Die konkrete Aussage, zusammengefasst ist: Man kann ja einfach regelmäßig alle (Tracking-)Cookies löschen. Erst mal will ich darauf hinweisen, dass das keineswegs einfach ist. Cookies sind nichts, worüber sich der Otto-Normaluser zu 100% im Klaren ist. Wenn man sich auskennt, ist es eine Trivialität, aber was soll z.B. meine Mutter sagen? Der habe ich uBlock Origin installiert, 3rd-Party Cookies deaktiviert und dann passt das auch halbwegs, aber den Luxus hat auch nicht jeder "DAU".
Also einfach ist das nicht, da man a) wissen muss, dass es Cookies gibt b) wissen muss, dass sie zum Werbetracking benutzt werden c) sich im Klaren sein muss, ob man das gut oder schlecht findet und d) wissen muss, wo man die löscht oder deaktiviert.
Darüber hinaus gibt es jetzt noch das Problem, dass mit dem Cookie löschen bei weitem nicht alle Tracking-Maßnahmen unwirksam werden. Vielleicht gilt das für manche Werbenetzwerke, die sich an irgendwelche ethischen Richtlinien halten (gibt's die?). Ein Cookie ist im Prinzip eine Textdatei, die der Browser auf dem Rechner anlegt, und in der dann Informationen stehen, die z.B. das Werbenetzwerk auslesen kann. Mit diesen Informationen kann eine Webseite einen Nutzer bzw. Browser wieder identifizieren. Nun gibt es noch weitere Techniken, um Nutzer zu identifizieren.
Bevor ich einige dieser Möglichkeiten grob aufliste, will ich kurz darauf eingehen, wie Werbenetzwerke einen überhaupt tracken. Es ist so, dass Webseiten heutzutage viele andere Webseiten einbinden. Wenn man sich z.B. zu heise.de verbindet kann man sehen, dass Inhalte aus unter anderem scripts.iaom.de und googletagservices.com geladen werden. Es gibt noch ein paar andere, aber die beiden wollte ich explizit erwähnen, weil sie auf vielen Seiten vorkommen. Und das ist der Punkt, auf jeder Seite auf der diese Dinger eingebunden werden, kann das dahinterstehende Werbenetzwerk dich tracken. D.h. überall, wo irgendetwas von Google eingebunden ist, erhält Google Informationen über dein Surfverhalten. Die beiden genannten Domains schieben einem dann direkt ein Skript unter, was im Wesentlichen bedeutet, dass sie Code auf deinem Rechner ausführen. Das ist das übliche Vorgehen beim Tracken, da so am meisten Informationen über den Nutzer gesammelt und übertragen werden können. Aber auch das bloße Einbinden von irgendeiner Grafik bringt dem Anbieter schon ein paar Informationen, selbst wenn man das Skript blockiert.
Jede Seite hat Zugriff auf die von ihr gesetzten Cookies, d.h. jede eingebundene Webseite, wie googletagservices.com oder script.ioam.de können nun auf die gespeicherten Informationen im Cookie zugreifen und damit den Nutzer bei jedem weiteren Aufruf einer Webseite auf der diese Dinge eingebunden werden, identifizieren. Am Rande angemerkt sei, dass man das in den meisten Browsern unterbinden kann, indem man "Third-Party Cookies" deaktiviert. Mit "Third-Party" bzw. "Drittanbieter" sind hier alle Webseiten gemeint, die nicht der angesurften Webseite, die in der Adresszeile des Browsers stehen. Also alle zusätzlich eingebundenen.
Insbesondere trifft das auch auf Dinge wie Facebook-Logins zu. Überall dort, wo Facebook eingebunden ist, sei es auch nur ein Like-Button, kann dich Facebook tracken.
Mit dem Firefox-Addon "uMatrix" kann man beispielsweise feingranular steuern, welche Webseiten welche Inhalte laden dürfen. Hier ein Beispiel, wie es beim Aufruf von heise.de aussieht:
.
Auch Adblocker können einem Anzeigen, von welchen Quellen sie etwas geblockt haben. Wenn man sich mit Webentwicklung auskennt, gibt es natürlich noch einige (Debugging-)Tools, die einem exakte Informationen darüber liefern können, was geladen und ausgeführt wird.
Nun wie versprochen zu den weiteren Tracking-Techniken, die neben Cookies eine Rolle spielen.
- IP-Adresse: Nicht sehr genau, es können sich beliebig viele Geräte/Personen hinter einer IP-Adresse befinden (siehe "NAT"), aber es lässt erstens eine Eingrenzung zu und zweitens handelt es sich ja doch oft um die gleiche Person. Löscht man z.B. alle Cookies, aber behält die IP-Adresse bei, könnte ein Werbenetzwerk zumindest eine Wahrscheinlichkeit dafür definieren, dass es sich bei dem User um den gleichen handeln könnte, den man vorher bei sich hatte. Vielleicht lässt sich das später verifizieren oder auch nicht. IP-Adressen werden üblicherweise alle 24 Stunden neu vergeben, aber wenn man seine Cookies löscht und dann weiter surft, hat man typischerweise noch die alte IP-Adresse.
- Browser-Fingerprinting: Es gibt verschiedene Ansätze, um eine Art Fingerabdruck eines Browsers zu bestimmen. Damit meint man Merkmale, die den Browser und damit den Nutzer eindeutig identifizieren, ohne dass auf Cookies o.Ä. zurückgegriffen wird. Hier ein Heise-Artikel dazu. Ich habe da schon verschiedene Ansätze gesehen, es gibt also nicht genau eine Informationsquelle die man dicht machen kann und das Thema ist erledigt. Es kann auch mit Mausbewegungen, installierten Sprachen, usw. gearbeitet werden.
- Supercookies: Es gibt auch sogenannte Supercookies. Damit werden im Prinzip alle Möglichkeiten zusammengefasst, um persistente Daten im Browser speichern zu können. Das sind dann keine klassischen Cookies, aber sie bieten die gleichen Möglichkeiten (Daten persistent abspeichern) und sind nicht so einfach zu löschen oder überhaupt zu bemerken. Auch hier gibt es wieder verschiedenste Ausprägungen.
Ein für mich nicht ganz unerheblicher Punkt, warum ich gerne Werbung so vollständig wie möglich blockiere, ist Malware. Werbenetzwerke sind ein beliebtes Ziel für Malware, weil sie eine sehr große Reichweite haben. Es gab schon einige Vorkommnisse, dass Werbung verteilt wurde, die Malware enthält. Dazu hat sich der Begriff Malvertising gebildet.
Man muss sich mal klar machen, dass der Browser ein riesiges Softwareprojekt ist. Browser sind heutzutage in der Komplexität mit Betriebssystemen vergleichbar. Es ist unvermeidlich, dass es dort Bugs gibt. Bugs sind oft nicht sicherheitskritisch, aber gerade wenn es darum geht, mit Daten zu hantieren, die von fremden Nutzern kommen, ist das Potenzial für einen sicherheitskritischen Bug sehr groß. Ein dummer Fehler eines Programmierers und schon gehört dein Rechner zu einem Botnetz, ohne dass du etwas dafür tun musstest. Außer eine normale Webseite anzusurfen, die über Werbung Malware verteilt. Das sind natürlich die extremen Fälle, weil es einen Bug voraussetzt, der so schwerwiegend ist, dass keine Nutzerinteraktion mehr notwendig ist, um das System zu übernehmen. Allerdings kommt sowas immer mal wieder vor.
Das erst mal als direkte Antwort zu der oben genannten Aussage, dass man ja einfach seine Cookies löschen könne. Allerdings will ich gerne weiter ausholen und erklären, warum Datenschutz wichtig ist und warum diese Aussage nichts anderes als eine riesengroße Verharmlosung des Sachverhaltes ist.
Ich habe bisher nur erklärt, wie die Daten erhoben werden können und dass auch Malware über Werbung verbreitet werden kann. Aber warum ist es überhaupt schlecht, dass unsere Daten gesammelt werden? Sie werden doch nur für zielgerichtete Werbung genutzt? Es bringt uns also doch etwas, weil wir dann wenigstens keine Werbung zu Schminke bekommen, obwohl wir Männer sind. Ja, alles richtige Argumente, aber es gibt auch ganz grundsätzliche Argumente gegen das Datensammeln. Es geht hier um Grundsätze, die auch bei Dingen wie der Vorratsdatenspeicherung oder der Sammelwut der Geheimdienste angewendet werden können. Wer da ausführliche Stellungenahmen usw. lesen will, kann sich ja mal beim Chaos Computer Club oder netzpolitik.org und ähnlichen Organisationen umgucken, die gegen Datensammeln sind. Ich kann hier nicht alle Argumente vollumfänglich wiedergeben und beschränke mich daher auf einen kleinen, mir wichtigen Teil, alles andere wäre auch redundant.
Meiner Meinung nach der wichtigste Grundsatz ist: Daten die nicht erhoben werden, können auch nicht missbraucht werden.
Viele stehen den Daten aber mit einem Schulterzucken gegenüber. Soll doch ruhig jeder wissen, was man gerade zu Mittag hatte. Wenn es um den Porno geht, den man sich gerade angeschaut hat, ist man vielleicht etwas weniger geneigt, dass andere Leute das wissen, aber es gibt auch schlimmeres als das. Also was soll's.
Dazu ein Beispiel aus dem zweiten Weltkrieg. Das ist meiner Meinung nach die schönste Illustration warum Datenschutz wichtig ist und warum Daten nicht zentralisiert gespeichert werden sollten. In den Niederlanden wurden früher regelmäßig Daten über die Bürger erhoben, darunter die Religionszugehörigkeit. Das war alles vollkommen okay, keine böse Absicht stand dahinter und die Bürger waren damit einverstanden (soweit ich weiß). Als die Nazis kamen, waren die Daten plötzlich nicht mehr so harmlos. Die Juden konnten sofort identifiziert und ins KZ verfrachtet werden. Mit dem Prinzip der Datensparsamkeit, oder zumindest anonymisierten Daten wäre das nicht passiert.
Was man daraus lernen kann: Sobald jemand böses mit den Daten vorhat, ist es egal, aus welchem Grund sie ursprünglich gesammelt wurden. Stellt euch mal vor, es gibt in einem Staat einen Putsch. Nun hat die Regierung Zugriff auf sehr detaillierte und personalisierte Profile von Menschen. Damit können sie eventuell Personen aus der Opposition identifizieren und "ausschalten". Ein Traum für jeden Diktator, um jeden Widerstand im Keim zu ersticken.
Detaillierte Profile aus den Werbenetzwerken können auch sehr persönliche Informationen beinhalten, das muss einem klar sein. Und sie sind zentralisiert gespeichert. Staaten oder Geheimdienste könnten durchaus interesse daran haben. Oder einfach nur Hacker. Wenn irgendwo viele wertvolle Daten liegen (und wertvoll sind diese Profile), ist auch das Interesse von Hackern groß. Wenn man sich auf den richtigen IT-Seiten umtreibt, bekommt man so gefühlt wöchentlich mit, dass mal wieder Datenbanken von großen Unternehmen gehackt worden sind, das ist also leider keine Wahnvorstellung sondern Realität. Dass eure Daten irgendwann mal zweckentfremdet werden, ist also eher eine Frage der Zeit, und nicht die Frage, ob es jemals passieren könnte.
Wie gesagt, das sind eher grundsätzliche Bedenken, die sich nicht nur auf Online Werbung beziehen.
Und ganz ausdrücklich: Es werden grundsätzlich so viele Daten wie möglich gesammelt, auch reine Metadaten sind schon sehr interessant (also nicht Inhalt der Kommunikation im Internet, aber mit wem und wann). Das sollte jeder spätestens seit den Snowden Enthüllungen gelernt haben. Die Geheimdienste treiben einen riesigen Aufwand, nur um an möglichst viele Daten zu kommen und ignorieren bzw. beugen Gesetze beleibig dafür. Das hat man früher als Verschwörungstheorien abgetan, aber mittlerweile gibt es leider die Beweise dafür. Ich kann es nur noch mal ausdrücklich sagen, viele Menschen scheinen das zu verdrängen oder gar nicht erst richtig wahrzunehmen.
Ich will da auch gar nicht zu sehr den Weltuntergang an die Wand malen. Da gibt es schon genug andere, die das tun. Aber wie auch immer man dazu steht und selbst wenn man nicht direkt vom Schlimmsten ausgeht: Eine reale Gefahr besteht trotzdem. Eine Lektion die man in der Vergangenheit lernen konnte heißt "wenn etwas technisch möglich ist, wird es auch gemacht". Das ist als Referenz auf die Geheimdienst-Sammelwut zu verstehen. Viele IT-Affine Menschen haben schon immer gewusst, dass sowas prinzipiell möglich ist, aber man dachte "naja vielleicht ist der Aufwand ja doch zu groß". Nein. Der Aufwand ist nicht zu groß.
Ich bin jetzt ein wenig abgeschweift, weil es mehr um Datenschutz allgemein ging, aber das soll illustrieren, wie hoch das Interesse an euren Daten tatsächlich ist. Und Werbenetzwerke sind nur ein weiterer Teil im Internet, wo eure Daten systematisch abgeschöpft werden und dann zentralisiert gespeichert werden, wo sie irgendwann vielleicht auch mal "abhanden" kommen. Auch wenn sie nicht für einen bösen Zweck gesammelt werden, können sie für einen bösen Zweck missbraucht werden. Vielleicht ist die nächste Regierung auch nicht mehr so nett zu uns, wer weiß das schon. Daher kann ich immer nur auf das Prinzip der Datensparsamkeit verweisen. Daten die nicht erhoben werden, können nicht missbraucht werden.
Und nun noch ein ganz anderer Gesichtspunkt: Wie toll ist Werbung denn nun wirklich für die Ökonomie im Internet? Hier im Podcast gab's doch auch schon reichlich Diskussionen um Clickbait usw. Werbung ist eine Krücke, mit der sich viele Seiten finanzieren, aber auch gleichzeitig ein Geschwür, das solche Phänomene wie Clickbait erst nötig macht. Ich jedenfalls bin sehr dafür, dass wir eine andere Form der Finanzierung finden, die sich im Internet anwenden lässt. Der Podcast ist ein gutes Beispiel, dass es auch ohne Werbung geht. Allerdings will ich natürlich auch keine 100 Abos abschließen müssen und ansonsten vor einer Paywall stehen. Ich habe nicht die perfekte Antwort darauf, ich weiß nur, dass die Online Werbung eine solche jedenfalls nicht ist.
Zum Abschluss empfehle ich jedem einen Werbeblocker. uBlock Origin ist derjenige, den ich Empfehle, da Adblock Plus schon mehrfach negativ aufgefallen ist (zB Deals mit Werbetreibern). Weiterhin kann man auch einfach mal die Third-Party Cookies deaktivieren, über die ich schon gesprochen hatte. Üblicherweise hat das keine negativen Effekte, es kann aber Webseiten geben, die dann nicht mehr ordnungsgemäß funktionieren. Ich persönlich hatte das Problem jedoch noch nicht.
Für erfahrenere Nutzer empfehle ich NoScript und/oder uMatrix (wobei NoScript meines Wissens nach noch nicht für die neue Fireofox Version mit WebExtensions verfügbar ist und für Chrome sowieso nicht. Mit Alternativen kenne ich mich persönlich nicht aus).
Das sind nur meine persönlichen Favoriten, es gibt noch viele weitere Addons, die mal mehr und mal weniger der Funktionalität abdecken.
Ein guter Trick ist, sich einen zweiten Browser zu installieren, der nur einen Adblocker hat. Wenn es mit den ganzen Addons und Einstellungen im primären Browser mal nicht klappt, startet man den zweiten Browser im Inkognito-Modus und ruft die Webseite darüber auf. (Oder man stellt den Browser so ein, dass er sowieso alle Daten beim Schließen vergisst).