Spion im Browser: Fingerprinting etabliert sich als Alternative zu Cookies
Website-Betreiber haben seit jeher ein großes Interesse daran, Nutzer zu identifizieren und wieder zu erkennen. Lange setzte man hierfür primär Cookies ein, die auch dem Nutzer den ein oder anderen Vorteil bieten. So kann man sich beispielsweise das erneute Anmelden auf einer Seite oft ersparen, wenn man diese erneut besucht. Ein häufiger Einsatzzweck von Cookies besteht allerdings darin, dass man dem Nutzer so maßgeschneiderte Werbung anzeigen kann, weil man weiß, welche anderen Seiten der Nutzer besucht hat und wofür er sich interessiert.
Fingerprinting wird schon heute eingesetzt, um Nutzer online zu tracken, und ist im Vergleich zu Cookies kaum zu erkennen. Wer sehen will, wie leicht er anhand seines verwendeten Rechners identifiziert werden kann, erfährt am Ende des Artikels, wie das geht. (Screenshot: Panopticlick)
Als informierter Nutzer geht man in der Regel davon aus, dass man Websites daran hindern kann, dass diese einen selbst identifizieren, indem man einfach Cookies in seinem Browser deaktiviert. Das ist leider nicht ganz richtig. Besucht man eine Website, gewährt man dieser Zugriff auf jede Menge Informationen über die Konfiguration des verwendeten Geräts – egal ob Rechner, Smartphone oder Tablet. Aus diesen Informationen lässt sich ein eindeutiger Fingerabdruck erstellen. Das nennt sich dann Fingerprinting. Diese Tracking-Methode ist nicht neu und wesentlich effektiver als Cookies.
Schwächen von Cookies für Werbetreibende
Aus Sicht von Werbetreibenden haben Cookies gleich eine Reihe von Nachteilen. Zum einen können diese gelöscht werden, zum anderen verwendent manche Nutzer auch Tools und Einstellungen, die das Speichern von Cookies unterbinden. Darüber hinaus ist der Einsatz von Cookies auf Smartphones problematischer als in herkömmlichen Browsern.
Cookies waren bisher das primäre Mittel zum Tracking von Nutzern. (Foto: Tobyotter / flickr.com, Lizenz: CC-BY)
Fingerprinting als Alternative zu Cookies
Um die Nachteile von Cookies auszuräumen, setzen immer mehr Werbetreibende und Publisher auf Fingerprinting. Diese Technik ermöglicht Website-Betreibern, einzelne Charakteristika des vom Besucher genutzten Rechners auszulesen und den Nutzer anhand dieser zu identifizieren und wieder zu erkennen. Das ist aus Sicht von Unternehmen ein sehr sinnvolles Verfahren, aus Sicht des Nutzers aber nicht erst vor dem Hintergrund von PRISM eine ziemlich beunruhigende Vorstellung.
Mit Fingerprinting kann man beispielsweise auslesen, welche Plugins und Software der Nutzer installiert hat, wie groß der verwendete Bildschirm ist, welche Zeitzone eingestellt ist sowie viele weitere Merkmale. Einzeln genommen, lässt sich ein Nutzer natürlich nicht anhand eines dieser Merkmale identifzieren. Verknüpft man aber mehrere Charakteristika miteinander, lässt sich eine eindeutige Signatur erstellen, die mit einem Fingerabdruck vergleichbar ist – daher auch der Name Fingerprinting.
Natürlich verändert sich dieser Fingerabdruck, wenn der Nutzer Änderungen an seinem System vornimmt. Aber zu optimistisch sollte einen das in Sachen Datenschutz nicht stimmen, denn es gibt Algorithmen, die diese Fingerprint-Änderungen recht zuverlässig einem Profil zuordnen können. Darauf weist Panopticlick im PDF einer Studie zum Thema Fingerprinting hin.
Vorteile von Fingerprinting für Unternehmen
Die Vorteile von Fingerprinting für Unternehmen sind vielfältig und gleichzeitig eigentlich fast durchweg in gewisser Weise nachteilig für den Nutzer. Ein einmal angelegtes Fingerprint-Profil kann vom Nutzer im Gegensatz zu einem Cookie nicht gelöscht werden. Mit Fingerprinting ist es darüber hinaus möglich, den Nutzer über unterschiedliche Geräte hinweg zu tracken. Dafür bedient man sich der User ID auf jedem Gerät, und verknüpft diese mit anderen entsprechenden IDs. Mit Fingerprinting ist es außerdem möglich, unendlich viele Touchpoints und damit komplette Klick-Pfade zu tracken.
Fingerprinting: Teste die Einmaligkeit deines Browsers
Der große Nachteil von Fingerprinting für Nutzer ist, dass es im Gegensatz zu den meisten Cookies fast unmöglich ist, zu erkennen, dass man getrackt wird. Darüber hinaus lagern die gesammelten Daten im Gegensatz zu Cookies nicht auf dem Rechner des Nutzers, sondern auf den Servern des trackenden Unternehmens. Ein Fingerprint-Profil lässt sich also nicht löschen – eine beunruhigende Vorstellung.
Wer herausfinden möchte wie einzigartig der eigene Browser ist, kann sich seinen Fingerprint bei Panopticlick ansehen. Bei Panopticlick handelt es sich um ein Experiment der Electronic Frontier Foundation, in dem Daten anonymisiert erhoben werden. Erhoben werden bei diesem Experiment die Konfiguration und Verion des Betriebssystems, der Browser und installierte Plugins. Diese Daten werden dann mit den bisher erhobenen Daten anderer Nutzer verglichen, um einen Einzigartigkeits-Score auszugeben. Auf diese Weise lässt sich feststellen, wie einfach man anhand von Fingerprinting identifizierbar ist.
Bildnachweis für die Newsübersicht: Foto: dvanzuijlekom / flickr.com, Lizenz: CC-BY-SA
Weiterführende Links
- Fingerprinting: Eigenen Browser-Fingerabdruck abrufen – Panopticlick
- Fingerprinting: How Unique is Your Browser? (PDF) – Panopticlick
- Fingerprinting mit Cookies: Wie der Browser zum verräterischen Fingerabdruck werden kann – t3n News
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Super Artikel. Ich habe mir nie Gedanken darüber gemacht, dass ich aufgrund von Schriftarten und Plugins so gut identifizierbar bin.
Es sollte aber doch trotzdem nicht unvermeidbar sein, das einge Surfen zu anonymisieren. Man bräuchte nur einen Browser (Plugin) der regelmäßig neue Informationen zufällig zusammenstellt und jedesmal unterschiedliche Antworten auf die vom Server gestellten Fragen gibt.
Schlecht programmierte Seiten haben damit vielleicht ein Problem aber sonst sollte das ja kaum auswirkungen haben.
Geht sowieso niemanden was an, welche Plugins ich installiert habe.
„Your browser fingerprint appears to be unique among the 3,040,941 tested so far.“
Und jetzt noch das Google Chrome Plugin, dass ständig zufällig generierte Daten sendet?
Das Deaktivieren von JavaScript sowie die Nutzung möglichst weniger Browser-Plugins macht den Browser-Fingerabdruck bereits deutlich schlechter.
Auf http://browserspy.dk/ gibt es übrigens eine detaillierte Übersicht von Informationen, die Website-Betreiber aus dem Browser auslesen können.
Hat jemand dieses Plugin mal ausprobiert?
https://addons.mozilla.org/de/firefox/user/StopFingerprinting/
Ich habe ein schönes Plugin gefunden:
https://addons.mozilla.org/de/firefox/addon/firegloves/
Jetzt sind es nur noch ein von 3,216 Browsern statt 3 Mio