Jeder kann in gewisser Weise nachvollziehen, dass niemand im Internet unbeobachtet ist und so sind es auch nicht die Interaktionen. Webseiten-Administratoren benutzen teilweise zahlreiche Skripte, um das Surfverhalten der Webseitenbesucher auf der eigenen Webseite nachzuvollziehen. Dieses Datensammeln soll die User-Erfahrung mit der Webseite optimieren. Online-Stores versuchen damit beispielsweise ihren Absatz zu erhöhen. Allerdings kann dieses Tracking weit über die normalen Webseiten-Analysen hinausgehen - wie Session-Replay Scripts zeigen.
Forscher der Princeton University haben kürzlich ein anspruchsvolles Tool entdeckt, dass den Namen "Session-Replay Script" trägt. Damit sind Berichte über das User-Verhalten selbst bis ins kleinste Detail möglich. Die eingebetteten Code-Schnipsel beobachten und verfolgen jede Interaktion eines Webseitenbesuchers mit der Webseite in Echtzeit. Es ist so, als ob ihm jemand beim Surfen über die Schulter sieht. Anders ausgedrückt ermöglichen diese „Screen Recordings“ das Aufzeichnen jeder Tastatureingabe, jeder Mausbewegung oder jedes Page Scrollings. Alles wird zusammen mit dem Content der Webseite zu einem Paket geschnürt und an Third-Party Server – also an Dritte – zur Analysierung geschickt.
Wir haben die Session-Replay Scipts von sieben der beliebtesten Anbieter solcher Tools untersucht. Das Ergebnis: 482 der weltweit 50.000 meistbesuchten Webseiten benutzen eines der Scripte. Sicherlich ist das nur ein winziger Teil des Internets, wahrscheinlich liegt die tatsächliche Zahl der im Gebrauch befindlichen Scripts weitaus höher.
Was sind die Risiken von Session-Replay Scripts?
Eigentlich sind die Scripts für legitime Anwendungszwecke gedacht. Dazu gehört beispielsweise das Verstehen, wie die User mit der eigenen Webseite zurechtkommen oder das Aufspüren von unverständlichen Abschnitten. Der Einsatz von Session-Replay-Scripts kann aber profunde Auswirkungen auf die Privatsphäre und die Sicherheit haben. Am wichtigsten ist die Tatsache, dass so ein Script nicht zwischen sensiblen und profanen Daten unterscheidet. Ohne angemessene Sicherheitsmaßnahmen können sensible Nutzerdaten preisgegeben werden, wie Login-Daten, Kreditkartendaten oder Informationen zum Gesundheitszustand. Außerdem tracken die Scripts Informationen, die in Echtzeit in ein Feld eingegeben werden, ohne dass sie schon an den Server übermittelt sind – das Aufzeichnen von eigentlich gelöschten Eingaben ist damit möglich.
Weiterhin beabsichtigen die Scripts das Aufzeichnen und Abrufen von individuellen Browser Sessions. Anonymität kann dadurch nicht gewährleistet werden. Aus dem vorangegangenen Whitepaper geht hervor, dass einige Provider sogar echte Namen einzelnen User-Sessions zuordnen.
Zugegebenermaßen bieten die Services manuelle und automatische Tools zum Ausblenden sensibler Details während einer Nutzersitzung. Allerdings gibt es dafür keinen Kontrollmechanismus – er wäre auch unter echten Bedingungen nicht praktikabel. Zudem besteht die Tatsache, dass die manuelle Handhabung mit fundamentalem Sicherheitsrisiko verbunden ist.
Forscher fanden außerdem heraus, dass sensible Daten in die Außenwelt sickern können. Einige Anbieter von Session-Replay Scripts übergeben die Aufzeichnungen der Nutzersitzungen nur unverschlüsselt via HTTP – selbst dann, wenn die eigentliche Sitzung auf einer Webseite via HTTPS erfolgte.
Andere Bedenken begründen sich in der Tatsache, dass die Daten heimlich, ohne Kenntnis des Users, zusammengetragenen werden. Die Webseitenbetreiber bleiben an dieser Stelle intransparent, da sie befürchten, dass die User der Analyse der (legitimen) Daten ohnehin nicht zustimmen würden.
Wie kann ich mich gegen Session-Replay Scripts wehren?
Es ist möglich, sich mit Hilfe von vertrauenswürdigen Script-oder Adblocking-Tools gegen die Session-Replay Scripts zu verteidigen. Jedoch haben wir zwei oft genutzte Adblocker entdeckt, welche zum Zeitpunkt der Untersuchungen dahingehend Schwächen zeigten. Mit diesem Wissen sollte man die eigenen Ad- bzw. Scriptblocking-Lösung auf die Filtereinstellungen hin untersuchen. Das „Do Not Track“ Häkchen in den Einstellungen vieler Browser hilft an dieser Stelle leider nicht.
Idealerweise sollten die Session-Replay Scripts über eine "opt-out"-Funktion verfügen. Damit der User zunächst der Datenverarbeitung zustimmen muss. Für EU-Bürger dürfte die am 25.5. für alle verbindliche EU-Datenschutz-Grundverordnung Abhilfe schaffen. In ihr sind strikte Voraussetzungen um Umgang mit Daten niedergeschrieben. Das inkludiert auch das Einverständnis der Webseitenbesucher über die Behandlung und die Speicherung der persönlichen Informationen, anhand derer sie zu identifizieren wären.
Nach unserem bisherigen Kenntnisstand gibt es bislang keinen Fall, aus dem ein Datenmissbrauch durch Session-Replay Scripts hervorging. Allerdings schafft ihr Gebrauch Privatsphäre- und Sicherheitsbedenken. Das gilt vor allem in einer Zeit, in der das Recht auf Privatsphäre neue Kraft geschöpft hat, insbesondere angesichts der jüngsten Enthüllungen über Data Mining und Matching in sozialen Netzwerken. Am Ende des Tages besteht die beste Sicherheitsvorkehrung darin, sich der Tracking- und Datensammel-Werkzeuge bewusst zu sein und vorsichtig mit den Informationen umzugehen, die wir egal wo auf Webseiten im Internet eingeben.