Googles Datensammelwut "Behavioral Targeting Advertisements" - Risiken und Massnahmen

Dieser Artikel befasst sich mit der Datensammelwut (nicht nur) Googles und wie man ihr begegnen kann. Die vorgestellten Verfahren lassen sich so oder aehnlich auch auf Windowssysteme anwenden.

Datensammeln reloaded

Google startete am 11.3.2009 seinen "Interest-based advertising"-Dienst.

Nach [Selbstdarstellung] ist das Ziel, die auf vielen Webseiten eingeblendeten AdSense-Anzeigen fuer den Betrachter so themenbezogen wie moeglich zu machen. ("It's our goal to make these ads as relevant as possible for you.")

Klingt super, ist es aber nicht. Denn: wie wollen sie das anstellen?

Google versucht, bei dem Besuch einer Seite (z.B. eines Gartenmarktes) mit entsprechender Werbung einen Cookie auf unserem PC zu speichern. Der Cookie an sich ist harmlos. Er mag eine einfache Nummer oder etwas aehnliches enthalten. Allerdings merkt sich Google, auf welcher Seite die Werbung stand. Wenn man nun eine weitere Seite (z.B. eines Reiseportals) besucht, die ebenfalls AdSense-Anzeigen geschaltet hat, wird der Cookie abgefragt. So lernt das System, dass der Benutzer mit der Nummer 1234567890 an Tulpen und Reisen interessiert ist und wird womoeglich vermehrt Reisen nach Holland anpreisen, ob man Kaese nun mag oder nicht.

Nun gut, die Werbung koennte man noch abschalten (dazu unten mehr). Allerdings hat Google in der Vergangenheit einige vermeintlich nuetzliche Dinge "verschenkt", zum Beispiel Google Analytics. Das funktioniert genauso wie die AdSense-Anzeigen, nur ohne die Darstellung von Werbung. Der Webseiten-Betreiber kann sich statt dessen detaillierte Nutzungstatistiken erstellen lassen. Sehr viele Webmaster haben das kostenlose System auf ihren Webservern eingerichtet. Allerdings ist das Tool nicht umsonst, denn die Webmaster zahlen mit den Daten der Besucher ihrer Seiten. Fuer die Besucher ist dies nur schlecht zu erkennen.

Anschliessend geht nun die Internetsitzung weiter zum Sanitaetshaus (Kompressionstruempfe wegen Thromboseneigung), zur Bank und zum Kinoportal (dort das Foto vom Lieblingsschauspieler angeklickt und 5 Minuten betrachtet). Man besucht noch seine Lieblingswitzeseite und schaut bei Youtube (gehoert Google) den Link aus dem Elternforum (Woran erkenne ich, ob mein Kind Drogen nimmt?) an.

Bis der Computer abgeschaltet wird, hat Google eine Menge Daten gesammelt: wo, was, wie lange, wie oft. Und morgen sammeln sie weiter. Jeden Tag.

Es duerfte nicht lange dauern, bis das Profil von Nummer 1234567890 so umfassend ist, dass der Name gar nicht mehr von Bedeutung ist.

Was tun?

Man kann eine ganze Menge tun, um diese Datensammelei zu unterbinden.

Cookies? Lass mal...

Schon unsere Eltern haben uns beigebracht, dass man von Fremden keine Suessigkeiten annehmen soll.

Der Mechanismus haengt (zur Zeit noch) weitgehend davon ab, dass Cookies funktionieren. Eine erste Moeglichkeit ist, Cookies in den Browsereinstellungen abzuschalten und sich fuer jeden Cookie kuenftig fragen zu lassen, ob man den wirklich will. Das schaerft auch die Sinne dafuer, wo einem solche Cookies angeboten werden, denn Google ist lange nicht das einzige Unternehmen, das hinter unseren Daten her ist.

Im Allgemeinen wird die Antwort auf die Frage nach dem Cookie "nein" sein. Selten braucht man (manchmal fuer Shops) doch zwingend einen Cookie, dann schaltet man sie eben genau fuer diese Seite ein. Aber bitte nur "bis zum Ende der Sitzung".

Mit Firefox als Browser geht das uebrigens recht einfach.

Kontaktaufnahme - kein Anschluss unter dieser Nummer

Und mit Fremden reden sollten wir auch nicht.

Man kann den Austausch von Daten mit bestimmten Rechnern unterbinden. Das ist geschickt, denn die Rechner sind namentlich bekannt.

Eine einfache Moeglichkeit sind Eintraege in /etc/hosts:

 127.0.0.1  www.google-syndication.com
 127.0.0.1  adwords.google.com
 127.0.0.1  pagead.googlesyndication.com
 127.0.0.1  pagead2.googlesyndication.com
 127.0.0.1  adservices.google.com
 127.0.0.1  ssl.google-analytics.com
 127.0.0.1  www.google-analytics.com
 127.0.0.1  imageads.googleadservices.com
 127.0.0.1  imageads1.googleadservices.com
 127.0.0.1  imageads2.googleadservices.com
 127.0.0.1  imageads3.googleadservices.com
 127.0.0.1  imageads4.googleadservices.com
 127.0.0.1  imageads5.googleadservices.com
 127.0.0.1  imageads6.googleadservices.com
 127.0.0.1  imageads7.googleadservices.com
 127.0.0.1  imageads8.googleadservices.com
 127.0.0.1  imageads9.googleadservices.com
 127.0.0.1  www.googleadservices.com
 127.0.0.1  ad.doubleclick.net
 127.0.0.1  ad.de.doubleclick.net

[Quelle: http://wiki.vorratsdatenspeicherung.de/Privatsphäre_im_Internet] Die Liste dort enthaelt noch viele weitere Eintraege.

Mit diesen Eintraegen wird erreicht, dass der Browser nicht den tatsaechlichen Webserver fragt, sondern den eigenen PC. Dieser wird alle diese Anfragen mit einem harmlosen "weiss nicht" quittieren, so dass sie ins Leere laufen.

Werbeblocker

Einige Werbeblocker erfuellen den Zweck auch ganz gut:

Proxies

Wer ein ganzes Netz schuetzen moechte, den Schutz aus dem Browser verlagern will oder muss, kann auf Proxy-Server zurueckgreifen.

Da waere zum einen privoxy (http://www.privoxy.org/), ein Proxy ohne Caching, der fuer Filteraufgaben entworfen wurde.

Und last but not least squid (http://www.squid-cache.org/) der mit access control lists (ACLs) und mittels seiner redirect-Schnittstelle nach URLs, IP-Adressen, Domains, etc filtern kann.

Beispiel fuer squid ACLs:

in /etc/squid.conf folgende Eintraege einfuegen:

        acl BLOCKED_DOMAINS dstdomain "/etc/squid.blocked_domains"
        acl BLOCKED_URLS url_regex "/etc/squid.blocked_urls"

        http_access deny BLOCKED_DOMAINS
        http_access deny BLOCKED_URLS

dabei enthalten:

        /etc/squid.blocked_domains :
                ...
                adwords.google.com
                adservices.google.com
                google-syndication.com
                googlesyndication.com
                google-analytics.com
                googleanalytics.com
                www.google-syndication.com
                www.googlesyndication.com
                www.google-analytics.com
                www.googleanalytics.com
                ...
(entspricht den Eintraegen in /etc/hosts ohne die Adresse 127.0.0.1)

        /etc/squid.blocked_urls :
                ...
                ^http://(.*\.)?google(-?(analytics|syndication|adservices))\.com($|/)
                ...

Zivilcourage

Beschweren

Und zwar beim Webmaster (webmaster@) des entsprechenden Angebotes. Darauf hinweisen, dass man nicht damit einverstanden ist, dass die eigenen Daten vom Besuch der Seite an Dritte weitergegeben werden.

Man muss sich allerdings darueber im Klaren sein, dass manche Seiten nur existieren, um Werbung darauf zu plazieren und dafuer zu kassieren.

Da hilft dann nur noch: wegbleiben.

weitere Links