Mit einem digitalen Fingerabdruck können Betreiber von Webseiten und -Diensten Nutzer selbst dann erkennen, wenn sie versuchen, sich anonym zu bewegen: Der digitale Fingerabdruck hebelt gängige Schutzmechanismen aus.
Dass wir beim Surfen im Internet Spuren hinterlassen, ist nichts neues. Trotzdem habe ich kürzlich wieder gestaunt, wie viele Informationen mein Computer ungefragt übermittelt. Bemerkt habe ich es beim Aufrufen von dein-ip-check.de.
Was mir im oberen Teil der Webseite angezeigt wurde, entsprach in etwa dem, was ich erwartet hatte: IP-Adresse, Provider, Betriebssystem und Angaben zum Browser werden fehlerfrei erkannt:
Was dann aber weiter unten auf der Seite alles korrekt erfasst wurde, hat mich überrascht: Detailliert werden die Konfiguration meines Rechners und die Einstellungen und Plugins des Browsers aufgelistet:
Das alleine wären wohl schon genügend Informationen, um einen Nutzer anhand des verwendeten PCs in Kombination mit dem Browser eindeutig zu erkennen. Aber weiter unten kommt es noch dicker: Unter dem Titel "Inhaltsfilter" werden die Fingerabdrücke gezeigt, die einen Besucher eindeutig identifizieren, sogenanntes Canvas Fingerprinting (das ich hier nicht weiter erläutern werde, aber du kannst bei Bedarf auf den Link klicken).
Der abgebildete Code ermöglicht es, einen Nutzer eindeutig zu identifizieren. Das ist problematisch, weil diese Technologie von Diensten verwendet werden kann, die auf mehreren Webseiten zum Einsatz kommen, etwa von Werbevermittlern oder Diensten wie AddThis, die auch von Bloggern gern verwendet werden. Werden nun diese Angaben mit Personendaten verknüpft, etwa bei einem Bestellformular oder auf einem sozialen Netzwerk, kann das Verhalten eines Users detailliert analysiert werden.
Dass wir beim Surfen im Internet Spuren hinterlassen, ist nichts neues. Trotzdem habe ich kürzlich wieder gestaunt, wie viele Informationen mein Computer ungefragt übermittelt. Bemerkt habe ich es beim Aufrufen von dein-ip-check.de.
Was mir im oberen Teil der Webseite angezeigt wurde, entsprach in etwa dem, was ich erwartet hatte: IP-Adresse, Provider, Betriebssystem und Angaben zum Browser werden fehlerfrei erkannt:
Was dann aber weiter unten auf der Seite alles korrekt erfasst wurde, hat mich überrascht: Detailliert werden die Konfiguration meines Rechners und die Einstellungen und Plugins des Browsers aufgelistet:
Das alleine wären wohl schon genügend Informationen, um einen Nutzer anhand des verwendeten PCs in Kombination mit dem Browser eindeutig zu erkennen. Aber weiter unten kommt es noch dicker: Unter dem Titel "Inhaltsfilter" werden die Fingerabdrücke gezeigt, die einen Besucher eindeutig identifizieren, sogenanntes Canvas Fingerprinting (das ich hier nicht weiter erläutern werde, aber du kannst bei Bedarf auf den Link klicken).
Der abgebildete Code ermöglicht es, einen Nutzer eindeutig zu identifizieren. Das ist problematisch, weil diese Technologie von Diensten verwendet werden kann, die auf mehreren Webseiten zum Einsatz kommen, etwa von Werbevermittlern oder Diensten wie AddThis, die auch von Bloggern gern verwendet werden. Werden nun diese Angaben mit Personendaten verknüpft, etwa bei einem Bestellformular oder auf einem sozialen Netzwerk, kann das Verhalten eines Users detailliert analysiert werden.
Kein Schutz mit VPN-Diensten
Eine gängige Möglichkeit, die eigenen Identität bei Aktivitäten im Netzt zu schützen, ist der Einsatz eines VPN-Dienstes. Dabei wird sämtlicher Webverkehr über einen externen Server abgewickelt. In der Theorie - und so versprechen es die VPN-Dienstanbieter - kann der Weg eines Nutzers nur bis zu diesem Server, aber nicht weiter zurückverfolgt werden, wodurch dieser anonym bleibt.
Das stimmt aber in keiner Weise. Ruft man mit aktiviertem VPN-Dienst die Website dein-ip-check.de erneut auf, ändern sich die ermittelten Angaben nur im obersten Teil (IP-Adresse und Provider). Praktisch alle anderen Angaben bleiben dieselben, und was aus meiner Sicht wirklich problematisch ist, auch der digitale Fingerabdruck:
Identität mit Tor verschlüsseln
Wer sicher gehen will, dass er nicht über einen Canvas Fingerprint identifiziert werden kann, kommt nicht darum, einen anderen Browser zu nutzen, der die Herkunft mit Onion-Routing verschleiert, also beispielsweise den TOR-Browser. Erst damit konnte ich erreichen, dass sich der Fingerprint beim Aufrufen von dein-ip-check.de verändert:
Dieser Fingerprint soll für so viele Nutzer immer der selbe sein, dass man ihn keinem Individuum zuordnen kann. Das hat sich aber nicht unmittelbar bestätigt, als ich den Test mit einem ähnlich konfigurierten Gerät machte: Der Fingerprint war nicht derselbe.
Hingegen bestätigt die Website panopticlick.eff.org, die Browser auf ihre Sicherheit vor Trackern prüft, dass der Fingerprint nicht einmalig ist (merci If für den Tipp):
Hast Du Fragen oder Anmerkungen zu diesem Beitrag? Nutze dafür die Kommentarfunktion.
Kommentare
Kommentar veröffentlichen