Digitaler FingerabdruckBrowser enttarnen ihre Nutzer

Browser haben einen Fingerabdruck, wie US-Datenschützer gerade belegen. Der kann unbemerkt gelesen werden. Wer im Netz nicht wiedererkannt werden mag, kann sich schützen. von 

Ein einzelnes Bit unserer Identität macht uns noch nicht identifizierbar. Nur den Namen eines Menschen zu kennen, garantiert nicht, dass man den richtigen findet. Viele solcher Informationen aber sortieren sich zu einem Muster. Und sind es nur genug davon, ist das Muster so einzigartig, dass es Menschen eindeutig identifiziert. Computern und Internet verdanken wir, dass die Teile, die sich zu solch genauen Mustern formen lassen, uns gar nicht mehr als identifizierende Merkmale bewusst sind.

Die Electronic Frontier Foundation (EFF), eine amerikanische Organisation, die sich dem Datenschutz verschrieben hat, untersucht gerade , ob auch der Browser, den wir nutzen, als Fingerabdruck dienen kann. Er kann. Ziemlich gut sogar.

Anzeige

Denn inzwischen ist Browser längst nicht mehr gleich Browser. Durch Einstellungen an ihm selbst, durch die Kombination mit dem Betriebssystem des Rechners und durch Erweiterungen wie Werbeblocker oder Toolbars ist jeder ein wenig anders. Und viele dieser Informationen lassen sich problemlos erfahren. Denn wenn Browser mit Servern kommunizieren, um Internetseiten laden und darstellen zu können, reden sie viel. Und teilen dabei mit, was sie so können und was nicht.

"Panoptiklick" heißt das Programm, dass die EFF einsetzt, um solche Informationen zu sammeln und zu einem Mosaik zu legen. Wer will, kann auf der Website testen, ob er identifizierbar wäre. Die Antwort sieht mit hoher Wahrscheinlichkeit so aus: "Your browser fingerprint appears to be unique among the 179,460 tested so far." In einer Masse von 180.000 Surfern also wäre ich problemlos wieder zu erkennen.

Bereits der normale " User-Agent-String " verrät eine Menge, die Information also, die standardmäßig von jedem Browser bei jedem Serverkontakt übermittelt wird. Das ist wichtig, weil der Server so weiß, welche Webseitenversion er anzeigen muss, damit der Browser sie verstehen kann. Dazu übermittelt dieser zuerst seinen Namen, seine Versionsnummer, das verwendete Betriebssystem, die verwendete Sprache und noch einige andere Daten. Bereits damit ist viel Unterscheidung möglich, da nur einer von 1500 Nutzern die gleichen Spezifikationen besitzt.

Besonders verräterisch aber sind die Plugins, kleine Programme zur Erweiterung der Fähigkeiten eines Browsers. Es gibt viele davon und entsprechend selten ist zweimal die gleiche Zusammenstellung. Nur einer von 20.000 Rechnern hat genau die gleichen Plugins installiert wie ich.

Neu ist diese Idee nicht, es gibt bereits Werbefirmen, die statt der klassischen Cookies solche "Browser-Strings" oder "digitale DNA" genannten Muster einsetzen, um Nutzer zu identifizieren und deren Surfverhalten zu beobachten. Das Problem dabei: Cookies kann man ablehnen, sie werden vom Browser erkannt und an den Nutzer gemeldet (wenn dieser das will und eingestellt hat). Browser-Strings aber spionieren stumm und verdeckt.

Leserkommentare
    • wp
    • 29. Januar 2010 19:26 Uhr
    1. Ohje

    Vielleicht sollte der Autor sich erst einmal informieren, bevor er nutzlose Tipps gibt:

    http://support.mozilla.co... Modus

    • kerle51
    • 29. Januar 2010 19:29 Uhr
    2. Naja

    was heißt es schon, daß mein Browser identifizierbar ist: es müßte ja erstmal irgendwo zu finden sein, daß ich "Ich" bin, die Person, die man dem Browser zuordnen könnte. Dafür müßte man meinen browser-print auf vielen Webservern aufzeichnen und einer davon müßte eine Aresse oder andere nähere Angaben zu meiner Person haben, sonst nützt es gar nichts, wie eben auch bei cookies.
    Wer sich mit so etwas beschäftig, steht mit einem Bein im Gefängnis, und ich bezweifle, daß damit Geld zu verdienen ist. Es kostet nur Geld und so wird es wohl nur entweder hobbymäßig betrieben werden oder von Forschern. Solen sie doch, das kümmert mich nicht. Da habe ich viel eher starke Bedenken beim Staat (Voratsdatenspeicherung, Handy-Daten-Speicherung etc.) und bei der Telekom. Die Telekom weiß alles über mein Surfverhalten, sofern ihr DNS-erver genutzt wird wie meist. Und sie hat meinen Namen, meine vollständige Adresse und Telefonnummer, weiß also, wer ich bin. Wer vertraut der Telekom? Wer vertraut dem Staat?

    Reaktionen auf diesen Kommentar anzeigen
    • Lapje
    • 31. Januar 2010 12:23 Uhr

    Es gab vor ein paar Jahren im Spiegel einen interessanten Bericht darüber, wie man ganz normal über Suchmaschinen ein komplettes Bild über einen User bis hin zu seine Adresse bekommen kann, in dem man einfach nur sucht und sich durchhangelt. Das ganze fing mit einem Benutzernamen an und endete mit Adresse, Telefonnummer und noch einiges mehr. Auch der CCC sagt, dass man solche Dinge ganz einfach und legal rausbekommen kann. Und da die meisten User im Netz sich nicht genug mit der Materie auskennen, hinterlassen sie überall Spuren...man muss sie nur lesen können und ein wenig Zeit mitbringen...

  1. Sorry, aber ich muß wp rechtgeben. Wer ein solches Thema hier behandelt, sollte sich die Mühe einer exakten Recherche machen. Das erwartet man von der Zeit!
    Selbst bei oberflächlicher Betrachtung der Hinweise der EFF sollten normale Englisch-Kenntnisse ausreichen, um zwischen dem was ist und dem was schön wäre zu unterscheiden.
    Private Browsing bringt halt leider gar nichts - und auch adblock nur sehr bedingt.
    Bitte nacharbeiten!

  2. Hör bitte auf, die Leute zu schrecken ...

    99% der Benutzern im meinem Apache-Log (webserver) verwenden dasselbe OS browser combination. Es ist überhaupt NICHT möhlich jemanden mit Analysierung von Browser-Daten zu identifizieren.

    DNS - man kann einen anderen DNS-Server als seiner Provider verwenden. Man kann auch eigenen DNS server zu installieren.

    Reaktionen auf diesen Kommentar anzeigen
    • dnaber
    • 31. Januar 2010 13:04 Uhr

    Der Browser überträgt wesentlich mehr Informationen an den Server, als das Standard-Apache-Log aufzeichnet. Ach ja, das steht übrigens auch im Artikel und auf der Website, um die es im Artikel geht.

    • DerDude
    • 29. Januar 2010 19:59 Uhr

    Das Gutachten des Chaos Computer Clubs, das dieser auf Anfrage des Bundesverfassungsgerichts für die Verhandlung über die Vorratsdatenspeicherung angefertigt hat:

    http://www.ccc.de/de/vds/...

  3. Liebe Zeit, zu IT Themen berichten sie nicht besser als die Bild Zeitung.

    Die reinste Panikmache ohne Gehalt. Die inzwischen systematisch dazu gehörende Blamage bei allen Kennern der Technik (und es sind gar nicht so wenige) mit inbegriffen.

    Und ich dachte ihr wolltet mit eurer Qualitätsarbeit irgendwann Geld verdienen! Sechs, setzen!

    Reaktionen auf diesen Kommentar anzeigen
    • fracaso
    • 29. Januar 2010 23:16 Uhr

    na, das wollen wir doch nicht glauben, dass Kai Biermann ohne gehalt hier schreibt.

  4. Ich habe mal "Vanille IE8" und meinen "Mozilla 3.6" getestet...

    Mein Verdacht:
    Systemschriftarten
    Add-ons

    Dies sind die "Fingerabrücke" die wichtig sind - aber die werden auch immer weider aktualisiert - hat meinen eine älteres, oder neueres ist man halt allein.

    Und dass mein IE8 so einzigartig ist kann ich eigentlich nicht glauben.

    IE8:
    Your browser fingerprint appears to be unique among the 232,820 tested so far.

    FF3.6:
    Your browser fingerprint appears to be unique among the 232,761 tested so far.

  5. Schon merkwürdig: Auch wenn man den EFF-Test mehrfach durchführt, steigt zwar die Zahl, der Browser bleibt aber einzigartig...

    Reaktionen auf diesen Kommentar anzeigen

    ...ich kann den Test mehrfach machen, z.B. einmal im privaten Modus und einmal im normalen Modus; da merkt der Test durchaus, dass der exakt gleiche Browser-Fingerabdruck zum zweiten Mal vorbeigekommen ist.
    Zuerst sah ich da "unique"; und beim nächsten Zugriff - im FF-Privatmodus, ohne den Browser geschlossen oder die Netzverbindung neu gestartet zu haben - dann "Within our dataset of several hundred thousand visitors, only one in 127,494 browsers have the same fingerprint as yours."

    "dass mein IE8 so einzigartig ist kann ich eigentlich nicht glauben."
    Die Kombination aus IE8 mit weiteren auslesbaren Systemeigenschaften macht's ja gerade... Wobei's bei FF3.6 und IE8 vermutlich statistisch nicht hilft, mit zwei recht neuen Browser-Versionen unterwegs zu sein.
    Um mal kurz IE8 und FF3.5.7 gegenüberzustellen:
    IE8:
    User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322)
    one in x browsers have this value: 2868.79

    FF3.5.7
    User Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7
    one in x browsers have this value: 236.98

    Das wird wohl wieder anders aussehen, wenn ich auf FF3.6 gehe...

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Google | Browser | DNA | Datenschutz | Firefox | Information
Service