E-Mail-Tracking

E-Mail-Tracking: Herausforderungen für die IT-Sicherheit

E-Mail-Tracking: Herausforderungen für die IT-Sicherheit

E-Mails zählen zu den wichtigsten Kommunikationsmitteln des digitalen Zeitalters, die Werbetreibenden kostengünstige Marketingkampagnen ermöglichen. Das damit verbundene Tracking der Empfänger erlaubt es, Werbebotschaften zu personalisieren und die Performance von Marketingmaßnahmen zu überprüfen. Diese Vorgehensweise stellt jedoch einen Eingriff in die Privatsphäre der Nutzer dar und unterliegt deshalb in Deutschland und den meisten anderen Ländern gesetzlichen Regelungen. Um die Sicherheit der Kunden zu gewährleisten, implementieren verschiedene IT-Konzerne softwareseitige Maßnahmen, die das Tracking auf Wunsch des Anwenders unterbinden sollen. Einen vollständigen Schutz bieten diese Lösungen bislang nicht, wie sich etwa im Sommer 2024 zeigte, als IT-Experten eine Sicherheitslücke im macOS 14 entdeckten.

Wie funktioniert E-Mail-Tracking?

Die gängigste Methode besteht darin, unsichtbare Bilder, sogenannte "Tracking-Pixel", in eine E-Mail einzubetten. Wenn der Empfänger die Nachricht öffnet, werden diese Dateien automatisch von einem Server des Werbetreibenden geladen. Unternehmen verschicken üblicherweise eine große Anzahl an E-Mails gleichzeitig an ihre Kunden. Die Nutzung von Tracking-Pixeln stellt dem Absender einen wahren Datenschatz zur Verfügung. Sie erfahren unter anderem,

  • wie viele Empfänger die E-Mail geöffnet haben.
  • wann ein bestimmter Empfänger die E-Mail geöffnet hat.
  • auf welchem Gerät der jeweilige Empfänger die E-Mail abgerufen hat.

Ferner erhalten die Absender zusätzliche Informationen über die Empfänger, sowie deren ungefähren geografischen Standort.

Warum stellt E-Mail-Tracking ein Risiko für die IT-Sicherheit und Privatsphäre dar?

E-Mail-Tracking ist nichts Verwerfliches und unabdingbar für erfolgreiche Marketingkampagnen über das Internet, sofern die geltenden Datenschutzbestimmungen eingehalten und die gesammelten Daten sicher aufbewahrt werden. Unternehmen erhalten eine Vielzahl an Informationen über die Empfänger. Sie stellen beispielsweise über die IP-Adressen fest, aus welcher Region ein Adressat stammt. Für global operierende Unternehmen sind diese Daten interessant, da sie unter anderem Rückschlüsse auf die Zahlungsbereitschaft eines Kunden erlauben. Werbetreibende können ihre Marketingkampagnen beispielsweise so optimieren, dass sie Empfängern in wohlhabenden Regionen höherpreisige Angebote unterbreiten. Für Kunden besteht dadurch allerdings das Risiko, unangemessen hohe Preise zu zahlen. Überdies ermöglichen Informationen darüber, wann und mit welchem Gerät ein Empfänger eine E-Mail öffnet, Rückschlüsse auf seine täglichen Gewohnheiten und sein Nutzungsverhalten.

Aufgrund der Vielzahl gesammelter Daten entsteht nicht nur ein "gläserner Nutzer": Gelangen die Nutzerdetails in falsche Hände oder wendet ein Unternehmen unlautere Geschäftspraktiken an, sind erhebliche Sicherheitsrisiken für die Betroffenen die Folge. So können Cyberkriminelle unter anderem ermitteln, welche Softwareversionen seitens der E-Mail-Empfänger verwendet werden, was diese anfällig für zielgerichtete Angriffe macht. Ebenso erfahren die Absender, welche E-Mail-Adressen aktiv sind. Es besteht stets das Risiko, dass diese Listen in die Hände von sogenannten Spammern geraten, die anschließend die E-Mail-Konten argloser Nutzer mit unerwünschter Werbung überfluten.

Wenn aus dem Datenleck ein Dammbruch wird: der Fall Tracelo

Die DSGVO verlangt von Unternehmen, die E-Mail-Tracking einsetzen, die ausdrückliche Einwilligung der Empfänger einzuholen. Wenngleich die große Mehrheit der Geschäftstreibenden seriös arbeitet und die geltenden Gesetze einhält, können einzelne Verfehlungen die Cybersicherheit von Hunderttausenden Kunden gefährden. Beim Datenskandal um den Geolokalisierungsdienst Tracelo veröffentlichten Hacker die persönlichen Daten von rund 1,4 Millionen Nutzern im Darknet. Obwohl die Firma behauptet, ein verantwortungsbewusster Dienstleister zu sein und stets die Zustimmung der von der Ortung betroffenen Personen einzuholen, wirft der Umfang der bekannt gewordenen Nutzerdaten ernsthafte Fragen hinsichtlich der Geschäftspraktiken von Tracelo auf. Der Fall verdeutlicht, welches Risiko für die IT-Sicherheit auch vom E-Mail-Tracking ausgeht, wenn die gesammelten Informationen in die Hände Unbefugter gelangen oder Unternehmen, die Daten erheben, selbst von Cyberkriminellen angegriffen werden.