Wie funktionieren Werbenetzwerke?

01.04.2020

Kürzlich suchte ich im Web nach einem Babystrampler. Danach wurde ich mit Werbeanzeigen bombardiert. Und nicht nur auf Shopping-Websites, sondern auch in Social Media, Blogs und sogar auf Konkurrenzseiten der ursprünglichen Website erschien Werbung zum gesuchten Produkt. Das Schlüsselwort lautet: Werbenetzwerk.

Früher wurde Werbung in Zeitschriften veröffentlicht. Heute geht jemand, der ein Produkt entwickelt hat und Werbung schalten will, auf ein Werbenetzwerk zu und übergibt Bilddatei, Werbeclip und einen Geldsack. Das Werbenetzwerk muss idealerweise überlegen, welche Zielgruppe die richtige ist und diese so ansprechen, dass die Kosten der Werbung von den Erlösen deutlich übertroffen werden.

Zurück zum Babystrampler: Ich hatte gesucht, den Kauf aber nicht abgeschlossen. Eine ganz schlechte Idee. Mein Rat: Kaufen Sie immer!  Das Werbenetzwerk wusste, ich war kurz vor dem Kaufabschluss, infolgedessen wurde mir vermehrt Werbung angezeigt.

Wie funktioniert so etwas? Über das standardisierte Request-Response-Protokoll (http) fordert der Browser vom Webserver "Gib mir … ", der Webserver sagt: "Hier hast du … " Der Browser lädt und ruft innerhalb einer halben Sekunde hochparallel, asynchron weitere Infos vom Webserver ab, z. B. Logos, Index-Dateien, Netflix … Ein Webserver ist schlicht strukturiert. Er erhält Anfragen, z. B. gib Startseite, gib rote High Heels und übergibt dem Browser die Daten. Alles zusammenhanglos. Der Server weiß nicht, dass jemand, der Babystrampler sucht, vorher rote Schuhe in den Warenkorb gelegt hat – es herrscht "Zustandslosigkeit".

Um die vielen Requests in Verbindung zu bringen, sind Kennungen erforderlich. Cookies, als Bestandteil des http-Protokolls, werden automatisch bei jedem Aufruf einer URL auf dem PC des Users gesetzt. Das macht der Browser standardisiert. Der Webserver wiederum speichert jedes Szenario in seiner Datenbank. Durch die Cookies wird er befähigt zu prüfen, ob der gleiche Wert in einer anderen Anfrage bereits enthalten ist. Technologisch ist das toll, denn die Zustandslosigkeit wird überbrückt.

Prinzipiell wird zwischen First- und Third-Party-Cookies unterschieden. First-Party-Cookies werden von der Website gesetzt, auf der ein User gerade surft. Bei einem späteren Besuch wird der User nur von dieser Website wiedererkannt, von der der Cookie stammt. Die über Cookies gesammelten Daten der Besucher sind akkurat und bilden ihr Verhalten auf dieser Website klar ab. Sie sind ein wertvolles Asset für den Websitebetreiber.

Meist werden während des Besuchs einer Website aber sowohl First-Party-Cookies als auch Third-Party-Cookies gespeichert. Dabei werden Third-Party-Cookies durch Dritte gesetzt. Das funktioniert folgendermaßen: Besuche ich die Website von Spiegel, baut der Webserver das Gerüst auf und lädt Inhalte nach. Der Betreiber von Spiegel integriert auch einen kleinen leeren Platz, den er dem Werbenetzwerk zur Verfügung stellt. Ich erhalte einen First-Party-Cookie von Spiegel und bei dem erstmaligen Kontakt mit dem Werbenetzwerk eine eindeutige Cookie-ID in Form eines Third-Party-Cookie. Danach möchte ich wissen, was es technisch Neues gibt und tippe die URL von Heise Online ein. Auch Heise hat einen kleinen Werbebereich in seinen Internetaufritt hineinprogrammiert. Die an mich vergebene Cookie-ID wird erkannt und diese neue Information automatisch an das Werbenetzwerk geschickt. Zum Abschluss überlege ich neue Schuhe zu kaufen, tippe die URL von Zalando ein. Zalando setzt mir einen First-Party-Cookie und das auch auf dieser Website eingebundene Werbenetzwerk erkennt mich an der Cookie-ID.

Third-Party-Cookies, auch Tracking-Cookies genannt, werden also dazu benutzt, Besucher zu markieren, um sie wiedererkennen zu können, um das Surfverhalten über einen längeren Zeitraum (auch ohne explizite Anmeldung durch den Benutzer auf einer Website) und über mehrere Webangebote hinweg zu beobachten und Informationen zu sammeln. Das Werbenetz kennt mich namentlich noch nicht, aber es weiß, welche URL und welche Unterseiten ich in den URL besucht habe. Es bekommt den Verlauf bzw. den Besuch meiner drei bis vier Websites eines Abends angezeigt – eine überschaubare Informationsfülle. Welche Websites haben Sie im letzten Jahr besucht? Ein Verlauf über 12 Monate … das ist aussagekräftig. Gehen Sie davon aus, all das weiß ein Werbenetzwerk.

Um das Nutzerverhalten zu analysieren und um zu entscheiden, was geeignete Werbung für eine Zielgruppe ist, werden Klassifikatoren (KI-Verfahren) verwendet. So kann einem User, der ein zweites Mal eine Website besucht, auf ihn zugeschnittene Werbung ausgespielt werden - in Echtzeit. Innerhalb von Millisekunden werden Preise gefunden und Anzeigen eingeblendet 

Noch besser als Werbenetzwerke ist "facebook custom audience", weil Facebook mehr über uns weiß als ein reines Browserverhalten, weil wir Facebook freiwillig füttern und weil technisch Facebook-Pixel und Social-Plugins eingesetzt werden, um jemand wiederzuerkennen. Beispielsweise kombiniert Facebook Instagram-Posts mit Profildaten aus WhatsApp und mit im eigenen Facebook-Profil eingegebenen Daten.

Werbende profitieren von der großen Reichweite der Werbenetzwerke, der Vielzahl unterschiedlicher Websites im Verbund wie auch von der Möglichkeit, sich auf bestimmte Interessengruppen konzentrieren zu können. Das "Google Display Werbenetzwerk" besteht z. B. aus Millionen von Websites unterschiedlichster Größe und Ausprägung. Es lässt sich in zwei Kategorien einteilen:

  1. Services und Programme von Google selbst, wie beispielsweise YouTube, Google Mail usw.
  2. Partnerwebsites. Das können große Portale oder private Webauftritte sein, breit gefächert oder sehr speziell. Die "Partner" nehmen am sogenannten "Adsense-Programm" teil und lassen auf ihren Websites Werbung von Google zu. Beispielhafte Namen sind Amazon, Heise, Spiegel Online.

Die Werbebranche differenziert nochmals zwischen Werbeschaltung in Display- und Such-Werbenetzwerken. Im "Such-Werbenetzwerk" gibt der User seine Anfrage in eine Suchmaschine (z. B. Google, Bing) ein und erhält entsprechende Anzeigen, wenn ein hinterlegtes Keyword zur Suche passt. Im Display-Werbenetzwerk hingegen surft ein User auf für ihn interessanten Seiten, liest deren Inhalte und bekommt die Anzeigen als Teil der Websites angezeigt. User verbringen viel mehr Zeit auf Display- als auf Such-Seiten, da sie diese umgehend wieder verlassen, sobald sie fündig geworden sind.

Um der lästigen Werbung ein Ende zu setzen, gibt es verschiedene Methoden und Tools, die Third-Party-Cookies zu blockieren. Sogenannte Adblocker (z. B. Cookie Monster, Cookie Killer) funktionieren unterschiedlich gut. Es ist ein Tauziehen zwischen Werbeanbietern und Entwicklern von Blocker-Programmen. Doch Vorsicht: Manche Tools blocken Werbung, tracken aber trotzdem das Surfverhalten. Diese Informationen werden erst recht an Werbetreibende verkauft, sodass sie Anzeigen schalten können.

Maßnahmen

  • Verändern Sie die Cookie-/Tracking-Einstellungen im Browser: "Beim Beenden des Browsers alles löschen".
  • Lassen Sie sich regelmäßig Ihre First-Party-Cookies anzeigen und löschen diese manuell.
  • Aktivieren Sie im Browser den "privacy mode": Schließt man den Browser, werden Verlauf und Cookies gelöscht.
  • Nutzen Sie den kostenlosen anonymen Browser "Tor”, er verwischt Ihre Surfspuren.
  • Verwenden Sie auf mobilen Apple-Geräten Safari, Third-Party-Cookies werden dann standardmäßig blockiert.

Cookies zu löschen hat allerdings auch Nachteile, da schöne Features dann nicht mehr funktionieren, wie beispielsweise das "Angemeldet bleiben" bei Diensten wie Netflix. Danach müssen Sie 16-stellige Passwörter jedes Mal erneut eingeben. Während gegen Cookies doch so manche Maßnahmen greifen, ist das Browser-Fingerprinting (siehe Sicherheits-Berater, Heft 4/2020, S. 59 ff.) so gut wie nicht durchschaubar und abwendbar.

: : : Cornelia Last : : :


Dieser Beitrag ist Bestandteil von:


Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de