Ohne Cookies würde im Internet vieles nicht funktionieren. Auch fürs Tracking sind die kleinen Textdateien, trotz ihrer Schwächen, noch unverzichtbar. Aber was kommt danach? Wir stellen euch Alternativen vor.
Fast 22 Jahre hat das Cookie schon auf dem Buckel. Im Sommer 1994 erfand Netscape-Entwickler Lou Montulli das "Alzheimer-Medikament" für das Internet. Davor hatte das Netz praktisch kein Gedächtnis: Denn http ist zustandslos und ermöglicht daher keinen Austausch von Daten aus unterschiedlichen Server-Anfragen. Nicht nur Tracking, auch viele andere Aktionen im Internet, wie Online-Shopping, wären ohne Cookies nicht möglich.
Die Technologie funktioniert, indem eine kleine Textdatei, das Cookie, auf dem Device eines Users abgelegt wird. Die ermöglicht, dass der Nutzer wiedererkannt wird. Dazu wird das Cookie entweder vom Server an den Browser gesendet oder von einem Skript wie JavaScript erzeugt.
Aber: Die goldenen Cookie-Zeiten sind vorbei. Nicht nur die steigende Mobile-Bedeutung macht den Cookies, die mit den zwei verschiedenen Browsern auf dem mobilen Device nicht zu verwenden sind, das Leben schwer. Cross-Device-Tracking ist mit Cookies sowieso undenkbar. Außerdem löschen sie immer mehr User. Und viele Browser ermöglichen das Blockieren von den von Werbungtreibenden genutzten Third-Party-Cookies, also Cookies, die von Drittanbietern (von anderen Domains als der, die in der URL auftaucht) gesetzt werden.
Über kurz oder lang wird sich die Industrie also eine neue Tracking-Technologie suchen müssen. Es gibt schon alternative Möglichkeiten.
Fingerprinting
Die wohl bekannteste und am weitesten verbreitete Cookie-Alternativen ist Fingerprinting. Neben dem bekannteren Canvas-Fingerprinting, von Medien auch schon als böseste Art des Trackings bezeichnet, gibt es noch das Browser-Fingerprinting. Beide Varianten funktionieren aber nach dem selben Muster: ein Gerät anhand der Kombination von Hard- und Software-Merkmalen zu erkennen. So wird ein einzigartiger Fingerabdruck des Browsers oder Geräts erstellt. Im Fall von Canvas-Fingerprinting geschieht das über das html5-Canvas-Element und JavaScript-Grafiken, mit Hilfe derer ein "Fingerabdruck" auf eine virtuelle Leinwand gezeichnet wird. Probleme des Fingerprintings sind eine kurze Lebensdauer so wie keine eindeutige Identifikation. Die kann nur in Kombination mit anderen Technologien erreicht werden. Dem Tracking mit Fingerprinting zu entkommen ist nicht einfach. Mit Anti-Tracking-Plug-Ins wie Tor, Adblock Plus, Ghostery oder Donottrackme funktioniert es nur eingeschränkt.
ID-Tracking
Die aktuell einzige zufriedenstellende Möglichkeit über verschiedene Geräte hinweg zu tracken und damit den Traum jedes Marketers verspricht das Tracking mit IDs von Login-Plattformen wie E-Mail-Portalen, Social Media oder Streaming Dienste. Am bekanntesten dürfte wohl Facebooks Werbedienst Atlas sein. Die Portale tracken über die ID ihres Users. Der Vorteil: Das notwendige Opt-in zur Verarbeitung personenbezogener Daten gibt der Nutzer indem er die AGB akzeptiert. Allerdings muss der User für ein funktionierendes Tracking das Log-in-Portal im gleichen Browser geöffnet haben, in dem er surft. Über Schnittstellen wie Social-Plug-Ins ermöglichen Portale wie Xing oder Facebook auch Third-Parties den Zugriff auf die IDs. Ein großer Vorteil ist, dass der User so auch auf dem mobilen Device weiter getrackt werden kann.
eTag
Der eTag, eigentlich entity Tag ist ein Header-Feld, über das Metadaten übertragen werden. Genau gesagt handelt es sich um eine Zeichenkette die einer Ressource, also zum Beispiel einem Bild, zugeordnet ist und hauptsächlich zum Cashing verwendet wird. Über JavaScript und eine nachgelagerte Anfrage wie einen Ajax Call bekommt man den eTag-Wert. Der kann wie ein Cookie mit Informationen angereichert, übertragen und gespeichert werden. Außer den Cache zu löschen bleibt dem User keine Möglichkeit, das eTag-Tracking zu umgehen.
Authentication Cache
Auch das Tracking mit Authentication Cache nutzt den Cache im Browser. Der speichert automatisch Zugangsdaten zu Log-in-Portalen. Das Tracking funktioniert so: Ruft der User eine zugangsgeschützte Ressource auf, für die keine Zugangsdaten vorliegen, sendet der Server eine zulässige Kombination von Benutzername und Passwort mit, bei der es sich aber eigentlich um eine neue Nutzer-ID handelt. Diese ID wird durch erneutes Aufrufen, diesmal mit Name und Passwort im Authentication Cache des Servers gespeichert. Bei allen Aufrufen der Ressource, die danach kommen, ergänzt der Browser automatisch Name und Passwort bei der Anfrage, und so meldet sich der User quasi jedes Mal mit einer eindeutigen ID an. Da die Authentication-Informationen aber unterschiedlich lang im Browser gespeichert werden, handelt es sich nicht um eine vollwertige Tracking-Methode.
Flash-Cookies
Flash-Cookies sind wie "normale" Cookies Dateien die auf einem Gerät abgelegt werden. Das geschieht über den Flash-Player von Adobe. Vorteil der Flash-Cookies ist, dass sie deutlich mehr Daten speichern können als ihre Browser-Kollegen. Außerdem haben sie kein Verfallsdatum, werden durch das Löschen der Browser-Cookies nicht mitgelöscht und können durch Default-Einstellungen im Browser nicht deaktiviert werden. Die Nachteile liegen aber auf der Hand: Durch die Unzuverlässigkeit und Fehleranfälligkeit des Flash-Players und die bessere "Alternative" html5 sinkt die Bedeutung und Verbreitung rapide. Außerdem unterstützen die meisten Smartphones und einige Browser den Flash-Player nicht mehr.
Mobile Advertiser IDs
In der Theorie ist es zwar möglich, ein Cookie auf einem Smartphone zu setzen, aber ordentlich App- und Browser-übergreifend tracken lässt sich so nicht. Deshalb bieten sowohl Apple für iOS wie auch Google für Android Advertising-IDs an. IDFA (iOS) und Google Advertising-ID (Android) sind für das jeweilige Gerät eindeutig. So kann über verschiedene Apps auf dem gleichen Device wie auch über den mobilen Browser getrackt werden. Der Nutzer kann allerdings nicht nur die durch das Tracking gewonnenen Informationen zurücksetzen, er kann mit einem Opt-out dem Tracking auch generell widersprechen.
