Der Dieb, der huckepack kam

Bei Datenschutz denken die meisten an die Daten privater Nutzer. Dabei sind auch Unternehmen zunehmend von Data Leakage (Datenabfluss oder -diebstahl) betroffen. Denn Online-Kundendaten sind bares Geld wert – auch für die Konkurrenz. Die Diebe kommen häufig in Form von Drittanbieter-Tags huckepack mit anderen Tags auf die Rechner. Viele Unternehmen unterschätzen die Gefahr des sogenannten Piggybacking (Huckepack) von Drittanbieter-Tags oder kennen sie schlichtweg nicht. Mit fatalen Folgen.

Das Angebot war verlockend. Ein Targeting-Anbieter stellte einem führenden Online-Shop für den Verkauf von Tickets für Konzerte und andere Events einen vielversprechenden Kundendatensatz in Aussicht, um dessen Zielgruppe ohne große Streuverluste anzusprechen. Der Online-Shop bat um ein Sample von Kundenprofilen. Der Abgleich des Samples mit den Kundendaten des Shops ergab, dass die angebotenen Profile zu 100 Prozent übereinstimmten. Wie konnte das passieren?

Der Online-Shop ließ die auf der eigenen Webseite eingebundenen Tags verschiedener Marketing-Anbieter überprüfen und stellte fest, dass einer dieser Tags die Tags des Targeting-Anbieters huckepack und ohne Wissen des Shops auf der Webseite implementiert hatte. Über diese parasitären Tags wurden das Nutzerverhalten auf der Seite mitgetrackt und neue Kundensegmente erstellt, um sie an den meistbietenden Mitbewerber zu verkaufen. Zudem wurden Cookies gesetzt, die es erlaubten, die Nutzer auf anderen Plattformen wiederzuerkennen. Für etwaige Wettbewerber des Online-Shops wurde so ein höchst attraktiver Datensatz generiert. Der Bestohlene fiel aus allen Wolken.

 

Datendiebstahl bei Unternehmen weit verbreitet

Dabei ist er in bester Gesellschaft. Laut einer Studie des Branchenverbands Bitkom* sind in den Jahren 2013 und 2014 gut die Hälfte (51 Prozent) aller Unternehmen in Deutschland Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Der dabei entstandene Schaden beziffert sich nach den Berechnungen der Bitkom auf 55,1 Milliarden Euro jährlich. Zum wichtigsten Täterkreis gehören laut den Machern der Studie aktuelle und ehemalige Mitarbeiter (52 Prozent). Bereits auf Platz zwei der Tätergruppe findet sich das direkte unternehmerische Umfeld wieder, bestehend aus Wettbewerbern, Lieferanten, Dienstleistern und Kunden (39 Prozent).

 

Spezielle Lösungen spüren parasitäre Tags auf

Dabei ist es kein Problem, parasitäre Huckepack-Tags mithilfe spezieller Lösungen zu identifizieren. Aber noch fehlt das Bewusstsein für die Gefahr des Datendiebstahls per Piggybacking. Und: Selbst wenn ein Website-Betreiber exzellente Erfahrungen mit seinen Dienstleistern gemacht hat und guten Grund hat, ihnen zu vertrauen, ist die Gefahr nicht gebannt. Häufig sind die Vertragspartner selbst Opfer von Huckepack-Anbietern, von außenstehenden Cyber-Kriminellen, die die Zugriffsrechte der direkten Dienstleister missbrauchen.

So werden gerade zum Zwecke des Affiliate- und Retargeting-Marketing gewöhnlich viele Tags huckepack genommen. Mithilfe dieser Tags werden die Seiten, auf denen Affiliate- oder Retargeting-Banner ausgespielt werden, getrackt und die Erfolgsprovisionen entsprechend abgerechnet. Die Marketing-Partner erhalten von der Agentur oder dem Affiliate-Netzwerk einen Code, den sie auf der Seite ihres Kunden einbauen. Diesem kann man auf den ersten Blick nicht ansehen, ob und welche weiteren Codes er huckepack nimmt. Erst mithilfe von speziellen Monitoring-Lösungen wird es möglich, den parasitären Code zu identifizieren. Diese monitoren das temporäre und spätere Nachladen von Tags, die nicht sofort aktiviert wurden, sowie Änderungen bei den Ladezeiten. So hatte ein anderes E-Commerce-Unternehmen zehn verschiedene Marketing-Tags auf seiner Webseite eingebunden und ließ überprüfen, wie viele Tags tatsächlich auf der Seite gefeuert wurden. Zu seiner Überraschung waren es nicht zehn oder 20, wie vermutet, sondern über 300 gefeuerte Tags. Unabhängig von einem möglichen Datenabfluss, wirkt sich ein solches Tag-Volumen katastrophal auf die Ladezeiten einer Webseite aus. Und Ladezeiten sind für den Erfolg von E-Commerce-Unternehmen essenziell. Nachdem die überflüssigen Tags identifiziert wurden, konnte ihre Zahl signifikant gesenkt und damit die Ladegeschwindigkeit der Webseite wieder erhöht werden.

 

Website-Cleaning: So gehen Sie vor, wenn sie Opfer von Piggybacking wurden
Wenn sich bei der Überprüfung herausstellt, dass Ihre Tags ungebetene Gäste haben, hilft Ihnen ein Tag-Management-System (TMS): Es ist mit einer Funktion zum Website-Cleaning ausgestattet. Zwar können die datenabgreifenden Drittanbieter-Tags nicht direkt entfernt oder abgeschaltet werden. Hierzu fehlt der Zugriff des TMS auf die Inhalte der sich im Container befindlichen Tags. Stattdessen wird der Anbietertag, der die Parasiten-Tags huckepack mitgebracht hat, vom System „eingefroren“. Das heißt, der Tag wird so konfiguriert, dass der Code im Tag nicht mehr von außen über Updates manipuliert werden kann. Die Reaktivierung zum erneuten Datenklau ist damit verhindert und der parasitäre Tag wirkungslos.

 

Umdenken erforderlich

Doch nicht nur technisch sollten Sie eingreifen, sondern auch juristisch: Gestalten Sie Ihre Verträge von Anfang so, dass sie das Ausspähen von Kunden- und Produktdaten unterbinden oder unter Strafe stellen. Das wäre ohne weiteres möglich, jedoch ist vielen Firmen das Problem des Datenklaus per Piggybacking noch nicht bewusst. Durch die neue EU-Datenschutz-Grundverordnung (DSGVO), die ab Mai 2018 gilt, wird ein unmittelbarer Zwang zum Handeln offensichtlich. Sie sieht vor, dass Nutzer, deren Daten ohne vorherige Einwilligung – auch mittels Piggybacking – getrackt wurden, Regress vom Webseiten-Betreiber fordern können, auf dessen Seiten die Drittanbieter-Tags implementiert waren; unabhängig davon, ob dieser von den Drittanbieter-Tags wusste oder nicht.

 

Datenklau lässt sich per Vertrag ausschließen
Gemäß Bundesdatenschutzgesetz (BDSG) sind Unternehmen, die personenbezogene Daten verarbeiten, erheben oder nutzen verpflichtet, technische und organisatorische Maßnahmen (kurz: TOM) zur Sicherung der Daten sowie des Datenschutzes zu ergreifen. Sprich: Datenschutz ist eigentlich schon jetzt ein fester Vertragsbestandteil zwischen Unternehmen und Web-Dienstleistern, der zukünftig den höheren EU-Standards der DSGVO genügen muss. Bei Anbietern von tagbasierten Marketing-Lösungen – insbesondere bei Retargeting- und Affiliateprogrammen – sollten Unternehmen auf folgende Ergänzungen bestehen: Weitere Daten sammelnde Tags dürfen nur nach ausdrücklicher, vorheriger Genehmigung hinzugefügt werden. Zudem ist es den Werbetreibenden unter Androhung von Vertragsstrafen ausdrücklich untersagt, die gesammelten Userdaten für andere Geschäftspartner zu nutzen – vor allem nicht für die Konkurrenz. Die Gefahr von Data-Leakage kann so effektiv gebannt werden. Auch im Falle des eingangs erwähnten Online-Shops konnte der parasitäre Tag aufgespürt und der Vertrag mit dem Marketing-Partner dahingehend verändert werden, dass das Huckepacknehmen fremder Targeting-Tags unter Strafe gestellt wurde.

Teilen
Timo von Focht
Timo von Focht ist seit Anfang 2015 als Country Manager DACH bei Commanders Act (ehemals TagCommander) für den Aufbau des Münchener Büros und die deutschen Kunden zuständig. Zuvor war er Senior Enterprise Account Manager für die strategischen Kunden von Adobe in Deutschland. Weitere Stationen lagen im Bereich Website Optimierung und Analytics. Er beschäftigt sich seit 10 Jahren mit den Themen Big Data, Web Intelligence und Digital Marketing.