Facebook-Tracking:Was Fotodaten über uns verraten

Facebook Foto Metadaten

Das Bildbearbeitungs-Programm Irfanview zeigt: Facebook fügt Fotos einen 20-stelligen Tracking-Code hinzu, der sich in den Exif-Daten versteckt.

(Foto: Screenshot / Facebook.com)
  • Facebook versieht alle Fotos, die Nutzer hochladen, mit einem digitalen Wasserzeichen.
  • Das Unternehmen erklärt, dass es die Metadaten nicht verwendet, um Nutzer durchs Netz zu verfolgen.
  • Foto-Daten verraten oft mehr, als Nutzer wollen. Mit ein paar Klicks lässt sich das verhindern.

Von Simon Hurtz

Viele Menschen wissen, dass Facebook sie auf Klick und Wisch überwacht. Etwas weniger Menschen wissen, dass Facebook nicht nur alles auswertet, was Nutzer direkt auf der Plattform machen. Mit seinen Like-Buttons hat das Unternehmen das Netz verwanzt und verfolgt Milliarden quer durchs World Wide Web - selbst wenn sie gar kein Facebook-Konto besitzen.

So gut wie niemand weiß, dass Facebook auch alle Fotos, die Nutzer hochladen, mit einem digitalen Wasserzeichen versieht. Facebook fügt zwei Felder in den sogenannten Exif-Daten hinzu und kann das Bild damit eindeutig zuordnen. Selbst wer das Bild auf seinem Rechner oder Smartphone abspeichert, mit einem Programm wie Photoshop bearbeitet und an einem anderen Ort im Netz veröffentlicht, wird Facebooks Metadaten nicht mehr los.

Darauf hat der Australier Edin Jusupovic kürzlich aufmerksam gemacht. Er studiert Jura an der Universität Sydney und bezeichnet sich als Programmierer und IT-Sicherheitsexperten. Jusupovic nennt Facebooks Vorgehen ein "schockierendes Ausmaß an Tracking". Auf Nachfrage sagt er, dass Facebook damit Fotos überall im Netz weiterverfolgen könne. Die SZ fand den Tracking-Code auch in Bildern auf Instagram und aus dem Facebook Messenger. Whatsapp-Fotos scheinen nicht markiert zu werden.

Der Tweet von Jusupovic wurde fast 20 000 Mal geteilt und in mehreren Medien zitiert. Dutzende Nutzer schimpfen auf Facebook, auch auf Reddit und im IT-Forum Hacker News ist die Empörung groß. Doch ist sie berechtigt?

Die Erkenntnis von Jusupovic ist nicht neu. Bereits 2015 fragte der französische Fotograf Patrick Peccatte auf der Entwicklerplattform Stackoverflow: "Viele auf Facebook hochgeladene Bilder beinhalten IPTC/IIM-Felder [in denen speichert Facebook die Daten], die offenbar automatisch hinzugefügt werden. Was ist das?" Ein anderer Nutzer erklärte ihm, dass diese Felder eigentlich dazu dienen, zusätzliche Informationen oder Hinweise zum Bild zu geben. Dort könnte etwa ein Fotograf die Bedingungen für die Nutzung verdeutlichen oder eine Bildagentur ein Embargo kennzeichnen.

Facebook dementiert, dass es Nutzer mit den Metadaten trackt

2016 veröffentlichte der Informatiker Neal Krawetz einen Blogeintrag, in dem er Facebooks Tracking-Code genauer analysierte. Krawetz, der auch den Dienst Foto-Forensics betreibt, geht davon aus, dass Facebook Bilder schon seit Juni 2014 mit einem eindeutigen Wasserzeichnen kennzeichnet. In einer E-Mail schreibt Krawetz, derzeit gebe es zu dem Thema "eine Menge FUD". Die Abkürzung steht für "Fear, Uncertainty and Doubt": Angst und Verunsicherung.

Theoretisch könnte Facebook mit dem Tracking-Code Querverbindungen zwischen Menschen rekonstruieren, die in seinem Netzwerk gar nicht miteinander befreundet sind. Das sei aber reine Spekulation. Facebook teilt auf Anfrage mit, es gebe zwei Gründe für die "strukturellen Anomalien", wie Jusupovic sie nennt. Ein Teil sei darauf zurückzuführen, dass Facebook die Fotos ins sogenannte Progressive-JPEG-Format konvertiere. Damit laden die Bilder bei schlechten Verbindungen schneller. "Außerdem fügen wir Code hinzu, um unserem Sicherheitsteam zu helfen, Missbrauch zu verhindern", sagt ein Sprecher.

Einer der zuständigen Mitarbeiter erklärt, dass Facebook die zusätzlichen Informationen benötige, um Fake-Accounts zu erkennen. Betrüger nutzten oft Profilfotos realer Facebook-Nutzer, um gefälschte Konten glaubwürdiger erscheinen zu lassen. Die 20-stellige Identifikationsnummer helfe, den Großteil der Fakes automatisch zu löschen. Der zufallsgenerierte Code diene aber nicht dazu, die Menschen zu tracken, die die Bilder hochladen. Facebook nutze die Metadaten ausschließlich auf der eigenen Plattform und scanne das Netz nicht nach weiteren Kopien des Fotos.

Warum Sie Exif-Daten aus Fotos entfernen sollten

Überprüfen lässt sich das nicht, aber es gibt auch keinen Anhaltspunkt, daran zu zweifeln. Wer Facebook grundsätzlich misstraut, sollte ohnehin einen Bogen um die Seite machen. Unabhängig von Facebook könnten aber alle Nutzer etwas daraus lernen, sagt Frederike Kaltheuner von der Bürgerrechtsorganisation Privacy International: "Das ist eine wichtige Erinnerung, dass Fotos sogenannte Metadaten beinhalten." Diese versteckten Informationen enthüllten viel mehr, als die meisten Menschen ahnten. "In Handyfotos können sich etwa GPS-Koordinatoren verbergen, die Rückschluss auf den Entstehungsort geben."

Normalerweise entfernen Social-Media-Plattformen wie Facebook und Twitter die Exif-Daten, bevor sie die Bilder veröffentlichen. Andere Nutzer bekommen sie also nicht zu sehen, die Anbieter selbst aber sehr wohl - und natürlich verwenden die Unternehmen diese Informationen, um ihren Datenschatz zu vergrößern.

An vielen anderen Orten im Netz bleiben die Exif-Daten erhalten. Wer Bilder per E-Mail verschickt oder bei einem Cloud-Speicherdienst hochlädt, offenbart damit auch, welche Kamera er benutzt, wann und wo das Fotos aufgenommen, mit welchem Programm es bearbeitet wurde. Das vergessen selbst Profis: 2012 veröffentlichten Vice-Reporter ein Foto mit John McAfee, Gründer des nach ihm benannten Unternehmens für Virenscanner, der damals gesucht wurde und abgetaucht war. Der Text verriet nichts über den Standort - doch die Exif-Daten des iPhone-Selfies enthüllten: McAfee war nach Guatemala geflohen.

Diese Apps und Dienste bereinigen Fotos

Wer es besser machen will als die Vice-Journalisten, entfernt die Metadaten, bevor er Fotos ins Netz stellt. In Windows geht das mit Rechtsklick auf die Datei, wo man "Eigenschaften" auswählt und im Reiter "Details" auf "Eigenschaften und persönliche Informationen entfernen" klickt. Mac-Nutzer öffnen die Vorschau, wählen über "Werkzeuge" die Option "Informationen einblenden" aus und sehen dort, welche Exif-Daten das Bild enthält.

Auch Programme wie Photoshop oder das kostenlose Irfanview bieten die Möglichkeit, Metadaten zu löschen. Unter MacOS ist das Tool ImageOptim empfehlenswert. Die Webseite Removephotodata.com erledigt die Aufgabe ebenfalls zuverlässig. Smartphone-Fotografen können in den Kamera-Einstellungen verhindern, dass automatisch Geodaten gespeichert werden. Alle weiteren Metadaten lassen sich mit Apps wie dem Photo Exif Editor (Android) oder ViewExif (iOS) löschen.

Zur SZ-Startseite
Peter Tschentscher

Privatsphäre
:Zehn Regeln für Ihre digitale Sicherheit

Die geleakten Datensätze zeigen: Selbst, wer sich selbst für vollkommen uninteressant hält, besitzt Daten über Dritte, die er schützen muss. Die wichtigsten Grundregeln im Überblick.

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB