Verfolgung

Canvas Fingerprinting: Das steckt hinter der fiesen Tracking-Technik

Sicherheits-Experten haben eine heimtückische Tracking-Technik in Aktion aufgespürt, gegen die Nutzer kaum Ab­wehr­mög­lich­keiten haben. Dabei malt der Browser ein kleines Bildchen und stellt sich dabei recht künstlerisch an, denn jeder Browser zeichnet ein bisschen anders. Wir zeigen, was dahinter steckt.
Von Hans-Georg Kluge mit Material von dpa

Auch Browser haben einen Fingerabdruck - der kann für Tracking-Zwecke verwendet werden. Auch Browser haben einen Fingerabdruck - der kann für Tracking-Zwecke verwendet werden.
Bild: dpa Daten sind die Währung der digitalen Welt: Einige Unternehmen wollen möglichst viel davon sammeln, einige Nutzer möglichst wenig davon preisgeben. Eine neue, besonders hartnäckige Technik zur Nachverfolgung der Nutzer im Netz sorgt nun für Aufsehen. Auf tausenden beliebten Webseiten findet sich die Technologie namens "Canvas Fingerprinting", wie Forscher aus Belgien und den USA feststellten.

Bei diesem Verfahren erstellt der Browser mit Hilfe von Javascript eine Grafik - genutzt wird dafür das HTML5-Element Canvas. Dabei berücksichtigt die Programm-Routine verschiedene Eigenschaften des Rechners - zum Beispiel die Bildschirmauflösung, die Betriebssystem- und Browser-Version. So entsteht für jede einzelne Browser-Installation ein individuelles Bild, sozusagen ein Fingerabdruck.

Verfolgung mit dem Fingerabdruck

Auch Browser haben einen Fingerabdruck - der kann für Tracking-Zwecke verwendet werden. Auch Browser haben einen Fingerabdruck - der kann für Tracking-Zwecke verwendet werden.
Bild: dpa Mit Hilfe des Fingerabdrucks werden die Klicks der Nutzer beobachtet und ausgewertet, damit ihnen passgenaue Werbung angezeigt werden kann. Das funktioniert selbst dann, wenn Nutzer herkömmliche Nachverfolgung, genannt "Tracking", durch Cookies löschen oder verbieten.

Die "Canvas Fingerprinting"-Technik können Nutzer kaum unterbinden, kritisierten die Forscher um Gunes Acar von der Universität Leuven in Belgien. "Das legt nahe, dass selbst bewanderte Nutzer vor großen Schwierigkeiten stehen, wenn sie Tracking-Techniken ausweichen wollen", schrieben die Wissenschaftler.

Die Forscher hatten die Technik bei ihrer Untersuchung auf mehr als 5 000 Websites entdeckt. Auf hunderten Pornoseiten, auf Webseiten der US-Regierung und auf deutschsprachigen Nachrichtenportalen wurden demnach die digitalen Fingerabdrücke gesammelt.

Einige Website-Betreiber reagierten sofort. Nachdem die US-Seite "ProPublica" von den Forschungsergebnissen berichtet hatte, entfernten sie die Technologie aus ihren Auftritten. Das IT-Nachrichtenportal Golem schrieb: "Wir haben umgehend dafür gesorgt, dass die Technik bei Golem.de nicht mehr eingesetzt wird." Golem habe nicht gewusst, dass die Technik auf ihrer Webseite lief. Eingesetzt hatte sie ein Dienst zur Werbevermarktung.

Werbebranche benötigt Fakten über die Nutzer

Der Fall offenbart ein Dilemma: Die Werbebranche will Nutzern möglichst präzise folgen können, um Anzeigen an Mann und Frau zu bringen. Von diesen Werbegeldern leben viele Websites. Doch einigen Internetnutzern ist nicht wohl bei der Vorstellung, dass im Hintergrund Informationen über ihren Computer und ihr Surfverhalten gesammelt werden. Sie blockieren "Cookies", die kleinen Dateien von Werbenetzwerken und Websites, die die Nutzer wiedererkennen. "Deswegen überlegt die Werbebranche, was sie für Alternativen entwickeln kann", sagt der Software-Entwickler Henning Tillmann, der für seine Diplomarbeit neue Tracking-Mechanismen untersucht hat.

Eine davon ist das "Fingerprinting". Dabei werden Informationen über den Internetbrowser und den Computer gespeichert. Diese Einstellungen sind überraschend unter­schied­lich, erklärt Tillmann. Menschen installieren verschiedene Software, Zusatzprogramme oder Schriftarten auf ihrem Gerät. "Sobald sich ein Star-Wars-Fan eine Star-Wars-Schriftart herunterlädt, ist der Rechner schon sehr individuell." So entsteht ein digitaler Fingerabdruck.

Das machen sich Entwickler beim "Canvas Fingerprinting" ebenfalls zu Nutze. Forscher beschrieben die Technik schon 2012. Nun wurde erstmals ihr breiter Einsatz nachgewiesen, heißt es in der aktuellen Arbeit. Mehr als fünf Prozent der 100 000 meistbesuchten Websites nutzten sie.

Webseiten-Betreiber waren ahnungslos

Die Daten wurden allerdings nicht von den Betreibern der Websites gesammelt, sondern größtenteils von der Firma AddThis. Sie programmiert Schaltflächen, über die Nutzer Inhalte teilen können. Ein Klick auf das AddThis-Angebot zeigt dutzende Online-Netzwerke, die zum Weiterreichen der Inhalte einladen. Die Websites wussten gar nichts vom Einsatz der Technologie, erklärte AddThis "ProPublica".

Auch die deutsche Firma Ligatus tauchte in der Untersuchung auf, ihr Sammelcode fand sich auf 115 Webseiten. Das Kölner Unternehmen erklärt, das Fingerprinting sei nur testweise eingesetzt worden, die Daten seien mittlerweile gelöscht. Allerdings habe man den Code nicht sofort nach dem Ende des Tests wieder entfernt - und den Website-Betreibern nichts von dem Experiment erzählt. "Unser großer Fehler bestand darin, dass wir [...] die Webseiten, mit denen wir zusammenarbeiten, nicht über diesen Test informiert haben", sagt Ligatus-Geschäftsführer Lars Hasselbach.

"Wir setzen üblicherweise weder Fingerprinting noch Cookie-Tracking ein", versichert er. Das machten viele Unternehmen anders: Fingerprinting sei "fast schon Marktstandard im Online-Marketing".

Die Variante des "Canvas Fingerprinting" sei dabei nicht besonders effektiv, gibt Software-Entwickler Tillmann zu Bedenken. "Um wirklich Nutzer eindeutig zu erkennen, ist es nicht zu gebrauchen. Allerdings, wenn ich es mit anderen Merkmalen kombiniere, sieht es anders aus." Er geht davon aus, dass Unternehmen bereits an den nächsten unauffälligen Techniken arbeiten.

Welche Maßnahmen gegen unerwünschtes Browser-Tracking helfen können, erfahren Sie in unserer Meldung zu Browser-Erweiterungen, die das Verfolgen erschweren.

Mehr zum Thema Browser-Fingerprinting