TrackingDer verräterische Fingerabdruck des Browsers

Ein Student erforscht, ob er Internetnutzer anhand der Informationen, die ihr Browser preisgibt, wiedererkennen kann. Er kann. Die Spuren zu verwischen, ist schwierig. von 

Henning Tillmann sammelt Daten. Daten über Browser. Für seine Diplomarbeit an der Humboldt-Universität zu Berlin untersucht der Informatikstudent , ob er Internetnutzer – beziehungsweise Endgeräte – auch ohne den Einsatz von Cookies wiedererkennen kann. So viel vorweg: Er kann. Schuld sind die Informationen, die der Browser preisgibt, ohne dass der Nutzer etwas davon mitbekommt. Browser-Fingerprinting nennt Tillmann sein Projekt – er nimmt digitale Fingerabdrücke.

Um eine möglichst aussagekräftige Datenbasis zu bekommen, stellt Tillmann auf bfp.henning-tillmann.de sein Projekt vor und bittet um zwei Klicks. Einen für die Einwilligung, dass Daten erhoben und ausgewertet und später zusammen mit allen anderen Daten der Diplomarbeit in anonymisierter Form veröffentlicht werden – einen Klick für die Teilnahme.

Anzeige

Anschließend bekommt jeder Teilnehmer zu sehen, was sein Browser über ihn und seinen Computer verrät. Mehr als zwei Dutzend Datenkategorien – darunter IP-Adresse, Betriebssystem, Bildschirmauflösung, Sprache, Farbtiefe, Plug-ins und installierte Schriftarten – ergeben den Fingerabdruck.

Insbesondere die Schriftarten können verräterisch sein, sagt Tillmann. Wer zusätzlich zu seinem Standard-Paket noch weitere Schriftarten installiert, sei schon anhand von insgesamt drei bis vier Datentypen wiederkennbar. Abgesehen davon "sind, wenn man sich zum Beispiel die Schriftart einer bestimmten Partei installiert, auch persönliche Vorlieben erkennbar".

Patrick Beuth
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

Tillmann ist nicht der erste, der diese digitalen Fingerabdrücke untersucht. Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hatte bereits Anfang 2010 auf das Problem der verräterischen Browser hingewiesen .

Bislang kaum erforscht

Ansonsten ist das Phänomen aber kaum erforscht. Tillmann möchte herausfinden, wie verlässlich die Identifizierung über den Browser funktioniert. Geht es auch noch, wenn jemand Änderungen an seinem System vornimmt, ein Update beispielsweise? Wie eindeutig sind bestimmte Konfigurationsmerkmale? Und wie kann sich der Nutzer vor dieser Möglichkeit des Trackings schützen?

Denn natürlich wissen längst auch Spezialisten für Onlinewerbung, dass sie Nutzer auf diesem Wege wiedererkennen könnten. Bislang setzen sie auf Cookies – kleine Textdateien, die beim Besuch einer Website auf dem Rechner des Nutzers abgelegt werden und diesen zweifelsfrei wiedererkennen, wenn er die Seite noch einmal aufruft. Aber einen Cookie zu löschen oder gar nicht erst zu akzeptieren, ist leicht. Dafür bietet jeder Browser die entsprechenden Einstellungsmöglichkeiten.

Die sogenannten Super-Cookies, also zum Beispiel Flash-Cookies zu löschen, ist schon aufwendiger. Hier können aber Add-ons wie BetterPrivacy helfen. Wenn aber irgendwann die E-Privacy-Richtlinie der Europäischen Union – auch Cookie-Richtlinie genannt – dazu führt, dass mehr und mehr Nutzer Cookies ablehnen, dann könnten Websitebetreiber versucht sein, auf das Browser-Fingerprinting auszuweichen.

Um den Fingerabdruck des Browsers zu verwischen, müsste ein Nutzer die Flash- und Java-Applets sowie Javascript deaktivieren, sagt Tillmann. Denn dann lassen sich besonders signifikante Daten wie die Schriftarten und Plug-ins nicht mehr auslesen. Weil aber viele Websites ohne Flash und Javascript nur eingeschränkt nutzbar sind, kommt diese Lösung für viele nicht infrage.

Die EFF empfiehlt, den TorButton einzusetzen, der mittlerweile Teil des sogenannten Tor Browser Bundles ist. Dieses Programmpaket aus einem modifizierten Firefox-Browser, dem Anonymisierungsdienst Tor und eben dem TorButton sollte jeder installieren, der sich anonym im Netz bewegen will. Der TorButton deaktiviert aber ebenfalls Javascript und das Flash-Plug-in. Der Preis für die Anonymität ist deshalb ein Verlust an Bequemlichkeit.

Das Projekt von Tillmann läuft noch bis zum 15. Dezember. Die gesamte Arbeit mit den ermittelten – aber anonymisierten – Daten wird im Anschluss nach Open-Science-Prinzipien öffentlich zugänglich sein.

Zur Startseite
 
Leserkommentare
  1. In diesem Zusammenhang sei erwähnt, dass Zeit online allein auf dieser Seite 11 Tracker eingebaut hat.

    Zum Vergleich: Spon hat nur 5 und Heise 2.

    Insofern: Der Artikel ist richtig und wichtig, die hauseigene Webpolitik hingegen scheint eine ganz andere Richtung anzunehmen.

    Die in dem Artikel beschriebene Ausweichtaktik auf das Browser-Fingerprinting wird hier bereits umgesetzt.

    32 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • DBZO
    • 28. November 2012 13:49 Uhr

    11?

    Ghostery blockt bei mir nur 6 und ABP block auch was.
    -DoubleClick
    -Google Analytics
    -INFOnline
    -Nugg.Ad
    -VG Wort
    -Webtrekk

    Was die http://bfp.henning-tillma... Seite angeht.

    Http Accept Charset: Konnte nicht ermittelt werden.
    Java Enabled: Konnte nicht ermittelt werden.
    Plugin Adobe Acrobat: Konnte nicht ermittelt werden.
    Plugin Silverlight: Konnte nicht ermittelt werden.
    Fonts: Konnte nicht ermittelt werden.
    Fonts Hash: Konnte nicht ermittelt werden.

    Dabei habe ich nicht mal NoScript installiert!

    • Ping500
    • 28. November 2012 13:55 Uhr

    bezüglich Ghostery für mich dasselbe: 6 Tracker blockiert.

    12 Tracker stimmt:

    Adition
    DoubleClick
    Google Adsense
    Google Analytics
    INFOnline
    MediaMind
    Meetrics
    Nugg.Ad
    Quisma
    ScoreCard Research Beacon
    VG Wort
    Webtrekk

    (Adblock muss ausgeschaltet werden, da dieser die Ad-Tracker schon blockiert bevor Ghostery dran ist.)

    Wer keine Lust hat auf Flashbanner und Tracker, surft mit Firefox und Adblock+ sowie Ghostery. Wenn man sich noch ein Fake-Browserprofil zulegen will, nutzt man "User Agent Switcher".

    https://addons.mozilla.or...

  2. ...es funktioniert nicht, wenn ich mich mit einem Standard-Macbook und Safari und normaler Auflösung und mitgelieferten Fonts anmelde. Das schöne an Macs - alle sind gleichkonfiguriert. Bis hin zur Bildschirmauflösung.

    Eine Leserempfehlung
    • DBZO
    • 28. November 2012 13:49 Uhr

    11?

    Ghostery blockt bei mir nur 6 und ABP block auch was.
    -DoubleClick
    -Google Analytics
    -INFOnline
    -Nugg.Ad
    -VG Wort
    -Webtrekk

    Was die http://bfp.henning-tillma... Seite angeht.

    Http Accept Charset: Konnte nicht ermittelt werden.
    Java Enabled: Konnte nicht ermittelt werden.
    Plugin Adobe Acrobat: Konnte nicht ermittelt werden.
    Plugin Silverlight: Konnte nicht ermittelt werden.
    Fonts: Konnte nicht ermittelt werden.
    Fonts Hash: Konnte nicht ermittelt werden.

    Dabei habe ich nicht mal NoScript installiert!

    3 Leserempfehlungen
    Antwort auf "......."
    Reaktionen auf diesen Kommentar anzeigen

    Mein Ghostery blockiert 11 Tracks:

    DoubleClick
    Facebook Connect
    Facebook Social Plugins
    Google +1
    Google Analytics
    INFOnline
    Meetrics
    Nugg.Ad
    Twitter Button
    VG Wort
    Webtrekk

    AdBlock und NoScript sind ebenfalls eingeschaltet und blockieren fröhlich.....

  3. Ich kenne kein anderes Volk, das so gehemmt mit seinem Surfverhalten umgeht als das Deutsche: Tesa auf die Webcam kleben, Proxy-Server anwenden, Chronik ständig löschen ... mann!

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • Ping500
    • 28. November 2012 13:56 Uhr

    Ich aber auch. Wir Deutsche sind Besitzstandswahrer und Daten sind nun mal Besitztum.
    Ich will entscheiden, wer damit Geld verdienen darf und wer nicht.

    • hg2000
    • 28. November 2012 14:54 Uhr

    Mit Datenschutz ist es ähnlich wie mit dem Thema Gleichberechtigung: ein im Kern sinnvolles Anliegen wird dermaßen überstrapazipiert, dass es irgendwann lãcherlich wird.

    auf der Webcam sind allerdings nur die blonden Deutschen.

    • Ping500
    • 28. November 2012 13:55 Uhr

    bezüglich Ghostery für mich dasselbe: 6 Tracker blockiert.

    Antwort auf "......."
    • Ping500
    • 28. November 2012 13:56 Uhr

    Ich aber auch. Wir Deutsche sind Besitzstandswahrer und Daten sind nun mal Besitztum.
    Ich will entscheiden, wer damit Geld verdienen darf und wer nicht.

    7 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Mit Ihnen als MEnschen wird schon seit Jahren Geld verdient :)

  4. Ich surfe mit Safari, bekomme aber mehrmals 'Mozilla' angezeigt. Klappt ja super ;)
    Allerdings muss ich sagen, dass ich durch den Datenwust nicht durchblicke - hätte man für die unwissenden Teilnehmer nicht einfach einen Punkt 'Browser:' einbauen können?

  5. nutzbar sind, kommt diese Lösung für viele nicht infrage."

    Zum Beispiel kann man bei Zeit.de ohne JavaScript keine Kommentare abschicken. Bei vielen anderen Seiten geht das problemlos.

    Flash ist meist verzichtbar. Wenn überhaupt, benötigt man es für Medienseiten, die noch kein Bock auf HTML5 haben.

    Skurril ist, dass Apple zwar Flash für iOS immer ablehnte, Grund: Proprietät, den iTunes-Shop aber noch viel proprietäter betreibt, im Kern jedoch auf HTML5 zurückgreift. Ohne hohen Zaun geht halt bei Apple gar nicht.

    3 Leserempfehlungen

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf mehreren Seiten lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Browser | Diplomarbeit | IP-Adresse
Service