Ratgeber

Tracking ohne Cookies: So funktioniert Canvas-Fingerprinting

Beim Surfen im Netz werden unweigerlich Spuren hinterlassen. (Grafik: Shutterstock/ktsdesign)

Canvas-Fingerprinting ist ein Sammelbegriff für Tracking-Methoden, um einen Benutzer beim Surfen möglichst eindeutig zu identifizieren und zu analysieren. Dabei werden keine Cookies verwendet, was das Blockieren erschwert.

Wie funktioniert Canvas-Fingerprinting in der Praxis?

Die Methoden des Canvas-Fingerprinting greifen auf unterschiedliche Parameter zurück, um einen Benutzer so eindeutig wie möglich zu identifizieren. Vor allem die Unterschiede bei den Betriebssystemen, deren Konfigurationen sowie die verwendeten Programme ermöglichen eine Zuordnung des Kunden. Bei der Auswertung der Kundendaten im Online-Datenverkehr werden üblicherweise Cookies verwendet. Das kann jedoch durch deren Blockierung oder Löschung im Browser leicht unterbunden werden.

Das Canvas-Fingerprinting verfolgt hingegen einen anderen Ansatz und stellt die individuellen Merkmale des benutzten Endgeräts in den Fokus. Hierfür wird ein sogenanntes Canvas-Bild mitsamt eines kurzen Textes generiert. Canvas ist ein HTML-Element, in dem durch die Verwendung von JavaScript gezeichnet werden kann. Beim Website-Aufruf wird ein solches Bild im Hintergrund generiert und greift auf die Systemkonfigurationen des Anwenders zurück. Durch die unterschiedlichen Endgeräte kann auch das individuelle Bild des ausgewerteten Clients stark variieren. Vor allem Parameter wie das verwendete Betriebssystem, der benutzte Browser, installierte Fonts und die verwendete Grafikkarte sowie der Treiber haben einen entsprechenden Einfluss auf das Bild, denn diese Parameter dienen zum Rendern des Bildes. Da das Bild jedoch vor dem Nutzer versteckt wird, kann der keine ungewöhnlichen Aktivitäten feststellen.

Insgesamt wird bei dem Verfahren eine Art Fingerabdruck des Nutzers erzeugt, der im Anschluss eine ID vom Server zugewiesen bekommt. Mithilfe eines solchen Fingerabdrucks lässt sich der Nutzer im Internet verfolgen. Grundlage für die weitere Verfolgung ist das Nutzen einer Website mit einer identischen Tracking-Methode.

Canvas-Fingerprinting soll in gewisser Weise die Nachfolge von Cookies antreten. Mit dem Unterschied, dass sich der Fingerabdruck nicht direkt löschen lässt. In einer Studie der Princeton-Universität sowie der Katholischen Universität Leuven wurden 100.000 Websites analysiert. Dabei wurde festgestellt, dass über 5,5 Prozent der Seiten Skripte verwenden, um Canvas-Fingerprinting durchzuführen.

Welche Bedeutung hat das Canvas-Fingerprinting für die Webanalyse?

Grundsätzlich gilt das Canvas-Fingerprinting als einer der modernsten Analyseansätze. Dennoch ist das Verfahren nur bedingt akkurat. Eine Studie der Electronic Frontier Foundation ergab, dass mit nur rund 84-prozentiger Wahrscheinlichkeit Internetnutzer mit Canvas-Fingerprinting eindeutig identifiziert werden können. Das liegt daran, dass die Systemkonfigurationen keine Einzigartigkeit garantieren und bei zwei oder mehreren Nutzern identisch sein können. Vor allem auf mobilen Endgeräten ist das Verfahren vergleichsweise inakkurat, da sich dort die Systemkonfigurationen noch häufiger überschneiden.

Unter Berücksichtigung der neuesten Datenschutzregeln weist die Methodik einen Vorteil auf, denn für die Durchführung werden keine personenbezogenen Daten benötigt. Zudem müssen keine Cookies implementiert und vom Kunden akzeptiert werden. Es werden auch keine Daten auf dem Endgerät des Anwenders gespeichert. 2017 sorgte die neueste Version von Mozilla Firefox für Aufsehen, denn die Entwickler unterbanden damit die Anwendung von Canvas-Fingerprinting. Zudem steht die Methode seit der DSGVO im Fokus, da Website-Betreiber Informationen über die verwendeten Tracking-Methoden kommunizieren müssen.

Wie kann Canvas-Fingerprinting verhindert werden?

Ein mit Canvas-Fingerprinting erstellter Abdruck kann nur schwer gelöscht werden. Dennoch gibt es Möglichkeiten, um das Tracking zu unterbinden. So gibt es beispielsweise eine Browser-Erweiterung für Firefox, die bei der Generierung eines Canvas-Bildes zufällig falsche Parameter angibt. Auch weitere Browser-Plugins für andere Web-Browser sind dabei behilflich. Das Ganze ist jedoch nur sinnvoll, wenn auch entsprechende Maßnahmen gegen Cookies ergriffen werden. So sollten grundsätzlich Drittanbieter-Cookies blockiert werden, da diese ausschließlich für das Tracking von Nutzer zum Einsatz kommen.

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Mynameisrabbit
Mynameisrabbit

Sorry, aber Artikel ist faktisch falsch. Nur weil kein Cookie gesetzt wird, müssen trotzdem alle Grundlagen der DSGVO eingehalten werden!
Dazu zählt neben der Einverständnis auch die Information wie und was erfasst wird.

Ebenso ist es auch ohne Cookies mit einer Session ID ohne Probleme möglich Nutzer, zumindest unter der selben Domain zu verfolgen.

Auch über diese Grenzen hinweg gibt es etliche Möglichkeiten, wie z. B. die Eindeutigkeit von Mausbewegungen auszuwerten.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.