Studie: Firmen tracken Nutzer*innen trotz Adblockern

Ein kürzlich veröffentlichter Forschungsartikel zeigt, wie schnell und weitreichend Nutzungsdaten im undurchsichtigen Netzwerk der Online-Werbeindustrie verbreitet werden. Das hat auch Folgen für die Wirksamkeit von Adblockern: In Sachen Datenschutz können sie großen Tracking-Akteuren wie Google und Co. nicht viel entgegensetzen.

Netzwerk aus Knoten und Kanten
Die Online-Werbeindustrie ist ein komplexes Geflecht aus vernetzten Akteuren – Gemeinfrei-ähnlich freigegeben durch unsplash.com Clint Adair

Über die letzten zwei Jahrzehnte ist rund ums Online-Marketing eine hochentwickelte Industrie entstanden, die große Gewinne aus der Extraktion und Analyse von User-Daten schöpft. Doch wo diese Datenströme fließen und wer sich Daten abzwackt, ist für Außenstehende völlig intransparent. Zwei Forscher an der Northeastern University in Boston haben nun versucht, das komplexe Firmengeflecht der Online-Werbung nachvollziehbar zu machen. Ihre Studie [pdf] liefert spannende Einsichten in den Aufbau und die internen Abläufe der Online-Werbeindustrie.

Besonders beunruhigend sind die Ergebnisse mehrerer Simulationen, mit denen die Wirksamkeit von fünf Adblocking-Strategien im Hinblick auf die Privatsphäre von Nutzer*innen getestet wurde. Die populäre Browser-Erweiterung Adblock Plus etwa verhindert in der Standardeinstellung die Verbreitung der Daten ihrer Nutzer*innen nicht, weil wesentliche Werbebörsen aufgrund der Sonderregeln für akzeptable Werbung nicht blockiert werden: „Adblock Plus hat überhaupt keinen Effekt, es ist kein Stück besser als gar nicht zu blocken“, so Muhammad Ahmad Bashir, Co-Autor der Studie, kürzlich in einem Vortrag. Die besten Ergebnisse wurden mit Disconnect erzielt, das die Privatsphäre deutlich erhöht. Trotzdem: Auch die stärksten Blocking-Strategien verhindern der Studie zufolge nicht, dass Personen in 40-80 Prozent der Fälle zumindest von den einflussreichsten Unternehmen beobachtet werden, wenn sie eine Webseite besuchen.

Datenschleuder Echtzeit-Auktion

Die beiden Forscher aus Boston führen dies auf die Effekte von Echtzeit-Auktionen (engl. Real Time Bidding) an Werbebörsen (engl. Ad Exchange) zurück. Diese Werbebörsen funktionieren prinzipiell so: Eine Herausgeberin einer Webseite möchte mit Werbung Geld verdienen und wendet sich daher an eine Werbebörse (oder wird durch eine Demand-Side-Plattform an eine solche vermittelt). Sie implementiert einen JavaScript-Tracker der Werbebörse auf ihrer Webseite. Wird die Webseite von einer Person besucht, lädt sich die Werbebörse in Echtzeit die über ihren Tracker abgegriffenen User-Daten herunter. Diese können Informationen wie beispielsweise Alter, Geschlecht, besuchte Webseiten oder Interessen umfassen. An der Börse können Werbetreibende dann an einer Echtzeit-Auktion (engl. Real Time Bidding) um den Werbeplatz auf der Seite der Herausgeberin teilnehmen. Wer am meisten bietet, kann der Person mit dem gewünschten Profil eine Anzeige schalten.

Beispiel: Obwohl eine Person auf CNN nur von 4 Akteuren getrackt wird (graue Kanten), bestehen Datenströme zu 4 weiteren (rote Kanten). Dies sind Effekte von Echtzeit-Auktionen. - Alle Rechte vorbehalten Screenshot

Damit die Echtzeit-Auktionen an Werbebörsen funktionieren, müssen alle Beteiligten auf dem gleichen Informationsstand sein. Denn wenn an der Werbebörse ein Slot für die Schaltung einer Werbeanzeige an eine bestimmte Person verkauft wird, können nur diejenigen wissen, um was für eine Person es sich handelt, die ihre eigenen Tracking-Identifikationsnummern für diese Person mit der Werbebörse abgeglichen haben. Dieses Abgleichen wird auch Cookie-Matching genannt.

Der springende Punkt: Alle, die an der Auktion teilnehmen und ihre Tracking-Cookies abgeglichen haben, erhalten Informationen über die Person – auch die Akteure, die die Auktion nicht gewinnen und ihre Werbeanzeige nicht ausstrahlen. Die Daten über den Besuch der Webseite fließen also nicht nur an diejenigen, die direkt an der Schaltung der Werbeanzeige beteiligt sind, sondern auch an diverse andere Akteure. Das Modell der Forscher aus Boston ist das erste, das diese Effekte von Echtzeit-Auktionen auf die Privatsphäre der User einbezieht.

Test mit zwei Millionen Werbeanzeigen

Für ihre Forschungszwecke haben die Forscher ein Netzwerk konzipiert, das die verschiedenen Akteure (Werbetreibende, Werbenetzwerke, Werbebörsen, Herausgebende, etc.) und ihre Verflechtungen darstellt. Die Werbeunternehmen wurden als Knoten dargestellt. Dort, wo zwei Knoten mit einer Kante verbunden sind, fließen Daten.

Die Informationen für das Netzwerk wurden über einen Webcrawler gesammelt, mit dem systematisch und automatisiert Produkte auf prominenten Online-Handelsplattformen (z.B. Amazon) aufgerufen wurden. Im Anschluss beobachteten die Forscher auf Plattformen wichtiger Herausgeber (z.B. CNN), ob Re-Targeting-Anzeigen für die jeweiligen Produkte erscheinen. So wurden etwa 2 Millionen Schaltungen von Werbeanzeigen herbeigeführt.

Auf diese Weise wurden praktisch Datenströme über das Nutzerverhalten des Webcrawlers aktiviert. Um diese Ströme abzubilden, wurde jede einzelne durch den Crawler aufgerufene Webseite genau untersucht. Dabei wurden die einzelnen Webseiten-Elemente im Quellcode auf ihren Ursprung zurückgeführt. Dies ermöglichte die Konstruktion des Netzwerkes: Ein Skript zum Tracken von Nutzer*innen der Firma Google, das erst während des Durchlaufens des Quellcodes einer Webseite, zum Beispiel eBay, ausgeführt wird, wurde letzterer im Netzwerk untergeordnet. Dargestellt wird dieser Datenfluss als Pfeil des Knotens eBay zum Knoten Google.

Das so entstandene Netzwerk enthält nachweislich 99 Prozent der 150 gängigsten Akteure in der Online-Werbeindustrie. In den letzten Durchläufen des Crawls wurden nur noch wenige weitere gefunden, was für die Repräsentativität des Netzwerkes spricht.

Freier Datenfluss zwischen dutzenden Firmen

Die Berechnung einiger Standardmaße zur quantitativen Beschreibung der Netzwerkstruktur erlaubt interessante Rückschlüsse über das Ökosystem der Online-Werbung. Das nachgezeichnete Netzwerk setzt sich aus 1917 Knoten (Werbeakteuren) und 26099 Kanten (Datenströmen) zusammen. Bis auf sehr wenige Ausnahmen ist das Netz eng zusammenhängend: Der Grad der Vernetzung der einzelnen Akteure in der Online-Werbeindustrie ist sehr hoch. Nutzer*innen-Daten können also grundsätzlich von jeder Werbefirma zu jeder anderen fließen.

Der Grad eines Knotens gibt an, mit wie vielen Kanten er verbunden ist. Durchschnittlich haben die Knoten im Modellnetzwerk 13,6 ein- oder ausgehende Verbindungen. Einige Datenfirmen stechen jedoch als zentrale Stellen hervor: Knapp 7 Prozent der Knoten haben einen Grad größer 50. Hinter dieser kleinen Anzahl hochgradiger Knoten stecken wichtige Werbebörsen und Netzwerke, aber auch Amazons Cloudfront Delivery Network oder Tracker wie Google Analytics, ohne die in der Online-Werbewelt derzeit nichts geht.

Durchschnittlich hat der kürzeste Weg zwischen zwei Knoten eine Länge von 2,7. Es müssen also in der Regel nur 2 bis 3 Knoten überquert werden, um von einem beliebigen Akteur zu einem beliebigen anderen zu gelangen. Weiterhin ist die Cliquenbildung (messbar über den globalen Clusterkoeffizienten) sehr ausgeprägt. Cliquen sind besonders dichte Teilbereiche des Netzwerks, in denen alle Akteure direkt miteinander verbunden sind. Diese Ergebnisse sind der Studie zufolge besonders besorgniserregend: Kurze Wege und ein großer Grad von Cliquenbildung lassen darauf schließen, dass getrackte User-Daten eines Akteurs schnell an alle anderen Mitglieder des Ökosystems gelangen. Diese schnelle Ausbreitung wird durch die wenigen wichtigen Schnittstellen im Netzwerk unterstützt.

Google besetzt die wichtigsten Knoten im Datennetzwerk

Die jeweils 10 Knoten mit der höchsten Betweenness-Zentralität und dem besten PageRank - Alle Rechte vorbehalten Screenshot

Die Rolle dieser wenigen Firmen, die zentrale Schnittstellen im Werbenetzwerk darstellen, haben die Forscher noch einmal gesondert untersucht. Welche Bedeutung einzelne Knoten im Netzwerk haben, kann durch die Berechnung verschiedener Zentralitätsmaße analysiert werden. Ist ein Knoten eine zentrale Schaltstelle, über die viele kürzeste Wege zwischen zwei Knoten führen, so hat er eine hohe Betweenness-Zentralität. Solche Knoten sind in der Online-Werbung wichtig zur Weiterleitung von beispielsweise Tracking-Informationen. Die entsprechenden Unternehmen leiten besonders viele Daten an andere Akteure weiter, können also besonders viele Informationen einsehen.

Der PageRank-Algorithmus, der ursprünglich von den Google-Gründern Page und Brin zur Sortierung von Suchergebnissen entwickelt wurde, wurde in der Studie zur Analyse der Relevanz einzelner Akteure herangezogen. Die Methode gewichtet die Knoten dahingehend, wie viele „wichtige Freunde“ sie haben. Hat ein Knoten besonders viele eingehende Kanten von Knoten, die selbst viele eingehende Kanten haben, rutscht er auf der PageRank-Skala nach oben. Ein hoher PageRank weist darauf hin, dass das entsprechende Unternehmen besonders viele User-Informationen erhält, oder viele Auktionen an Werbebörsen gewinnt.

Unter den 20 Akteuren mit den höchsten Betweenness-Werten und PageRanks finden sich prominente Online-Werbeunternehmen wie AppNexus (adnxs), Facebook und Integral Ad Science (adsafeprotected). Die wichtigsten Plätze nimmt jedoch Google mit seinen verschiedenen Domains (inklusive DoubleClick und 2mdn) ein. Der kalifornische Datenkonzern ist damit der unangefochtene Tracking-König. Dadurch, dass das Unternehmen gleich mehrere zentrale Knotenpunkte stellt, gibt es an ihm praktisch kein Vorbeikommen.

Gängiges Adblocking schützt nicht vor den Big Playern

Neben der Analyse der Netzwerkparameter wurden verschiedene Szenarien auf dem Netzwerk simuliert. Die Szenarien unterschieden sich darin, dass unterschiedliche Annahmen über den Datenaustausch zwischen den einzelnen Akteuren getroffen wurden. Das Ziel der Simulationen: Herauszufinden, wie sichtbar ein User für verschiedene Akteure der Werbeindustrie ist und wie viel er diesen durch Adblocking entgegensetzen kann.

In Simulationen ohne Adblocking konnten 52 Unternehmen jeweils in mindestens 91% der Fälle beobachten, wenn ein durchschnittlicher User eine Webseite besucht (gemessen wurde die Sichtbarkeit von Ad Impressions im Netzwerk). 636 Unternehmen beobachteten mindestens 50% der Webseitenbesuche. Selbst im Szenario mit den strengsten Annahmen über den Datenaustausch erreichten die 10 größten Unternehmen 89-99% der Ad-Impressions. Fast alle Informationen darüber, welche Webseiten im Internet aufgerufen werden, erreichen also die großen Werbefirmen.

Für die Simulationen mit Adblockern wurden verschiedene Knoten im Netzwerk blockiert. Der Marktführer Adblock Plus wurde mithilfe der Acceptable-Ads-Whitelist (.txt) und der EasyList-Blacklist (.txt) imitiert. In allen drei Szenarien unterschieden sich die Ergebnisse für Adblock Plus nur unwesentlich von der No-Blocking-Simulation. Disconnect und Ghostery schnitten deutlich besser ab, aber gegen einige Unternehmen können auch sie nicht viel ausrichten. 40-80% des Browsing-Verhaltens bleiben ungeschützt, je nach Adblocker und Vorannahmen im Szenario.

Auf unsere Nachfrage hin bezog Eyeo, die Firma hinter Adblock Plus, Stellung zu den Ergebnissen der Studie: „Die Studie wurde durchgeführt bevor es die Option gab, Acceptable Ads ohne Tracking zu nutzen.“ Die beiden Autoren der Studie hätten bereits zugesagt, in den nächsten Tagen eine weitere Simulation unter Berücksichtigung dieser neuen Option (keine Standardeinstellung!) bei Adblock Plus durchzuführen.

Fazit: Viele Auswege bleiben nicht

Obwohl das Modell nur eine Annäherung darstellt und bisher nicht genauer untersucht wurde, welche Art von User-Daten konkret über das Netzwerk verteilt wird, zeigt all dies bereits: Die einzelnen Akteure der Online-Werbeindustrie sind extrem gut vernetzt. Die wichtigsten unter ihnen erhalten Informationen über das Surf-Verhalten, auch wenn Adblocker verwendet werden. In ihrem Artikel empfehlen die beiden Forscher deshalb, JavaScript entweder mittels Browser-Erweiterungen wie uMatrix komplett zu deaktivieren, oder Tools wie EasyList oder EasyPrivacy einzusetzen.

Die Studie zeigt, dass ein wirksamer Selbstschutz gegen Tracking kaum möglich ist, ohne schwere Einbußen im Hinblick auf die Funktionalität (z.B. JavaScript) hinzunehmen. Einmal mehr wird deutlich, dass es endlich einer besseren gesetzlichen Regulierung von Online-Tracking bedarf. Tatsächlich wird dies in der EU seit langem diskutiert: Das EU-Parlament möchte mit der ePrivacy-Verordnung erreichen, dass Tracking nur mit expliziter Zustimmung der Nutzer*innen erlaubt sein soll und entsprechende Einstellungen in Browsern standardmäßig den Schutz der Privatsphäre beim Surfen garantieren. Unter Dauerfeuer der vereinigten Datenlobby rückt eine tatsächlich Verabschiedung der Verordnung derzeit aber in immer weitere Ferne.

Die Rohdaten, der Quellcode sowie die Netzwerkdaten (.graphml) sind öffentlich zugänglich. Muhammad Ahmad Bashir stellte die Arbeit kürzlich im Rahmen eines Vortrags auf dem diesjährigen Privacy Enhancing Technologies Symposium vor (ab 00:50:00):

Hier klicken, um den Inhalt von www.youtube-nocookie.com anzuzeigen

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

50 Ergänzungen

  1. In meine Augen zu viel Werbung für Lösu gen wie disconnect/ ghostery. Dies sind proprietäre Lösu gen, welche selbst das suftverhalten der Nutzer Tracken.

    Warum die easyprivacy-list nur in einem Halbsatz am unteren Ende des Artikels erwähnt wurde, ist mir ebenso schleierhaft.

  2. Hi!
    Hinter Ghostery steckt eine Firma, welche selber mit Werbung Geld verdient (https://lifehacker.com/ad-blocking-extension-ghostery-actually-sells-data-to-a-514417864).
    Fast das gleiche Prinzip steckt hinter Adblock Plus, wenngleich nicht ganz so pervers (https://www.heise.de/newsticker/meldung/dmexco-Adblock-Plus-steigt-in-Werbevermarktung-ein-3322226.html). So könnte man ja bei Fazit z.B. uBlock Origin erwähnen, ein Add-on welches wesentlich performanter als Adblock Plus ist (https://www.raymond.cc/blog/10-ad-blocking-extensions-tested-for-best-performance/3/) und dabei keine Werbung durchlässt, tracking genauso blockiert wie Ghostery ohne einen dann hintenrum wieder zu verkaufen und wenn man mag kann man die Disconnectfunktionen gleich auch dabei integrieren. Hier wird das Add-on schön erklärt https://www.kuketz-blog.de/firefox-ublock-origin-firefox-kompendium-teil2/
    Desweiteren könnte man auch das Add-on NoScript erwähnen ohne einen Durchschnittsuser mit uMatrix zu überfordern.

    1. Dass UBlock Origin keine Werbung durchlässt stimmt nur, wenn die Werbung aus einer externen Quelle eingebunden wird.

      1. Mit Werbung, die der Webseitenbetrieber selber schaltet, habe ich keine Probleme.
        Das hat was von Anzeige in einer Printpublikation.
        Die Anzeigen dieser Art liegen in der Verantortung des Webseitenbetriebers. Im Schadensfall kann ich meine Rechte einfordern. (z.B. Viren/Trojaner).

        Schlimm wird es, wenn externe Werbenetze „ads“ Server ins Spiel kommen, die sollte Jederman oder Jedefrau gnadenlos blocken.
        Dort gibt es auch keinen Ansprechpartner, rechtsverbindlichen Verantwortlichen bei Malware, Viren, Trojaner, Datenlecks etc.

        1. Ganz genau. Ich verwende auch schon seit Jahren uBlock Origin und NoScript, obwohl letzteres leider seit der Umstellung im Firefox (NPAPI wurde rausgeschmissen) leider nicht mehr so gut funktioniert, weil die Anpassung offenbar nicht so gut umgesetzt wurde. (Aber langsam wird’s anscheinend besser.)
          Und zu Hause hab ich zusätzlich einen DNS-Cache auf einem Raspi laufen, der auch Werbung filtert. (Listen gibt’s auf Github. Wobei pihole auch eine Möglichkeit wäre, die ich aber derzeit nicht einsetze.) Damit ist die Werbung auch auf anderen Geräten wie Handys größtenteils rausgefiltert, wenn die über WLAN bei mir ins Netz gehen.

          1. Hi Robert aus Wien mir geht es da genauso wie ihnen, seit dem NoScript die Benutzeroberfläche geändert hat ist das Addon leider unbrauchbar für mich, auch wenn die Funktionen sehr gut waren. Schade das die Betreiber keine Option anboten/anbieten bei der man das alte Design nutzen kann.

  3. Die tracken Nutzer nicht nur *innen* sondern auch außen, wenn man mit Handy oder RFID-Chip unterwegs ist…

  4. Toller Beitrag, die Browser sind unser Eingangstor ins Internet. Demensprechend ist auch ihre Bedeutung für die Internetnutzer. Diese Untersuchungen muss man natürlich mit verschiedenen Konfigurationen machen. Die oben genannten Adblocker adblock plus und disconnect verwende ich gewöhnlich nicht. Zu ein paar Browsern und Erweiterungen ein paar Gedanken.

    uBlock origin (Einstellungen bei privacy-handbuch.de nachsehen) und Noscript bringen unter Linuxen auf meinen Firefoxen die besten Ergebnisse. Mit Vivaldi und uMatrix/uBlock origin sind unter Windows auch erträgliche Ergebnisse zu erzielen. Allein mit Adblockern kommt man mit Firefox unter Windows nicht mehr weit. (Mit Firefox ist man wegen der zahlreichrn Verbindungen zu Amazon nicht besser dran als mit Chrome/Google, wobei Chrome m.E. inzwischen leider eindeutig der bessere Browser ist.) Deshalb als Alternativangebot den Vivaldi, der verwendet die Engine von Chrome. Auch bei dem muss man diverse Einstellungen anpassen.

    Wer sich diesen Schnüfflern entziehen will, muss den Tor-Browser mit höchster Sicherheit verwenden. Einige Seiten gehen dann nicht mehr. Alle Browser zu prüfen auf panopticlick.eff.org. Den Tor-Browser kann man aber auch normal von irgendwelchen Datenschnüfflern tracken lassen, ohne die echte IP werden sie den wirklichen Nutzer nicht identifizieren und die Daten sind nach einem Neustart (bei ausgeschaltetem HSTS auch siehe privacy-handbuch) gelöscht. Natürlich sollte man davon ausgehen, dass ein paar Geheimdienste trotzdem realtime mitlesen. Auch mit dem Tor-Browser wird das Internet kein überwachungsfreier Raum. Dazu müsste man sich in andere Netze verkrümeln.

    Ob Adblock immer noch Marktführer ist, weiß man nicht, uBlock origin ist m. E. zur Zeit erheblich besser, weil man auch diverse Schnüffler wie Facebook und Schadwareseiten von vorn herein rauskegeln kann. Da stehen so um 20 Listen zuzüglich irgendwelcher Länderl zum Blockieren zur Verfügung. Grundsätzlich führt nichts daran vorbei neben den Adblockern JavaScript und einige Protokolle wie HTML5 zu beschränken, wenn man es vorzieht nicht völlig nackt vor den „Werbetreibenden“ dazustehen.

  5. Ein wichtige Grundeinstellung ist auch das Verbieten von den Dritt-Anbieter-Cookies innerhalb der Browser. Das ist die erste Privacy-Einstellung, die sollte jede vornehmen.
    Ansonsten zeigt der Artikel, wie wir ausgesaugt und gläsern werden.
    Von daher können wir nur auf die E-privacy Richtlinie hoffen, damit Tracking eben kein Kavaliersdelikt mehr ist, sondern ein Eingriff in ein Grundrecht…

  6. Schöner Artikel, danke dafür! Ich merke an mir selbst immer wieder, dass – obwohl ich recht sensibel in Sachen (Online-)Privatsphäre bin – immer wieder vergesse, was die Möglichkeiten der Datenanalyse heutzutage hergeben. Vieles in dem Artikel ist bekannt, daher ist das (m)eine Kritik an mich und an die Nutzer*innen, dass wir uns dessen bewusst bleiben müssen.

    Frei nach dem Motto „Wenn ich mir einen Algorithmus als Ingnieur vorstellen kann, dann hat ein*e Informatiker*in es seit 10 Jahren umgesetzt und eingesetzt ;)“

    Off topic:
    Nebenbei, auch wenn „Akteur“ hier negativ besetzt ist (Google, Werbetreibende etc.), bitte konsequent gendern: Tracking-Akteuren, User-Daten, Akteure, User -> User*innen, Akteur*innen, oder andere Worte nehmen.

    Da ist keine Forderung, ich schreibe dir deine Sprache nicht vor solange du mir meine Sprache nicht vorschreibst. Das ist eine Bitte, oder eher nur ein Hinweis, dass, wenn ich sehe, dass jemand nur das „Gute“ gendert, ich (und wahrscheinlich viele andere Leute, die zu 95% auf deiner Seite sind) mich automatisch in Defensivhaltung begebe. (Ich wäre wirklich mal an einer persönlichen, „praktischen“ Meinung eines*r gendernden Autors*in interessiert – nicht hier, gerne per Email und dann auch unter meinem Klarnamen – als Zeichen, dass nicht trollen will)

        1. Mit Binnen-I bekommen Faschist*innen einen Rabatt im Verfassungsschützer*innen-Punktesystem!

          Ich bin auch fürs Gendern. Wie gendert man „Nazi“ eigentlich richtig? :)

          1. Es geht ja nun wirklich nicht um Grammatik, sonst könnte man sich das sparen, sondern um Symbolik, die dann die herrschenden Machtstrukturen verändert. Also ganz einfach: Nazi*innen

  7. Ihr ärgert Euch über Überwachung? Warum eigentlich? Was denkt Ihr eigentlich, wer für den ganzen Mist verantwortlich ist, diejenigen, die die Daten verursachen oder diejenigen, die die Daten abschöpfen und geschickt zu Geld machen?

    Umverteilung von:

    „Fleißig zu Reich ./. Dummheit zu Cleverness“

    Ihr wollt was ändern? Dann fangt endlich an Opfer zu bringen:

    Kündigt Eure Handyverträge und schmeißt die Wanzen, die Ihr denn ganzen Tag und Nacht bei / mit Euch trägt und auch noch auflädt, damit man Euch auch so richtig auf die Finger schauen kann, in die Mülltone wo sie hingehören;
    Schließt Euren Internetzugang und geht wieder raus, redet unter- und miteinander;
    Entsorgt allen Schrott, denn einen die Lobbyindustrie für ihren Zweck billig untergejubelt hat;
    Erinnert Euch an die Zeiten (Oktober-Dezember `89), sofern Ihr noch in der Lage seid, und packt endlich europaweit die Mistgabeln aus;
    Jagd das Pack, das Euch regiert mit Arschtritten von diesem Kontinent, ganz an der Spitze die Lobby M***i mit dem (gesamten) Tross an Abgeordneten incl. AfD;
    Erkennt endlich den Teufel, der im eigenen Wohnzimmer sitzt, und hört auf darüber nur zu schreiben, wenn Ihr nicht bereit seit etwas dagegen zu tun;
    John Doe kennt das Gefühl, wenn einem die Kugeln um die Ohren fliegen … Er hats 89 erlebt, als das eigene Militär auf die Bevölkerung schoss;
    Manche von Euch sind nicht mal bereit, einen Nachbarn der in Not ist zu helfen und da wollt Ihr Euch solchen elitären Machtzirkeln in den Weg stellen? Mit Laptops a la CCC & Co. ??? Die lachen sich krumm und bucklig.

    Was hat der CCC, Netzpolitik.org und alle anderen bis jetzt erreicht? Seid Ihr bereit Eure Existenz aufs Spiel zu setzen, damit die jetzige und spätere Smartphonegeneration es besser haben kann? Schaut Euch die gesamte Geschichte der Menschheit mal an, sie kennt nur Lügen_Intrigen_Macht_Kriege und Zerstörung!

    Das Problem ist der Mensch, also wir alle eine der dümmsten Spezies im Universum!!! Dabei hat er es doch eigentlich in der eigenen Hand, der so intelligente Mensch, er ist leider zu blöd um es zu sehen und er lernt nichts aus seinen Fehlern!!!

    Also packt das Übel endlich an, reißt es raus, ändert was oder schluckt es runter bzw. schreibt weiter und verarscht Euch nur selber, ganz nach dem Motto:

    Hermann, wir müssen uns mal unterhalten, und wenn sie nicht gestorben sind, unterhalten sie sich immer noch ;-)

    Freundliche Grüße aus Pullach

    1. Ja, ein bißchen plakativ und im Stil umstritten! Aber ich finde auch, dass wieder eine Bewegung auf der Straße stattfinden muss, natuerlich ohne Gewalt. Die sog. NetzaktivistInnen drehen sich um sich selbst, verändern in der Tat kaum was, es sei denn, die Mächtigen lassen Sie gewähren! Denn die Steuerung der Masse im Netz ich ja recht einfach, wie wir von FB und Co nun wissen! Die Netzgemeinde muß aufpassen, beim „Um-sich-Selber-Drehen“ nicht in die Richtung der Herrschenden bewegt zu werden!
      NUR: Angst haben die Mächtigen vor dem Druck der Straße, denn sonst ist nicht zu erklären, warum durch die Polizeigesetze die Versammlungsfreiheit so massiv eingeschränkt wird. Die neuen Polizeigesetze schüchtern ein, denunzieren Protest, und schrecken am Ende viele ab, sich zu engagieren!

      Liebe Netzgemeinde, dann kommt zu den Demos- Ende September ist in Berlin eine, Freiheit statt Angst!

  8. Adblock ist wenig, aber mit passenden Listen schon gar nicht so schlecht.
    Es hilft auch viel den Firefox-Trackingschutz global zu aktivieren statt nur im privaten Modus, der nutzt auch Disconnect-Listen. Ansonsten kann man auf ffprofile.com sich ein Profil mit noch deutlich mehr Schutz zusammenklicken. Der Aufwand lohnt sich.

  9. Also mit anderen Worten:

    Die ganzen Datenschutzbemühungen privater Nutzer sind nichts weiter als Lufnummern und es macht fast mehr Sinn die Datenschnüffelei für das wesentliche Mehr an Komfort in Kauf zu nehmen, weil sich ohnehin nichts ändern wird und sich Google ins Fäustchen lacht über die unnützen Versuche sich online vor der Datenkrake zu verstecken.

    1. Kein Grund es nicht doch zu versuchen, um so das Netz sauberer zu machen!
      Dritt-Anbieter-Cookies, uBlock origin, privacy Badger usw. könnten helfen.
      Ohnmacht bringt uns nicht weiter.
      Und Opensource-Dienste verwenden und diese auch finanziell unterstützen:
      Hier sind einige Alternativen:
      openstreetmap.org
      fdroid
      Ixquick + metager

  10. > Die Studie zeigt, dass ein wirksamer Selbstschutz gegen Tracking kaum möglich
    > ist, ohne schwere Einbußen im Hinblick auf die Funktionalität (z.B. JavaScript)
    > hinzunehmen.
    Immer diese Geschichte mit angeblich massiv fehlender Funktionalität. Sauber gebaute Seiten funktionieren auch ohne das Gefrickel mit JS, Netzpolitik ist da ein gutes Beispiel. Und sehr gezielt einzelnen Domains JS doch wieder zu erlauben ist ein einmaliger Aufwand pro Seite. Auf der Habenseite steht dagegen nicht nur eine massive Einschränkung der Spitzelmöglichkeiten, sondern auch deutlich weniger Datenvolumen (1MB JS-Bibliothek für dümmliche Grafikeffekte sind leider keine Seltenheit) und eine stark erhöhte Sicherheit.

    1. Es ist richtig. Die Einbußen an Funktionalität beim Unterdrücken von Javascripten sind sehr groß und des öfteren sind dabei gewünschte Seiten überhaupt nicht aufrufbar. Wer sich dann die Mühe macht, über die Interna von Noscript die Anzeige der Mitleser aufzurufen, wird von der Vielzahl der unterdrückten Seiten überrascht sein. Wenn man sich dann den Spass erlaubt, ein paar unterdrückte Scripte zu genehmigen, erscheinen sofort neue Fenster mit zahlreichen Mitlesern. Screendumps sind jedoch nur möglich, indem man den aktuellen Screen jeweils fotografisch ablichtet. Den Vogel schießen dabei die diversen Provider ab, die uns eigentlich vor solchen Auswüchsen beschützen sollten.

  11. On the first look the normal user of the Internet has the feeling that he gets tracked all the time and that the other side knows his behavior. But in reality, online tracking doesn’t work quite well. The problem is, that it is not possible to determine if a user or a bot has visited a website. Most of the server logs are the result of webcrawlers, and the websites are delivering advertisement to these bots. But a bot isn’t a real person, it can not buy anything and that is the reason why the tracking failed.

    Real online users are taking advantage of text-only webbrowsers like Links2 which doesn’t show any kind of advertisement. The user gets an ad free internet and the commercial interests of large companies who wants to earn money are ignored. The problem of how to deliver advertisement to the user is unsolved right now.

    1. > Ich verzichte auf das weiterlesen. Aus Gründ*innen.
      Keine gute Strategie. Auch ideologisch Vorbelastete mit absichtlichen Schwächen in der deutschen Grammatik und Rechtschreibung haben manchmal nützliche Dinge auf anderen Gebieten beizutragen.

      Zum Glück läßt sich das recht einfach wieder lesbar machen ;-)
      http://binnenibegone.awardspace.com/

      (Ich mußte die Extension extra abschalten, um dein Problem zu verstehen…)

    2. Leben und leben lassen. Solange dich keiner per Gesetzt oder sozialem Druck zwingt, eine Sprache (Wörter, Meinung, Ideologie. Damit meine ich nicht Landensprachen) zu verwenden, die nicht deine eigene ist, dann lass ihm das selbe Recht.

      In Kanada hingegen haben wir jetzt eine Legislative, die es möglich macht, mir eine Sprache aufzuzwingen, auch wenn es nicht meinem Denken, meiner Meinung oder Ideologie entspricht.

      – Zensur ist, wenn du deine Meinung nicht äußern kannst.
      – Compelled Speech („erwzungene Sprache“) ist, wenn du eine Meinung äußern musst, die nicht notwendiger Weise deine ist.

  12. Was mich wundert (und was im Artikel nicht recht klar wird): Mein Verständnis davon, wie AdBlock+, µBlock und so weiter funktionieren, ist, dass sie verhindern, dass Werbenetzwerke Content von ihren Servern nachladen. Ich dachte immer, damit würde die Ad-Exchange auch nicht an meinen Browser kommen, also auch keine Cookies auslesen und so weiter. Liege ich da falsch? Denn solange Doubleclick und Co. gar nichts an meinen Browser ausliefern und/oder zurück-lesen, werden sie mich ja wohl nicht tracken. Oder liege ich da falsch?!
    Oder: War die ganze Studie nur gemacht unter der Annahme, dass mein Werbeblocker bei Acceptable Ads oder etwas ähnlichem mitmacht? In diesem Fall kann ich technisch verstehen, wie ich getrackt werde – aber in diesem Fall ist das ja auch (zumindest technisch versierten Personen) relativ klar. Dann hieße es nur: Acceptable Ads als Opt-Out sind naheliegender weise eine schlechte Idee … das ist aber eigentlich Konsens (solange man nicht Eyeo-CFO ist).

    1. Ja, das ist korrekt. Die Filterlisten blockieren sämtliche Verbindungen zu diesen Netzwerken. Allerdings sind die Verbindungen zwischen den einzelnen Ad-Tech Akteuren so eng, dass nur eine engmaschige Blockierung der Tracker die Privatsphäre wirksam schützt. ABP in der Standardausführung blockiert nicht primär Tracker (das wäre dann die Easy-Privacy list) sondern ausschließlich sichtbare Werbung, und auch die nicht komplett. Die Studie zeigt dementsprechend, dass ABP ein Trojanisches Pferd ist und die User nicht geschützt sind.

      Allerdings wäre es sinnvoll gewesen, mit allen großen Blockern zu testen, vor allem uBO mit allen aktivierten Listen. Dann hätte man auch eine konkrete Handlungsempfehlung daraus ableiten können. Schade.

  13. Ja, das ist so nicht überraschend. AdBlock Plus ist ja auch kein Adblocker, es ist ein Fake-Adblocker.
    Er wurde ja bewusst kastriert. Das Geschäftsmodell dahinter ist es, dass bestimmte Formen von Werbung ja gar nicht so schlimm sind und die werden dann BEWUSST durchgelassen. Und die lassen sich teilweise sogar von der Werbemafia bezahlen.
    So einen Käse kann man doch nicht ernstnehmen! Die Studie beweist hier lediglich, das AdBlock Plus halt absoluter Schrott ist. Welch Überaschung!

    Heißt das, das alle Formen von Adblockern nutzlos sind? Natürlich nicht!

    > Einmal mehr wird deutlich, dass es endlich einer besseren gesetzlichen Regulierung von Online-Tracking bedarf.

    Das reicht leider nicht. Der Sumpf ist, wie sie ja gesehen haben, gigantisch. Selbst große Staaten beißen sich hier daran die Zähne aus.
    Ich bin der Meinung, dass die Infrastruktur des WWW daran teilweise Schuld ist. Da müsste eigentlich ein grundlegendes Umdenken erstmal stattfinden.

    Viele Browser sind von Natur aus absolute Plappermäuler. Mit JavaScript kann man eine erschreckende Anzahl an Informationen entlocken, Browser Fingerprinting ist erschreckend einfach. Wenig überraschend werden diese freiwillig ausgeplapperten Informationen dankend entgegengenommen.
    Alle Features, die schon rein prinzipiell privatsphärenfeindlich sind, sind alle standardmäßig eingeschaltet.
    Der einstige Lichtblick Firefox hat sich in letzter Zeit auch in eine erschreckende Richtung gewendet und die verdienen ihr Geld leider auch tw. mit der Werbemafia.
    Trotzdem ist Firefox immer noch das kleinste Übel derzeit, vorallem weil es immer noch freie Software ist.

    Was wirklich nötig wäre, wäre ein Browser, der von Natur aus FÜR die Nutzer arbeitet und auch Privacy by default hat. Und das ohne 1000 ineinader verschachtelte Menüs.

    Und ja, ich denke, ohne Einbußen in Punkto JavaScript ist ein datenschutzfreundlicher Brower einfach nicht zu machen. Ich glaub, hier müssen wir tatsächlich Opfer bringen, wenn wir wirklich Privatsphäre wollen. Sowohl die Nutzer als auch die Webdesigner. Denn JavaScript ist DER Privatsphärekiller Nr. 1 im Browser. Tor-Benutzern wird von der Benutzung von JavaScript auch strengstens abgeraten, weil es einen deanonymisieren kann. Es gibt aber genug Sachen, die auch ohne JavaScript im Web tadellos funktionieren würden, also ein wirklich großes Opfer wäre es eigentlich nicht.

    Was ist JavaScript denn? Es handelt es sich ja um ausführbaren Code, den dein Browser völlig ungefragt und ohne jegliche Checks blind ausführt. Der Code könnte alles mögliche tun. Bin ich eigentlich der einzige, der es für irrsinnig hält, so viel nicht bekannten Code auszuführen? Das Vertrauensmodell ist faktisch nicht existent und das ist auch ein Riesenproblem. Zum Vergleich: Bei Android muss eine App für jedes Feature um zusätzliche Berechtigungen betteln (z.B. Zugriff auf Kamera, Internet, usw.).

    Ich wäre auch für eine Art Webdesigner-Kampagne gegen Zwangs-JavaScript. Also sozusagen eine Bewegung, die das Web von zu viel und vorallem unsinnigen JavaScript befreit, und dass es sich nur noch aufs nötigste beschränkt. Wer zu viel JavaScript einsetzt, wird halt nicht mehr besucht. Sozusagen JavaScript-Minimierung. Außerdem sollte JavaScript immer optional sein.
    Browser könnten auch JavaScript gezielt kastrieren, dass es nicht mehr ungefragt nach Hause telefonieren kann.

    Add-Ons sind für dieses komplexe Thema keine Antwort für die Masse m.M. weil der Benutzer sie immer noch mühsam konfigurieren muss. Ohne einen Browser, der *strikt* privacy by default fährt, wird es noch sehr lange dauern, den Werbe- und Trackersumpf auszutrocknen.

    Komischerweise haben wir ja jetzt die DSGVO. Die ist doch eigentlich wie geschaffen dafür, mal diesen faulenden stinkenden Werbemafiasumpf trockenzulegen. Passiert ist bisher aber … nix. Auf den Staat bzw. die EU sollten wir also lieber NICHT warten.

  14. Hierin steckt der eigentliche Sprengstoff, wenn es um Datenschutz geht. Cookies sind nur die Zündhölzchen bei dem Spiel um die Konsumentenrechte. Die eindeutige Identifikation von Nutzern durch Werbenetzwerke über x Plattformen hinweg ist die Wagenladung Dynamit, der Datenaustausch unter Werbenetzwerken die Wasserstoffbombe der Customer Intelligence.

    Wer Einblick in die Online-Werbebranche hat, dem sträuben sich die Haare bei den Möglichkeiten, die eingesetzt werden, um Kunden „wiederzufinden“. Woher sollten Publisher / Advertiser wissen wer welche Anzeige schon einmal gesehen hat, wenn der Nutzer nicht wiedererkannt wird? Wie soll man Delivery Caps einhalten, ohne zu wissen ob der aktuellen Website-Besucher die Werbung schon einmal gesehen hat? Woher kommt die Information, dass man Benutzer X keine Werbung anzeigen darf?

    Was interessieren mich Name und Anschrift von Hans Müller solange ich jederzeit sagen kann, dass genau er es ist, der sich gerade meinen Werbe-Banner ansieht? Personenbezogene Daten auf das leere Kennenlernschildchen zu kleben ist wahrlich die kleinste und einfachste Übung, denn man wird damit quasi überflutet, wenn Shop-Betreiber ihre Banner nicht richtig konfigurieren können – und das bekommen auch die „Experten“ aus den Agenturen seltenst sauber auf die Reihe.

    Statt solche Sachverhalte zu durchleuchten lässt man Nutzer auf allen Websites der Welt nervige Cookie-Hinweise wegklicken, deren Inhalt und Bedeutung ebenso interessant sind wie Seite 483 des Telefonbuchs von 1992. Man sollte froh darüber sein, wenn ein Dienst intensiv Cookies schreibt, denn der Inhalt dieser ist die einzige Möglichkeit grob zu erahnen, welche Information man preisgibt, wenn man nicht permanent den Netzwerk-Tab der Developer-Tools offen habe möchte.

    Und doch: Es gibt weißgott genug Möglichkeiten auch ohne Cookies und Javascript Personen im Netz zu brandmarken. Wer möchte denn mal Nägel mit Köpfen machen und sich mit diesem Thema beschäftigen?

    1. synapsenschnitzel
      Nimm Dir einen Browser, mit und ohne aktiviertes uBlock origin ohne andere aktivierte Add-ons und prüfe das auf panopticlick.eff.org selbst, statt zu sabbern.

  15. Wir brauchen diese Daten, um Werbung und Produkte zu schaffen, welche die Leute interessieren. Wer für Datenschutz ist, engagiert sich auch gegen das freie Unternehmertum.

  16. Hallo,

    Eine Schwachstelle wurde aber wirklich vergessen, wenn man das DNS zu den betroffenen Netwerken manipuliert (Blackhole) kann man eine Übertragung der Trackingdaten durchaus verhindern. Wer noch paranoider ist wird dafür gleich auf seinen Router eine Blackhole Route einrichten und hat das Problem in Kombination mit DNS Blocking schon druchaus im Griff.

    LG, Jennifer

  17. Wer FF Quantum benutzt, für den dürfte die interne Anti-Fingerprinting Einstellung interessant sein. Diese ist leider versteckt und auch kaum von Mozilla kommuniziert, verhindert jedoch das meiste Fingerprinting laut den vertrauenswürdigen Testseiten (panopticlick, browserleaks)

    In about:config nach „privacy.resistFingerprinting“ suchen und auf True stellen.

    1. Es gibt kein Gesetzt in Deutschland (im Gegensatz zu Kanada), das dir vorschreibt, was du auszusprechen oder zu schreiben hast – lediglich, was du zu unterlassen hast.

      Es ist ihre Sprache und ihr Artikel, ihr Recht und ihre Verantwortung. Und dazu zählt auch, es so konsequent (alles) oder inkonsequent (z.B. nur Positives) zu tun, wie sie es wollen oder für richtig halten!

      Wenn dich das Gendern (im Lesefluss) stört, oder weil du als Schriftart verwendest, durch die das Binnen-i unkenntlich wird und somit der Textinhalt verfälscht wird (Geschlecht des Wortes wird mit Geschlecht der Person vermengt „Die Polizei sucht nach zwei EinbrecherInnen“ -> „Die Polizei sucht nach zwei Einbrecherinnen“)… Dafür gibt es angeblich Browser-Addons, die Binnen-i oder Gendersternchen entfernen.

  18. Oh, da haben einige Männer aber ne Menge Wut im Bauch wegen der Gendersprache. Woran das wohl liegt? Aber gebt zu, Eure Wut ist doch ein Zeichen,dass das es etwas bei Euch auslöst…,vielleicht merkt Ihr ja, dass die männliche Dominanz sich schon in der Sprache ausdrückt…und nun wird Euch das auch noch weggenommen?
    Das Lesen ist doch nur Gewohnheitssache, also trainiert Euer Gehirn ein wenig und dann macht das Lesen wieder Spass!

    1. Jeder soll reden wie er oder sie es für angebracht halten, man sollte aber eine gewisse Verantwortung für die Konsequenzen akzeptieren.

      Das Gendern an sich stört mich beim Lesen weniger als beim zuhören, und da ganz besonders das als Pause gesprochene Gendersternchen. Und mit „stören“ meine ich den Lesefluss und das Verstehen.

      Was mich hingegen persönlich stört wäre Inkonsequenz, in diesem Fall also z.B. wenn Negatives nicht ebenso konsequent gegendert wird. Das weckt in mir den Anschein, dass da Scheinheiligkeit im Spiel ist. Und da es sich hier um eine weitgehend ideologisch geführte Diskussion handelt, ist Scheinheiligkeit im besten Fall Beliebigkeit, aber definitiv eine miserable Grundlage für ein moralisches Argument. Negatives nicht zu Gendern ist keine Gleichberechtigung.

      Aber all das macht mich nicht wütend. Wütend würde mich machen, wenn man mich dazu zwänge, etwas aktiv auszusprechen (Zensur im Gegensatz zu „vorgeschriebener Sprache“ verbietet mir nur meine Meinung zu äußern), dass nicht meiner Ideologie entspräche. „Soweit“ sind wir aber zum Glück noch nicht… in Deutschland :)

  19. Lustig finde ich: Das Privacy Badger meint diese Seite enthielte 2 Tracker. Nach aktivieren von umatrix war es immer noch einer. Woran liegt das nun?
    Das ABP 4 Werbeversuche anzeigt kann man nach dem Artikel wohl in /dev/null einsortieren…

    Wird wohl zeit das ich meinen DNS Frisiere…

  20. Ich finde man müsste mal ABP ohne Acceptable Ads Whitelisting testen, mit EasyPrivacy und dann noch mal UblockOrigin mit EasyPrivacy und Ublock-Listen.
    Vielleicht dann noch im Vergleich mit dem Zusatzzeug von Fanboy welche ja auch in UBO in der Übersicht standardmäßig mit auftauchen.

    Sonst kommt da kein vollständiges Bild bei rum.

  21. Ja, das ist korrekt. Die Filterlisten blockieren sämtliche Verbindungen zu diesen Netzwerken. Allerdings sind die Verbindungen zwischen den einzelnen Ad-Tech Akteuren so eng, dass nur eine engmaschige Blockierung der Tracker die Privatsphäre wirksam schützt. ABP in der Standardausführung blockiert nicht primär Tracker (das wäre dann die Easy-Privacy list) sondern ausschließlich sichtbare Werbung, und auch die nicht komplett. Die Studie zeigt dementsprechend, dass ABP ein Trojanisches Pferd ist und die User nicht geschützt sind.

    Allerdings wäre es sinnvoll gewesen, mit allen großen Blockern zu testen, vor allem uBO mit allen aktivierten Listen. Dann hätte man auch eine konkrete Handlungsempfehlung daraus ableiten können. Schade.

  22. Noch bedenklicher finde ich es,

    dass diese sogenannte „akzeptable Werbung“ welche als Hintertür zum ausspionieren verwendet wird in eigentlich geschützen, sensiblen Login Bereichen zum Einsatz kommt, so auch z.B., bei allen Produkten der „meins und keins Media Group“.

    Das ganze wird dann den Leuten als angebliche „für die Funktionalität der Seite notwendige Funktionen“ verkauft oder auch „Zur Verbesserung der Produktangebote“.

    Bei mir war es G*X und Grund genug die Reissleine zu ziehen und mein Konto zu kündigen. Meine Emails sind immer noch mein geistiges Eigentum und da hat Niemand darin herum zu stochern…

    Man kann das ganz leicht in Firefox mit dem Add On „uBlock Origin“ ermitteln und auch, wer sich hinter dem rot gekennzeichneten Add (adresse) der achso verschlüsselten Daten bemächtigt. Die komplette Schnüffler Bande von Rang und Namen, ohne Ausnahme, ist dort vertreten und eingebettet. Dies ist ein riesiger angelegter Betrug, der eindeutig gegen die DSGVO verstößt.

    Ich verstehe deshalb auch ehrlich gesagt nicht, wenn man schon Netzpolitik.Org weiß
    was hier illegal im großen Stil läuft, warum man nicht rechtlich dagegen vorgeht?!

    Zu diesem Thema würde ich mir einmal ein Statement wünschen.

    Doch selbst die BundesNetzAgentur will scheinbar davon nichts wissen. Immerhin darf sich der Staat an den so „illegal beschafften Daten durch akzeptable Werbeunternehmen“ ebenfalls bedienen , ja sogar auf Vorrat legen. Praktisch oder nicht ?!

    Ich kann nur jedem dem seine Privatsphäre wichtig ist Raten, Internet Provider und Email Anbieter tunlichst zu trennen und bei letzterem, wenn möglich ausländische Hoster zu nutzen. Etwas teurer ist das vielleicht aber es bringt auch wieder ein Stückchen mehr Sicherheit
    und Wohlbefinden zurück….

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.