Wenn Googeln krankmacht: Web-Tracking im Gesundheitswesen

Foto: Robert Agthe [CC BY 2.0]

Forscher der Universität Princeton haben herausgefunden, dass es mit Hilfe von Werbung im Internet möglich ist, 62 bis 73 Prozent eines typischen Browserverlaufes zu rekonstruieren. Auf Grundlage der Ergebnisse fragte sich Tim Wambach, ob Tracking in einem Bereich stattfindet, in dem man dies vielleicht nicht erwartet, zum Beispiel bei Webseiten von Krankenhäusern. Wambach ist wissenschaftlicher Mitarbeiter der Uni Koblenz-Landau und filterte unter dem Suchbegriff „Lungenkrebs“ 893 Klinikwebseiten und analysierte diese. Insgesamt wurden seine Daten dabei an 1.277 Drittanbieter weitergegeben. Vor allem Tracker wie „www.google-analytics.com“ und „fonts.googleapis.com“ waren auf vielen Seiten vorhanden. Auf 62 Prozent der untersuchten Seiten fand sich einer der zahlreichen Tracker von Google.


netzpolitik.org - unabhängig & kritisch dank Euch.

Nutzerdaten bringen Geld

Das Geschäft mit Nutzerdaten ist riesig, so dass es nicht verwunderlich ist, wenn Rechenzentren Tracker wie beispielsweise „DoubleClick“ auf ihrer Seite einbinden, um ein paar Euro dazu zu verdienen. In den meisten Fällen geschieht die Einbindung eines Trackers auf Webseiten aber wohl unwissentlich. Problematisch wird das vor allem bei Seiten mit sensiblen Daten, zu denen Kliniken und Krankenhäuser zählen. Wenn auf diesen Seiten Webtracker vorhanden sind, können die Drittanbieter, welche die Tracker betreiben, diese Daten speichern und dem Nutzer zuordnen.

Doch wie kann man das verhindern?

Als Betreiber einer Webseite hat man die Möglichkeit, ohne Tracker zu arbeiten. Allerdings ist dann viel Eigeninitiative gefragt, zum Beispiel müssen bestimmte Fonts auf dem eigenen Server gehostet werden. Als User kann man sich mit Tools wie „Ghostery“ oder „noscript“ gegen Tracking wehren. Die Ergebnisse seiner Arbeit hat Tim Wambach im Rahmen der MRMCD16 (MetaRheinMainChaosDays) vorgestellt. Seinen und weitere spannende Vorträge findet ihr hier.

13 Kommentare
    1. Hey,

      ublock hört sich sehr gut an, ist wahrscheinlich etwas einfacher als RequestPolicy, welches ich seit langer Zeit benutze. Bei RequestPolicy kann man entscheiden, welche Website welche Scripte einbinden darf. Ist praktisch, wenn man z.B. ajax.googleapis.com auf einer Website braucht und auf einer anderen nicht.

  1. Ghostaway wäre auch schön, aber das heißt Ghostery :)

    Jetzt bricht bestimmt gleich wieder die Adblocker Diskussion los. Vielleicht wär es besser, statt dem Satz „Als User kann man sich mit Tools wie „ghostaway“ oder „noscript“ gegen Tracking wehren. “ auf schon vorhandene Artikel zu verlinken. Ghostery verfolgt ein fragwürdiges Geschäftskonzept, ist closed source und trackt selbst wenn man es nicht ausstellt. Noscript ist meiner Meinung nach extrem Benutzerunfreundlich.

    Ich persönlich kann ublock sehr empfehlen.

    PS, kann man eigentlich endliche mal diese blöde Emailabfrage beim Kommentieren hier abschalten???

  2. Keine Bange, Webfonts vom
    eigenen Server einzubinden ist eigentlich nicht schwerer, als sie von Google Fonts einzubinden. Problematisch ist einzig, dass Google die Downloadfunktion für Webfonts mittlerweile extrem gut versteckt hat. Zum Glück gibt es aber noch andere kostenlose Webfont-Quellen.

  3. Erwähnung verdient auch der Blocker „uMatrix“, weil er alles kann. In den Einstellungen konfigurierbar und auf jeder beliebigen Webseite separat noch einmal schaltbar. Dazu noch „Canvas Fingerprinting“.
    mfg R.K.

    1. dazu about:config und webgl suchen, schaltet noscript ab, man kann es aber auch noch manuell abschalten. Das sind die im Vortrag genannten Schriften. Dann canvas auch about:config, canvas

  4. Random Agent Spoofer wäre auch noch interessant. Da läßt sich der Agent alle paar Minuten wechseln und der Referrer abschalten. Ansonsten stimme ich Herrn Wambach zu, mit noscript ist man recht restriktiv unterwegs. Eins fehlt, man muss Firefox der HSTS-Tracking – Methode „berauben“. Dazu about:support eingeben, den Ordner Profilverzeichnis öffnen, die Datei SiteSecurityServiceState.txt öffnen, den Inhalt löschen, die Datei speichern und schreibgeschützt setzen. Bevor man löscht, kann man genau nachsehen, wer einen perfekt getrackt hat. Diese Methode mit HSTS – Tracking war auch bei der NSA beliebt. Sie wird es auch immer noch sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.