Jede Tasteneingabe, jede Mausbewegung
21.11.2017, 15:21 Uhr
Hunderte Webseiten spähen Nutzerverhalten aus
Webseitenbetreiber nutzen oft Analyse-Skripte von Drittanbietern, um das Nutzerverhalten zu überprüfen. Dabei werden jedoch oft auch sensible Daten auf den Servern der Tool-Anbieter gespeichert.
Um das Nutzerverhalten auf ihren Webseiten besser beurteilen zu können, verwenden viele Anbieter Analyse-Skripte von Drittanbietern. Diese zeichnen auf, welche Seiten der Nutzer besucht und welche Suchanfragen gestellt werde.
Inzwischen kommt es aber immer häufiger vor, dass sogenannte Session-Replay-Skripte verwendet werden. Diese zeichnen jegliche Tasteneingabe, Mausbewegung, Scrolling-Verhalten und ähnliches auf. Im Anschluss werden diese Daten an den Server der Drittanbieter der Analyse-Skripte gesendet und verarbeitet.
Offiziell heisst es, diese Daten würden gesammelt, um einen Einblick darüber zu erhalten, wie die Nutzer mit einer Webseite interagieren, ob verwirrende oder störende Inhalte auf der Seite sind und dergleichen mehr. Der Umfang der gesammelten Daten übersteigt diese Form der Analyse allerdings bei weitem.So werden etwa Tasteneingaben bereits beim ersten Anschlag gespeichert. Gleichgültig, ob das zunächst ausgefüllte Formular überhaupt abgeschickt wird, oder nicht.
Selbst ohne Absenden eines Formulars werden Logindaten gespeichert
Selbst wenn der Nutzer zunächst etwa ein Loginfeld ausfüllt, dann aber vor dem Klicken auf "Login" die Eingabe löscht, weil er sich etwa eines Besseren besonnen hat, werden die zuvor eingegebenen Anschläge gespeichert und an die Server der Drittanbieter geschickt. Auch die Mausbewegungen werden präzise aufgezeichnet. Unabhängig davon, ob der Nutzer etwas anklickt, oder nicht.
Im Rahmen einer Studie haben die Experten von Freedom-to-tinker sieben der beliebtesten Session-Replay-Unternehmen überprüft. Gefunden wurden die Dienste auf 482 Webseiten unter den 50.000 am meisten Besuchten Onlineauftritten.
Problematisch an dieser Art der Analyse ist weniger die Analyse an sich, sondern das, was mit den Daten gegebenenfalls angestellt werden könnte, so die Experten. Um herauszufinden, welche Daten konkret auf den Servern der Skript-Anbieter landen beziehungsweise auf welche Daten diese schlussendlich auch Zugriff haben, richtete Freedom-to-tinker einige Testseiten ein und installierte dort sechs der sieben überprüften Analyse-Skripte.