Tech

Diese Websites können alles tracken, was ihr eintippt

Auf den größten Websites der Welt sind übergriffige Tracking-Skripte im Einsatz – auch viele deutsche Seiten nutzen die umstrittenen Tools.
23.11.17
Foto: Shutterstock / Bearbeitung: Louise Matsakis

Computerbild, Hornbach, Holidaycheck und Moviepilot haben eins gemeinsam: Ihre Internetpräsenzen gehören zu insgesamt 14 großen deutschen Websites, die jeden einzelnen Tastenanschlag ihrer Besucher speichern können. Die besorgniserregenden Ergebnisse zu sogenannten Tracking-Skripten hat eine Untersuchung von Sicherheitsforschern zu Tage gefördert.

Die vor kurzem von der Universität Princeton veröffentlichte Liste zeigt, dass 482 der 50.000 laut des Analyse-Dienstes Alexa meistbesuchten Websites im Netz solche übergriffigen Tracking-Skripte einsetzen, die sich alles merken können, was auf den Websites eingetippt wird.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Darunter sind Präsenzen von millionenschweren Unternehmen wie Microsoft und Adobe. Wenn ein Nutzer zum Beispiel seine Daten in ein Anmeldeformular eingibt, dieses aber nicht abschickt, speichern die Skripte die Eingaben trotzdem – und schicken sie an externe Dienstleister, die die Handlungen des Nutzers als sogenanntes "Session Replay" akkurat wieder abspielen können.

Auch wenn ein Nutzer aus Versehen etwas aus der Zwischenablage in ein Feld innerhalb einer Website einfügt, die ein solches Skript verwendet, kann es gespeichert und an Dritte weitergegeben werden. Unter den 10.000 meistbesuchten Websites der Welt finden sich insgesamt 14 mit einer .de-Domain, die solche Skripte nutzen. Bei der Zusammenstellung ihrer Website-Liste unterscheiden die Forscher, ob ein solches Tracking-Skript auf der jeweiligen Website existiert oder ob sich sogar extern nachweisen lässt, dass die Nutzeraktivitäten gespeichert werden.

Eine Vorliebe für übergriffige Tracking-Skripte haben nicht nur große US-Unternehmen. Unter den 482 Internetseiten, die diese Art von Skripten nutzen, befindet sich auch eine kuriose Mischung namhafter deutscher Internet-Angebote: Immobilienscout24, idealo, 1und1, Computerbild, Chefkoch, Gamestar, Wetter.de, Moviepilot, Stepstone, Conrad, T3n, Express, Holidaycheck und Hornbach sind unter ihnen.

Was Wetter.de, Chefkoch.de und RTL Interactive zu den Skripten sagen

Motherboard hat exemplarisch drei deutsche Websites aus der Princeton-Liste gebeten zu erklären, wofür die Tracking-Skripte eingesetzt werden und ob jede Tastatureingabe gespeichert wird. Die Antworten legen nahe, dass bei diesen drei Websites in Deutschland nicht der volle Funktionsumfang der Skripte genutzt wird.

Gamestar.de, das ein Skript des Anbieters Hotjar nutzt, teilt Motherboard mit, dass das Speichern der Tastatureingaben eine Hotjar-Option ist, die auf Gamestar.de ausdrücklich nicht aktiviert sei. Heiko Klinge von GameStar.de verweist darauf, dass der Funktionsumfang des Session Replay-Tools Hotjar auf Gamestar.de auch explizit in den Datenschutzbestimmungen der Website beschrieben ist. GameStar.de zeichnet mit Hotjar das Nutzerverhalten in anderen Bereichen wie zum Beispiel die Mausbewegungen der Besucher auf, gibt diese Daten aber nicht an Dritte weiter: "Beispielsweise erfahren wir durch Heatmaps oder Scrollanalysen, welche Elemente und Bereiche auf der Webseite unsere Leser häufiger verwenden und welche weniger.", so Klinge. "Außerdem nutzen wir das Umfrage-Tool von Hotjar, um zufällig ausgewählte Leser nach Feedback zu ihrem Website-Besuch zu fragen."

Wetter.de, das zu RTL Interactive gehört, ist in der Princeton-Studie mit dem Tracking-Skript des Anbieters "MouseFlow" gelistet. Dass man das benutzt, bestätigt RTL Interactive auf Anfrage. Man habe zu Testzwecken für wenige Wochen Mouseflow eingesetzt, um anonymisiert das Nutzererlebnis auf Wetter.de zu analysieren. MouseFlow bietet seinen Kunden zum Beispiel Analysen des Scroll- und Klickverhaltens der Website-Besucher – aber auch das Aufnehmen der Nutzer-Eingaben als Option an. Außerdem bietet MouseFlow ein Feature an, mit dem live der Besuch eines Nutzers verfolgt werden kann. Man wolle herausfinden, "wie die Nutzer mit den Features unserer Seite umgehen, um das Angebot für die Nutzer entsprechend zu verbessern", so RTL Interactive weiter. Allerdings habe man nicht die Tastatureingaben der Nutzer gespeichert. "Wir verwenden keine Keylogger-Software, zumal wir selbst eine Beziehung zu unseren Usern haben und anonymisierte Daten über die Eingabefelder erhalten", heißt es in dem Statement. Dadurch erfahre man beispielsweise, welche Wetterorte häufig gesucht würden.

Chefkoch.de nutzt ein Tracking-Skript des Anbieters Hotjar, genau wie Gamestar.de. Der Verlag Gruner + Jahr, der hinter der Rezept-Seite steht, teilte mit, Hotjar zu nutzen, um sogenannte Heatmaps zu erstellen und um freiwillige Nutzerbefragungen durchzuführen. "Letzteres kann die Option zur freiwilligen Angabe der persönlichen E-Mail Adresse beinhalten", heißt es weiter von Seiten des Verlages. Alle Daten seien verschlüsselt und anonymisiert. Man habe zu keinem Zeitpunkt "personenbezogene Daten unserer Nutzer ungefragt mit dem Tool erfasst oder verarbeitet.

Aber was können die Webseitenbetreiber per Tracking-Skript eigentlich über ihre Nutzer herausfinden? Um das zu erfahren, bauten die Forscher der Princeton University Test-Websites und installierten Tracking-Skripts von sechs verschiedenen Anbietern. Das Ergebnis: Je nachdem, von welchem Anbieter das Skript stammt, können im Extremfall so ziemlich alle eingegebenen Daten nicht nur gespeichert werden, sondern sogar einem Nutzerprofil inklusive Namen und E-Mailadresse zugeordnet werden.

Walgreen.com: Wenn das Website-Skript den Gesundheitszustand und die Medikation seiner Besucher speichert

Ein besonders brisantes Beispiel aus der Princeton-Liste ist die Seite Walgreen.com, die der größten US-amerikanischen Apothekenkette gehört und ein Skript von FullStory verwendet. Obwohl Walgreen eine Reihe von Features von FullStory aktiviert hatte, die zur Unkenntlichmachung von sensiblen Nutzerdaten gedacht waren, zeichnete das Skript unter anderem Informationen zum gesundheitlichen Zustand der Nutzer und zur Medikation auf.

Auf eine Anfrage von Motherboard US antwortete FullStory nicht. Unter anderem sind Skripts des Unternehmens auch auf der Seite des Computer- und Smartphone-Herstellers Lenovo aktiv. Walgreen gab auf eine Anfrage von Motherboard US hin bekannt, dass sie den Austausch von Nutzerdaten mit FullStory gestoppt hätten. Im Video unten könnt ihr sehen, was die FullStory-Skripte genau können:

Doch auch andere Unternehmen, die Tracking-Skripte anbieten, scheinen Probleme damit zu haben, bestimmte Daten unkenntlich zu machen. So wurden oft Passwörter mitgespeichert, obwohl die Skripte darauf programmiert waren, es nicht zu tun.

Andere Skript-Anbieter speichern hingegen deutlich weniger. Zwei Anbieter, UserReplay und SessionCam, blocken sogar die Speicherung von Benutzereingaben und speichern nur, worauf Nutzer klicken. Andere Anbieter verbieten sogar ausdrücklich das Speichern von Nutzerdaten.

Warum Nutzerdaten bei Hotjar, Smartlook und Yandex.ru leicht zu klauen sind

Die Problematik mit solchen Tracking-Skripts endet allerdings nicht bei der Speicherung der Daten. Würden Hacker an sensible Informationen von Nutzern kommen, könnten sie dank der fehlenden Anonymisierung wie zum Beispiel bei FullStory diese leicht einem Nutzerprofil zuordnen.

Die Anbieter Yandex, der unter anderem die größte russische Internet-Suchmaschine yandex.ru betreibt, Hotjar und Smartlook verschlüsseln zum Beispiel nicht. das Dashboard ihres Tools, auf dem Kunden die zuvor gespeicherten Nutzeraktivitäten abspielen können. Statt das verschlüsselte Protokoll HTTPS zu verwenden, nutzen die drei Anbieter das veraltete und unveschlüsselte HTTP. Yandex kündigte gegenüber Motherboard an, so schnell wie möglich auf HTTPS umzusteigen.

Die Studie zeigt, dass viele der meistbesuchten Websites ohne Wissen des Nutzers sensible Nutzerdaten sammeln, die noch dazu teilweise unverschlüsselt übermittelt werden und an Dritte weitergegeben werden. Allerdings ist es nicht das erste Vorkommnis dieser Art. Schon 2013 kam es zu Empörungen, als gemeldet wurde, dass das Facebook etwas sehr ähnliches bei Statusmeldungen tun würde: Es zeichne auf, was Nutzer im Eingabefeld eingaben, auch wenn die Nutzer den Status-Post nicht veröffentlichten.

Es stellte sich allerdings schnell heraus, dass nur aufgezeichnet wurde, ob ein Nutzer etwas eingegeben und nicht abgeschickt hat oder nicht – und nicht etwa die Inhalte. Die Studie der Universität Princeton zeigt nun, dass Websites auch ganz bewusst sehen können, was die Nutzer eingeben – wenn die Betreiber das denn wollen. Dazu, wie weitreichend Nutzer-Tracking auf anderen Websites greift, kann die aktuelle Princeton-Untersuchung aber nur einen ersten Einblick geben.

Update 23.11.: Durch die Antworten der drei Websites ergibt sich folgendes Bild: Zwar nutzen große Websites die invasiven Session Replay-Skripte zur Aufzeichnung von Mausbewegungen oder dem Scrollverhalten der Nutzer, doch alle drei angefragten deutschen Websites verzichten laut eigenen Angaben auf die Aufzeichnung von Tastatureingaben. Wir haben deshalb die Rückmeldungen von Gruner + Jahr und Gamestar.de ergänzt und die Überschrift entsprechend angepasst.