Spieleanalytics,- Webseiten und sonstige Dienste



Firmen und Entwickler berufen sich oftmals auf sogenannte anonymisierte Statistiken die sie selbstlegitimiert erfassen "dürfen". Nur wissen sie auch, dass eine IP Adresse nicht als alleiniges Merkmal zur Online-Identifizierung zählt und Daten somit alles andere als wie so oft propagandiert anonymisiert sind. Mag sich toll anhören um Verbraucher zu beruhigen, aber im Endeffekt ist diese "Anonymisierung" nur eine leere Worthülse.

Aber so ist das mit lückenhaften und oftmals zum Nachteil von Verbrauchern ausgelegten Regularien und Gesetzen.

Neben persönlichen Daten wie eine zuzuzordnende IP-Adresse gibt es eine Vielzahl weitere teils weltweit einmalige Identifier die Rückschlüsse auf Individuen geben können:
  1. Mac Adresse & SID (z.B. Produktregistrierungen, Hardwaresperren, Anti-Cheat)
  2. Mit einer IPv4/6 Adresse/Mac/Sid verknüpften Geoddaten mitsamt Bewegungsprofilen
  3. IMEI, IMSI, Telefonnummer für Mobilgeräte
  4. (Erzwungene) 2-Factor Authentifizierung
  5. Heatmaps (quasi Wärmebildkameras in Spielen, Webseiten und Programmen)
  6. Browserverläufe & Einstellungen, Auflösung, Sprache
  7. Bild, Handschrift, Text,- & Spracherkennung, Aufnahme und Verwertung von Ton (Amazon Alexa/Recognition, Google Vision/Recaptcha, Microsoft Speech)
  8. Zeitstempel
  9. Persistente (Tracking) Cookies
  10. Telemetrie & Diagnosedaten, Crash(lytics)logs/Absturzberichte
  11. Metadaten (EXIF & Geodaten aus Fotos, EMail-Header, extrahierte Hintergrundinformationen zu Orten, Gesichtserkennung, Personen)
  12. Profiling durch nutzergenerierte Inhalte wie Screenshots, Artworks, Textanalyse
  13. E-Mail Adressen, Namen, Geburtsdaten, Alter, Familienstand
  14. Hardwaredaten (Prozessor, Grafikkarte, RAM, Mainboard, Festplattenkennungen etc)
  15. Softwaredaten (Betriebssystem, verwendete Programme, Programmversionen)
  16. Spracheinstellungen, Ordnerstrukturen
  17. Affiliate Marketing und Funnelanalyse (Tracking des Kunden bis zum vorgegebenen Ziel)
  18. Accountnamen mitsamt eindeutig zugewiesenen Idnummern (Correlation, UUID, GUID)
  19. Verknüpfung von Onlinekontakten (Freundeslisten, Adressbücher, Offlinekontakte)
  20. Vom Nutzer vergebene Computer & Systemnamen des eigenen Betriebssystems
  21. Spielernamen nicht zu vergessen oder Loginnamen des jeweiligen Clients
  22. Einzelne Nutzeraktionen z.b. Klicks, angeschaute Bereiche, Verweildauer
  23. Währung, Kaufverhalten, Kaufkraft, Bankdaten
  24. Durch Verbraucher getätigte Entscheidungen und damit Rückschlüsse auf Verhalten und Interessen (Welche Entscheidung wurde in einem Spiel getroffen) Dazu würden auch moralische Aspekte fallen.
  25. Gesundheitsdaten (Alter, Geschlecht, Vorlieben, sportliche Leistung, Krankheiten)
  26. Biometrische Daten (Gesichtserkennung, Fingerabdrücke, Irisscans)
  27. uvm.
Die Liste ist bei weitem nicht vollständig.

Es sollte aber ersichtlich sein, dass das größte Problem anhand all dieser verschiedenen Möglichkeiten darstellt dass sich umfangreiche (Langzeit)profile erstellen lassen. Geräteübergreifend.

Dasselbe was auch die Politik vorhat und diverse staatliche Institutionen bereits machen. NIcht nur in der Unterhaltungsindustrie.

Auch und vor allem wenn einige dieser Angaben "pseuanonymisiert" werden müssen lassen sich nach einiger Zeit mit Leichtigkeit viele Faktoren einzelen Personen zuweisen und die Angaben sind bei weitem interessanter als eine Handvoll statischer Daten.

VPN,- und Proxydienste



Als Einwand einiger Personen (u.A. auch Entwickler von Spielen), die ihr eigenes Handeln rechtfertigen wollen, sollten demnach nach VPN genutzt werden um "sicher" zu sein und sich zu schützen. Daten wären sicher weil sie eh über HTTPS übertragen werden und Nutzer müssten sich keine Sorgen machen.

Der Argumentation nach ist diese Sammelwut damit natürlich legitmiert.

Erstens schützt ein VPN nur bei der Verschleierung der eigenen IP und ob Daten nun verschlüsselt sind oder nicht, ist gelinde gesagt ziemlich egal, denn es ändert nichts an der Vorgehensweise, beteiligten Firmen, integrierten Mechaniken oder gar dem Fakt, dass sich Daten einfach einverleibt werden.

Wenn z.B. Google Analytics oder von mir aus die Unity Engine (weitere Beispiele einfügen) gesagt bekommt das man in Timbuktu sitzt aber dafür alles andere mitbekommt und wie in einigen Spielen oder Launchern jeden Einzelschritt trackt ist das schnurz ;]

VPN können dennoch helfen, wenn es darum geht neugierige Dienste zwecks Standortlokalisierung (kruzfristig) in die Irre zu führen, aber es sollte dabei bedacht, dass auch einige andere Werte aus der Liste unmittelbar mit Diensten verknüpft sind und nach und nach wieder Rückschlüsse auf wiederkehrende Besucher schließen lassen.

Auch falsche Daten sind Daten.

Nebenbei ist wichtig, dass VPN Dienste nicht selbst Daten sammeln, keine Logdateien anlegen und nicht von Telemetriediensten durchsetzt sind, sowie sichere Standorte (Außerhalb der Reichweite von 14, 5 und 9 Eyes) aufweisen.

WebRTC und private IP Adressen



WebRTC (Web Real-Time Communication) ist ein Protokoll welches Echtzeitkommunikation über verschiedene Rechner ermöglicht.

Leider hat WebRTC die unangenehme Eigenschaft dass es sich für diverse Analytics missbrauchen lässt, denn mit Hilfe von Javascript kann die private IP Adresse ausgelesen werden. Dass ist vor allem hilfreich um an die echten Personendaten von unbedarften (VPN,- und Proxydienst) Nutzern zu kommen.

Um dem vorzubeugen muss WebRTC deaktiviert werden. Entweder im jeweiligen VPN,- und Proxydienst und/oder über den jeweiligen Browser.