IT-Security

Warum Maßnahmen gegen Fingerprinting oft ins Leere laufen

Andreas Th. Fischer

Andreas Th. Fischer

3 min read
Warum Maßnahmen gegen Fingerprinting oft ins Leere laufen
Photo by Immo Wegmann / Unsplash

Echte Anonymität gibt es im Internet nicht. Zuerst wurden nur vergleichsweise harmlose Cookies genutzt, um Websurfer wiederzuerkennen. Nach und nach wurden diese Methoden jedoch verfeinert. Statt einem Cookie, das sich relativ leicht blockieren oder automatisch wieder löschen lässt, nutzen vor allem internationale Werbenetze heutzutage immer ausgefeiltere Methoden zum Browser-Fingerprinting.

Ein Browser-Fingerprint dient wie ein Cookie dazu, einen Benutzer wiederzuerkennen und ihm so etwa ein persönliches Interessenprofil zuordnen zu können. Das kann dann beispielsweise genutzt werden, um ihm personalisierte Werbung anzuzeigen. Von dieser Art von Werbung versprechen sich die Marketingirmen größere Erfolgschancen bei ihren Kampagnen. Auch die Gegenseite hat aber verschiedene Methoden und Browser-Erweiterungen entwickelt, um Fingerprinting zu erschweren oder gar unmöglich zu machen. Leider funktionieren diese Techniken nicht immer zufriedenstellend. Manchmal verschlimmern sie die Situation sogar.

Prinzipiell spricht man von zwei Arten von Fingerprinting, einmal dem passiven und dann dem aktiven. Bei ersterem greifen die sammelnden Firmen nur auf bereits durch den Browser standardmäßig ausgelieferte Informationen wie die verwendete IP-Adresse, den Browser oder das Betriebssystem zurück. Beim aktiven Fingerprinting setzen sie dagegen etwa Javascripts ein, um weitere Daten zu erfassen. Dazu gehören dann zum Beispiel die Bildschirmauflösung, die installierten Schriftarten oder die Zeitzone des Nutzers. Die United-Internet-Tochter Ionos hat das recht ausführlich erläutert.

Je kleiner die Gruppe, desto schlimmer

Viele Security-Produkte werben heute mit Anti-Fingerprinting-Funktionen. Wie gut oder schlecht sie ihre Aufgabe erfüllen, lässt sich durch den einzelnen Anwender jedoch kaum überprüfen. Der Sicherheitsexperte Wladimir Palant hat sich mit der Thematik daher eingehend beschäftigt. Er merkt unter anderem an, dass Fingerprinting gar nicht im Sinne habe, einzelne Nutzer wirklich eindeutig zu identifizieren. Es genüge völlig, sie einer ausreichend kleinen Gruppe zuzuordnen, um gezielt Werbung ausspielen zu können.

Palant beschreibt, wie etwa die Auflösung des Bildschirms zum Fingerprinting genutzt werden kann und wie Anti-Fingerprinting-Erweiterungen diesen Wert zu standardisieren versuchen. Webseiten-Betreiber haben jedoch die Möglichkeit, diese Werte zu löschen, so dass der Browser doch wieder die echten Daten preisgibt.

Soweit, so (nicht) gut. Die Situation wird durch das Schutz-Add-on also verschlimmert. Plötzlich hat die Webseite nämlich zwei Möglichkeiten, den Nutzer wiederzuerkennen. Erstens wie gehabt trotz der versuchten Blockade an der echten Auflösung. Zweitens kommt hinzu, dass sie ihn jetzt ebenfalls daran wiedererkennen kann, dass er versucht hat, seine echte Bildschirmauflösung zu verschleiern. Die Gruppe, in der er sich zu verbergen versucht, wird dadurch also ein ganzes Stück kleiner. Das ist genau das Gegenteil dessen, was man als am Datenschutz interessierter Anwender erreichen will.

Brave macht es anders, aber nicht unbedingt besser

Der Browser Brave geht einen anderen Weg, um seine Nutzer zu schützen. Er verwendet zufällige Werte, die das Fingerprinting erschweren sollen. Bei jedem neuen Besuch einer Webseite bekommt sie daher andere Daten zu sehen. Wie Palant argumentiert, lassen sich diese Nutzer aber genau daran wieder leichter erkennen. Statt in einer großen Gruppe zu verschwinden, die etwa die aktuell am häufigsten anzutreffende Display-Auflösung nutzt, sticht der Anwender mit ungewöhnlichen und sich wiederholt ändernden Werten geradezu heraus.

In Kombination mit nur schwer zu verbergenden Daten wie der IP-Adresse lassen sich diese Nutzer daher leicht einer kleineren Gruppe zuordnen. Das ist wieder genau das Gegenteil dessen, was man erreichen will, wenn man sich vor Fingerprinting schützen möchte.

Was kann man also machen, um Fingerprinting zumindest zu erschweren?

  • Standardwerte wie den derzeit beliebtesten Browser in der am weitesten verbreiteten Version auf dem beliebtesten Betriebssystem nutzen; nachdem Firefox auch hierzulande deutlich an Marktanteil verloren hat, ist das aktuell Chrome 86 unter Windows 10,
  • die beliebteste Bildschirmauflösung verwenden (derzeit ist das in Deutschland 1.920 x 1.280 Pixel) und
  • aktive Inhalte blockieren (hier dürften die Vorteile überwiegen, auch wenn sich der Nutzer dadurch auch wieder leichter erkennbar macht).

Informationen über aktuell geeignete Werte finden sich zum Beispiel hier, hier und hier.

[Dieser Beitrag wurde ursprünglich im IT Security Newsletter (RIP) veröffentlicht.]

Read more