Wer online shoppt, liest oder sich vernetzt, kommt kaum an ihnen vorbei: Eingabefelder, die E-Mailadressen und Passwörter abfragen. Dem Eintippen der Daten in diese Felder folgt meist ein Klick auf einen Bestätigungsbutton. Er suggeriert: Erst jetzt werden deine Angaben an die Seitenbetreiber:innen vermittelt. Dabei handelt es sich allerdings häufig um einen Trugschluss, die Daten werden schon während der Eingabe gespeichert.

Forschende von drei Universitäten haben das Phänomen nun in einer gemeinsamen Studie näher untersucht – und den Fokus auf Tracking durch Drittanbieter gelegt.

Bereits 2017 hatte Gizmodo aufgedeckt, dass das Marketingunternehmen Navistone auf über 100 Seiten Anmeldeinformationen vor dem offiziellen Versand gesammelt hatte. Im gleichen Jahr untersuchte die Universität Princeton die Nutzung sogenannter „session replay“-Skripte, die auf Websites ebenfalls eingegebene Daten vor deren Versand abspeichern.

Wie häufig Formularinhalte tatsächlich schon während des Tippens gespeichert werden, zeigt jetzt eine neue Studie. Unter dem Titel „Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission“ haben Wissenschaftler:innen aus Belgien, den Niederlanden und der Schweiz insgesamt 100.000 der weltweit am häufigsten genutzten Websites analysiert.

Bei zahlreichen Anbietern konnte das Team beobachten, wie Eingabedaten vorzeitig abgespeichert wurden. Besonders gefragt sind dabei Mailadressen. 1.844 Websites in der EU sammeln E-Mailadressen, bevor sie offiziell geteilt werden, in den USA sind es rund 2.950.

Die Masse an trackenden Websites habe auch das Forschungsteam überrascht, so Studien-Co-Autor Güneş Acar gegenüber Wired. „Wir dachten, wir finden vielleicht Hundert Websites, die deine E-Mail sammeln, bevor du dem zustimmst, aber das hat unsere Erwartungen weit übertroffen.“

Passwörter scheinen besser geschützt oder weniger gefragt zu sein als Mailadressen: Hier stießen die Forschenden auf insgesamt 52 Fälle, die sich überwiegend auf das russisch-niederländische Unternehmen Yandex zurückführen lassen. In der Arbeit heißt es, Yandex sowie die Betreiber:innen der betroffenen Seite seien informiert worden, laut Wired ist die Problematik mittlerweile in allen Fällen behoben worden.

Doch wann genau werden die eingegebenen Informationen eigentlich gespeichert – wenn nicht beim offiziellen Versenden? Wird ein Formular ausgefüllt, gibt es zwei Punkte, bei denen die frühzeitige Datenerfassung aktiv wird: Entweder dann, wenn User zum nächsten Feld wechseln, oder bei jedem einzelnen Tastenanschlag. Ein interessantes Detail: Besonders häufig nutzen Beauty- und Fashionunternehmen das Leaking von Mailadressen, im Pornobereich wurden die Wissenschaftler:innen hingegen nicht fündig.

Tracking-Tools werden im Netz häufig eingesetzt, um Werbeinhalte an die User anzupassen. Genau das zeigte sich auch im Lauf der Studie: Obwohl die genutzten Testadressen nie offiziell abgeschickt worden waren, trudelten innerhalb von sechs Wochen insgesamt 290 E-Mails von 88 Websites beim Forschungsteam ein.

Aus einer Datenschutzperspektive ist ein derartiges Tracking nicht nur bedenklich, sondern möglicherweise sogar rechtswidrig: Das Speichern der eingegebenen Daten vor dem Senden ist für die User nicht transparent, das Sammeln der Informationen zu Werbezwecken und Nutzeranalyse könnte den DSGVO-Vorgaben zur Datenminimierung widersprechen. Aber, so die Forschenden: Letztendlich müssten die Fälle wohl einzeln juristisch abgeklärt werden.

Einen Schutz gegen das Tracking bieten beispielsweise Browser-Extensions wie Ublock Origin oder Browser wie Brave, die standardmäßig Trackingmethoden blockieren.