TrackingDer verräterische Fingerabdruck des Browsers

Ein Student erforscht, ob er Internetnutzer anhand der Informationen, die ihr Browser preisgibt, wiedererkennen kann. Er kann. Die Spuren zu verwischen, ist schwierig. von 

Henning Tillmann sammelt Daten. Daten über Browser. Für seine Diplomarbeit an der Humboldt-Universität zu Berlin untersucht der Informatikstudent , ob er Internetnutzer – beziehungsweise Endgeräte – auch ohne den Einsatz von Cookies wiedererkennen kann. So viel vorweg: Er kann. Schuld sind die Informationen, die der Browser preisgibt, ohne dass der Nutzer etwas davon mitbekommt. Browser-Fingerprinting nennt Tillmann sein Projekt – er nimmt digitale Fingerabdrücke.

Um eine möglichst aussagekräftige Datenbasis zu bekommen, stellt Tillmann auf bfp.henning-tillmann.de sein Projekt vor und bittet um zwei Klicks. Einen für die Einwilligung, dass Daten erhoben und ausgewertet und später zusammen mit allen anderen Daten der Diplomarbeit in anonymisierter Form veröffentlicht werden – einen Klick für die Teilnahme.

Anzeige

Anschließend bekommt jeder Teilnehmer zu sehen, was sein Browser über ihn und seinen Computer verrät. Mehr als zwei Dutzend Datenkategorien – darunter IP-Adresse, Betriebssystem, Bildschirmauflösung, Sprache, Farbtiefe, Plug-ins und installierte Schriftarten – ergeben den Fingerabdruck.

Insbesondere die Schriftarten können verräterisch sein, sagt Tillmann. Wer zusätzlich zu seinem Standard-Paket noch weitere Schriftarten installiert, sei schon anhand von insgesamt drei bis vier Datentypen wiederkennbar. Abgesehen davon "sind, wenn man sich zum Beispiel die Schriftart einer bestimmten Partei installiert, auch persönliche Vorlieben erkennbar".

Patrick Beuth
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

Tillmann ist nicht der erste, der diese digitalen Fingerabdrücke untersucht. Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hatte bereits Anfang 2010 auf das Problem der verräterischen Browser hingewiesen .

Bislang kaum erforscht

Ansonsten ist das Phänomen aber kaum erforscht. Tillmann möchte herausfinden, wie verlässlich die Identifizierung über den Browser funktioniert. Geht es auch noch, wenn jemand Änderungen an seinem System vornimmt, ein Update beispielsweise? Wie eindeutig sind bestimmte Konfigurationsmerkmale? Und wie kann sich der Nutzer vor dieser Möglichkeit des Trackings schützen?

Denn natürlich wissen längst auch Spezialisten für Onlinewerbung, dass sie Nutzer auf diesem Wege wiedererkennen könnten. Bislang setzen sie auf Cookies – kleine Textdateien, die beim Besuch einer Website auf dem Rechner des Nutzers abgelegt werden und diesen zweifelsfrei wiedererkennen, wenn er die Seite noch einmal aufruft. Aber einen Cookie zu löschen oder gar nicht erst zu akzeptieren, ist leicht. Dafür bietet jeder Browser die entsprechenden Einstellungsmöglichkeiten.

Die sogenannten Super-Cookies, also zum Beispiel Flash-Cookies zu löschen, ist schon aufwendiger. Hier können aber Add-ons wie BetterPrivacy helfen. Wenn aber irgendwann die E-Privacy-Richtlinie der Europäischen Union – auch Cookie-Richtlinie genannt – dazu führt, dass mehr und mehr Nutzer Cookies ablehnen, dann könnten Websitebetreiber versucht sein, auf das Browser-Fingerprinting auszuweichen.

Leserkommentare
  1. Das sehe ich ähnlich wie stef8187.

    Alternativ zu Werbung sind nur kostenpflichtige Seiten, schließlich verursacht auch ein Server kosten, der Admin dafür und die Inhalte sowieso.

    Ich habe selbst keine Webseite, aber spiele mit dem Gedanken eines kleinen Portals. Natürlich nur in der Freizeit, aber wenn ich langfristig eine echte Einnahmequelle draus machen wollte, hätte ich ein Problem mit Tools, die mein Geschäft zerstören.

    Auch gilt diese Wahl allgemein: Willst du lieber Internetsurfen oder die totale Privatsphäre?
    Solange es Programme gibt, wird man immer den User ausfindig machen können, der nicht gerade bei Kaspersky arbeitet. Sollte es mal nicht mehr der Fall sein, werden wir für jede Seite zahlen müssen. Irgendwoher muss das Geld ja kommen.

  2. Ich finde webtracking hier in D schon lästig und noscript und ghostery helfen da sehr - man muß ständig manuell nachbessern, wenn eine Webseite mal hakt, aber das ist ok, das hält wach.
    Collusion sammelt wiederum die Info wer meine webtracks mit wem teilen würde, wenn ich sie freigäbe.
    Das Ding leuchtete in Italien binnen kürzester zeit auf wie ein Weihnachtsbaum. Dagegen ist alles in D Kinderkram.

    Am liebste haben Werbetreibende deshalb iPad/iPhone Nutzer, die keine Möglichkeit haben sich mit plugins zu schützen, selbst wenn sie sich drum scheren würden.

    • cubeBox
    • 28. November 2012 18:14 Uhr

    Genau diejenigen, die staendig rumjammern wie anonym doch die Gesellschaft sei, tun permanent alles dafuer, dass sie moeglichst dieser Vorstellung entspricht - und pumpen sie mit lauter Aengste voll.

  3. Zweifelsohne gibt es, insbesondere im privaten oder kleinunternehmerischen Bereich Bedarf an Einnahmen durch Werbung.
    ABP z.B. kann in solchen Fällen nicht aufdringliche Werbung zulassen, sogenannte acceptable ads.

    http://adblockplus.org/en/acceptable-ads

    ABP ist natürlich auch in erster Linie ein Komfortprodukt, damit Websites wieder angenehm und klar aussehen. Und natürlich sollte man eben an diesen kleinen Bedarf denken. Allerdings gibt es eben auch eine vielzahl an Sites, bei dehnen die Werbung weit über das verträgliche Maß hinausgeht.

    Tracker und Cookies auf der anderen Seite sind von einem ganz anderen Kaliber. Zu überprüfen, ob ich nach dem Besuch einer Seite ein bestimmtes Produkt kaufe wäre ja noch in Ordnung. Aber die gängige Praxis, mein Nutzungsverhalten quer durch das ganze Netz zu verfolgen, zu speichern und weiterzuverkaufen geht mir persönlich eindeutig zu weit.

    Letztendlich ist aber das Hauptproblem, dass den Leuten keine Wahl gelassen wird. Einige andere Kommentare erwähnten schon, dass die meisten Webangebote nicht kostenfrei wären, wenn es keine Werbung und Tracker gäbe. Aber ich wäre eher bereit, auf diese Angebote zu verzichten, als auf meine Privatsphäre.
    Das kann selbstverständlich jeder für sich entscheiden. Aber man muss die Leute auch informiert vor die Wahl stellen. Und daran mangelt es momentan.

    Antwort auf "AdBlock & co."
    • eazy-i
    • 28. November 2012 21:43 Uhr

    Die EFF machte schon vor einigen Jahren darauf aufmerksam, aber man sollte es trotzdem immer wieder wiederholen. Das Problem ließe sich seitens der Browserhersteller sehr leicht beheben.

    https://panopticlick.eff.org/

    Reaktionen auf diesen Kommentar anzeigen
    • eazy-i
    • 28. November 2012 21:49 Uhr

    Ups, da hab ich wohl die eine oder andere Zeile im Artikel übersprungen :) Aber der Link im Artikel funktioniert nicht.

    • eazy-i
    • 28. November 2012 21:49 Uhr

    Ups, da hab ich wohl die eine oder andere Zeile im Artikel übersprungen :) Aber der Link im Artikel funktioniert nicht.

    Antwort auf "Panopticlick"
  4. Mit Ihnen als MEnschen wird schon seit Jahren Geld verdient :)

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Browser | Diplomarbeit | IP-Adresse
Service