Süddeutsche Zeitung

E-Mail-Überwachung im Alltag:"Sehr übles Verhalten"

E-Mails im HTML-Format sind Codes mitgegeben, der die Empfänger ausspioniert. Ein Horrorszenario? Mitnichten: Deutsche Realität in jedem Postfach. Testen Sie hier, was Sie ungefragt preisgeben.

Von Bernd Graff

Dieses Blog trägt den Namen "Keep Me Covered!" Diesmal meinen wir das so: "Halte mich bitte bedeckt!"

Denn diesmal handeln wir davon, wie wir alle über E-Mails getrackt und ausspioniert werden, die im HTML-Format auf unseren Rechnern landen und nur so etwas anscheinend Harmloses wie Bilder enthalten. Wir verraten Ihnen aber auch, wie Sie sich künftig bedeckt halten können.

Ist das hier eine bloße Vorsichtsmaßnahme, ein nur mögliches Horror-Szenario? Übertreiben wir? Beileibe nicht. Denn, dass wir ungefragt faktisch nahezu alles über unser Surfverhalten verraten - und oft schon über lange Zeiträume hinweg -, ist auch in Deutschland bittere Realität.

Darum geht es: In der wie immer wunderbaren Computerzeitschrift c't 22/2013 vom 07. Oktober 2013 findet sich die in ihren Ergebnissen beängstigende Recherche von Jürgen Schmidt: E-Mail im Visier (S.130ff). In diesem Artikel erläutert Schmidt, dass nicht nur Geheimdienste den privaten E-Mail-Verkehr für einen Selbstbedienungsladen halten, sondern auch unzählige Unternehmen. Auch sie können ganz einfach nachverfolgen, wo der Adressat die E-Mail geöffnet hat, mit welchem Betriebssystem in welcher Version er das getan hat, ob an einem Desktop oder mit einem Tablet oder Smartphone, wann das geschah und wie oft.

Schmidt schreibt: "All diese Informationen lassen sich erschreckend einfach ermitteln." Und: Sie werden auch ermittelt. Denn "dieses Tracking ist kein theoretisches Problem, das in der Praxis keine Bedeutung hat".

Wie seine Untersuchungen herausstellten, "enthalten nicht nur Spam-Mails, sondern auch viele offizielle Mails von Firmen, mit denen man in Geschäftsbeziehungen steht, solche Tracking -Pixel." In einer echten Telekomrechnung etwa hat Schmidt gleich zwei davon gefunden, in einer GMX-Werbe-Mail ebenfalls einen. Denn Unternehmen wie Werbe-Agenturen wollen wissen, wie erfolgreich sie kommunizieren, welche Seiten der Nutzer aufgesucht hat, wie nachhaltig eine Kampagne gerade läuft und wo, in welchen Regionen, sie ausgezeichnet und wo sie nicht so gut läuft.

So funktioniert das Tracking:

Früher verschickte man mit einer Mail sogenannte Lesebestätigungen, wenn man wissen wollte, ob jemand eine Nachricht auch bekommen hat. Das hat sich erledigt, weil niemand Lesebestätigungen zuließ. Seitdem sich aber für E-Mail das HTML-Format als Standard durchgesetzt hat, kann man diese Lesebestätigungen - und mehr! - selbst dann beziehen, wenn niemand mehr ausdrücklich einwilligt, sie zu bestätigen. Man könnte von passiver Lesebestätigung sprechen, die ausgegeben wird, einfach nur, weil man eine E-Mail öffnet oder in der Voransicht anschaut. Und das geht so:

Am einfachsten zu erkennen sind Mails, die einen Link auf eine entfernte Webseite enthalten, welchen der Empfänger anklicken muss. Danach weiß der Absender durch simplen Blick auf die Log-Dateien seines Webservers, welche IP-Adresse wann bei ihm vorbeigeschaut hat. Inzwischen enthalten solche offen gezeigten Links immer öfter auch eindeutige, personalisierte Kennungen - etwas wie

"...xy.gif?token=14568ac435"

-, die das Auslesen und Identifizieren des Besuchs deutlich vereinfachen.

Über den User-Agent-String, den Programme standardmäßig an den besuchten Server mitschicken, erfährt der Absender auch noch, mit welchem Gerät man auf seiner Webseite unterwegs war. Tatsächlich verlangt dieses inzwischen ältliche Verfahren ja noch, dass man einen Link aktiv anklickt und ihm auf den Webserver folgt. Das ist längst nicht mehr nötig.

Heute muss man jemandem nur etwas schicken, das einen (eben jetzt oft heimlichen) Verweis auf Inhalt des Absender-Servers enthält - das kann ein einfaches Bild sein, das Firmenlogo des Absenders etwa -, um mit der Bildadresse Code auf den Empfängerrechner zu übertragen. Denn, wenn die E-Mail dann zur Ansicht geöffnet wird, auch in der Voransicht!, kontaktiert das E-Mail-Programm den Server des Absenders, um das Bild zu laden und dann einzubinden. Ein Verfahren, das eigentlich nicht nötig wäre, hier aber eingesetzt wird, damit der angesprochene Server den Zugriff registriert. In der "unschuldigen" HTML-Frühzeit stand dann im Quellcode einer solchen Mail dabei lediglich so etwas wie:

Das ist heute anders. Inzwischen beinhalten HTML-Mails immer häufiger auch quasi unsichtbare Bilder, die sogenannten Tracking-Pixel, die nur in der Minimalgröße von 1x1 Pixel vorhanden sind, aber Links auf die Server von Dritten, etwa von darauf spezialisierten Dienstleistern, enthalten können, die eben für die Auswertung des Webseiten-Traffics angeheuert wurden. Eine solche neue Bild-URL lautet dann etwa so:

3D""

Entscheidend hier ist, dass in dieser Mail eine minimalgroße, randlose Bilddatei enthalten ist (width="1", height="1", border="0"), die auf den Verfolgungs- und Auswertungs-Algorithmus verweist, der auf einem Server der Firma Etracker.de läuft. Tatsächlich habe ich diese Mail bekommen, aber eben nicht von Etracker, das individualisierte Token habe ich deshalb hier gekürzt wiedergegeben - darum die drei Punkte am Ende.

Wenn man sich die Seiten von Etracker dann mal anschaut, dann weiß man, was die Firma alles auszulesen imstande ist und ihren Kunden alles als Service anbietet: Live-Besucherverfolgung, Live Click Heatmap, Besucheranalysen inkl. Wiederkehrer & Verweildauer, Top-Seiten, Bereiche, Ein- und Ausstiegsseiten, Geo-Analyse, Technik-Analysen: Technik Mobil - Endgeräte, OS, Browser, Plugins sind da die Stichworte.

Nun sollte man meinen, dass jemand, der früher Lesebestätigungen weggeklickt hat, heute sicher davor sein möchte und sollte, dass er nicht nur ungefragt sein Lesen bestätigt, sondern ebenso ungefragt mitangibt, ob und mit was er die von der E-Mail verborgen aufgerufene Webseite aufsucht und was er dann dort tut. Das ist nicht der Fall.

Um herauszufinden, ob Mail im HTML-Format Tracking-Pixel enthält, muss man die betreffende Mail im Quellcode anschauen und durchsuchen. Bei einem Mac zieht man die fragliche HTML-Mail auf den "Schreibtisch", und öffnet sie mit "Text-Edit", einem einfachen Texteditor. Über "Bearbeiten -> Suchen" gibt man beispielsweise height="1" oder height=3D"1" ein, um nach den 1x1-Pixeln zu fahnden, und schaut dann, auf welche externe Webseite der HTML-Code dann verweist. Bei der hier zitierten Mail sah das so ja aus: src=3D"http://www.etracker.de/cnt.php?et=3DmB...

Wie gesagt: Wer Bilder automatisch nachlädt, fängt sich die Tracking-Pixel schon in der Voransicht, sonst sähe er ja keine Bilder.

Ob das Zählen und heimliche Über-die-Schulter-Schauen gelingt, hängt von den Einstellungen in den Mail-Programmen ab, die solche HTML-Mails darstellen bzw. das bitte ab jetzt nicht mehr tun.

Zu Mailprogrammen gehören hier auch die Webseiten von Web-Mail-Anbietern, über die man seine Mail liest. Wie Jürgen Schmidt, der daraufhin gängige Mail-Provider-Seiten und Mailprogramme für unterschiedliche Plattformen untersucht hat, dann überrascht feststellte, waren "ausgerechnet die beiden großen US-Konzerne Google und Yahoo die positive Überraschung im Test: Deren Webmailer lehnten in den Voreinstellungen das automatische Nachladen von externen Ressourcen mit einem Verweis auf Risiken für Sicherheit und Privatsphäre ab. Weder Yahoo noch Google erlaubten es somit, ihre Kunden zu tracken." Beim Rest herrschte da mehr oder weniger Fehlanzeige.

Gerade deutsche Mailanbieter, also T-Online, GMX, Web.de und Freenet, lassen, so Schmidts Befund, "ihre Kunden weitgehend ungehindert tracken".

Selbst, wenn man die HTML-Darstellung aus diesem Grund abstellen will, gibt es oft nicht einmal die Möglichkeit, das abzustellen. Heftig wird es bei Mail, dem aktuellen E-Mail-Programm für den Mac, das in der Grundeinstellung automatisch so gut wie alles von den Servern holt, was auch nur irgendwie nach HTML riecht. Was man einbetten kann, wird genommen: Bilder, Videos, Audio-Dateien, CSS-Dateien, IFrames etc.

Der Rat lautet hier: In der Einstellung: "Darstellung" den Haken bei "Nicht lokal gesicherte Bilder in HTML-E-Mails anzeigen" zu entfernen. Dasselbe gilt für iPhone und iPad, hier findet man die Option unter Einstellungen -> Mail, Kontakte, Kalender -> "Entfernte Bilder laden". Das bitte abwählen. Jede bildlose Mail zeigt danach dann die Option: Bilder laden. So kann man jeweils selber entscheiden, wessen Bilder man vom Server holt. Windows-Nutzern empfiehlt Schmidt das vorbildliche und kostenlose Mail-Programm Thunderbird.

Um rauszufinden, was HTML-Mails an Hinterhältigem draufhaben können, und das, was das eigene Mailprogramm davon - von Ihnen vermutlich unerkannt - zulässt, gibt es eine Webseite, die einem testweise eine Mail mit allen Späh-Schikanen schickt. Dieser Test ist ein echter Aufwecker!

Dazu besucht man die Seite:

https://emailprivacytester.com/

und trägt dort seine E-Mail-Adresse ein, lässt die Testmail verschicken und behält die emailprivacytester-Webseite dann im Auge. Wenig später hat man eine Mail von diesem Server in seinem Postfach und die emailprivacytester-Webseite zeigt sofort in schaurig roten Warnleuchten, was App und Mailprogramme diesem Server gerade alles gestatten und offenlegen. Schmidt schreibt: "Wichtig ist hier vor allem das Feld 'Image Tag'. Wenn das rot wird, werden Sie bereits sehr regelmäßig beim Lesen Ihrer Mail beobachtet."

Jedem Mac- und iPhone-Besitzer, jedem Webmail-Kunden, der seine Mail auf dem Browser liest, sei diese Erfahrung dringend angeraten. Alleine der Anblick, wie quicklebendig diese Mail im Vorschaufenster immer wieder erneut Inhalte - und offensichtlich immer neue - nachlädt, ist furchteinflößend. Jeder Nachladeprozess endet dann mit der vernichtenden Feststellung über das Mail-Programm: "This is very wrong behavior."

Die c't bietet einen ähnlichen Testservice unter

www.heise.de/security/dienste/emailcheck

Beim c't-Verfahren leuchten zwar keine roten Live-Warnleuchten, dafür ist man in der versandten Testmail explizit:

"Dies ist die angeforderte Testmail mit dem Web-Bug. Sie enthält die Anweisung, das heise-Security-Logo von unserem Server nachzuladen. Wenn Ihr E-Mail-Programm das Logo anzeigt, hat es eine Verbindung zu unserem Server aufgebaut, um es dort herunterzuladen. Damit könnten wir feststellen:

  • dass die E-Mail-Adresse, an die diese Mail geschickt wurde, tatsächlich genutzt wird.
  • dass und wann Sie die E-Mail gelesen haben.
  • welchen Browser und welches Betriebssystem Sie verwenden.
  • welche IP-Adresse Sie aktuell haben. Damit könnten wir Ihren Provider und eventuell sogar Ihren Wohnort ermitteln."

Bitte gönnen Sie sich diese Post!

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.1793066
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
Süddeutsche.de/lala
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.