Tracking ohne Cookies: So funktioniert Canvas-Fingerprinting
Wie funktioniert Canvas-Fingerprinting in der Praxis?
Die Methoden des Canvas-Fingerprinting greifen auf unterschiedliche Parameter zurück, um einen Benutzer so eindeutig wie möglich zu identifizieren. Vor allem die Unterschiede bei den Betriebssystemen, deren Konfigurationen sowie die verwendeten Programme ermöglichen eine Zuordnung des Kunden. Bei der Auswertung der Kundendaten im Online-Datenverkehr werden üblicherweise Cookies verwendet. Das kann jedoch durch deren Blockierung oder Löschung im Browser leicht unterbunden werden.
Das Canvas-Fingerprinting verfolgt hingegen einen anderen Ansatz und stellt die individuellen Merkmale des benutzten Endgeräts in den Fokus. Hierfür wird ein sogenanntes Canvas-Bild mitsamt eines kurzen Textes generiert. Canvas ist ein HTML-Element, in dem durch die Verwendung von JavaScript gezeichnet werden kann. Beim Website-Aufruf wird ein solches Bild im Hintergrund generiert und greift auf die Systemkonfigurationen des Anwenders zurück. Durch die unterschiedlichen Endgeräte kann auch das individuelle Bild des ausgewerteten Clients stark variieren. Vor allem Parameter wie das verwendete Betriebssystem, der benutzte Browser, installierte Fonts und die verwendete Grafikkarte sowie der Treiber haben einen entsprechenden Einfluss auf das Bild, denn diese Parameter dienen zum Rendern des Bildes. Da das Bild jedoch vor dem Nutzer versteckt wird, kann der keine ungewöhnlichen Aktivitäten feststellen.
Insgesamt wird bei dem Verfahren eine Art Fingerabdruck des Nutzers erzeugt, der im Anschluss eine ID vom Server zugewiesen bekommt. Mithilfe eines solchen Fingerabdrucks lässt sich der Nutzer im Internet verfolgen. Grundlage für die weitere Verfolgung ist das Nutzen einer Website mit einer identischen Tracking-Methode.
Canvas-Fingerprinting soll in gewisser Weise die Nachfolge von Cookies antreten. Mit dem Unterschied, dass sich der Fingerabdruck nicht direkt löschen lässt. In einer Studie der Princeton-Universität sowie der Katholischen Universität Leuven wurden 100.000 Websites analysiert. Dabei wurde festgestellt, dass über 5,5 Prozent der Seiten Skripte verwenden, um Canvas-Fingerprinting durchzuführen.
Welche Bedeutung hat das Canvas-Fingerprinting für die Webanalyse?
Grundsätzlich gilt das Canvas-Fingerprinting als einer der modernsten Analyseansätze. Dennoch ist das Verfahren nur bedingt akkurat. Eine Studie der Electronic Frontier Foundation ergab, dass mit nur rund 84-prozentiger Wahrscheinlichkeit Internetnutzer mit Canvas-Fingerprinting eindeutig identifiziert werden können. Das liegt daran, dass die Systemkonfigurationen keine Einzigartigkeit garantieren und bei zwei oder mehreren Nutzern identisch sein können. Vor allem auf mobilen Endgeräten ist das Verfahren vergleichsweise inakkurat, da sich dort die Systemkonfigurationen noch häufiger überschneiden.
Unter Berücksichtigung der neuesten Datenschutzregeln weist die Methodik einen Vorteil auf, denn für die Durchführung werden keine personenbezogenen Daten benötigt. Zudem müssen keine Cookies implementiert und vom Kunden akzeptiert werden. Es werden auch keine Daten auf dem Endgerät des Anwenders gespeichert. 2017 sorgte die neueste Version von Mozilla Firefox für Aufsehen, denn die Entwickler unterbanden damit die Anwendung von Canvas-Fingerprinting. Zudem steht die Methode seit der DSGVO im Fokus, da Website-Betreiber Informationen über die verwendeten Tracking-Methoden kommunizieren müssen.
Wie kann Canvas-Fingerprinting verhindert werden?
Ein mit Canvas-Fingerprinting erstellter Abdruck kann nur schwer gelöscht werden. Dennoch gibt es Möglichkeiten, um das Tracking zu unterbinden. So gibt es beispielsweise eine Browser-Erweiterung für Firefox, die bei der Generierung eines Canvas-Bildes zufällig falsche Parameter angibt. Auch weitere Browser-Plugins für andere Web-Browser sind dabei behilflich. Das Ganze ist jedoch nur sinnvoll, wenn auch entsprechende Maßnahmen gegen Cookies ergriffen werden. So sollten grundsätzlich Drittanbieter-Cookies blockiert werden, da diese ausschließlich für das Tracking von Nutzer zum Einsatz kommen.
Sorry, aber Artikel ist faktisch falsch. Nur weil kein Cookie gesetzt wird, müssen trotzdem alle Grundlagen der DSGVO eingehalten werden!
Dazu zählt neben der Einverständnis auch die Information wie und was erfasst wird.
Ebenso ist es auch ohne Cookies mit einer Session ID ohne Probleme möglich Nutzer, zumindest unter der selben Domain zu verfolgen.
Auch über diese Grenzen hinweg gibt es etliche Möglichkeiten, wie z. B. die Eindeutigkeit von Mausbewegungen auszuwerten.