Überwachung von Drittanbieter-Skripten auf Ihrer Website

Jazmie Jamaludin

Stellen Sie sich Ihre Website als ein Haus vor, das Ihnen gehört. Sie entscheiden, wer hineinkommt, wohin er geht und was er anfassen darf. Stellen Sie sich nun vor, dass Sie im Laufe der Jahre Ersatzschlüssel verteilt haben – einen an ein Analyseunternehmen, einen an ein Chat-Widget, einen an ein Werbenetzwerk, ein paar an Tools, für die Sie sich nicht mehr genau erinnern können, sich angemeldet zu haben. Die meisten dieser Gäste sind wohlerzogen. Aber Sie haben den Überblick verloren, wie viele Schlüssel es gibt, was jeder Besucher drinnen tut und ob einer von ihnen alles verlangsamt oder ein Fenster offen lässt. Das ist, kurz gesagt, die Situation auf einer typischen Website, die ihre Drittanbieter-Skripte nie geprüft hat.

Diese Skripte sind Code-Schnipsel von externen Unternehmen, die Sie in Ihre Seiten einbetten, um Funktionen hinzuzufügen – Analysen, Live-Chat, soziale Schaltflächen, Werbung, Videoplayer, Bewertungen, Zahlungshelfer und mehr. Sie sind wunderbar bequem. Sie sind aber auch, zusammengenommen, eine der am meisten übersehenen Quellen für Langsamkeit, Fehler und Datenschutzrisiken im Web. In diesem Leitfaden erfahren Sie, was diese Skripte wirklich sind, warum sie sich ansammeln, wie Sie eine klare Bestandsaufnahme von allem erstellen, was auf Ihrer Website läuft, und wie Sie entscheiden, was bleibt und was geht – alles, ohne ein Entwickler sein zu müssen.

Was genau ist ein Drittanbieter-Skript?

Wenn Sie eine Webseite laden, ruft Ihr Browser nicht nur Wörter und Bilder von Ihrer eigenen Website ab. Er greift auch auf die Server anderer Unternehmen zu, um die zusätzlichen Funktionen abzurufen, die Sie hinzugefügt haben. Jede dieser Funktionen kommt als kleines Programm – ein Skript – an, das im Browser des Besuchers ausgeführt wird. Der „Drittanbieter“ bedeutet einfach, dass es von jemand anderem als Ihnen und dem Besucher stammt: einem separaten Unternehmen, dessen Code Sie auf Ihre Seite eingeladen haben.

Einige davon sind offensichtlich, wie eine Chatblase in der Ecke oder ein eingebettetes Video. Andere sind völlig unsichtbar: Tracking-Pixel, die das Verhalten aufzeichnen, Tag-Manager, die noch mehr Skripte laden, Schriften, die von anderswo abgerufen werden, Tools zur Betrugserkennung. Das Problem ist, dass jedes dieser Skripte mit überraschend großer Freiheit innerhalb Ihrer Seite läuft, und jedes ist eine Abhängigkeit von einem Unternehmen, das Sie nicht kontrollieren. Wenn deren Server heute langsam ist, ist Ihre Seite heute langsam. Wenn sie einen schlechten Tag haben, kann Ihre Seite abstürzen.

Sie kontrollieren deren Code nicht
Jedes Drittanbieter-Skript läuft in den Browsern Ihrer Besucher, doch Sie kontrollieren nicht, was es tut oder wann sein Besitzer es ändert. Dieser Kompromiss ist der Kern dessen, warum ein Audit wichtig ist.
Quelle: Webplattform-Sicherheitsleitfaden

Warum sich Skripte still und leise ansammeln

Niemand beabsichtigt, seine Website zu überladen. Es geschieht durch eine vernünftige Entscheidung nach der anderen. Sie fügen Analysen hinzu, um Ihre Besucher zu verstehen. Eine Marketingkampagne benötigt ein Tracking-Pixel. Jemand schlägt ein Chat-Widget vor. Ein neues Tool verspricht bessere Konversionen. Jede Hinzufügung fühlt sich isoliert harmlos an. Aber Skripte lassen sich leicht hinzufügen und werden fast nie entfernt. Kampagnen enden, Tools werden ersetzt, Mitarbeiter wechseln, doch der Code verbleibt auf der Seite, lange nachdem sich niemand mehr daran erinnert, warum er dort ist.

Tag-Manager machen dies auf eine hilfreiche, aber gefährliche Weise schlimmer. Sie ermöglichen nicht-technischem Personal das Hinzufügen von Skripten, ohne den Code der Website zu berühren, was bequem ist – und bedeutet, dass sich Skripte unsichtbar ansammeln können, ohne dass jemand eine Masterliste führt. Über ein paar Jahre kann eine Website Dutzende von Drittanbieter-Skripten ausführen, von denen viele totes Gewicht sind. Jedes kostet ein wenig Geschwindigkeit, birgt ein kleines Risiko und teilt ein paar Besucherdaten. Zusammen summieren sie sich zu einem echten Problem, weshalb dies in Ihren regelmäßigen Ablauf gehört, zusammen mit einem umfassenderen Website-Gesundheitsaudit.

Die drei Kosten unkontrollierter Skripte

Unkontrollierte Drittanbieter-Skripte verursachen drei unterschiedliche Kosten, und es lohnt sich, jede einzelne zu verstehen, da sie in verschiedene Richtungen wirken.

Geschwindigkeit

Skripte verlangsamen Seiten auf eine Weise, die leicht zu unterschätzen ist. Jedes Skript ist eine zusätzliche Reise durch das Internet, um Code abzurufen, und viele von ihnen führen im Browser aufwändige Arbeiten aus, die die Nutzbarkeit der Seite verzögern. Da sie von Servern anderer Unternehmen geladen werden, entziehen sie sich auch Ihrer Kontrolle: Ist deren Netzwerk überlastet, warten Ihre Besucher. Eine Website kann wunderschön optimierte Bilder und einen sauberen Code haben und sich dennoch träge anfühlen, nur wegen des Drittanbieter-Ballasts, den sie mit sich führt. Geschwindigkeit ist sowohl für Besucher als auch für Suchrankings wichtig, weshalb dies so eng mit der Aufrechterhaltung der Geschwindigkeit Ihrer Website über die Zeit zusammenhängt.

Zuverlässigkeit

Wenn Sie das Skript eines anderen einbetten, verbinden Sie einen Teil des Schicksals Ihrer Website mit deren. Wenn sie ihren Code ändern, könnte sich Ihre Funktion über Nacht anders verhalten. Wenn ihr Dienst ausfällt, kann der Teil Ihrer Seite, der davon abhängt, ausfallen – manchmal sichtbar, manchmal indem er den Rest der Seite am Laden hindert. Je mehr Skripte Sie mit sich führen, desto mehr Single Points of Failure häufen Sie an, jedes davon ein Unternehmen, dem Sie einfach vertrauen müssen, dass es keinen schlechten Tag hat.

Datenschutz und Sicherheit

Dies ist die leiseste und oft die gravierendste Kosten. Viele Drittanbieter-Skripte sammeln Daten über Ihre Besucher – was sie tun, welches Gerät sie verwenden, manchmal viel mehr. Sie sind verantwortlich für das, was auf Ihren Seiten geschieht, auch wenn die Sammlung durch den Code eines anderen erfolgt. Ein Skript kann auch eine Sicherheitslücke darstellen: Da es mit echter Macht innerhalb Ihrer Seite ausgeführt wird, kann ein kompromittiertes oder bösartiges Skript Informationen lesen, Inhalte ändern oder in Formulare eingegebene Details ernten. Eine straffe Liste dessen, was Sie zulassen, ist Teil eines verantwortungsvollen Schutzes von Kundendaten.

Häufige Skripttypen und was zu beachten ist
Skripttyp Was es tut Hauptanliegen
Analyse Misst das Besucherverhalten Datenschutz und Einwilligung
Werbung und Tracking-Pixel Zielt und misst Anzeigen Datenschutz, Datenaustausch
Chat-Widgets Live- oder automatisierter Support Geschwindigkeit, Zuverlässigkeit
Eingebettete Medien Video, Karten, soziale Beiträge Seitengewicht
Tag-Manager Lädt andere Skripte Verborgene Ausbreitung

Wie man eine klare Bestandsaufnahme erstellt

Sie können nicht verwalten, was Sie nicht sehen, daher beginnt das Audit mit einer einfachen Liste von allem, was auf Ihrer Website läuft. Die gute Nachricht ist, dass Sie keine spezielle Software benötigen, um zu beginnen. Jeder moderne Browser enthält integrierte Entwicklertools, die alle externen Verbindungen anzeigen, die eine Seite beim Laden herstellt. Sie müssen die technischen Details nicht verstehen – Sie suchen nur nach den Namen der Unternehmen, die Ihre Seite kontaktiert. Die unbekannten sind genau das, wonach Sie suchen.

Sehen Sie sich an, was auf einer Seite geladen wird

Öffnen Sie eine Ihrer wichtigsten Seiten und verwenden Sie die Netzwerkansicht des Browsers, um jede Anfrage anzuzeigen, die sie stellt. Sie werden wahrscheinlich einige Namen erkennen und von anderen überrascht sein. Notieren Sie jedes externe Unternehmen, das Sie finden. Achten Sie besonders auf alles, was Sie nicht erkennen, denn ein unbekanntes Skript, das Sie nicht zuordnen können, ist das Wichtigste, was Sie untersuchen sollten. Es gibt auch kostenlose Datenschutz-Scan-Tools, die Ihre Website besuchen und die von ihnen erkannten Tracker auflisten, was ein freundlicherer Ausgangspunkt für nicht-technische Betreiber ist.

Überprüfen Sie Ihren Tag-Manager und Ihre Plugins

Wenn Sie einen Tag-Manager verwenden, öffnen Sie ihn und lesen Sie alles durch, was er lädt. Hier verstecken sich oft die vergessenen Skripte. Überprüfen Sie ebenso Ihre Plugins und Add-ons, da viele von ihnen still und leise ihren eigenen Drittanbieter-Code injizieren. Das Ziel ist eine einzige Masterliste: jedes Skript, woher es kam und warum es dort ist. Wenn Sie das „Warum“ nicht beantworten können, haben Sie einen starken Kandidaten für die Entfernung gefunden.

Wenn Sie es nicht erklären können, hinterfragen Sie es
Jedes Skript, dessen Zweck niemand erklären kann, ist ein Hauptkandidat für die Entfernung – unerklärter Code ist Risiko ohne Belohnung.
Quelle: Best Practice für die Webseitenpflege

Entscheiden, was bleibt und was geht

Mit Ihrer Liste in der Hand beurteilen Sie jedes Skript anhand einer einzigen, ehrlichen Frage: Rechtfertigt der von ihm gebotene Mehrwert die Kosten in Bezug auf Geschwindigkeit, Zuverlässigkeit und Datenschutz? Für einen Zahlungshelfer, der Ihnen das Kassieren ermöglicht, lautet die Antwort eindeutig ja. Für ein Tracking-Pixel aus einer Kampagne, die vor zwei Jahren endete, lautet die Antwort ebenso eindeutig nein. Die meisten Skripte fallen irgendwo dazwischen, und hier beweisen Sie als Eigentümer Ihr Können.

Entfernen Sie zuerst den toten Ballast

Beginnen Sie mit den einfachen Erfolgen: alles, was Sie nicht mehr verwenden, alles, was Sie nicht erklären können, alles Doppelte. Zwei Analysetools, die dieselbe Aufgabe erledigen? Behalten Sie eines. Ein soziales Widget für ein Netzwerk, das Sie aufgegeben haben? Weg damit. Das Entfernen kostet Sie nichts und verschafft Ihnen sofort Geschwindigkeit und reduziert das Risiko. Erstellen Sie immer ein Backup oder testen Sie die Änderung zuerst auf einer Staging-Kopie, damit Sie bestätigen können, dass nichts Wichtiges kaputt gegangen ist, bevor Sie live gehen.

Die Verbleibenden zähmen

Bei den Skripten, die ihren Platz verdienen, können Sie oft ihre Kosten senken. Viele können so eingestellt werden, dass sie später geladen werden, nachdem die Hauptseite nutzbar ist, sodass sie die Anzeige dessen, was der Besucher sehen wollte, nicht mehr verzögern. Schwere Einbettungen wie Videos können so konfiguriert werden, dass sie nur geladen werden, wenn jemand sie tatsächlich möchte. Das Prinzip ist einfach: Der Inhalt, für den der Besucher kam, soll zuerst ankommen, und die Extras folgen leise dahinter.

Die Liste unter Kontrolle halten

Ein Audit ist kein einmaliges Ereignis, denn Skripte schleichen sich wieder ein. Der eigentliche Gewinn besteht darin, das Audit zu einer Gewohnheit und Regel zu machen. Pflegen Sie Ihre Masterliste als lebendiges Dokument. Machen Sie das Hinzufügen eines neuen Skripts zu einer bewussten statt einer beiläufigen Entscheidung, wobei jemand dafür verantwortlich ist, von Zeit zu Zeit zu fragen: „Brauchen wir das noch?“ Planen Sie eine Überprüfung in einem vernünftigen Intervall – zwei Mal im Jahr ist für die meisten Websites angemessen –, damit sich die Ausbreitung nie wieder außer Kontrolle gerät.

Diese Disziplin zahlt sich weit über die Geschwindigkeit hinaus aus. Genau zu wissen, welche Skripte Daten sammeln, macht Ihre Datenschutzpraktiken ehrlich und Ihre Compliance-Grundlagen viel einfacher zu pflegen, da Sie nur um Zustimmung für Tracking bitten können, von dem Sie tatsächlich wissen. Es ist auch mit Ihrer Cookie-Zustimmung verbunden, da viele dieser Skripte genau das sind, was Ihr Zustimmungsbanner regeln soll. Und wenn sich ein Skript als Ursache eines Lecks herausstellt, macht eine saubere Bestandsaufnahme das Reagieren auf eine Sicherheitsverletzung weitaus weniger beängstigend. Für einen tieferen Einblick in die Datenseite lohnt sich ein Blick auf das umfassendere Thema Analysen und Datenschutz.

Zusammenfassung

Drittanbieter-Skripte sind ein stilles Geschäft, das Sie immer wieder eingehen: ein wenig Bequemlichkeit jetzt im Austausch für ein wenig Geschwindigkeit, Zuverlässigkeit und Datenschutz später. Keiner der einzelnen Tauschgeschäfte fühlt sich bedeutsam an, weshalb sie sich zu einer echten Belastung summieren. Die Lösung besteht nicht darin, Skripte zu fürchten, sondern sich ihrer bewusst zu bleiben. Erstellen Sie eine Liste von allem, was auf Ihrer Website läuft, beurteilen Sie jedes ehrlich nach dem Wert, den es bietet, entfernen Sie den toten Ballast, zähmen Sie die Verbleibenden und überprüfen Sie alles nach einem Zeitplan. Tun Sie dies, und Sie erhalten eine schnellere, sicherere, vertrauenswürdigere Website zurück – eine, bei der Sie tatsächlich wissen, wer die Schlüssel in der Hand hält. Wenn Sie Hilfe bei der Überprüfung der Skripte auf Ihrer Website benötigen, können Sie uns gerne kontaktieren.

Häufig gestellte Fragen

Was ist ein Drittanbieter-Skript im Klartext?+
Es ist ein Stück Code von einem externen Unternehmen, das Sie in Ihre Seiten einbetten, um eine Funktion hinzuzufügen – Analysen, Chat, Video, Werbung und so weiter. Es läuft in den Browsern Ihrer Besucher, stammt aber von jemand anderem als Ihnen, weshalb es sowohl Bequemlichkeit als auch Risiken birgt.
Wie sehe ich, welche Skripte meine Website ausführt?+
Öffnen Sie eine wichtige Seite und verwenden Sie die integrierte Netzwerkansicht Ihres Browsers, um jedes externe Unternehmen zu sehen, mit dem sich Ihre Seite verbindet. Sie müssen den Code nicht lesen – notieren Sie einfach die Namen. Kostenlose Datenschutz-Scan-Tools besuchen Ihre Website ebenfalls und listen die von ihnen gefundenen Tracker auf, was ein sanfter Ausgangspunkt ist.
Wird das Entfernen von Skripten meine Website zerstören?+
Das kann passieren, wenn Sie etwas entfernen, das noch in Gebrauch ist, weshalb Sie Änderungen zuerst auf einer Staging-Kopie testen oder ein Backup erstellen sollten. Das Entfernen von Skripten, die Sie wirklich nicht mehr benötigen, ist sicher und macht die Website in der Regel schneller. Nehmen Sie es einzeln vor und bestätigen Sie, dass sich nichts Wichtiges geändert hat, bevor Sie live gehen.
Wie oft sollte ich meine Skripte überprüfen?+
Eine vollständige Überprüfung ein paar Mal im Jahr ist für die meisten Websites ausreichend, zusätzlich zu einer schnellen Überprüfung, wenn Sie ein neues Tool hinzufügen oder eine Kampagne starten. Der Schlüssel ist, eine lebendige Liste zu führen und das Hinzufügen eines Skripts zu einer bewussten Entscheidung zu machen, damit sich der Ballast nie wieder so stark ansammelt wie am Anfang.

Referenzen

  1. Google. „Web.dev Guidance on Optimising Third-Party Resources.“ web.dev.
  2. Mozilla. „MDN Web Docs: Third-Party Scripts and Security.“ developer.mozilla.org.
  3. Electronic Frontier Foundation. „Online Tracking and Privacy Tools.“ eff.org.
Zurück zum Blog

AUTOMATISIEREN. OPTIMIEREN. DOMINIEREN.

Optimieren Sie Ihre Betriebsabläufe und bieten Sie ein reibungsloses Kundenerlebnis. Unsere Experten implementieren modernste Technologien und optimierte Arbeitsabläufe, damit Sie sich auf Ihre Kernkompetenzen konzentrieren können.

DISKUTIEREN SIE IHRE IDEEN