Eine aktuelle Untersuchung des CISPA Helmholtz-Zentrums für Informationssicherheit beleuchtet die Möglichkeiten, wie CSS (Cascading Style Sheets) in E-Mails zur Analyse von Nutzerdaten eingesetzt werden kann. Analog zum Tracking im Web können auch Absender von E-Mails durch CSS Informationen über die Empfänger sammeln, etwa Details zu Betriebssystemen, genutzten Programmen oder Spracheinstellungen. Diese Techniken bergen erhebliche Datenschutzrisiken und stellen sowohl Privatpersonen als auch Unternehmen vor neue Herausforderungen.
Wie funktioniert CSS-Tracking in E-Mails?
Beim Empfang von HTML-E-Mails können Absender mithilfe von CSS-Techniken Daten wie den genutzten Browser, den Mail-Client, das Betriebssystem und sogar installierte Schriftarten auslesen. Dies ist möglich, da CSS-Attribute und -Funktionen tiefgehende Informationen über die Systemumgebung offenlegen. Die Forscher des CISPA untersuchten 21 verschiedene E-Mail-Programme – darunter Desktop-Clients, Web-Clients sowie mobile Apps für Android und iOS. In 18 von 21 Fällen waren die Trackingmethoden erfolgreich. Betroffen sind bekannte Programme wie Outlook, Thunderbird und Gmail.
Besonders problematisch: Mit diesen Techniken können Mail-Adressen aus einem Client erfasst oder Web-Sitzungen mit Mail-Konten verknüpft werden. Dies ermöglicht es Angreifern, detaillierte Nutzerprofile zu erstellen, die sich für gezielte Angriffe oder Ausnutzung von Sicherheitslücken nutzen lassen.
Verräterische Schriftarten und Systeminformationen
Eine zentrale Erkenntnis der Studie ist, dass installierte Schriftarten viele Informationen über das System preisgeben. Beispielsweise kann das Vorhandensein proprietärer Schriftarten wie einer Microsoft-Office-Schriftart Rückschlüsse auf installierte Software und das Betriebssystem zulassen.
Ein weiteres Beispiel ist die Nutzung der CSS-Funktion calc(). Diese liefert unter Windows, Linux und macOS leicht unterschiedliche Ergebnisse, die es ermöglichen, das Betriebssystem zu identifizieren. Angreifer können dieses Wissen verwenden, um gezielt Schwachstellen des Systems auszunutzen.
Warum sind textbasierte E-Mails sicherer?
Die Forscher betonen, dass textbasierte E-Mails, die auf HTML und CSS verzichten, einen wirksamen Schutz vor CSS-Tracking bieten. Als positives Beispiel wird der E-Mail-Client Protonmail genannt, der CSS-Inhalte über einen Proxy lädt und so die Nachverfolgung erschwert. Für Unternehmen und private Nutzer, die besonderen Wert auf Datenschutz legen, könnte dies eine Alternative zu herkömmlichen Mail-Clients darstellen.
Relevanz für Datenschutz und IT-Sicherheit
Das Thema CSS-Tracking in E-Mails ist besonders relevant für die Beratung im Bereich IT-Recht und Datenschutz. Die Untersuchung zeigt deutlich, dass neben traditionellen Trackingmethoden wie Cookies oder JavaScript auch CSS eine bedeutende Rolle bei der Datenerhebung spielt. In der Praxis können diese Techniken jedoch schwerwiegende Datenschutzverletzungen nach sich ziehen, insbesondere wenn sie ohne die Zustimmung der betroffenen Nutzer erfolgen.
Für weitere Informationen zur Studie können Interessierte die Ergebnisse des CISPA-Instituts einsehen.