Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Analytics als effektives Hilfsmittel für Cybercrime Datenklau

Veröffentlicht am 10. August 2021 von Dr. DSGVO · Zuletzt aktualisiert am 8. März 2022
0

Kategorien: Datenschutz, Hacking und Security

Google Analytics nützt nicht nur vielen nichts, sondern schadet potentiell jeder Webseite. Mit Google Analytics ist Datenklau einfacher als je zuvor, denn es ermöglicht das Senden von Daten an Datenpools von Hackern.

Einleitung

Cyber-Kriminalität ist ein wachsender Wirtschaftszweig. Wer Kreditkartendaten oder andere sensible Daten erbeuten kann, kann diese Daten nutzen, um Profit daraus zu schlagen. Mit Google Analytics, dem populären Analyse-Tool von Google, gelingt der Datenklau noch einfacher.

Um das zu verstehen, hilft ein Blick hinter die Kulissen. Eine Cyber-Attacke auf eine Webseite folgt oft diesem Schema:

  1. Auf die Webseite wird eine schädliche Programmlogik geschmuggelt
  2. Die Schad-Software liest Daten von Besuchern der Webseite aus, etwa aus Formularen
  3. Die mitgelesenen Daten werden an einen eigenen Server geschickt, um dort ausgebeutet zu werden.

Der dritte dieser Schritte scheitert vor allem oft daran, dass Browser oder lokale Firewalls viele Datentransfers blockieren. Mit Google Analytics kann dieses Problem für den Hacker nahezu komplett eliminiert werden.

Methoden zum Klauen von Daten

Eine gängige Methode, um Daten eines zu Dritten klauen, ist es, das Opfer auf eine präparierte Webseite zu locken. Idealerweise handelt es sich um eine dem Opfer bekannte Webseite. Attacken, die bekannte Webseiten nachbauen oder die auf selbst gehosteten Webseiten basieren, sollen hier nicht weiter betrachtet werden.

Würden Sie nicht auch Ihr Passwort oder Kreditkartendaten in einem Online-Shop angeben, wenn Sie den Shop kennen, ihm vertrauen und dort dazu aufgefordert werden?

Doch wie wird eine Webseite eines Dritten so präpariert, dass sie Daten an unbekannt funken kann?

Dazu nutzen Hacker Schwachstellen in der Programmlogik im Frontend (Browser-Ansicht der Webseite) oder Backend (auf dem Server ablaufende Software) aus. Bekannte Vertreter von Angriffsmethoden sind:

  • SQL Injection
  • Cross Side Scripting (XSS) / JavaScript Injection / HTML Injection
  • Sicherheitslücken in Server-Codes / Backdoors
  • Session Hijacking

Beispielsweise kann mithilfe eines präparierten Links ein JavaScript Schnipsel auf eine Webseite eingeschleust werden. Dem Opfer wird der präparierte Link zugeschickt. Klickt das Opfer auf den Link, wird die ihm bekannte Webseite aufgerufen. Zusätzlich wird über den präparierten Link unbemerkt ein Schad-Code auf der Webseite ausgeführt.

Gelingt es, einen Schad-Code auf eine Webseite zu schmuggeln, ist der Rekorder betriebsbereit. Er muss nun nur noch aufzeichnen und die gewonnenen Daten an den Kriminellen weiterschicken.

So funktioniert Hacking mit Google Analytics

Was liegt näher, als sich die erbeuteten Daten an sein Google Analytics Konto schicken zu lassen?

Die Vorteile von Google Analytics aus Sicht von Hackern sind enorm. Die Domäne google-analytics.com ist an sich für Datentransfers oft freigeschaltet. Auf einer Webseite, die Google Analytics nutzt, fällt ein Datentransfer an ein anderes Analytics-Konto dem Laien nicht auf. Selbst Profis müssten schon ganz gezielt hinsehen, um einen Exploit festzustellen.

Standard-Datenpaket, das bei einem Google Analytics Tracking Event gesendet wird.

Mit Google Analytics können beliebige Daten an einen eigenen Datenpool geschickt werden. Dazu nutzt man beispielsweise Parameter oder die Referrer URL, an die unauffällig Werte angehängt werden können. Es ist ein Leichtes, die Daten vor Versand mit Analytics zu verschlüsseln oder zu kodieren. So sind die Datenabflüsse nur schwer feststellbar.

Das Senden von Daten über Google Analytics funktioniert sogar im sogenannten Consent Mode von Google. Wenn der Nutzer noch nicht eingewilligt hat, sendet Google Analytics dennoch ein sogenanntes Ping an Google Server. Das Ping ist gleich einem normalen Tracking-Event. Der Unterschied ist allerdings, dass die Daten nicht im Analytics Datenpool landen. Der Ausweg für Hacker ist, den Parameter gcs mit einem geeigneten Wert zu belegen, sofern die Webseite den Consent Mode aktiv nutzt.

Google Analytics ist die perfekte Waffe für Hacker, um unverfänglich sensible Daten zu erbeuten.

Die aktuelle Realität.

Möchte der Hacker wissen, ob sein Angriff erfolgreich war, loggt er sich einfach in sein Google Analytics Konto ein und sieht im Dashboard nach, welche Daten aufgezeichnet wurden. Mit der Export-Funktion und der Analytics Reporting API können Daten sogar massenweise und sehr komfortabel abgegriffen werden.

Weil so viele Webseiten Google Analytics nutzen, ist die Chance für den Hacker hoch, diesen wirkungsvollen und schwer zu entdeckenden Mechanismus zum Datenmissbrauch vorzufinden.

Empfehlungen

Weniger ist mehr. Weniger Programmcode bedeutet im Durchschnitt weniger Schwachstellen. Die Absicherung vorhandener Programmcodes ist aufwändig. Vor allem Schnittstellen (Client ruft Server) sind anfällig. Wer hier tiefer einsteigen will oder muss, sollte mit höheren Kosten rechnen.

Ohne Google Analytics ist eine Webseite sicherer als mit diesem Tool. Ich frage mich regelmäßig, wer seinen Umsatz mithilfe von Google Analytics steigern kann. Als Erstes fällt mir Google ein. Als Zweites kommen mir größere Unternehmen mit hohem Werbebudget in den Sinn. Bei kleinen und mittelständischen Firmen fällt es mir regelmäßig schwer, an das Wunder der Geldvermehrung durch Google Produkte zu glauben.

Die Marketing-Diskussion möchte ich hier nicht weiter fortführen. Einige konstruktive Gespräche mit Online Marketern zeigen mir aber, dass für gewöhnlich ein erheblicher Aufwand und ein erhebliches Wissen sowie ein erhebliches Budget vorhanden sein müssen, damit Google Produkte sich für ein Unternehmen wirklich lohnen.

Online Werbung ist oft Ausdruck von Verzweiflung und/oder mangelnder Kreativität.

Meine Erfahrung, die sicher nicht für alle, aber für viele Werbetreibende zuzutreffen scheint.

Sicher kann man bei Online Werbung direkt sehen, wenn sie nicht funktioniert. Ganz im Gegensatz zu Print-Werbung, wo das große Raten nach der Veröffentlichung beginnt. Allerdings wollen viele nicht wissen, dass eine Werbemaßnahme gescheitert ist, sondern dass die Maßnahme erfolgreich war. In diesem Zusammenhang fallen mir einige hervorragende Konvertierungen über Print-Werbung, online Artikel oder persönliche Kontakte ein, aber keine einzige hervorragende Konvertierung über online Werbung. Ich sage das als jemand, der vor Einführung der DSGVO viel Erfahrung mit Google Ads und Facebook Werbung machen durfte.

Bevor Google Ads oder Google Analytics als Wundermittel eingesetzt werden, sollte man es vorher erst einmal mit herkömmlichen, einfacheren, rechtlich sowie technisch beherrschbaren und meist komplett kostenfreien Mitteln versuchen. Wie wäre es mal mit einem Social Media Posting zu einem tollen Beitrag von Ihnen (am besten nicht auf Facebook oder Twitter)? Das bringt auf Dauer, je nach Markt, oft mehr Umsatz als die Wunderprodukte von Google. Ich spreche hier aus eigener Erfahrung, kann aber nicht für jeden Markt sprechen. Regionale Geschäfte brauchen m. E. Google Analytics jedenfalls nicht. Sie verstehen erstens nichts von Datenschutz und haben meist niemanden, der sie fundiert berät. Zweitens haben sie zu wenige Besucher, als dass der Analytics Motor rund laufen würde. Drittens haben sie zu wenig Budget, um effektiv online zu werben. Viertens können sie andere Dinge besser, als sich im Internet zu tummeln.

Mit Google Analytics wird eine Webseite durch das immer notwendige Einwilligungs-Popup verschandelt. Ohne dieses Tool von Google kann es sogar gelingen, auf Cookie Popups zu verzichten. Welch ein Segen für Besucher. Somit wären Sie als Betreiber einer Webseite zudem für das TTDSG gerüstet, welches seit dem 01.12.2021 für Deutschland gilt.

Mittlerweile stellte die französische Datenschutzbehörde fest, dass Google Analytics selbst mit Einwilligung verboten sei. Der Grund ist, dass Google nicht genug tue, um die persönlichen Daten von Nutzern ausreichend zu schützen. Amerikanische Behörden und Geheimdienste können so leicht mitlesen und mehr über Ihr Verhalten im Internet erfahren.

Wer wissen will, wie viele Besucher die Webseite besucht haben und was der Top-Artikel ist, dem steht beispielsweise Matomo kostenfrei zur Verfügung. Das geht sogar ganz ohne nervige Cookie Popups. Wer noch dazu die Suchbegriffe erfahren möchte, mit denen Besucher eine Webseite gefunden haben, nutzt die Search Console, ein Produkt von Google, welches durch Dritte ausnahmsweise mal datenschutzkonform nutzbar ist. Schalten Sie am besten vorher einen Werbe-Blocker ein, damit Google Sie in der Search Console nicht über Gebühr nachverfolgt.

Der Branchenverband BITMi bietet am 05.04.2022 von 9 bis 10 Uhr ein kostenfreies Webinar zu diesem Thema an, das ich halte werde.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-analytics-als-effektives-hilfsmittel-fuer-cybercrime-datenklau
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Bullshit-Rückblick Juli und Vorschau