Viele deutsche E-Mail-Anbieter lassen kleine Bilddateien, die gerade mal einen Pixel groß sind, in E-Mails zu. Dadurch werden einige Metadaten des Empfängers beim Lesen der E-Mail erfasst und gespeichert. Wie funktioniert das und wieso machen viele Provider das?
Tracking durch einen einzigen Pixel
Beim Nachladen dieses einen bestimmten Pixels vom Server desjenigen, der die E-Mail gesandt hat, übermittelt man seine eigenen Daten an den Server und bestätigt so zuallererst einmal, dass man überhaupt die Nachricht gelesen hat. Aber auch die eigene IP-Adresse wird mitgeschickt und dadurch lässt sich sogar dein ungefährer Aufenthaltsort auf eine Einheit klein genug, um Werbe- und Marktanalysen durchzuführen, eingrenzen. Auch übermittelst du damit, mit welchem Programm und Betriebssystem du die E-Mail abgerufen hast.
Wieso ist das gefährlich?
Tracking, welches das automatische Nachladen vieler E-Mail-Clienten ausnutzt, wird von großen Unternehmen für Marktanalysen genutzt. Sie sehen dadurch, wer ihren Newsletter wirklich liest, wo der Leser ungefähr wohnt und können so gezielter Werbung schalten, es bedeutet also bares Geld. Schlimmer aber sind Botnetze, welche an wahllos generierte E-Mail-Adressen Spam verschicken, ohne zu wissen, ob die generierte E-Mail-Adresse wirklich benutzt wird. Empfängt man eine solche E-Mail, würde man durch Tracking automatisch die Echtheit und Aktivität seiner E-Mail-Adresse bestätigen und somit noch mehr Spam empfangen. Hacker könnten aber auch durch gezieltes Tracken zum Beispiel herausfinden, dass du einen veralteten Browser benutzt, diese Daten werden ja auch übermittelt, und bekannte Sicherheitslücken älterer Versionen ausnutzen, um deinen Computer mit Schadcode zu infizieren.
Die deutschen Provider
Viele deutsche E-Mail-Provider lassen in ihren Webclienten Tracking nicht nur standardmäßig zu, sondern bieten in ihren Webmail-Clienten auch keine Option, das automatische Nachladen von Bildern zu deaktivieren. Zum Beispiel die Provider der „E-Mail made in Germany„-Initiative bieten dazu nicht nur keine Option, sondern nutzen Tracking auch aktiv selber. [¹]
Fazit: So kann man sich schützen
Es gibt viele Möglichkeiten, sich zu schützen. Die beste Möglichkeit wäre es, einen Desktop-E-Mail-Clienten wie Thunderbird, Windows Mail oder Opera Mail zu verwenden, denn diese haben das automatische Nachladen von Bildinhalten standardmäßig deaktiviert. Die Apple-E-Mail-Programme bieten zwar die Möglichkeit der Deaktivierung, diese ist aber nicht voreingestellt und muss manuell umgestellt werden. Wer auch vor Tracking im Webmailer geschützt sein möchte, muss auf bereits genannte E-Mail-Angebote zurückgreifen. Natürlich ist in unserem Zimbra-Webmailer das Nachladen von Bildern deaktiviert, dies kann aber individuell eingestellt werden.
[1] http://www.heise.de/security/meldung/Deutsche-Mail-Provider-lassen-tracken-1973017.html