Google Analytics nützt nicht nur vielen nichts, sondern schadet potentiell jeder Webseite. Mit Google Analytics ist Datenklau einfacher als je zuvor, denn es ermöglicht das Senden von Daten an Datenpools von Hackern.
Einleitung
Cyber-Kriminalität ist ein wachsender Wirtschaftszweig. Wer Kreditkartendaten oder andere sensible Daten erbeuten kann, kann diese Daten nutzen, um Profit daraus zu schlagen. Mit Google Analytics, dem populären Analyse-Tool von Google, gelingt der Datenklau noch einfacher.
Um das zu verstehen, hilft ein Blick hinter die Kulissen. Eine Cyber-Attacke auf eine Webseite folgt oft diesem Schema:
- Auf die Webseite wird eine schädliche Programmlogik geschmuggelt
- Die Schad-Software liest Daten von Besuchern der Webseite aus, etwa aus Formularen
- Die mitgelesenen Daten werden an einen eigenen Server geschickt, um dort ausgebeutet zu werden.
Der dritte dieser Schritte scheitert vor allem oft daran, dass Browser oder lokale Firewalls viele Datentransfers blockieren. Mit Google Analytics kann dieses Problem für den Hacker nahezu komplett eliminiert werden.
Methoden zum Klauen von Daten
Eine gängige Methode, um Daten eines zu Dritten klauen, ist es, das Opfer auf eine präparierte Webseite zu locken. Idealerweise handelt es sich um eine dem Opfer bekannte Webseite. Attacken, die bekannte Webseiten nachbauen oder die auf selbst gehosteten Webseiten basieren, sollen hier nicht weiter betrachtet werden.
Würden Sie nicht auch Ihr Passwort oder Kreditkartendaten in einem Online-Shop angeben, wenn Sie den Shop kennen, ihm vertrauen und dort dazu aufgefordert werden?
Doch wie wird eine Webseite eines Dritten so präpariert, dass sie Daten an unbekannt funken kann?
Dazu nutzen Hacker Schwachstellen in der Programmlogik im Frontend (Browser-Ansicht der Webseite) oder Backend (auf dem Server ablaufende Software) aus. Bekannte Vertreter von Angriffsmethoden sind:
- SQL Injection
- Cross Side Scripting (XSS) / JavaScript Injection / HTML Injection
- Sicherheitslücken in Server-Codes / Backdoors
- Session Hijacking
Beispielsweise kann mithilfe eines präparierten Links ein JavaScript Schnipsel auf eine Webseite eingeschleust werden. Dem Opfer wird der präparierte Link zugeschickt. Klickt das Opfer auf den Link, wird die ihm bekannte Webseite aufgerufen. Zusätzlich wird über den präparierten Link unbemerkt ein Schad-Code auf der Webseite ausgeführt.
Gelingt es, einen Schad-Code auf eine Webseite zu schmuggeln, ist der Rekorder betriebsbereit. Er muss nun nur noch aufzeichnen und die gewonnenen Daten an den Kriminellen weiterschicken.
So funktioniert Hacking mit Google Analytics
Was liegt näher, als sich die erbeuteten Daten an sein Google Analytics Konto schicken zu lassen?
Die Vorteile von Google Analytics aus Sicht von Hackern sind enorm. Die Domäne google-analytics.com ist an sich für Datentransfers oft freigeschaltet. Auf einer Webseite, die Google Analytics nutzt, fällt ein Datentransfer an ein anderes Analytics-Konto dem Laien nicht auf. Selbst Profis müssten schon ganz gezielt hinsehen, um einen Exploit festzustellen.

Mit Google Analytics können beliebige Daten an einen eigenen Datenpool geschickt werden. Dazu nutzt man beispielsweise Parameter oder die Referrer URL, an die unauffällig Werte angehängt werden können. Es ist ein Leichtes, die Daten vor Versand mit Analytics zu verschlüsseln oder zu kodieren. So sind die Datenabflüsse nur schwer feststellbar.
Das Senden von Daten über Google Analytics funktioniert sogar im sogenannten Consent Mode von Google. Wenn der Nutzer noch nicht eingewilligt hat, sendet Google Analytics dennoch ein sogenanntes Ping an Google Server. Das Ping ist gleich einem normalen Tracking-Event. Der Unterschied ist allerdings, dass die Daten nicht im Analytics Datenpool landen. Der Ausweg für Hacker ist, den Parameter gcs mit einem geeigneten Wert zu belegen, sofern die Webseite den Consent Mode aktiv nutzt.
Google Analytics ist die perfekte Waffe für Hacker, um unverfänglich sensible Daten zu erbeuten.
Die aktuelle Realität.
Möchte der Hacker wissen, ob sein Angriff erfolgreich war, loggt er sich einfach in sein Google Analytics Konto ein und sieht im Dashboard nach, welche Daten aufgezeichnet wurden. Mit der Export-Funktion und der Analytics Reporting API können Daten sogar massenweise und sehr komfortabel abgegriffen werden.
Weil so viele Webseiten Google Analytics nutzen, ist die Chance für den Hacker hoch, diesen wirkungsvollen und schwer zu entdeckenden Mechanismus zum Datenmissbrauch vorzufinden.
Empfehlungen
Weniger ist mehr. Weniger Programmcode bedeutet im Durchschnitt weniger Schwachstellen. Die Absicherung vorhandener Programmcodes ist aufwändig. Vor allem Schnittstellen (Client ruft Server) sind anfällig. Wer hier tiefer einsteigen will oder muss, sollte mit höheren Kosten rechnen.
Ohne Google Analytics ist eine Webseite sicherer als mit diesem Tool. Ich frage mich regelmäßig, wer seinen Umsatz mithilfe von Google Analytics steigern kann. Als Erstes fällt mir Google ein. Als Zweites kommen mir größere Unternehmen mit hohem Werbebudget in den Sinn. Bei kleinen und mittelständischen Firmen fällt es mir regelmäßig schwer, an das Wunder der Geldvermehrung durch Google Produkte zu glauben.
Die Marketing-Diskussion möchte ich hier nicht weiter fortführen. Einige konstruktive Gespräche mit Online Marketern zeigen mir aber, dass für gewöhnlich ein erheblicher Aufwand und ein erhebliches Wissen sowie ein erhebliches Budget vorhanden sein müssen, damit Google Produkte sich für ein Unternehmen wirklich lohnen.
Online Werbung ist oft Ausdruck von Verzweiflung und/oder mangelnder Kreativität.
Meine Erfahrung, die sicher nicht für alle, aber für viele Werbetreibende zuzutreffen scheint.
Sicher kann man bei Online Werbung direkt sehen, wenn sie nicht funktioniert. Ganz im Gegensatz zu Print-Werbung, wo das große Raten nach der Veröffentlichung beginnt. Allerdings wollen viele nicht wissen, dass eine Werbemaßnahme gescheitert ist, sondern dass die Maßnahme erfolgreich war. In diesem Zusammenhang fallen mir einige hervorragende Konvertierungen über Print-Werbung, online Artikel oder persönliche Kontakte ein, aber keine einzige hervorragende Konvertierung über online Werbung. Ich sage das als jemand, der vor Einführung der DSGVO viel Erfahrung mit Google Ads und Facebook Werbung machen durfte.
Bevor Google Ads oder Google Analytics als Wundermittel eingesetzt werden, sollte man es vorher erst einmal mit herkömmlichen, einfacheren, rechtlich sowie technisch beherrschbaren und meist komplett kostenfreien Mitteln versuchen. Wie wäre es mal mit einem Social Media Posting zu einem tollen Beitrag von Ihnen (am besten nicht auf Facebook oder Twitter)? Das bringt auf Dauer, je nach Markt, oft mehr Umsatz als die Wunderprodukte von Google. Ich spreche hier aus eigener Erfahrung, kann aber nicht für jeden Markt sprechen. Regionale Geschäfte brauchen m. E. Google Analytics jedenfalls nicht. Sie verstehen erstens nichts von Datenschutz und haben meist niemanden, der sie fundiert berät. Zweitens haben sie zu wenige Besucher, als dass der Analytics Motor rund laufen würde. Drittens haben sie zu wenig Budget, um effektiv online zu werben. Viertens können sie andere Dinge besser, als sich im Internet zu tummeln.
Mit Google Analytics wird eine Webseite durch das immer notwendige Einwilligungs-Popup verschandelt. Ohne dieses Tool von Google kann es sogar gelingen, auf Cookie Popups zu verzichten. Welch ein Segen für Besucher. Somit wären Sie als Betreiber einer Webseite zudem für das TTDSG gerüstet, welches seit dem 01.12.2021 für Deutschland gilt.
Mittlerweile stellte die französische Datenschutzbehörde fest, dass Google Analytics selbst mit Einwilligung verboten sei. Der Grund ist, dass Google nicht genug tue, um die persönlichen Daten von Nutzern ausreichend zu schützen. Amerikanische Behörden und Geheimdienste können so leicht mitlesen und mehr über Ihr Verhalten im Internet erfahren.
Wer wissen will, wie viele Besucher die Webseite besucht haben und was der Top-Artikel ist, dem steht beispielsweise Matomo kostenfrei zur Verfügung. Das geht sogar ganz ohne nervige Cookie Popups. Wer noch dazu die Suchbegriffe erfahren möchte, mit denen Besucher eine Webseite gefunden haben, nutzt die Search Console, ein Produkt von Google, welches durch Dritte ausnahmsweise mal datenschutzkonform nutzbar ist. Schalten Sie am besten vorher einen Werbe-Blocker ein, damit Google Sie in der Search Console nicht über Gebühr nachverfolgt.
Der Branchenverband BITMi bietet am 05.04.2022 von 9 bis 10 Uhr ein kostenfreies Webinar zu diesem Thema an, das ich halte werde.