ll

 

Web Bugs
 

Technisch gesehen ist ein Web Bug eigentlich eine recht einfache Sache. Statt eine Grafikdatei auf dem gleichen Server abzulegen, auf dem eine Webseite läuft, zeigt die URL des Bildchens auf einen völlig anderen Server, der somit ebenfalls in die Lage versetzt wird, beim Besucher ein Cookie anzulegen. Da auf jedem Webserver zudem ein Protokoll in einer Log-Datei erstellt wird, wird so nebenbei auch die IP Adresse des Surfers erfaßt und gespeichert..


Interessanterweise muß das Bild, das hinter diesem Web Bug steckt, für den Surfer nicht einmal sichtbar sein. Es genügt ein transparentes Bild im Gif-Format oder Bilder von 1x1 Pixel Größe, die von den Webdesignern übrigens auch gerne dazu benutzt werden, um ihre Seiten korrekt zu formatieren. Ich habe hier einmal ein solches unsichtbares Bild eingefügt, aber selbstverständlich enthält es keinen Web Bug.
 

>< hier ist das Bild

Für die Werbefirmen sind Web Bugs eine praktische Sache, denn im Gegensatz zu herkömmlicher Werbung läßt sich durch den Zugriff auf deren Webserver stets genau ermitteln, wie oft eine Bannerwerbung abgerufen bzw. betrachtet wurde. Verbindet man diese Web Bugs mit Cookies, sind Werbefirmen dann auch in der Lage zu bestimmen, von wem eine Webseite bzw. die darauf enthaltene Werbung betrachtet wurde und damit die Surfer in Zielgruppen einzuteilen. Durch dieses Monitoring wird eine unmittelbare Erfolgskontrolle über die geschaltete Werbung möglich und ein lang gehegter Wunsch der Werbeindustrie plötzlich wahr: Der gläserne Verbraucher.
 

Wer sich dafür interessiert, wie dieses System funktioniert, kann sich bei privacy.net im Rahmen eines kleinen Tests aus mehreren populären Web-Seiten gezielt solche Werbecookies aussuchen und sich anschliessend bei einem Internet-Service „registrieren“. Auf dem anschliessend erstellten Bewegungsprofil werden dann ausführlich die bisher besuchten Web-Adressen aufgelistet. Man sollte dabei bedenken, dass es sich bei dem von Privacy.net angebotenen Testformular ausnahmsweise nur um ein einziges Feld handelt, in das man lediglich ein einzelnes Wort eingeben kann. In der Realität werden in den „echten“ Formularen natürlich wesentlich mehr Angaben verlangt.


Als Krönung dieses Tests kann man sich per Mail im HTML-Format einen Web Bug zusenden lassen, der in dem Augenblick, in dem man die Mail öffnet, eine Information an den Server zurücksendet und einen Cookie auf der Festplatte anlegt. Das Öffnen der Mail muss natürlich online erfolgen. Dieses Verfahren könnte man beispielsweise dazu benutzen, um eine Mail an einen bekannten Empfänger zu versenden. Beim Lesen werden dann unbemerkt Datum, Uhrzeit und die IP-Adresse auf dem Webserver protokolliert, von dem die Grafikdatei abgerufen wird.


Somit kann man kontrollieren, wann ein Empfänger seine Mail liest und ob er anschliessend eine bestimmte Webseite besucht, sofern diese ebenfalls wieder den gleichen Web Bug enthält. In der Mail von Privacy.net ist der Web Bug eindeutig zu identifizieren, aber das Ausspähen könnte natürlich auch unbemerkt erfolgen, wenn der Web Bug ein transparentes Bild enthält und somit vom Leser der Mail unbemerkt bleibt.
 

Beliebt sind diese Mails vor allem bei den Versendern von Newslettern oder bei Werbefirmen, die damit eine Kontrolle darüber haben, ob ihre Mails beachtet werden und ob der Leser dem Angebot folgt. Das bedeutet zwar nicht gleich den Weltuntergang, aber sympathisch erscheint eine solche Überwachung sicher nicht, zumal es ohne Wissen des Empfängers geschieht.
Nicht nur moderne Mailprogramme kommen mit HTML und damit auch mit Web Bugs zurecht, sondern auch in moderne Dokumentenformate wie z.B. Word-, Access-, Excel- und Powerpoint-Dateien lassen sich Web Bugs einbetten. Dies ist aber kein Microsoft-spezifisches Problem, sondern kann bei jedem Dokumentformat auftreten, solange es nur in der Lage ist, HTML-Code zu verarbeiten. Verschickt man dann diese präparierten Dokumente per Mail, so läßt sich jederzeit kontrollieren, wann, wie oft und von welcher IP Adresse das Dokument geöffnet wurde. Vor allem in Firmennetzwerken sind natürlich die IP Adressen der Rechner meist mit einer Person oder einer Abteilung verknüpft. Wenn nun beispielsweise die Geschäftsleitung ein vertrauliches Dokument an die Buchhaltung versendet, so läßt sich durch eine Überprüfung der IP Adressen der Empfänger leicht feststellen, ob die Information auch von Unbefugten gelesen wurde.
Mit dieser Methode lassen sich dann auch schnell Verstöße gegen das Copyright feststellen, falls ein Dokument ohne Erlaubnis des Autors weitergegeben wurde. Verfeinern läßt sich diese Methode noch, wenn man die Dokumente mit individuellen Web Bugs ausstattet und sie den Empfängern namentlich zuordnet. So läßt sich schnell feststellen, wo die undichte Stelle bei der Verbreitung von vertraulichen Informationen zu finden ist, weil die unerlaubt verbreitete Version beim Öffnen immer exakt die Grafik auf dem Server des Absenders abrufen wird, die dem Empfänger zugeordnet ist, der das Dokument ursprünglich einmal erhalten hat.
Immer mehr Homepages im Internet bieten ihren Besuchern mittlerweile kostenlose und werbefinanzierte Dienste an und naturgemäß steigt damit nicht nur die Anzahl der geschalteten Werbungen, sondern auch die Anzahl der Werbefirmen, die mit Web Bugs arbeiten. Meist sind auf den populären Webseiten auch gleich Web Bugs von mehreren Werbefirmen eingebaut. Eine der bekanntesten und größten Firmen, die auf diese Art werben ist z.B. Doubleclick, die nach Angaben des Geschäftsführers Arndt Groth in Deutschland im Moment noch keine Cookies einsetzt, sondern damit noch wartet, bis die Akzeptanz der Surfer gegenüber dieser Form des Monitoring etwas größer ist. In Anbetracht der Geographie des Internets ist diese Aussage für deutsche Verbraucher aber recht bedeutungslos, da man sich im Internet natürlich nicht innerhalb der Grenzen eines Landes bewegt, sondern mit wenigen Mausklicks auf Webserver in aller Welt weitergeleitet wird. Die amerikanische Muttergesellschaft Doubleclick und ähnliche Werbefirmen arbeiten dagegen schon längst mit Cookies.
Es ist damit zu rechnen, daß die Online-Werbung förmlich explodieren wird und wenn die Firma Doubleclick erklärt, daß das geschätzte Volumen von Online-Werbung in Deutschland von ca. 400 Millionen Mark im Jahr 2000 auf auf über 4 Milliarden Mark in lediglich 10 Jahren ansteigen wird, ist diese Prognose noch eher untertrieben. Durch das Wachstum der Werbung wird auch verstärkt der Wunsch nach einer gezielten Kontrolle über die Verbraucher entstehen, welcher durch Web Bugs befriedigt werden kann. Laut Arndt Groth verzichtet Doubleclick übrigens auf den Einsatz von sogenannten Data Spills, welche dazu benutzt werden können, um die in Webformularen enthaltenen Angaben unbemerkt an Dritte zu übermitteln. Registriert man sich beispielsweise namentlich bei einem Web Service wie etwa bei einem Internet-Shop, einem Mail-Service oder in einem Diskussionsforum, so ist es durchaus möglich, die dort ausgefüllten persönlichen Daten auszulesen und mit Hilfe von Web Bugs und Cookies mit einem Surfer zu verbinden, solange der Cookie auf der Festplatte existiert. In solchen Formularen werden neben den üblichen Angaben wie z.B. dem Namen, Mailadresse, Straße und Wohnort auch gerne sehr persönliche Fragen gestellt, wie z.B. dem Alter, Geschlecht, persönliche Vorlieben, Hobbies, Anzahl der Kinder, Schulbildung, Beruf, Arbeitgeber und nicht zuletzt dem durchschnittlichen Haushaltseinkommen. Das sind recht brisante Daten, wenn sie durch Data Spills übermittelt und im Zusammenhang mit den in Cookies gespeicherten Kundennummern in Form von Web Bugs den Werbefirmen wieder zugänglich gemacht werden. Auch wenn die Firma Doubleclick nach eigenen Angaben diese Techniken zur Identifizierung der Surfer nicht benutzt, gibt es doch eine stattliche Anzahl von Werbefirmen, die sich bisher dazu noch nicht eindeutig geäußert haben. Die ganze Tragweite dieses Verfahrens wird vielleicht etwas deutlicher, wenn die anschließend besuchten Seiten einen Rückschluß auf die eigene Persönlichkeit zulassen. Darunter fallen sicherlich Seiten, die sich mit Alkoholismus, Krankheiten wie beispielsweise HIV oder extremen sexuellen oder politischen Ansichten beschäftigen. Spätestens hier wird klar, daß damit eine technische Möglichkeit der unbemerkten Überwachung von Surfern gegeben ist, die nicht nur für Werbefirmen, sondern auch für staatliche Behörden von Interesse sein kann.