Jeder Klick, jede Suche und jeder Seitenaufruf kann von Web-Trackern genutzt werden, um umfassende Benutzerprofile anzulegen. Diese werden dann von Werbestrategen zur geschickten Platzierung von Anzeigen eingesetzt. So können aber auch Informationen Gewohnheiten, Schwachstellen und Unternehmensgeheimnisse ausspioniert werden.

Web-Tracker werden zudem für Spionagezwecke und Hacker-Angriffe missbraucht, denn es kommt im Prinzip nur darauf an, wer welche und wie viele Informationen sammelt. Sie können von Kriminellen zum Diebstahl von Informationen einzelner Computer-Anwender genutzt werden, aber sie sind auch ein geeignetes Werkzeug für die Industriespionage – man benötigt keine nennenswerten Hacker-Fertigkeiten und die „Opfer“ in den Unternehmen müssen für die erfolgreiche Spionage nichts weiter tun, als ihrer täglichen Arbeit nachzugehen.

Unternehmen der ITK- und Automobilbranche sowie Rüstungskonzerne, Medienunternehmen und die Pharmaindustrie stehen häufig im Fokus von Cyber-Spionen. So lassen zum Beispiel die Sucheingaben eines Mitarbeiters bei einem Laptop-Hersteller unter Umständen Rückschlüsse auf zukünftige Produktmerkmale zu. Ebenso kann auf diese Weise der nächste Aufmacher einer Tageszeitung herausgefunden werden. Und wenn man sich erst einmal Zugang zum Laptop eines Mitarbeiters verschafft hat, erfolgt in einem weiteren Schritt vielleicht auch der Zugriff auf vertrauliche Dateien, Forschungsprojekte oder sogar auf das gesamte Netzwerk, indem der Zombie-Computer als Plattform für weitere Infektionen dient.

Angestellte im Visier

Angenommen Sie wären ein Nachrichtenjournalist, der gerade seinen nächsten Artikel recherchiert. Ein Web-Tracker, der Ihre Sucheingaben und Ihren Browser-Verlauf überwacht, könnte die Konkurrenz über Ihre Pläne informieren. Durch Aggregation gesammelter Informationen könnten Sie ohne es zu bemerken aktuelle Schwerpunktthemen Ihres Unternehmens verraten und unbeabsichtigt Informationen über die Forschungs- und Entwicklungspläne preisgeben, an denen Sie derzeit arbeiten. Dies trifft für alle erdenklichen Branchen zu.

Bei dieser Art der Spionage wird eine IP-Adresse einem Mitarbeiter zugeordnet und dessen Browser-Verlauf ausgewertet. So erhält der Angreifer Einblicke in Bereiche wie Produktentwicklung oder Marketing-Strategien.

Web-Tracker können die HTTP-Anfragen von Browsern sammeln und so in Erfahrung bringen, welche Java-Version auf Ihrem Computer installiert ist oder welche ausnutzbaren Plugins im Browser aktiv sind. Danach gilt es nur noch, das passende Exploit und die passende Schadensroutine auszuwählen, dem Opfer – egal ob Unternehmensangestellter oder nicht – unterzuschieben und auf die Ergebnisse zu warten.

Technisch weniger versierte Mitarbeiter werden es vermutlich nicht einmal merken, dass ihre Rechercheaktivitäten am Laptop überwacht werden. Kommt es dann zu Datenschutzverletzungen oder Datenverlusten verzichtet der Mitarbeiter vielleicht sogar darauf, die IT-Abteilung darüber zu benachrichtigen.

Hat sich ein erfahrener Angreifer erst einmal Zugang zu einem Mitarbeiter-Laptop verschafft, kann er dort auch Malware platzieren, die sich dann im gesamten Netzwerk repliziert und Daten von allen Computern sammelt. Natürlich verfügen große Unternehmen über ausgeklügelte Angriffserkennungssysteme. Das heißt aber nicht, dass sich der Schaden ausschließlich auf den kompromittierten Computer begrenzt.

BYOD: Wie hoch ist das Risiko?

Viele kleinere Unternehmen ermöglichen es ihren Mitarbeitern, ihre eigenen elektronischen Geräte bei der Arbeit zu nutzen (BYOD), um Kosten einzusparen oder uneingeschränkten Internet-Zugriff zu jeder Zeit zu gewährleisten. Versäumt es die IT-Abteilung aber, die Nutzung von BYOD streng zu reglementieren, kann dies schwerwiegende Sicherheitsrisiken nach sich ziehen. Die eingesetzten privaten Geräte können auf sensible Daten im Netzwerk zugreifen und nach Verlassen des lokalen Netzwerks unter Umständen an Dritte weitergeben.

Wenn zum Beispiel Ihr PC per Web-Tracker überwacht wird und der Angreifer weiß, dass Sie für ein für ihn interessantes Unternehmen arbeiten, könnte dieser zunächst Ihr Gerät mit Malware infizieren und dann auf eine Ausbreitung im gesamten Büronetzwerk warten. Damit ist der erste Schritt in Richtung Industriespionage schon getan.

Auch mobile Geräte bergen Risiken, da ihre integrierten Browser ganz ähnlich wie PC-Browser funktionieren. Beim Versand von HTTP-Anfragen an den Server erfährt ein Web-Tracker den Namen des Gerätes, den eingesetzten Browser sowie den Namen und die Version Ihres Betriebssystems.

Android ist weit verbreitet und bietet viele Angriffsmöglichkeiten. Angenommen ein Angreifer weiß genau, welche Websites Sie häufig besuchen. Er muss Sie dann nur noch auf eine bösartige Seite umleiten, die Ihr Gerät dann mit Malware infiziert.

Das mobile Browsen über das Drahtlosnetzwerk eines Unternehmens kann ebenso ausgenutzt werden wie herkömmliches Surfen am PC. Durch die Nachverfolgung Ihrer IP-Adresse erfährt ein Web-Tracker Ihren Standort und Ihren Gerätetyp und erhält Informationen über Ihre Online-Aktivitäten.

Da Web-Tracker zum Zwecke der Industriespionage missbraucht werden können, sind IT-Abteilungen dringend aufgefordert, sowohl eingehenden als auch ausgehenden Datenverkehr zu überprüfen, immer die neuesten Software-Patches zu installieren und strenge Richtlinien für den Einsatz von BYOD und den Netzwerkzugriff aufzustellen.

Das Opfer genau durchleuchten

Industriespionage kann sich bei geschickter Durchführung über viele Jahre erstrecken, ohne dass der Eingriff in das System überhaupt bemerkt wird. Kommen dabei böswillige Web-Tracker zum Einsatz, ist das Risiko der Entdeckung minimal, da es keine einfachen Möglichkeiten gibt, sie zu umgehen.

Wenn ein Browser via HTTP eine Webseite von einem Server anfordert, überträgt er Headers mit Daten über sich selbst. So erhält ein möglicher Angreifer Informationen über Browser-Typ, Betriebssystem, IP-Adresse, Hostname, Scripting-Funktionen, Standortinformationen, installierte Plugins und weitere Daten. Web-Tracker, die eine einzelne Person überwachen, können ein umfassendes Profil über diesen Anwender anlegen und die gesammelten Daten mit Algorithmen der neurolinguistischen Programmierung (NLP) auswerten.

Richtig eingesetzt und auf Grundlage eines umfangreichen Datensatzes mit Informationen zu einem bestimmten Anwender kann ein detailliertes Benutzerprofil einem Angreifer oder Spion helfen, sein weiteres Vorgehen zu planen. Offene Ports, nicht gepatchte Java- oder Flash-Versionen, die Möglichkeit Scripts auszuführen oder eine IP-Traceroute reichen aus, um ein Unternehmen anfällig für Cyber-Angriffe zu machen.

Industriespionage ist möglich, weil Mitarbeiter nach Angaben des Marktforschers IDC häufig mehr als ein Viertel ihrer Arbeitszeit mit der Suche und Auswertung von Informationen im Internet verbringen. Ihr Browser-Verlauf und ganz besonders die von ihnen gelesenen Artikel können Aufschluss über aktuelle Forschungsthemen geben. Auch die Überwachung von Suchbegriffen kann einen Einblick in die Pläne eines Unternehmens gewähren.

Wie funktioniert das Tracking?

Cookies wurden ursprünglich als Möglichkeit zur Speicherung von Anmeldeinformationen entwickelt, werden mittlerweile aber auch immer häufiger eingesetzt, um das Online-Verhalten von Anwendern für Werbezwecke nachzuverfolgen. Auch ein Versand des HTTP-Request-Headers "Do Not Track" ist keine Garantie, dass die Nachverfolgung von der serverseitigen Komponente eingestellt wird. Es bedeutet lediglich, dass ein Anwender die Nachverfolgung nicht wünscht. Auch wenn einige Tracker dieser Aufforderung nachkommen, um für Vertrauen und einen guten Ruf zu sorgen, ignorieren andere Tracker dies häufig einfach.

Gängige Tracking-Methoden setzen auf Cookies, Flash-Cookies und Web-Beacons, um Informationen zu sammeln, die nicht persönlich zugeordnet werden können. Nur die Analyse des vom Server versendeten HTTP-Response-Headers und der von der Client-Seite angeforderten Ressourcen kann manchmal JavaScript-Code offenlegen, der Web-Beacons und andere Tracking-Tags lädt.

Die Compact-Policy-Token nach den Spezifikationen des Platform for Privacy Preferences Project (P3P) umfassen Tags, mit denen ein Datensatz für eine bestimmte Person unter Verwendung einer Pseudonym-Kennung (PSAa) angelegt wird. Allerdings besteht hier keine Möglichkeit, sich für oder gegen die Verwendung einer solchen Kennung zu entscheiden. Auch wenn die sogenannten NOI-Token explizit genutzt werden, damit keine persönlich identifizierbaren Daten wie Namen oder IP-Adressen gesammelt werden, können andere Tags Datentypen sammeln, die in anderen Definitionen nicht aufgeführt sind (OTC).

Rechtliche Fragen

Es gibt keine speziellen Gesetze, die es Web-Trackern verbieten, so viele Nutzerdaten wie möglich zu sammeln, solange diese nicht persönlich identifizierbar sind und die Privatsphäre nicht verletzen. Die Best Practices und wachsamen Augen verschiedener Institutionen machen es aber schwierig für bekannte Web-Tracker, außerhalb der Norm zu agieren.

Die Cookie-Gesetzgebung der EU war das erste Gesetz, das es sich zum Ziel gemacht hatte, die Privatsphäre von Anwendern zu schützen und das Bewusstsein für das Vorgehen von Web-Trackern zu schärfen

Advocatus Diaboli

Es trifft zu, dass das Internet ohne Anzeigen und Werbung in dieser Form nicht möglich wäre. Aber Web-Tracker können in den falschen Händen zu einem mächtigen Werkzeug werden, mit dem die Privatsphäre von Menschen verletzt und sogar Industriespionage betrieben werden kann.

Auch wenn die Sammlung von persönlich identifizierbaren Informationen wie IP-Adressen oder Namen verboten ist, schließt das nicht aus, dass böswillige Web-Tracker ihr Unwesen treiben. Sie brauchen dafür nur den passenden Anreiz.

Bei ordnungsgemäßer Durchführung gibt es gegen das Web-Tracking nichts Grundsätzliches einzuwenden. Aber das Risiko, dass es als Waffe in der Industriespionage oder zur heimlichen Beobachtung von ganz normalen Anwendern eingesetzt wird, darf nicht ignoriert werden.