Stellen Sie sich folgende Situation vor: Jedes Mal, wenn Sie am Computer oder dem Smartphone surfen, zeichnet ein Fremder neben Ihnen sämtliche Mausbewegungen auf, schreibt mit, wie lange Sie wo hingesehen haben und was Sie in Textfelder eingegeben haben. Alles lässt sich lückenlos jederzeit wieder abspielen. Dann gibt er die Daten an Ihnen völlig Unbekannte weiter. Was gruselig klingt, ist längst Realität, zeigt eine aktuelle Studie. Nur, dass statt eines Menschen Programme aufnehmen.
Die sogenannten "Replay-Scripte" stammen von Drittanbietern und dienen eigentlich dazu, die Benutzung von Webseiten zu optimieren. Etwa indem man beobachtet, wohin Nutzer am ehesten klicken. Weil aber auch hochsensible Informationen aufgenommen werden, stellen sie einen echten Privatsphäre-Albtraum dar. Zumal sie nicht auf halbseidene Seiten beschränkt sind: Eine Untersuchung mehrerer Doktoranden an der US-Elite-Uni Princeton fand sie auf 482 der 50.000 beliebtesten Seiten der Welt, auch große Unternehmen wie Microsoft und Adobe setzen sie ein.
Selbst Gelöschtes wird gespeichert
Die Nutzer wissen meist von nichts - auch, weil die Seiten bei der Nutzung alles andere als transparent sind. Dabei kann man aus den Aufnahmen extrem viel über die Nutzer erfahren. Je nach Script wird teilweise jede eingegebene Information mitgeschrieben, selbst, wenn man sie später wieder löscht und nicht abschickt. Auch alle angezeigten Informationen werden aufgezeichnet. Ein Replay-Script bei einer Bank würde so nicht nur den Nutzernamen und das Passwort, sondern auch gleich den Kontostand und den gezeigten Verlauf mitschreiben.
Viele der Dienste übertragen die Daten dann auf ihre Server. Dabei werden die Daten oft nicht verschlüsselt - selbst wenn die Originalwebseite eine HTTPS-Verschlüsselung nutzt. Den meisten Betreibern scheint das Problem gar nicht bewusst zu sein. Auf Anfrage von "Wired" antwortete der US-Händler Bonobos, man habe die Zusammenarbeit mit dem Anbieter Fullstory wegen der Studie eingestellt. Nach Steven Englehardt, einem der Doktoranden, wäre es an den Webseiten-Betreibern, die Scripte zum Schutz der Privatsphäre zu zwingen, entsprechende Programmierwerkzeuge lägen den Diensten bei. Weil das Ganze aber aufwendig und teuer ist, verzichten viele Seiten darauf. Andere geben immerhin nur bearbeitete Versionen der Aufzeichnungen weiter.
Kein Schutz für die Nutzer
Die Nutzer selbst können sich allem Anschein nach nicht effektiv schützen. Selbst Werbeblocker schalten die Scripte nach Angaben der Studie nicht zwingend aus, manche könnten trotzdem fleißig sammeln. Auch die "Nicht-Verfolgen"-Funktion etwa des Firefox würde die Aufzeichnungen nicht unterbinden. Den Nutzern bleibt also nur, vorsichtig zu sein - und sowenige Informationen wie möglich zu hinterlassen.
