Fingerprinting (Webbrowser)

Wer sich im Internet bewegt, wird von Werbenetzen, Analytics-Firmen und Website-Betreibern beobachtet. Das Surf-Verhalten wird ausgewertet und zu Profilen verknüpft.

Manchmal ist es praktisch, von einer Website wiedererkannt zu werden, ohne sich einloggen zu müssen. Oft aber ist dieses Tracking auch unerwünscht. So haben Sie möglicherweise schon einmal erlebt, dass Ihnen auf Websites Werbung für ein Produkt präsentiert wurde, das Sie davor ganz woanders angeschaut hatte. Zufall? Keineswegs! Immer wieder gibt es auch Gerüchte, dass Online-Shops unterschiedliche Preise für unterschiedliche Kunden aufrufen, obwohl die Beweise dafür dürftig sind.

Im einfachsten Fall funktioniert das Tracking mit Cookies – kleinen Textdateien, die der Browser automatisch beim Besuch einer Website speichert. Den Hinweis zur Cookie-Nutzung kennen Sie von vielen Websites. Und wenn Sie zuvor z.B. in Facebook, Google oder Twitter eingeloggt waren und sich nicht ausgeloggt haben, hinterlassen Sie ebenfalls breite Datenspuren. Aber auch, wenn Sie die Cookies regelmäßig löschen, Inkognito-Fenster oder gar spezielle Webbrowser wie Tor nutzen und sich immer konsequent aus allen Diensten samt Facebook und Google bei Nicht-Benutzung ausloggen, sind Sie im Web nicht wirklich anonym.

Eine Methode, unterschiedliche NutzeInnen auch über verschiedene Websites hinweg ohne Einsatz von Cookies zu identifizieren, ist das so genannte Fingerprinting.

Dabei werden wie bei einem Fingerabdruck eine Vielzahl von zunächst harmlosen Merkmalen des Webbrowsers, des verwendeten Betriebssystems und der Hard- und Software-Ausstattung (entsprechend den Kapilarlinien beim Fingerabdruck) miteinander kombiniert, um ein einmaliges oder doch zumindest sehr seltenes Profilbild zu bekommen, das den Nutzer gegenüber der Website identifiziert.

So lassen sich per JavaScript eine Vielzahl von Merkmalen ermitteln, wie:

der verwendete Webbrowser mit der exakten Kennung und Versionsnummer
das verwendete Betriebssystem, der aktuelle Update-Stand, die Landes- und Spracheinstellungen
Speichergröße, Bildschirmauflösung, Fenstergröße des Browsers
installierte Plugins und Schriftarten
usw.

Ein kleines Beispiel, wie dieses Prinzip genutzt werden kann, um wiederholte Besuche eines bestimmten Nutzers zu identifizieren: AnwenderInnen, die z.B. den Firefox-Browser verwenden, gibt es viele. Solche, die den Browser in der Version 52.0.1 auf einem MacBook Pro 13″ und der macOS Version 10.12.3 verwenden und 16 GB Arbeitsspeicher installiert haben, schon weniger. Noch weniger davon haben die gleichen Plugins und die gleichen Schriftarten installiert sowie die gleiche Zeitzone und die gleichen Spracheinstellungen eingestellt. Und schon gibt es nur noch eine Handvoll NutzerInnen, die ein System mit genau diesem „Fingerprint“ verwenden. Und von denen nutzt wahrscheinlich nur eine/r diese bestimmte Website wiederholt in einem bestimmten Zeitrahmen.

Will man die Auswertung auf die Spitze treiben, dann können auch noch viele andere Faktoren herangezogen werden, wie beispielsweise die Abweichung der internen Uhrzeit von der Referenzzeit, Cache-Größen, der freie Speicherplatz uvm. Der Nutzer merkt dabei nicht einmal, dass all diese Parameter im Hintergrund abgefragt werden – und würde er dem Webbrowser die Berechtigung dazu entziehen, indem er aktive Inhalte wie JavaScript unterbindet, funktionieren viele Websites nicht mehr wie gewünscht.

Naturgemäß ist das Fingerprinting aufwendiger und nicht ganz so zuverlässig wie z.B. die Nutzung von Cookies: Browser, Betriebssystem und Plugins werden mit der Zeit aktualisiert, der individuelle Fingerabdruck ändert sich dann. Aber er verändert sich nur marginal, in einzelnen Merkmalen – das Matching aber, die Identifikation des Nutzers, erfolgt beim Fingerprinting eh „unscharf“, es ist also keine hundertprozentige Übereinstimmung notwendig, sondern, genau so wie beim Fingerabdruck-Vergleich zur Personenidentifikation, nur eine hinreichend gute Übereinstimmung.

Als NutzerIn sollten Sie sich daher nicht darauf verlassen, dass Sie „anonym“ im Web unterwegs sind, wenn Sie ein Inkognito-Fenster öffnen oder Ihre Cookies löschen.

Wenn Sie selbst einmal ausprobieren wollen, wie Ihr Webbrowser beim Finterprinting abschneidet, können Sie das mit dem Tool Panopticlick testen. Einfach „Test me“ auswählen und auf der Übersicht mit der Ergebnisübersicht „Show full results for fingerprinting“ auswählen:

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Fingerprinting (Webbrowser)

Related Posts

Consent Management

SLAM: Simultaneous Localization and Mapping

RPA und RDA