Gestern bin ich auf eine nicht besonders koschere „Überwachungsmasche“ auf sumago.de aufmerksam gemacht worden. Auf den Seiten der SEO Agentur aus Berlin werden Kunden nicht nur anonym User z.B. über Google Analytics getrackt, man versuchte scheinbar auch, auf sumago.de auch einzelne Webseitenbesucher zu erfassen und zwar über den Einbau eines 1 Pixel mal 1 Pixel großen iframes, mit dem das XING Profil des Geschäftsführers der Sumago GmbH gleichzeitig (aber unsichtbar) aufgerufen wurde. Hier im Google Cache noch nachvollziehbar (Warnung: vorher bei XING ausloggen, sonst erscheint Ihr in der Besucherhistorie in Marco Jancks XING Profil).

Anzeige

Überwachung auf sumago.de durch das XING-Profil

Der Effekt: die User, die in Ihrem XING Profil noch eingeloggt sind, werden im Bereich „Letzte Besucher“ angezeigt (bei Premium XING-Mitgliedern). Ich habe das gestern sowohl mit einem Testuser als auch mit einem zweiten Testprofil überprüft. Dazu habe ich auf einer Seite den iFrame genau so eingebaut wie es bei sumago.de der Fall war, statt des Profillinks von Herrn Janck habe ich natürlich den meines Testprofils eingebaut. (Nach dem Test habe ich das Fake-XING Profil wieder gelöscht)

Die Besuche meines Testprofils waren dann in meinem echten XING Profil zu sehen, ohne dass ich mein echtes Profil aufgerufen habe.

Dadurch dass Herr Janck sein echtes Profil genommen hat, ließ sich natürlich für ihn nicht jeder Besucher der Webseite eineindeutig identifizieren, da nicht eindeutig angezeigt wird woher der Besucher kommt, z.B. wenn er wissentlich auf den Link zum XING Profil von Marco Janck auf irgendeiner Webseite geklickt hat. Aber der Webseitenbesucher kann natürlich dadurch eingegrenzt werden, dass bei vielen Besuchern konkret steht, woher der Besucher kommt: über die XING interne Suche nach bestimmten Suchwörter, über den Verbindungspfad zu anderen Usern, nach dem konkreten Namen usw.

Anzeige

Diese Überwachungsmaße mit dem XING Profil wird übrigens auch nicht unbedingt von (Anti-)Track-Addons entdeckt. Ich habe meine eigene „Testseite“ mit Überwachungs-iFrame mit „Ghostery“ besucht, das XING- Tracking wurde nicht angezeigt.

Bitte um Stellungnahme an sumago.de (SUMAGO GmbH)

Ich habe Sumago gestern um eine Stellungnahme gebeten. Eine Antwort oder eine Stellungnahme von Sumago oder dem Geschäftsführer Marco Janck habe ich allerdings nicht erhalten.

Nach meiner Anfrage wurde gestern aber auf allen Seiten, die ich überprüft habe, der iFrame entfernt, ich habe keine Seite mehr gefunden, die den iFrame enthält. Im Google Cache  kann aber auch jeder nocheinmal nachprüfen, dass der iframe mit dem XING Profillink eingebaut wurde (Warnung: vor dem Klick bei XING ausloggen, sonst erscheint Ihr in der Besucherhistorie in Marco Jancks XING Profil). Dort einfach mit der rechten Maustaste auf die Webseite klicken und „Quelltext“ anzeigen. Auf der Quelltextseite kann man dann mit der Browsersuch (Strg+F) nach dem Wort iframe suchen.

Bitte um Stellungnahme an XING

Ich habe ebenso eine Bitte um Stellungnahme an XING geschickt, unter anderem mit der Frage ob sich dieser Missbrauch nicht technisch unterbinden lässt. Ein Sprecher hat sich zwar geäußert, allerdings nicht zur Möglichkeit, dies generell zu unterbinden.

„herzlichen Dank für diesen sachdienlichen Hinweis! Beim beschriebenen Vorgehen handelt es sich um einen Verstoß gegen unsere AGB (Ziffer 4.2). Ich habe den Fall bereits an meine Kollegen zur Weiterverfolgung weitergeleitet.“

Zu verfolgen gibt es hier nichts mehr, ich hatte auch XING bereits mitgeteilt, dass der iFrame bereits herausgenommen wurde. XING muss hier schnellstens eine generell Möglichkeit finden, denn ist es möglich, dass andere Webseiten diese Überwachungsmöglichkeit von eingeloggten XING-Usern noch auf die Spitze treiben. Sie müssten ja lediglich den Profillink eines „Schläferprofils“ – das komplett leer ist, fast keine Angaben auf der Seite und einen Allerweltsnamen hat, einbauen. Dadurch würde die Anzahl der echten Besucher minimiert, wenn nicht gar ganz ausgeschlossen und so die Überwachung einzelner eingeloggter XING-User ganz trennscharf möglich.

Anzeige

Fazit sumago.de und die XING Überwachung

Die Einbindung eines XING Profil zur Identifizierung von Webseitenbesuchern verstößt nicht nur gegen den Datenschutz und die XING Richtlinien, sondern missbraucht auch das Vertrauen von Webseitenbesuchern, die hier gegen ihren Willen persönlich mehr oder weniger identifizierbar gemacht wurden. Aus Sicht mancher Kunden würde das vielleicht positiv wirken, weil hier auch „dirty tricks“ angewendet werden, um den eigenen Erfolg zu fördern (Es wäre ja zum Beispiel möglich, Webseitenbesucher, die interessant erscheinen, dann auf XING aktiv anzuschreiben. Diese würden dann je nach Ansprach vielleicht sagen: was für ein Zufall, ich war gerade gestern auf Ihrer Webseite, Herr X. Herr X. könnte wiederum zurückschreiben: Vielleicht war das ein Zufall, vielleicht war das aber auch Schicksal.) Aus Sicht anderer Kunden wäre das allerdings höchst fragwürdig und ein absoluter Vertrauensbruch schon vor der Kontaktaufnahme. Ich finde es gut, dass man die Überwachungsmaßnahme noch am gleichen Tag herausgenommen hat, aber musste das wirklich sein? (Vielleicht sollte man bei Sumago auch nochmal die anderen Tools überprüfen, die man so im Einsatz hat – wo taucht z.B. „Mouseflow“ in den Datenschutzbedingungen auf?)

XING sollte diese Möglichkeit jedenfalls schnellstens unterbinden, ich werde das in Kürze auch nocheinmal nachprüfen. Bis dahin bleibe ich grundsätzlich bei XING ausgeloggt.

Anzeige

Leave a Reply