Tracking

23. November 2017 10:43; Akt: 23.11.2017 10:43 Print

Websites überwachen jede Texteingabe in Echtzeit

Nicht nur die Mausbewegungen und Scrolls der Nutzer werden aufgezeichnet. Eine Studie belegt, dass beliebte Websites sogar Tastatureingaben registrieren.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Besucher von Websites liefern den Betreibern in der Regel jede Menge Daten. In welchem Ausmass ein solches Tracking erfolgt, variiert jedoch stark und ist je nach Website verschieden. Problematisch sind vor allem sogenannte Session-Replay-Skripte.

Umfrage
Verwenden Sie einen Blocker beim Browser?

Diese erlauben den Betreibern nicht nur, Bewegungen mit der Maus und das Scrollverhalten der Nutzer aufzuzeichnen, sondern auch jegliche Tastatureingaben in Echtzeit zu erfassen. Der Clou: Eingaben — von Kreditkartennummern bis hin zu Passwörtern etwa — werden auch dann erfasst, wenn diese gar nicht abgeschickt werden. Wer sich vertippt oder aus Versehen Daten preisgibt, wird ebenfalls ungefragt registriert.

Entdeckt haben das Forscher der Universität von Princeton. Ihre Untersuchung ergab, dass mindestens 482 der 50'000 weltweit beliebtesten Websites solche Schnüffel-Skripte verwenden. Diese Tools stammen im Übrigen meist von Drittanbietern wie der russischen Suchmaschine Yandex oder der Firma Hotjar, die dadurch ebenfalls Zugriff zu sensiblen Nutzer-Daten erlangen.

Echtzeit-Aufnahme eines Session-Replays-Skripts. (Video: Youtube)

Bekannte Websites

Unter den untersuchten Websites befinden sich bekannte Namen wie League of Legends, Wordpress, Adobe, Spotify, Reuters, Ryanair oder auch die Website der Antiviren-Software Norton. Die Studie konnte zwar nicht zweifelsfrei feststellen, ob die Session-Replay-Skripte bei den besagten Websites zum Einsatz kommen. Bewiesen ist nur, dass sie über solche Analyse-Tools verfügen.

Aktive Skripte hingegen gibt es auf beliebten Websites wie Logitech, Lenovo, Nintendo, Gucci, Toyota, Airfrance und auch beim Disney Store. Fazit der Forscher: Laufen entsprechende Skripte, kann man sich nicht darauf verlassen, dass die unverschlüsselten Daten nicht aufgezeichnet werden. Eine Liste der Websites und der Art der verwendeten Skripte und verwendeten Untersuchungsmethode der Studie finden Sie hier.

Halb so schlimm?

Mittels Session-Replay können Daten in Echtzeit registriert und zum Zwecke der Besucheranalyse verwendet werden, böse Absichten braucht es dazu nicht. Auch zur Optimierung einer Website sind diese Tools durchaus sinnvoll. Also, alles halb so schlimm? Da einige Anbieter die erhobenen Daten nicht per SSL-Verschlüsselung (ein Netzwerkprotokoll zur sicheren Datenübertragung) weitergeben würden, ist dieses Geschäft allerdings auch für Kriminelle interessant. Wie die Forscher in ihrer Studie festhalten, können die Daten der kritisierten Websites relativ einfach von Dritten extrahiert werden.

Wenn überhaupt, dann können entsprechende Skripte lediglich über Skript-Blocker und Browser-Erweiterungen wie No Script daran gehindert werden, besagte Daten zu sammeln.

(hau)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Leoto am 23.11.2017 10:58 Report Diesen Beitrag melden

    Gefällt mir gar nicht!

    Einfach krass was heute alles als normal durchgeht. Würde jemand in mein Büro kommen und schnell alle meine Ordner kopieren hätte ich und derjenige ziemlich Probleme. Über EDV geht das automatisch und die wenigsten stört es. Diese Entwicklung finde ich höchst beunruhigend. Da EDV so wichtig wird erschaffen wir langsam aber sicher ein wahres Monster. Irgendwann übernimmt es selber die Kontrolle oder die Politische Macht ändert sich und dann werden vielleicht mehr verstehen wovon ich jetzt rede.

    einklappen einklappen
  • Par A. Noid am 23.11.2017 11:20 Report Diesen Beitrag melden

    Überrascht?

    Nein. Kein bisschen.

    einklappen einklappen
  • Techi am 23.11.2017 10:47 Report Diesen Beitrag melden

    Analytics

    Also so neu ist das nun auch wieder nicht, Bsp. Analytics etc.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Helix am 24.11.2017 21:52 via via Mobile Report Diesen Beitrag melden

    Fingerprinting

    Fingerprinting ist runter bis layer 2 möglich und wird auch eingesetzt. Jemand muss ja den Kampf gegen die Bots aufnehmen. Die heutige Streichelzoo-Generation kann dies ja nicht.

  • Le37 am 24.11.2017 07:57 via via Mobile Report Diesen Beitrag melden

    Doppelmoral

    aber euch dann aufregen, wenn im kundendienst der mitarbeitende nicht weiss, wo ihr euch auf der seite befindet oder was im warenkorb liegt.

  • Dagobert am 24.11.2017 07:28 via via Mobile Report Diesen Beitrag melden

    Und der Gesetzgeber

    schläft. Da schnorren 7 von eVoting, ePass, und was noch mehr - und sicher ist gar nichts. Da sollte Leuthart und Co aktiv werden und nicht mit Junker schmusen.

    • Peter K. am 24.11.2017 12:32 via via Mobile Report Diesen Beitrag melden

      @Dagobert

      Warum soll der Gesetzgeber etwas tun, wenn das Volk sogar staatliche Überwachung gutheisst (Nachrichtendiendtgesetz)? Und warum soll sich dann die Industrie zurückhalten, wenn der Staat mit schlechtem Beispiel vorangeht?

    einklappen einklappen
  • Peter B. am 23.11.2017 17:37 Report Diesen Beitrag melden

    ein einfacher Schutz

    Ich verstehe nicht, dass man sich heute noch ohne Schutzschild im Internet bewegt. Damit wird Tracking genau so unmöglich wie Hacking von Daten. Die Tempoeinbusse ist mit modernen "Shields" minim, der Schutz nahe 100 %.

    • Hm Nichtsicher am 23.11.2017 19:35 Report Diesen Beitrag melden

      Nicht auf Produktversprechen reinfallen

      Hätten Sie einen Link/Produktnamen eines solchen Shields? Bezweifle eine ausgesprochen relevante Wirksamkeit, aber würde es gern mal anschauen. Merci

    einklappen einklappen
  • marko 32 am 23.11.2017 14:26 via via Mobile Report Diesen Beitrag melden

    Super

    Super