Canvas Fingerprinting Neue Methode zum Online-Tracking macht Verstecken fast unmöglich

Die Website des Weißen Hauses und YouPorn, T-Online und Sex. com: Auf Tausenden Websites hat ein US-Unternehmen offenbar eine neuartige Tracking-Technik getestet, vor der man sich kaum verstecken kann.

Fingerabdruck: Neue Identifikationsmethode enttarnt Internetnutzer
Getty Images

Fingerabdruck: Neue Identifikationsmethode enttarnt Internetnutzer


Wer nicht möchte, dass Webseitenbetreiber über seine Besuche Protokoll führen, deaktiviert im Browser die Cookies oder löscht sie regelmäßig. Doch das Gefühl, damit die eigenen Spuren verwischt zu haben, ist trügerisch. Denn inzwischen existiert eine Methode zur Verfolgung der Online-Aktivitäten, die kaum noch ausgehebelt werden kann. Unter dem Namen "Canvas Fingerprinting" wird sie bereits von Tausenden Websites eingesetzt. Ihre Nutzer reichen nach Angaben von Wissenschaftlern vom Schmuddel-Portal YouPorn bis zum Netzauftritt des Weißen Hauses. Auch t-online.de steht auf der bunt gemischten Liste, die Forscher von der Princeton University und der Universität von Löwen nun veröffentlichten. Die Telekom erklärte auf Anfrage: "Die Deutsche Telekom wusste nichts von der eingesetzten Methode auf t-online.de. Wir werden dem Sachverhalt nachgehen und diese nicht abgestimmte Form des Trackings unterbinden."

Die Wissenschaftler haben das bereits seit einiger Zeit grundsätzlich bekannte Funktionsprinzip der Verfolgungs-Software beschrieben und auf Tausenden Websites nachgewiesen. Die Methode funktioniert im Groben so: Die angesteuerte Webseite bringt den Browser des Nutzers dazu, im Hintergrund, unsichtbar für den Nutzer, ein Bild zu erstellen. Die Art und Weise, wie dieses Bild erstellt wird, hängt von einer Reihe von Faktoren ab, etwa vom Rechner und der Browserversion, die der jeweilige Nutzer einsetzt. Da fast jede Browser-Computer-Kombination bei der Erstellung dieses Bildes kleine Unterschiede macht, kann so jeweils eine eindeutig identifizierbare Nummernfolge generiert werden.

Mit diesem "Fingerabdruck" sei jeder Computer eindeutig und dauerhaft zu erkennen. Die Technik des "Browser-Fingerprintings" ist an sich nicht neu, doch der Trick mit dem verborgenen Bild scheint das Verfahren noch einfacher und verlässlicher zu machen. Ein russischer Entwickler namens Valentin Wasilyew, der sich schon seit Jahren mit der Technik beschäftigt, sagte "ProPublica" allerdings: "Fingerprinting funktioniert auf Mobilgeräten nicht gut."

Zweck der Sache, so fasst "Pro Publica" das Prinzip zusammen, sei derselbe wie bei herkömmlichen Cookies auch, nämlich die Erstellung von Nutzerprofilen auf Grundlage des Surfverhaltens. Nur dass sich Canvas Fingerprinting nicht mit den bekannten Mitteln außer Kraft setzen lasse. Browser-Schutzeinstellungen würden ebenso versagen wie etwa Werbeblocker.

Pornoseite wirft AddThis umstandslos hinaus

Erstmals sei dieses Konzept nun offenbar von einem Unternehmen namens AddThis umgesetzt worden. Die Forscher hätten den entsprechenden Softwarecode auf fünf Prozent der weltweit meistbesuchten Websites gefunden. Auf Nachfrage von "Pro Publica" erklärte AddThis-Chef Rich Harris, sein Unternehmen teste das Konzept seit Anfang des Jahres: "Wir suchen nach einer Alternative zu Cookies." Sein Unternehmen beachte bei Canvas Fingerprinting alle geltenden Datenschutzregeln. Wer auf seinem Computer ein Opt-Out-Cookie für AddThis installiere, dessen Daten würden nicht für personalisierte Werbung oder zur Erstellung von Profilen verwendet.

Der Leiter des Forschungsteams aus Princeton, Arvind Narayanan, hielt dagegen: Nutzer dazu zu zwingen, AddThis' Versprechen über die Datennutzung zu vertrauen, stelle nicht gerade die beste Versicherung für Datenschutz dar.

Die Genauigkeit des Verfahrens scheint allerdings noch ausbaufähig zu sein. Die Erfolgsrate liege derzeit bei 90 Prozent, so "The Verge". AddThis habe mitgeteilt, die entsprechenden Tests würden demnächst womöglich eingestellt, da die Identifikationsquote nicht hoch genug sei.

In jedem Fall zeigt der Vorgang zwei Dinge deutlich:

  • Die Möglichkeiten, Nutzer oder doch wenigstens Geräte im Netz eindeutig und dauerhaft identifizierbar zu machen, enden nicht mit Cookies.
  • Unternehmen, die solche Technologien entwickeln und testen, sind bei ihren Experimenten alles andere als zimperlich: Die Betreiber der betroffenen Sites wussten augenscheinlich gar nichts davon, dass die Technik in ihren Angeboten getestet wurde. YouPorn etwa warf AddThis eigenen Angaben zufolge nach dem Bekanntwerden des Testlaufs umstandslos aus dem eigenen Angebot.

Update: Wir haben diesen Artikel am 22.07. um 17.45 um eine Stellungnahme der Deutschen Telekom ergänzt (1. Absatz).

meu/cis



Forum - Diskutieren Sie über diesen Artikel
insgesamt 95 Beiträge
Alle Kommentare öffnen
Seite 1
onearmedscissor 22.07.2014
1. Man kann sich verstecken
Ich kann jedem nur ans Herzen legen, ein VPN zu benutzen. Dazu Addons wie Disconnect, Ghostery und Privacy Badger und man ist vom Tracking gesichert.
kd#1 22.07.2014
2. Ein paar technische Anmerkungen
- Das funktioniert nur bei aktiviertem JavaScript - I. d. R. werden Unternehmen den Tracking-Code nicht selber hosten, sondern verlinken. Damit kann man den Tracker aussperren, wenn man entsprechende Links sperrt -> also alles in allem lohnt es sich (wie bei allen Trackern) eine die erlaubten Download-Adressen zu filtern. Beispiel: ein Add-on wie "NoScript" für den Firefox. Eine zunehmend beliebte Lösung ist auch, für ganze Websites Javascript abzuschalten.
anders_denker 22.07.2014
3. Der Hund beißt sich in den Schwanz
Um nicht durch das Verfahren A getrackt zu werden muss ich Verfahren B (Cockies) zulassen mit dem mich andere tracken.
philzero 22.07.2014
4. ?
Wow, onearmedscissor, statt ein paar Schlagworte zu verteilen hätten Sie lieber den Artikel lesen sollen. Das Browser-fingerprinting identifiziert Ihren Rechner, und trackt nicht ihre IP. Weder VPN noch Privacy Tools werden Ihnen dagegen helfen, wenn Sie eine entsprechende Website öffnen...
reinerotto 22.07.2014
5. Nö.
Die Services für Fingerprinting werden ja auf oder mit Hilfe der besuchten Site gehostet. Und das VPN reicht nur vom Browser bis zum entsprechenden Proxy, der dann ganz gehorsam die Daten des Fingerprints vom Client zur Website überträgt. Und von dort dann zum Trackingservice.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.