Der Datenschutz ist ein wichtiges Thema, das in den letzten Jahren immer mehr an Bedeutung gewonnen hat. Dabei geht es vor allem darum, dass persönliche Daten nicht ohne Zustimmung gesammelt oder missbraucht werden. Doch trotz aller Bemühungen um Gesetze und Regelungen wie die DSGVO gibt es Mechanismen, die diesen Schutz unterlaufen können – einer davon ist der sogenannte Browser-Fingerabdruck (Fingerprinting).

Der Browser-Fingerprint ist eine Technik, bei der verschiedenste Informationen über den Browser und das Endgerät gesammelt werden, um daraus ein einzigartiges Profil zu erstellen. Dabei handelt es sich um eine Form der Identifikation, die im Vergleich zu Cookies viel schwerer zu umgehen ist. Während Cookies blockiert oder gelöscht werden können, funktioniert das Fingerprinting unabhängig von solchen Maßnahmen. Jeder Browser hinterlässt durch seine Konfiguration – also durch die Kombination aus Betriebssystem, installierten Schriften, Bildschirmauflösung, Sprach- und Zeitzoneneinstellungen, aktivierten Plugins und vielem mehr – einen einzigartigen “Fingerabdruck”. Dieser Fingerabdruck ermöglicht es, Nutzer zu identifizieren und zu verfolgen, selbst wenn sie versuchen, anonym zu surfen.

Besonders besorgniserregend ist, dass viele der gesammelten Daten, die zum Erstellen eines Fingerabdrucks verwendet werden, als harmlos erscheinen. Einzeln betrachtet sind Informationen wie die Bildschirmgröße oder die installierten Schriftarten relativ unauffällig. Doch die Kombination dieser Daten ergibt ein so individuelles Muster, dass es möglich ist, einen Nutzer mit einer sehr hohen Wahrscheinlichkeit wiederzuerkennen. Auch wenn sie den Inkognito-Modus verwenden oder VPNs nutzten, können diese Techniken sie oft trotzdem tracken. Es geht also nicht nur um den Datenschutz im klassischen Sinne, sondern um das Grundproblem, dass ein digitales Profil fast überall hinterlassen wird – ob sie es wollen oder nicht.

Was macht das so problematisch? Zum einen ist es eine Verletzung der Privatsphäre, da viele Menschen gar nicht wissen, dass sie auf diese Weise getrackt werden. Es wird keine explizite Zustimmung eingeholt, und in den meisten Fällen haben Nutzer keine Möglichkeit, sich effektiv dagegen zu wehren. Zum anderen wird diese Technologie oft in Verbindung mit personalisierter Werbung verwendet, um Nutzer gezielt anzusprechen, was auf lange Sicht einen erheblichen Einfluss auf das Online-Erlebnis haben kann.

Auch wenn es einige Ansätze gibt, um Fingerprinting zu erschweren, wie zum Beispiel der Einsatz von Anti-Fingerprinting-Tools oder speziellen Browsern, die den Fingerabdruck durch ständige Änderungen ihrer Konfiguration verfälschen, bleibt es schwierig, sich vollständig davor zu schützen. Moderne Fingerprinting-Technologien werden immer ausgefeilter, und es wird zunehmend schwerer, ihnen zu entkommen. Selbst wenn sie regelmäßig ihren Browser aktualisieren oder versuchen, ihre Surfgewohnheiten zu verschleiern, bleibt ein gewisses Risiko bestehen. Hier müssen wir noch die wirklich fatale Tatsache nennen, dass auch die Hardware beim Erzeugen den Fingerabdrucks verwendet wird und dagegen können nur wirkliche Experten sich wehren. Sowohl die CPU als auch die GPU können tatsächlich Informationen liefern, die im Rahmen des Browser-Fingerprinting verwendet werden. Diese Technologien sind in der Lage, spezifische Merkmale der Hardware zu identifizieren, die zur Erstellung eines einzigartigen Fingerabdrucks beitragen können.
Die CPU kann beispielsweise Informationen über die Modellnummer, die Architektur und die Anzahl der Kerne bereitstellen. Die GPU kann ebenfalls identifizierbare Merkmale aufweisen, wie den Grafikkartentyp und die Treiberversion. Diese Daten werden durch die Ausführung von JavaScript-Tests im Browser gesammelt, die versuchen, Informationen über die Hardware des Geräts zu ermitteln.
Der Grund, warum diese Informationen wichtig sind, liegt darin, dass sie in Kombination mit anderen Datenpunkten wie Bildschirmauflösung, installierten Schriftarten und Betriebssystem eine sehr spezifische und einzigartige Identifikation des Nutzers ermöglichen. Wir müssen verstehen, dass je mehr Datenpunkte ein Fingerprint enthält, um so wahrscheinlicher ist die eindeutige Zuordnung zu ihrem Profil.

Wie einfach es ist, Datenpunkte abzufragen demonstrieren wir hier mit einem kleinen Javascript:

function getFingerprintData() {

    const fingerprintData = {};

    // Browser-Informationen

    fingerprintData.userAgent = navigator.userAgent;

    fingerprintData.language = navigator.language;

    fingerprintData.screenResolution = `${screen.width}x${screen.height}`;

    fingerprintData.colorDepth = screen.colorDepth;

    fingerprintData.timeZone = Intl.DateTimeFormat().resolvedOptions().timeZone;

    // Plugins (in modernen Browsern oft eingeschränkt)

    fingerprintData.plugins = Array.from(navigator.plugins).map(plugin => plugin.name);

    // Browser- und Betriebssystem-Version

    fingerprintData.vendor = navigator.vendor;

    fingerprintData.appVersion = navigator.appVersion;

    // Hardware-Informationen

    fingerprintData.cpuClass = navigator.cpuClass || ‘Not Available’;

    // Canvas Fingerprinting (WebGL)

    const canvas = document.createElement(‘canvas’);

    const ctx = canvas.getContext(‘2d’);

    ctx.textBaseline = ‘top’;

    ctx.font = ’14px Arial’;

    ctx.fillText(‘Fingerprint Test’, 2, 2);

    fingerprintData.canvasFingerprint = canvas.toDataURL();

    // WebGL Fingerprinting

    const webGLCanvas = document.createElement(‘canvas’);

    const gl = webGLCanvas.getContext(‘webgl’) || webGLCanvas.getContext(‘experimental-webgl’);

    if (gl) {

        fingerprintData.webGLVendor = gl.getParameter(gl.VENDOR);

        fingerprintData.webGLRenderer = gl.getParameter(gl.RENDERER);

    }

    console.log(fingerprintData);

    return fingerprintData;

}

// Fingerprint-Daten abrufen

const fingerprint = getFingerprintData();

Das Thema Browser-Fingerprinting zeigt deutlich, wie fragil der Datenschutz im digitalen Zeitalter ist. Selbst wenn sie alle bekannten Maßnahmen treffen, um ihre Privatsphäre zu schützen, gibt es immer noch Techniken, die diese Schutzmechanismen unterlaufen können. Es ist daher wichtig, sich dessen bewusst zu sein und ständig wachsam zu bleiben, welche Spuren sie im Internet hinterlassen. Der Weg zu einem wirklich effektiven Datenschutz ist noch lang, und die Herausforderung besteht darin, dass technologische Fortschritte oft schneller voranschreiten als der gesetzliche Schutz.

Wie kann ich mich schützen?

Es gibt einige Maßnahmen, die es erschweren, einen eindeutigen Browser-Fingerprint zu erzeugen.

  • Spezialisierte Browser verwenden: Bestimmte Browser, wie Tor oder Brave, bieten einen besseren Schutz gegen Fingerprinting. Der Tor-Browser zum Beispiel versucht, jeden Nutzer gleich aussehen zu lassen, indem er den Fingerabdruck aller Nutzer standardisiert. Brave bietet integrierte Schutzmechanismen gegen Fingerprinting und blockiert viele Tracking-Technologien von Haus aus.
  • Anti-Fingerprinting-Erweiterungen nutzen: Es gibt Browser-Erweiterungen, die speziell dafür entwickelt wurden, Fingerprinting zu erschweren. Zu den bekannteren Tools gehören beispielsweise uBlock Origin oder Privacy Badger, die Tracker blockieren. Auch Erweiterungen wie Canvas Defender oder Chameleon ändern bestimmte Fingerprint-Daten oder verfälschen sie gezielt, um eine eindeutige Identifikation zu erschweren.
  • JavaScript deaktivieren: Fingerprinting nutzt oft JavaScript, um Daten über deinen Browser zu sammeln. Wenn du JavaScript deaktivierst, kann dies viele Fingerprinting-Methoden blockieren. Allerdings kann das Surferlebnis dadurch stark beeinträchtigt werden, da viele Webseiten ohne JavaScript nicht richtig funktionieren.
  • VPNs und Proxys nutzen: Ein VPN verschleiert deine IP-Adresse, was eines der häufigsten Erkennungsmerkmale beim Tracking ist. Allerdings hilft ein VPN allein nicht gegen Fingerprinting, da es hauptsächlich die geografische Herkunft und die Netzwerkinformationen maskiert. In Kombination mit anderen Tools kann es jedoch einen zusätzlichen Schutz bieten.
  • Browser regelmäßig aktualisieren: Oft werden Sicherheitslücken in älteren Browserversionen für Fingerprinting ausgenutzt. Es ist daher wichtig, immer die aktuellste Version ihres Browsers zu verwenden, um von den neuesten Sicherheitsupdates zu profitieren.
  • Privater Modus und Cookies blockieren: Der Inkognito-Modus eines Browsers löscht zwar ihre Cookies nach jeder Sitzung, verhindert aber Fingerprinting nicht vollständig. Dennoch ist es eine nützliche Maßnahme in Kombination mit anderen Ansätzen, um Tracking auf Basis von Cookies zu erschweren.
  • Schriftarten und Plugins standardisieren: Viele Fingerprinting-Techniken greifen auf Informationen über installierte Schriftarten oder Plugins zu. Wenn sie die Anzahl dieser installierten Elemente minimieren oder Tools verwenden, die diese Angaben standardisieren, kann es schwerer werden, sie eindeutig zu identifizieren.
  • Mehrere Browser verwenden: Eine praktische, wenn auch weniger bequeme Methode ist es, für verschiedene Aktivitäten verschiedene Browser zu nutzen. Ein Browser könnte für den alltäglichen Gebrauch verwendet werden, ein anderer für den Zugriff auf sensible Informationen. So wird es für Tracker schwieriger, ein umfassendes Profil über dein Verhalten zu erstellen. Von allen Maßnahmen, ist diese aktuell die beste, um dem Browser Fingerprinting zu begegnen.

Die genannte Maßnahmen stellen jedoch auch nur einen rudimentären Schutz dar, sind aber besser als nix.

Wir gehen davon aus, dass auch Software, vielleicht sogar die Internetprovider an der Erstellung der Fingerprints beteiligt sind. Letzteres können wir nicht beweisen, aber es ist naheliegend, und so kommen wir zu unserem Fazit:
Sie können sich verbiegen, wie sie wollen, wenn sie kein Cyber-Security-Experte sind, dann können sie davon ausgehen, dass Datenschutz aktuell (2024) nicht für jeden verfügbar ist. DSGVO hin oder her, den Machern dieser Verordnung müssen wir teilweises Unwissen vorwerfen.

Gerade bei Diskussionen über Datenschutz und Kontrolle argumentieren viele Menschen mit: “Ich habe doch nichts zu verbergen…” Wir denken, das folgende Zitat von Edward Snowden ist die richtige Antwort.

«Zu argumentieren, dass Sie keine Privat­sphäre brauchen, weil Sie nichts zu verbergen haben, ist so, als würden Sie sagen, dass Sie keine Meinungs­freiheit brauchen, weil Sie nichts zu sagen haben.» Edward Snowden.

An alle Datenschutzbeauftragten: Es ist an der Zeit sich diesem Thema intensiv zu widmen. Es kann nicht sein, dass Websites abgemahnt werden, wegen geringer Verstöße gegen den Datenschutz, wie ein nicht 100%ig konformes Cookie Banner, aber auf der anderen Seite werden tiefgreifenden Tracking-Techniken, wie Browser Fingerprinting, komplett ausgeblendet.

Total Views: 26