Eine neue Studie zur Datensicherheit von Online-Formularen zeigt auf, dass eingetippte Informationen von dir schon vor dem Absenden an Drittanbieter weitergegeben werden. Das Phänomen findet sich auf einer Vielzahl von Internetseiten.

Datensicherheit bei Online-Formularen nicht sichergestellt

Die Studie der Universität Leuven begutachtete 100.000 beliebten Internetseiten, darunter unter anderem Facebook und Adobe. Dabei lag der Fokus auf Online-Formularen zum Ausfüllen. Damit sind jene Felder gemeint, wo du beispielsweise deine E-Mail-Adresse, dein Passwort oder weitere personenbezogene Daten von dir eingibst und absendest. Willst du dich etwa auf einer Seite registrieren oder dich für einen Newsletter anmelden, kommst du an diesen Formularen nicht vorbei.

Besonders alarmierend bei den Ergebnissen der Studie ist allerdings, dass jene Daten bereits weitergebeben werden, bevor du das Formular überhaupt abschickst. Entscheidest du dich also im Prozess des Ausfüllens dagegen, ist deine Datensicherheit jedoch schon gefährdet:

„Unsere Analysen zeigen, dass die E-Mail-Adressen der Nutzer an Tracking-, Marketing- oder Analysedomänen vor der Einreichung des Formulars ohne die Zustimmung der Nutzer auf 1.844 Webseiten in der EU exfiltriert werden. „

Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission

Bei der „Data-Exfiltration“ handelt es sich um einen Prozess der ursprünglich aus Hacking-Kreisen beziehungsweise bei Malware-Akteuren bekannt ist. Damit ist konkret die unautorisierte Datenübertragung gemeint, wie ComputerWeekly erklärt. Das bedeutet hingegen auch: Du bist machtlos dagegen.

Zweifelhafte Ehre: Die Top-10 der Datenkraken

Einige der Seiten dürften dir in jedem Falle bekannt vorkommen. Sie durchlaufen alle Sphären von Organisation über Social Media bis hin zum Online-Shopping und gefährden deine Datensicherheit:

1. usatoday.com
2. trello.com
3. independent.co.uk
4. shopify.com
5. marriott.com
6. newsweek.com
7. prezi.com
8. branch.io
9. prothomalo.com
10. codecademy.com

Diese Seiten geben nachweislich deine E-Mail-Adresse an Drittanbieter wie Taboola, Bizible oder Facebook weiter. Hierbei handelt es sich um Werbeagenturen und Marketingplattformen.

Im Falle von Facebook ist die Datenweitergabe besonders alarmierend, wenn man bedenkt, dass erst jüngst herauskam, dass der Konzern selber den Überblick über die Datenmengen verloren hat, wie unter anderem Netzpolitik berichtete. Des Weiteren erläutern die Autor*innen der Studie:

„Unsere Ergebnisse zeigten, dass E-Mail-Adressen oder ihre Hashes [listenartiger Datentyp] auf 21 verschiedenen Websites in der EU an facebook.com gesendet werden. Bei 17 davon war die Funktion ‚Automatic Advanced Matching‘ von Facebook Pixel für das Senden des SHA-256 in einem ‚SubscriptedButtonClick-Event‘ verantwortlich, obwohl niemand einen Einreichen-Button geklickt hat.“

Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission

Am Smartphone scheint deine Datensicherheit sogar ein wenig besser zu sein. Unautorisierte Weitergaben konnten dort „nur“ bei 1.745 Webseiten identifiziert werden. Rufst du Websites über den Desktop aus, gefährden 1.844 deine Datensicherheit.

• Drittanbieter-Cookies können ebenfalls ein Sicherheitsrisiko darstellen. Wie du Cookies löschen und sperren kannst, liest du in unserem separaten Artikel.

Quelle: „Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission“ (Universität Leuven, 2022)

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.