Markus Baersch

Software · Beratung · Lösungen

Start » Blog » Analytics / Datenschutz

08.06.2019

Märchenstunde in den Blogs zu ETP in Firefox

Mit dem aktuellen Release 67.0.1 von Firefox Quantum... "ist Trackingschutz nun Default", "wird die Webanalyse verhindert" oder "Google Analytics blockiert". So oder ähnlich lasen sich jedenfalls die Schlagzeilen der letzten Tage. Ein paar schnelle Tests, was genau nach der Installation der neuen Version passiert und ich war erst einmal sicher: Es passiert gar nichts, alles läuft wie gewohnt. Das ist aber auf den zweiten Blick nicht die ganze Wahrheit. Wie immer "kommt es darauf an". Dazu gleich mehr.

Mein Fazit zum aktuellen Stand vorab: Das grundlegende Tracking von Google Analytics und alles andere, was mit First Party Cookies zu tun hat (also auch andere Systeme) sind nicht von diesem Update betroffen. Anders als bei ITP ist es dabei (einstweilen) egal, ob es sich um HTTP-Cookies oder per JavaScript im Browser erzeugte Cookies handelt. Es gibt aber auch im Google Analytics Funktionsumfang Dinge, die auf Third Party Cookies basieren. So sind zumindest bei einer Neuinstallation von Firefox die Werbefunktionen und Remarketing via Analytics betroffen, da diese von weiteren Cookies abhängen, die in der Standardeinstellung nicht mehr verarbeitet werden können.

Enhanced Tracking Protection in Firefox

Natürlich hat auch dieses Kind einen Namen. Und da ETP nicht nur phonetisch so schön zu ITP passt, bleiben wir auch dabei. Trackingschutz in Firefox ist kein brandneues Thema. Im Oktober 2018 wurde ETP erstmals in Firefox "verbaut" und arbeitet seitdem auch mehr oder weniger nach dem gleichen Prinzip. Das sich bisher ausschließlich auf Third Party Cookies und - je nach Strenge der Einstellungen - eine Liste von blockierwürdigen Trackern stützt. Bis Firefox also auch Aspekte von ITP übernimmt (was geplant ist) oder jemand aktiv das Laden von Trackern verhindert (was nicht zur Standardeinstellung gehört), sollte doch Google Analytics nichts zu befürchten haben, oder? Was soll also der ganze Wind um die neue Version? Das wollte ich anfangs auch nicht ganz verstehen...

Mein voreiliger Schnellschuss: Komplette Entwarnung

Nachdem die ersten Meldungen zum Update und desse Folgen erschienen, habe ich mir das Update auf Version 67.0.1 installiert und nachgesehen, was genau in den Bereichen der Tracker und Cookies passiert, die Firefox mit seinem Trackingschutz behandelt. Vor allem, da ja auch google-analytics.com auf der Blockierliste steht und überhaupt aus Neugier. Das Ergebnis fiel beruhigend aus. Exemplarisch anhand unserer Agentur-Website (ich hatte auch ein paar andere Sites getestet) gezeigt:

ETP bei Update: Es scheint nichts blockiert zu werden

In der Einstellung "Standard" werden blockierbare Seitenelemente gefunden, aber nicht blockiert. Das sind in diesem Fall Google Analytics und Google Ads Remarketing als "Elemente zur Aktivitätenverfolgung"; diese werden aber nicht blockiert. Auch bei den Cookies zeigen sich keine Probleme mit den First Party Cookies (also inkl. _ga-Cookie von Google Analytics), Cookies zur Aktivitätenverfolgung (siehe oben) oder anderen Cookies von Drittanbietern, die sich hier auf Google beschränken.

Keine Cookies beeinträchtigt

Es wird also offenbar überhaupt nichts blockiert, was irgendwie mit Tracking zu tun hat, solange die Einstellungen auf "Standard" stehen. Erst bei Umstellen des Schutzes auf "Streng" wurden die beiden oben genannten Dienste erwartungsgemäß blockiert und es fand folgerichtig auch kein Tracking in Google Analytics statt.

Cookies blockiert bei strengem Schutz

Diese Ergebnisse habe ich dann zunächst zum Anlass genommen, in einer Facebook-Gruppe zur Webanalyse Entwarnung zu geben. Aber...

Moment mal: Das muss nicht bei allen so sein!

Erst als ich an einem mehrfach geteilten und m. E. total beschissenen Beitrag beim twittergläubigen SearchEngineJournal im verschämt darunter gepackten Update über die Formulierung "most of Google Analytics’ data" und den genauen Wortlaut des auch im Update lieber statt eigener Recherche zitierten Tweets gestolpert bin, ist meine erste Einschätzung in`s Wanken gekommen. Was genau könnte denn wohl fehlen und unter welchen Umständen?

Die Antwort: Bei einer Neuinstallation von Firefox werden die Karten ein wenig anders verteilt. Meine erste Befürchtung war, dass hier der Modus des Trackingschutzes auf "Streng" voreingestellt ist. Das wäre aber gleichzeitig unvereinbar mit der Aussage, dass das Tracking "grundsätzlich funktionieren" soll. Und das passiert auch nicht. Stattdessen ist der Level dessen, was per Default an Third Party Cookies blockiert wird, ein wenig anders justiert. Um dies genauer zu erproben habe ich zunächst mühselig in virtuellen Maschinen sowohl unter Windows als auch Linux (Ubuntu) Firefox als Neuinstallation aufgesetzt und die gleichen Websites wie zuvor mit dem "Update-Firefox" besucht. Im Nachhinein ist mir dann aufgefallen, dass es ein neues Profil oder ein Firefox Portable auch getan hätte ;). Aber immerhin: Es haben sich tatsächlich Unterschiede zwischen Update und einer Neuinstallation bzw. einem neuen Profil herausgestellt.

Mehr blockierte Cookies bei Neuinstallation

Schon die Übersicht des Trackingschutzes zeigt, dass es Unterschiede zum vorherigen Test auf der gleichen Domain gibt:

Einige Cookies blockiert - auch bei Standard Schutz in Neuinstallation

Wie man sieht, werden nun offenbar auch bei der Einstellung "Standard" Cookies blockiert, die vorher nicht beeinträchtigt waren. Dazu die Details:

Nichts mehr außer FirstParty

Es ist den Werbefunktionen und dem Remarketing an den Kragen gegangen... Und weiteren Cookies, die von google-analytics.com gesetzt werden sollten. Welche das sind? Ich weiß es nicht. Es mag etwas mit Google Signals oder sonstwas zu tun haben (wenn Du es weißt, schreib mich bitte an), aber Google Analytics selbst arbeitet zum eigentlichen Tracking jenseits von Remarketing und Werbefuntionen nur mit einer überschaubaren Menge an FirstParty Cookies. Die ich auch in diesem Test alle finden konnte.

Woher kommt dieser Unterschied? In beiden Fällen steht doch der Trackingschutz auf "Standard"? Die Erklärung ist hier offenbar, dass "Standard" nicht "Standard" ist. Als einzigen erkennbaren Unterschied konnte ich beim Umstellen auf "Benutzerdefiniert" ausmachen, dass in meinem übernommenen Profil keine Blockierung von Cookies vordefiniert war, während das bei einer Neuinstallation anders aussieht, denn hier ist ein Blockieren aktiviert und es sind "Nutzer verfolgende Elemente von Drittanbietern" ausgewählt:

Einstellungen zum Blockieren von Cookies in Firefox

Man darf angesichts der Ergebnisse annehmen, dass dies auch der Standardeinstellung in neuen Profilen entspricht. Legt man in einem älteren Firefox (66) ein neues Profil an, ist dieser Haken per Vorgabe zumindest nicht gesetzt und es ist auch keine Auswahl aus der Liste vorgegeben.

Ergebnis und Ausblick

Tatsächlich stimmt es demnach: Firefox blockiert in neuen Profilen per Vorgabe der Nutzerverfolgung dienende Third Party Cookies. Third Party. Und nutzerverfolgend. Das betrifft nur die genannten erweiterten Funktionen von Google Analytics.

Das eigentliche Tracking in Analytics ist auch in diesem Fall (noch) nicht betroffen. Dazu habe ich mehrere markierte Testsitzungen auf unterschiedlichen Domains mit aufgezeichneter clientID aus dem _ga-Cookie als Benutzerdefinierte Dimension vermessen und in Google Analytics die Ergebnisse kontrolliert: Daten werden ganz normal aufgezeichnet. Keine Zaubereien mit den Cookiewerten oder unterwartete Probleme bei der Zusammenstellung der Sitzungen oder Zuordnung des Users. Oder kurz: Tut´s alles.

Man muss aber weder ein Prophet sein, noch den von Firefox erwählten Pfad zu mehr Trackingschutz  im Detail kennen, um sich die nächsten Stationen denken zu können:

  • Auch jenseits von privaten Fenstern ist ein aktives Blockieren von Trackern (dann hoffentlich auch in mehreren Stufen statt alle über einen Kamm) denkbar und
  • Cookies kennen schon jetzt mehrere Level, die bei neuen Benutzern schrittweise hochgesetzt werden können.
  • Mit ITP droht zudem auch bei Firefox die Zweiklassen-Gesellschaft für First Party Cookies.

Chrome wird trotz allem Klagepotential zumindest aus Sicht von Google Analytics vermutlich als letzter Kandidat zum ernsthaften Problem, aber das Leben als Cookie wird auch ohne ePrivacy nicht leichter - dafür sorgen schon die Browserhersteller. Fingerprinting als Ausweg, serverseitige Cookies, localStorage und tausend andere Dinge bringen ihre eigenen Herausforderungen als Ersatz mit sich.

So bleibt das Thema weiterhin spannend, zumal sich das Rad derzeit gefühlt deutlich schneller dreht als je zuvor. Hoffen wir, dass bei allen sinnvollen und guten Absichten hinter den diversen Trackingschutzmaßnahmen am Ende - trotz absehbarer Probleme und schon bestehender Bedrohungen - noch genug Luft für "ganz normale", nicht domainübergreifende und anonyme Webanalyse übrig bleibt. Wäre sonst irgendwie blöd...

© 2001 - 2019 Markus Baersch