Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen
Kernthese:
Cookies waren gestern: Jeder Browser hinterlässt einen einzigartigen Fingerabdruck im Netz, der eine Wiedererkennung ermöglicht. Tracking im Netz lässt sich fast nicht mehr verhindern – wir müssen Datenschutzdiskussionen neu denken!
Beschreibung:
Seit es das World Wide Web gibt, gibt es Bestrebungen von Webseitenbetreiber/innen (Content-Provider) ihre Besucher/innen zu identifizieren bzw. sie bei einem erneuten Besuch wiederzuerkennen. Auch für den/die Anwender/in ergeben sich Vorteile: falls er/sie von der Website erkannt wird, entfällt ein erneuter Login (z. B. bei sozialen Netzwerken). Kleine Textdokumente, die auf dem Computer des Besuchers bzw. der Besucherin abgelegt werden (sog. Cookies), erfüllen seit den 1990er Jahren diese Funktion. Doch dies ist nicht der einzige Einsatzzweck vom Cookies: Werbedienstanbieter verwenden Cookies, um dem/der Betrachter/in maßgeschneiderte Werbung anbieten zu können. Dabei wird bei dem ersten Aufruf einer Website, die ein von einem Dienstleister bereitgestellten Werbebanner enthält, ein Cookie mit einer eindeutigen Nummer hinterlegt. Besucht er/sie weitere Websites, die solch einen Banner enthalten, kann anhand dieser Nummer eine Chronik der besuchten Websites erstellt werden, da dieser Cookie jedes Mal übertragen wird und so die eindeutige Nummer ausgelesen werden kann. Nach einer gewissen Zeit kann somit ein relativ genaues Interessensprofil erstellt werden.
Doch was geschieht, wenn das Cookie gelöscht wird? In diesem Fall ist es nicht mehr möglich, die Person zu identifizieren und die Surfchronik muss komplett neu erstellt werden. Manche Nutzer/innen haben die Speicherung von Cookies generell deaktiviert, somit funktioniert der gesamte Ansatz nicht.
In diesen Fällen müssen neue, alternative Ansätze versucht werden. Dabei können einerseits sog. Super-Cookies verwendet oder es werden identifizierende Elemente der Systemkonfiguration des Nutzers bzw. der Nutzerin abgefragt und ausgelesen, gespeichert und verglichen.
So sendet jeder Webbrowser automatisch bei jedem Aufruf einer Website eine Kennung des verwendeten Browsers und dessen Version mit. Über alltägliche Web-Skriptsprachen, wie z. B. JavaScript, lassen sich die verwendeten Systemfarben (z. B. Desktop-Hintergrund) abfragen und Flash kann dazu verwendet werden, alle installierten Schriftarten aufzulisten. Diese Kombination der Daten ist u. U. auf der Welt einzigartig (weil er/sie einen hellrosa Hintergrund eingestellt hat und eine Disney- und Star-Wars-Schriftart installiert hat). Wenn jemand die Website also erneut mit genau dieser Konfiguration aufruft, ist mit hoher Wahrscheinlichkeit davon auszugehen, dass es sich um die gleiche Person handelt. Schriftarten und Systemfarben sind dabei nur ein Teil von Daten die ohne weiteres von jeder Website abgefragt werden können!
In einer ausführlichen Datenerhebung habe ich über 20.000 verschiedene „Fingerprints“ gesammlt. Wie eindeutig sind diese Fingerabdrücke? Wieviel sagt dieser über uns aus? Kann das Tracking (Nachverfolgen) unserer Webaktivitäten überhaupt verhindert werden?
In der Session werden die Ergebnisse der Untersuchung vorgestellt, die Ausmaße des Fingerprintings beschrieben und möchte Schutzmaßnahmen erläutert.
Über mein Projekt „Browser Fingerprinting“ wurde u. a. auf netzpolitik.org, ZEIT Online, heise online und golem.de berichtet.
