Browser-Fingerprinting

Das Web wurde ursprünglich zum Abruf von Dokumenten, die auf verschiedenen Computern gespeichert sein können, erfunden. Erst als Web-Anwendungen entwickelt wurden, mussten die Abrufe mit einem eindeutigen Code versehen werden, damit die Benutzer wiedererkannt werden können. Dafür wurden Cookies eingeführt. Wer nicht nachverfolgt werden wollte, hat diese Cookies einfach nicht akzeptiert. Das war einmal!

Heute gibt es Alternativen zu Cookies, die Geräte wiedererkennbar machen, auch wenn der Benutzer alle Cookies und sonstigen zwischengespeicherten Informationen löscht. Z. B.:

Missbrauch der Caching-Funktion:
- Jedem Besucher wird unter dem gleichen Namen eine andere Datei zur Zwischenspeicherung angeboten. Beim neuerlichen Aufruf derselben Seite kann dann mittels Javascript die bereits im Browser-Cache vorhandene Datei gelesen und der Browser wiedererkannt werden.
- Auch das Datum der letzten Änderung oder die eindeutige Versions-ID (sog. ETag) der Datei kann für jeden neuen Aufruf anders sein. Wenn der Browser wieder auf die Seite kommt, fragt er beim Webserver, ob seine Datei noch aktuell ist und schickt dieses manipulierte Datum oder die als Cookie-Ersatz missbrauchte Versions-ID (ETag), wodurch der Browser sogar ohne Javascript wiedererkannt werden kann, wenn der Cache nicht gelöscht wurde.
Missbrauch des Browser-Verlaufs: Jeder neue Benutzer wird auf eine andere Adresse weitergeleitet. Bei einem neuerlichen Aufruf wird mittels Javascript oder CSS ausgelesen, auf welcher Seite der Benutzer zuvor war.
Missbrauch der Funktion zum Zeichnen mittels Javascript (Canvas Fingerprinting): Je nach Hardware und installierten Treibern, Zeichensätzen usw. unterscheidet sich das Ergebnis geringfügig, sodass Browser mit hoher Wahrscheinlichkeit wiedererkannt werden können.
Missbrauch des (nicht sichtbaren) Fensternamens als Cookie, das bis zum Schließen des Browsers bestehen kann
Missbrauch der Funktionen zum Auslesen der Browser- bzw. Computer-Eigenschaften: Bildschirmauflösung, installierte Komponenten, abspielbare Videoformate, akzeptierte Dateiformate, verfügbare Zeichensätze, ... (geht mit Javascript und tw. auch mit CSS) – Alle Informationen zusammen machen ein Gerät bzw. einen Browser so individuell wie einen Fingerabdruck (daher der Name "Fingerprinting").

Um Benutzer wiederzuerkennen:

Mittels Javascript kann gemessen werden, wie lange du zum Tippen brauchst (Dauer Tastendruck, Dauer Pausen zwischen zwei Tasten, ...). Nur einer von 20 000 Menschen soll die gleiche Art zu tippen haben. Auch das Scrollen, die Bewegung des Mauszeigers bzw. die Verwendung des Touchscreens kann mittels Javascript exakt aufgezeichnet werden.
Wenn du Links auf Facebook oder Twitter postest, dann kann das bereits ausreichen, dass dein ganzer mitgeschnittener Browser-Verlauf dir zugeordnet werden kann, denn Links, die du postest, hast du höchstwahrscheinlich auch selbst aufgerufen.

Verwendung

Wenn du kostenlos unsere Artikel lesen willst, dann wollen wir deine Daten auslesen?

Viele große Websites (unter anderen Google, Facebook und Microsoft) bzw. die dort eingebundenen Werbe-Netzwerke verwenden Browser-Fingerprinting.

Einige große Zeitungen haben ihre Websites extra so programmiert, dass man ihre Artikel bei abgeschaltetem Javascript nicht lesen kann – ich vermute, weil sonst das Fingerprinting nicht so gut funktioniert (und sie damit ihre nötigen Einnahmen erzielen).

Auf Webseiten von Banken oder z. B. Webmail-Diensten wird Fingerprinting sinnvollerweise eingesetzt, um Aufrufe von Hackern oder Betrügern zu erkennen.

Gegenmaßnahmen

Tor-Browser verwenden – Der ist speziell für Benutzer, die anonym bleiben wollen, gemacht und hat diverse kritische Funktionen deaktiviert.
Browser in einer virtuellen Maschine verwenden
Der Safari-Browser von Apple soll das Fingerprinting erschweren, "indem ein stark reduziertes technisches Profil des Geräts weitergegeben wird." Anscheinend erfolgreich, denn Werbefirmen kritisieren den Browser!

Erschreckend: Ein vollkommener Schutz vor Nachverfolgung ist schwierig bis unmöglich:

Einzelne Maßnahmen bringen nichts oder sind sogar kontraproduktiv, weil sie die Einzigartigkeit des Fingerprints erhöhen.
Gravierendere Maßnahmen, wie z. B. Abschaltung von Javascript, machen viele Webseiten unlesbar. Extra-Datenschutz-Komponenten (Plugins) sind "nicht unbedingt für Durchschnittsuser geeignet und den Datendealern immer wieder einen Schritt hinterher." Es gibt ein "Wettrüsten zwischen Trackern und Datenschützern". Wenn sie auch nur eine funktionierende Methode finden, haben sie gewonnen. Wenn der Nutzer auch nur einmal einen Fehler macht, hat er verloren (d. h. er ist auch rückwirkend nicht mehr anonym).

Eigentlich müsste gegen Browser-Fingerprinting auch helfen, wenn der Browser immer wieder (leicht) unterschiedliche Konfigurations-Informationen zurückliefert. Das wird aber nicht gemacht, weil es schwierig richtig zu programmieren ist. Gegen Fingerprinting der Grafik- und Textanzeige würde das auch nichts helfen.

Recht

Absurd: Während für Cookies auf nahezu jeder Website unnütze und lästige Warnhinweise kommen müssen, gibt es für Browser-Fingerprinting anscheinend überhaupt keine Vorschriften, die greifen. EU-Datenschützer forderten schon 2014, dass für die Sammlung von Daten per Geräte-Fingerabdrücke die gleichen Regeln wie per Cookies gelten sollen. Bis jetzt dürfte aber nichts dahingehend passiert sein.

Während Cookies mit technischen Erfordernissen begründet werden können, gibt es für den Einsatz von Fingerprinting auf reinen Infoseiten, die jeder aufrufen kann, keinen anderen Grund, als mit dem Verkauf von – eigentlich vertraulichen – Benutzerdaten Geld zu verdienen.

Mein Fazit

Datenschutz gibt es im Internet nicht mehr. HTML wurde von einer einfachen, relativ sicheren Sprache zu einem hochkomplexen Konvolut weiterentwickelt, das nicht mehr beherrschbar ist.

Weiter

PDF

Weblinks

Ermittle deinen Browser-Fingerprint (der aber nicht unbedingt sehr genau sein muss):

Seite erstellt am 22.6.2019 – letzte Änderung am 22.6.2019

Computer