Mitgliedernews: Energieversorger - Datenklau auf der Website

Daten entscheiden im Online-Marketing heute immer mehr über Erfolg oder Misserfolg einer Kampagne. Denn im Zuge des automatisierten Handels von Werbeplätzen – auch „Programmatic Advertising“ genannt – wird die Ausspielung von Werbung an die richtigen Adressaten immer mehr an Nutzerprofilen ausgerichtet, die durch Daten aus verschiedenen Quellen angereichert werden.
Die Daten der Internetnutzer werden in der Regel von Drittanbietern über auf den Webseiten eingebauten Pixel-Tags gewonnen. Diese Tags – zumeist 1x1 Pixel kleine Grafiken – generieren u.a. Informationen über die IP-Adressen (Standorte der Besucher), die verwendeten Betriebssysteme oder auch die genutzten Browser. Und: Anhand der Pixel lassen sich die Aktivitäten der Seitenbesucher nachvollziehen.

Online-Kampf um wechselwillige Kunden
Die so gewonnenen Informationen können u. a. zur erneuten Ansprache des Kunden („Retargeting“) oder auch zur Anpassung des Webangebots durch Umstrukturierungen und eine Verbesserung der Nutzerfreundlichkeit verwendet werden und sind dadurch von einem hohen Wert für werbetreibende Unternehmen. Insbesondere im Energiemarkt, der seit der Liberalisierung im Jahr 1998 durch eine wachsende Konkurrenz und Wechselbereitschaft der Verbraucher geprägt ist. Laut einer Studie der TNS Infratest haben in den letzten 18 Jahren mehr als die Hälfte der deutschen Stromkunden schon einmal ihren Tarif oder sogar ihren Anbieter gewechselt.
Der Kampf um die wechselwilligen Kunden findet dabei vor allem im Internet statt. Eine Untersuchung von Google verdeutlicht: Circa 60 Prozent der Strom- und Gaskunden informieren sich vor einem Vertragsabschluss online über die unterschiedlichen Angebote. Interessant hierbei ist, dass ein Großteil der Verbraucher den Energieanbietern bei ihrer Suche nach Informationen eine hohe Kompetenz zu spricht – laut OPower nutzen circa 74 Prozent der Verbraucher im Rechercheprozess die online zur Verfügung stehenden Informationsmaterialien der Versorger.
Für die Unternehmen hat der Besuch eines Interessenten auf ihrer Webseite einen doppelten Wert. Zum einen kann dieser durch inhaltliche Argumente von einer Nutzung des eigenen Angebots überzeugt werden. Zum anderen können anhand der auf den Seiten implementierten Pixel-Tags eine Vielzahl von Daten über den Verbraucher quasi zum „Nulltarif“ erhoben werden: An welchem Standort befindet er sich? Welches Gerät, welches Betriebssystem und welchen Browser nutzt er? Welche Seiten werden wie lange angeschaut? Woher kommt der Besucher – etwa von einer Werbeanzeige, aus einem sozialen Netzwerk, von einem Vertriebspartner oder über die Google-Suche? Welche Produkte werden am Ende bestellt? An welcher Stelle erfolgt ein Abbruch ohne Kauf?

Data Leakage als neue Bedrohung
Doch so groß der Nutzen einer Verwendung von Pixel-Tags auch ist, für Energieversorger steckt darin ein erhebliches Risiko. Das Stichwort hierzu ist „Data Leakage“. Dieser unerwünschte Daten-Abfluss ist dann gegeben, wenn einer die beteiligten Drittanbieter die über die Pixel-Tags gewonnen Daten unautorisiert für den eigenen Profit nutzt. Dies kann beispielsweise in der Form ablaufen, dass die gesammelten Nutzerprofile von den Drittanbietern ausgewertet und dann am Markt verkauft werden. Beispielsweise an Konkurrenten auf dem umkämpften Strom- und Gasmarkt.

Oder Werbemarktplätze – sogenannte „Ad Exchanges“ – nutzen die gewonnenen Daten bei der Versteigerung von Anzeigenplätzen und bieten ihren Kunden auf diesem Weg die Möglichkeit einer gezielten Ansprache von bestimmten Nutzergruppen. Im schlimmsten Fall können dann die Daten, die auf der Webseite eines Unternehmens gesammelt wurden, sogar zur Abwerbung eines Kunden durch die Konkurrenz führen.

Analyse zeigt bis zu 42 unterschiedliche Tags auf EVU-Seiten
In einer Analyse der Duisburger Performance-Marketing-Agentur metapeople wurden die Web-Domains der zwanzig größten Energieanbieter in Deutschland ausgewertet und hinsichtlich der Integration von Pixel-Tags untersucht. Pro Webauftritt fand dabei eine Suche („Crawling“) über jeweils 500 Unterseiten statt. Insgesamt kamen hierbei 215 Pixel-Tags von 93 Anbietern ans Tageslicht – durchschnittlich also 20 Tags pro Domain.
Die Anzahl der auf den Domains integrierten Pixel-Tags variiert hierbei allerdings sehr stark: Während z.B. im Internet-Auftritt der Kölner RheinEnergie nur ein Pixel-Tag integriert ist, konnten auf der Domain von Thüringer Energie 42 unterschiedliche Tags entdeckt werden (Abbildung 1). Die Tags lassen sich verschiedenen Kategorien zuordnen und erfüllen unterschiedliche Aufgaben:

• Mit Remarketing-Tags können z.B. Webseitennutzer identifiziert und zu Remarketing-Listen hinzugefügt werden – diese Listen dienen der zielgerichteten Ausspielung von Anzeigen.
• Tracking-Tags werden i.d.R. sowohl zum On-Site-Tracking – wie bewegt sich der Nutzer auf einer Webseite – als auch zur Messung der Performance von Anzeigen genutzt.
• Social Network-Tags umfassen Share- und Like-Funktionen und können außerdem u.a. zur Identifikation und Ansprache der User in sozialen Netzwerken genutzt werden (Remarketing).
• Bei Tag Management-Tags wird anstelle von einer Vielzahl unterschiedlicher Tags nur ein Tag in die Seite eingepflegt. Mit dem Tag Management wird dann festgelegt, wann welcher Pixel ausgelöst wird.
• Anhand von sog. Widget-Tags werden auf einer Webseite zusätzliche Funktionen wie z.B. Social PlugIns zur Verfügung gestellt.
• Ein reines On-Site-Tracking wird i.d.R. durch Analytics-Tags ermöglicht. Mit diesen Tags können Aktionen und Bewegungen von den Besuchern einer Domain nachvollzogen und analysiert werden.
• Bei Ad-Tags handelt es sich zum einen um Anzeigen, die auf der Webseite ausgespielt werden. Zum anderen handelt es sich um Tracker zur Messung der Anzeigen-Performance.

Gefahr wird meist noch nicht erkannt
Bei der Untersuchung zeigte sich, dass auf allen untersuchten Domains von Energieversorgungsunternehmen Tracking- und Remarketing-Tags integriert sind. Auf acht Domains waren zudem Tag-Management-Pixel eingebaut, auf sieben Domains Widget-Tags und auf sechs Domains Ad-Tags. Social Media-Tags waren dagegen nur auf 5 Websites und Analytics-Tags sogar nur auf einer Domain festzustellen (Abbildung 2).
Insgesamt wurden auf den unterschiedlichen Domains Tracking-Tags von 59 und Remarketing-Tags von 36 unterschiedlichen Anbietern gefunden – u.a. von DoubleClick, BidSwitch, BlueKai und Criteo. 24 verschiedene Anbieter haben Ad-Tags auf den Domains integriert – u.a. von Ad Butler, Admeta und Usemax. Es wurden außerdem Social Network-Tags von Facebook gefunden. Zudem konnten Tag-Management-Codes von 2 Anbietern – Google Tag Manager und Tealium – identifiziert werden. Widget-Tags stammten von 4 Anbietern und Analytics-Tags von einem Anbieter (Abbildung 3).

Angesichts der Risiken, die sich aus dem unautorisierten Abfluss von Daten ergeben, und der großen Anzahl von Tags sollten Energieversorger unbedingt prüfen, welche Tags weshalb auf ihren Seiten integriert sind? Angesichts der Vielzahl von Anbietern, deren Pixel auf den unterschiedlichen Seiten integriert sind, stellt sich die Frage, ob und inwiefern es bereits unternehmensinterne Gesamtübersichten über die auf einer Domain implementierten Pixel gibt. Zur Vermeidung von Doppelungen und von möglichen Datenverlusten sowie zur Identifizierung von fehlerhaften Pixel-Integrationen empfiehlt sich auf jeden Fall eine zentrale Koordinationsstrategie für das Management der Pixel-Tags. Denn Data Leakage kann zu einem gewichtigen Problem für ein Unternehmen werden, dessen Bedeutung und Ausmaß vielfach noch gar nicht erkannt ist.