1
Q
Stichwort zu Google Inkognito-Fall
A
Datensammlung trotz Inkognito
2
Q
Hat der Inkognito-Modus von Goolge einen Einfluss auf die Privatsphäre?
A
Praktisch nicht, es werden nur lokale Daten (bspw. Verlauf und Cookies) gelöscht.
3
Q
Arten von Tracking Methoden:
A
- Eindeutiges Tracking - explizite Nutzeridentifikation
- Wahrscheinliches Tracking - kein Login erforderlich
4
Q
Stichwörter zu Wahrscheinliches Tracking
A
- Verknüpfung über Wahrscheinlichkeitsmodelle
- Kein Login erforderlich
- nutzt IP, Browserdaten und Surfverhalten.
- Hohe Genauigkeit durch Machine Learning
5
Q
Cookies =
A
kleine Textdateien, die von Webservern im Browser gespeichert werden, um zustandsbehaftete Kommunikation zu ermöglichen.
6
Q
Cookie Arten:
A
- Standard http Cookies
- Flash Cookies (LSO)
- Perma-Cookies (ISP-Level)
7
Q
Standard http Cookies:
A
- Gespeichert vom Webserver im Browser
- Automatische Rücksendung bei jeder Anfrage
- Ermöglichen Login, Warenkörbe, Personalisierung
8
Q
Flash Cookies (LSO):
A
- praktisch überall blockiert heutzutage
- gespeichert via Adobe Flash Player
- Schwieriger zu löschen
- Domain-übergreifend nutzbar
9
Q
Perma-Cookies (ISP-Level):
A
- vom User unbemerkt
- ISPs injizieren Identifier in http Header
- Hohe Strafen für MIssbrauch (bsp. Verizon Supercookie)
10
Q
Was ist mit Cookie-Abhängigkeit gemeint?
A
Deaktivierung führt zu erheblichen Einschränkungen
11
Q
Funktionen, welche Cookies ermöglichen und unverzichtbar sind:
A
- Session Management - Login und Authentifizierung
- E-Commerce - Warenkörbe und Zahlungen
- Personalisierung - Sprache und Einstellungen
12
Q
Gibt es Alternativen für unverzichtbare Cookie-Features?
A
Begrenzte Alternativen, haben jedoch Einschränkungen in Sicherheit und Umfang:
- Local/Session Storage - Browser-spezifisch
- IndexedDB - Komplex für Anwendungsdaten
13
Q
First-Party Cookies:
A
- Direkt von besuchter Website gesetzt
- Nur für diese Domain zugänglich
- Für grundlegende Website-Funktionen (z.B. Login)
14
Q
First-Party Cookies und Datenschutz?
A
weniger problematisch
15
Q
Third-party Cookies:
A
- von Drittanbietern (z.B. Werbenetzwerken) gesetzt
- Domain-übergreifend nutzbar
- Ermöglichen Cross-Site-Tracking und Profilbildung
16
Q
Thrid-Party Cookies und Datenschutz?
A
Hohes Risiko für Nutzer-Tracking
17
Q
Third-Party-Cookies =
A
Domain Name stimmt nicht überein mit Original Domain Name
18
Q
Datenschutz und regulatorische Entwicklungen bezüglich Third-party Cookies
A
DSGVO Compliance
- explizite Einwilligung erforderlich
- Bussgelder bis zu 4% des Jahresumsatzes
- nur technisch notwendige Cookies ohne Einwilligung
19
Q
Browser-Blockierungn von Third-party Cookies:
A
- Safari ITP (Intelligent Tracking Prevention) blockiert systematisch
- Firefox/Edge: Blockieren Tracker standardmässig
- Chrome: Vollständige Abschaltung bis Ende 2024 geplant
20
Q
Was haben Datenschutz und regulatorische Entwicklunge sowie die Massnahmen der Browser zu folge?
A
- Umsatzrückgänge bei personalisierten Anzeigen (20% - 60%)
- Zunehmende Bedeutung von Server-Side-Tracking und First-Party-Daten
21
Q
CHIPS =
A
Cookies mit verbesserter Privatsphäre
22
Q
Problem von Third-party Cookies?
A
Cross-Site-Tracking möglich –> Erstellung von Profilen durch Werbetreibende ohne Bindung an Top-Level Site
23
Q
Was ist die Lösung von CHIPS?
A
- Cookies werden an Top-Level-Site gebunden
- Cookie von “analytics.com” auf “retain.example” ist getrennt von demselben Cookie auf “news.example” –> kein Cross-Site-Tracking möglich und trotzdem Funktionalitäten von Third-Party gewährleistet
24
Q
Vorteile von Google “Topics API” für interessenbasierte Werbung
A
- transparenter
- datenschutzfreundlicher
25
Wie funktioniert Google "Topics API"?
1. Themenermittlung
** wöchentlich 3-5 Hauptinteressen auf Surfverhalten
** Basierend auf ~350 vordefinierten Kategorien
2. Datenschutz und Kontrolle
** Themen nur 3 Wochen lokal im Browser gespeichert
** Automatische Löschung, keine Google-Server Übertragung
** Volle Nutzerkontrolle: Themen einsehen, löschen, API deaktivieren
3. Werbeausspiegelung
** Websites fragen aktuelle Nutzerthemen ab (document.browsingsTopics())
** Keine eindeutigen IDs, kein Cross-Site-Tracking
26
Hat man durch Google-Topics API keine Re-Identfikationsrisiken?
Doch, 0,4% pro Woche Re-Identifikationsrate --> akkumuliert sich über Zeit!
27
Wie kann man einfache Unterbindung von Third-party Cookies umgehen?
CNAME-Record für Weiterleitung unter der originalen Domain auf Third-party domain
28
Vorteil von CNAME-Tracking?
- umgeht Ad-Blocker und Safari ITP zuverlässig
- Browser wertet Tracking als First-Party-Vorgang
- Vollständigere Daten für Website-Betreiber
29
Risiken von CNAME-Tracking:
- Sicherheitsrisiko durch Cookie-Leakage
- Rechtliche Transparenzpflicht nach DSGVO
30
CNAME-Tracking ersetzt Einwilligung von Datenschutz?
Nein, ersetzt keine Einwilligung und ist nicht automatisch datenschutzkonform!
31
CNAME-Cloaking =
Alias DNS-Eintrag für externen Tracker unter der eigenen Subdomain
32
Browser-Fingerprinting =
Identifizierung von Geräten durch einzigartige Kombinationen von Hardware, Software und Konfiguration ohne Cookies
33
Bleibt Browser-Fingerprinting für immer stabil?
Nein, 6-8 Monate stabil
34
Browser-Fingerprinting:
- Software- und OS-Details
** User-Agent-String (Browser, OS, Architektur)
** HTTP Accept Headers (Sprachen, Encodings)
** Browser Plugin Details
- Hardware- und Display-Merkmale
** Bildschirmauflösung und Farbtiefe
** Multi-Monitor-Konfiguration
** pixel-Dichte
- Systemkonfiguration
** instalilerte Schriftarten
** Zeitzone und Locale
** Cookie-Einstellungen und Suppercookie-Resistenz
35
HTML5 Canvas Fingerprinting =
Erstellung von dynamischer Grafik mit minimalen Unterschieden durch gleiche JS-Anweisungen aber unterschiedlicher Umgebung
36
Welche Faktoren haben Einfluss auf HTML5 Canvas Fingerprinting Grafik
- Grafikkarten und Treiber
- Bildverarbeitungs-Engines
- Anti-Aliasing
- Schriftarten-Rendering
37
Vorteil von HTML5-Canvas Fingerprinting?
- Hohe Eindeutigkeit --> 15-20 Bits Entropie
- Präzise Nutzer-Wiedererkennung ohne persistente Datenspeicherung
38
Welcher Effekt hat Einfluss auf die Eindeutigkeit von HTML5 Canvas?
Kombinationseffekt --> über 99% Eindeutigkeit mit anderen Fingerprint-Techniken kombiniert
39
Safari-Tracking Schutz =
Bekämpfung von Browser-Fingerprinting durch bewusste Standardisierung von Sytemkonfigurationen --> eindeutige Identifikation eines Geräts erheblich erschwert
40
Was passt Safari Tracking-Schutz an?
- User-Agent - generische Versionen gemeldet
- Bildschirmauflösung - auf Standardwerte gerundet
- Schriftarten - auf System-Default begrenzt
- Canvas daten - mit zufälligem "Rauschen" versehen
41
Server-Side Tracking Funktionsweise:
- Daten vom Webserver direkt an Dritte (Facebook, Google)
- Server als Vermittler
- keine Verarbeitung im Browser des Nutzers
42
Vorteile von Server-Side Tracking:
- Weniger anfällig für AdBlocker und Browser-Tracking-Prävention
- Höhere Datenqualität
- Volle Kontrolle über Datenübertragung
43
Gibt es Massnahmen gegen Server-Side Tracking?
Ja, jedoch funktioniert es nicht bei allen Server-Side-Tracking
DNS-Filter, blockiert bekannte Tracking-Server auf DNS-Ebene (bspw. Pi-hole, NextDNS)
44
Was ermöglicht Kontrolle von Server-Side-Tracking?
Praktisch nur gesetzliche Regulierungen (DSGVO) und explizite Nutzereinwilligung
45
Google Analytics und DSGVO - Kernproblem:
US-Datentransfer
46
Google Analytics und DSGVO - Gerichtsurteil und Folgen:
Explizite Nuztereinwilligung für Transfers nötig, IP-Anonymisierung allein nicht ausreichend
47
Kann Schutz von Webtracking mit isolierten Privacy-Technologien erreicht werden?
Nein, nur comprehensive Privacy-by-Design Ansätze sind langfristig wirksam
48
Was ist der Unterschied zwischen Mobile App Tracking und Web Tracking?
Mobile Apps nutzen direkten Zugriff auf Hardware-Sensoren, Kokntakte, Standortdienste und einzigartige Geräte-Identifikatoren
49
Zugriff von Mobile Apps für Tracking auf:
- Persönliche Identifikatoren
- Soziale Netzwerk-Daten
- Kontinuierliche Standortdaten
- Hardware-Identifikatoren
50
Funktionale Kategorien von Mobile App-Tracker:
- Advertising und Marketing Tracker --> personalisierte Werbung durch Cross-Site-Tracking
- Analytics und Performance Tracker --> App-Performance-Monitoring, UX-Optimierung, Business-Intelligence
51
Was für Schutz bietet iOS vs. Android bei App-Tracking Transparency?
iOS: App Tracking Transparency --> technische Controls
Android: Disclosure-based Approach (Vertrauen
52
Was ist bei iOS-App-Analyse zu beachten?
Nicht erlaubt, da durch Digital Rights Management (DRM) geschützt. --> Reverse Engineering kann zu Gefängnisstrafen (bis zu 5 Jahre) und bis zu 500'000$ Busse führen.
53
Apps fragen um Zustimmung für Zugriff auf Kontaktdaten, Kamera, Fotos etc. aber...
restliche Daten werden einfach gesammelt.
