« Web Analytics Tipp 1: 404-Seiten überwachen | Start | Google Analytics Motion Charts - und was man damit tun kann »

08. November 08

Web Analytics und Sicherheit: Was man über Website-Besucher eigentlich alles auslesen kann

Ein zentraler Teil von Web Analytics Systemen ist die Sammlung der Daten zu Website Besucher. Egal ob ein Web Anlaytics System dahinter steht oder nicht, hinterlassen wir bei jedem Website-Beusch Informationen über uns selbst auf einer Website. Doch was genau wird denn da an Informationen hinterlassen? Genau diese Ungewissheit schürt viele Ängste und Sicherheitsbedenken bei Website-Besuchern und verleitet Gerichte zu voreiligen und nicht ganz nachvollziehbaren Entscheiden (siehe der Diskussion zur Legalität von Google Analytics).

Den Sicherheitsbedenken kann man etwas entgegnen, wenn man genauer anschaut, was für Informationen denn zu einem Websitebesucher ausgelesen werden können. Dazu gehört:

Bei jeden normalen Aufruf einer Website mit jedem Browser:

  • die IP-Adresse
  • Über die IP-Adresse kann der Hostname (meist der Name des ISPs, oder bei grösseren Firmen der Firmenname ersichtlich) ausfindig gemacht werden. Die Aufschlüsslung von IP-Adress zu Hostname kann man sich zum Beispiel bei myip.dk anzeigen lassen
  • Mittels Geo-Datenbanken wie MaxMind oder Hostip kann das Land und unter Umständen die ungefähre Region ausfindig gemacht werden (im Maximalfall das Firmengebäude eines grösseren Unternehmens). Wie dies bei der eigenen IP-Adresse aussieht, zeigt dieses Beispiel.
  • Betriebssystem (Windows, Mac etc. und welche Version), verwendeter Browser (Firefox, Internet Explorer etc und genaue Version davon) sowie Browsersprache (Erfolgt alles über den User Agent)

IP

Wenn JavaScript aktiviert ist (standardmässig) lassen sich zudem folgende Infos auslesen:

  • Installierte Plugins und deren Versionen  (Acrobat Reader, Java, Flash, Silverlight, Media Player ...)
  • Bildschirmauflösung in Pixel sowie Farbtiefe
  • Position und Grösse des aktiven Browserfensters innerhalb des Bildschirms
  • Sämtliche Aktionen des Mauszeigers innerhalb des Browserfensters, z.B. Position des Mauszeigers, Klicks auf eine Button, Link oder innerhalb eines Videos etc.
  • Sämtliche Tastatureingaben des Benutzers innerhalb des Browserfenster (z.B. Texteingabe in ein Formular)
  • Messung der verfügbare Netzwerk Bandbreite wie zum Beispiel mit checkinternetspeed.info (hier allerdings in Java realisiert)

Soweit funktioniert die Datenkollektionsmethode über Page Tags bei Web Analytics Systemen. D.h. die genannten Daten oder wären mit einem Pag Tag eines Web Analytics Systems auslesbar. Darüber hinaus lassen sich maschinell je nach installieretm Plugins (insbesondere ActiveX, Java-Applets) und deren Sicherheitseinstellungen  weitere Systeminformationen auslesen, zum Beispiel:

  • Installierte Soundkarte (über Media Player)
  • Verwendeter CPU
  • usw.

Browserspy zeigt in verscheidenen Beispielen ziemlich interessant, was aus einem System alles möglich und legal ist. Mit Hacks und Ausnützen von Sicherheitslücken insbesondere Plugins wie ActiveX oder Java-Applets wär noch das ein oder andere mehr möglich - das ist dann allerdings illegales Ausspionieren. Bleibt man im legalen Bereich - und etwas anderes werden sich namhafte Web Analytics Hersteller nicht leisten können - werden eigentlich nur Daten gesammelt, welche für die Sicherheit oder für den Datenschutz irrelevant sind. Die persönliche Identifikation eines Benutzer ist so grundsätzliche nicht möglich.

Die einzige Situation, wo ein Benutzer einem Website Betreiber wirklich persönlich bekannt ist, besteht dann, wenn sich dieser irgendwo eingeloggt, wo er seinen Namen und evtl. seine Adresse hinterlassen hat. Dies kann z.B. in einem Self Service Portal eines Telekomanbeiters oder auf eine Site eines Sozialen Netzwerks wie Xing oder Facebook sein, sofern man sich dort registriert hat. In so einem Fall wäre es grundsätzlich für den Betreiber möglich, sämtliche Tätigkeiten auf der betreffenden Website einem bekannten Besucher zuzuordnen. Die Abspreicherung dieser Daten bedarf jedoch dem expliziten Einverständnis durch den Benutzer, z.B. durch Akzeptieren eines entsprechenden Disclaimers (wobei: wer liest den die langen Nutzungsbestimmungen bei der Registrierung für einen Dienst wirklich ganz durch...). Auch über eine Website hinaus besteht von solchen persönlichen Datenablagen ausgehend das Risiko, identifiziert zu werden - zum Beispiel über eingebettete Widgets oder Autologins, wie dies dieser frühere Post über Xing zeigt.

Dies sind aber generelle Sicherheitsrisiken im Internet und haben nichts mehr mit Web Analytics zu tun. Wer also Sicherheitsbedenken hat im Internet: Vorsicht bei der Preisgabe von persönlichen Daten im Internet - und keine Angst vor Web Analytics Page Tags.

TrackBack

TrackBack-Adresse für diesen Eintrag:
http://www.typepad.com/services/trackback/6a00e5505822238833010535d97d2d970b

Listed below are links to weblogs that reference Web Analytics und Sicherheit: Was man über Website-Besucher eigentlich alles auslesen kann:

Kommentare

Feed You can follow this conversation by subscribing to the comment feed for this post.

Post a comment.

If you have a TypeKey or TypePad account, please anmelden.


Über das Blog | Impressum | Nutzungsbedingungen | Ihren Besuch aufzeichnen [?]


Web Analyticson


Das Buch zum Blog:

  • Buch
    Details zum Buch Buch bei Amazon.de bestellen

Die App zum Blog:

  • iPhone App
    Download

Über den Autor

  • Marco Hassler ist Business Unit Manager und Partner beim IT- und Web-Dienstleister Namics.

    marco.hassler (at) gmail.com

Ethik Code

  • Web Analytics Association Code of Ethics

Twitter Updates

    Web Analytics Fotos

    Web Analytics Association

    • Web Analytics Association