installierten Schriften schaffen neben vielen anderen Details eine meist eindeutige Identifikation.

Dazu gibt es die sogenannte Clock-Skew. Dabei werden produktionsbedingte und daher systemtypisch Abweichungen beispielsweise bei der Systemuhr verwendet - keine Chance :)
Da helfen nur noch Proxys, aber dann werden eben die eindeutig erkannt.

Und auf (nicht gerouteten) Smart-Phones ist es praktisch überhaupt nicht möglich, da hier aus Komfortgründen eine ganze Reihe von Track-Möglichkeiten bereits auf OS-Ebene installiert sind.
Aber auch mit Alternativ-ROMs. Es gibt schon einen Grund, warum eine kostenlose Kompass-App Zugriff auf das Telefon, Kalender oder die Kontakte will.

Antworten
Jonas Huthmacher

Hi, das sehe ich genauso.
Ich werde im nächsten Artikel noch einige andere Addons und Browser etc. beleuchten allerdings gibt es kein Allheilmittel! Gerade was Clock Skew und Fingerprinting angeht.
Das Angesprochene Firefox Addon heißt Lightbeam (https://www.mozilla.org/en-US/lightbeam/).

Danke für das Feedback

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen