Fingerabdrücke sind eine besonders präzise Identifizierungsmethode, egal ob es sich um das Muster der Linien einer Fingerspitze handelt oder um das technische Gegenstück in Form von einmaligen Browser-Informationen. Es ist nicht gerade einfach die Fingerabdrücke von jemanden zu nehmen, ohne dass die Person es mitbekommt, aber unzählige Services im Internet identifizieren Benutzer über deren Browser-Fingerprint – und dabei stehen nicht immer die Interessen des Benutzers im Vordergrund.
Ein Team der Universität der Bundeswehr München hat eine Browser-Erweiterung entwickelt, mit der festgestellt werden kann, welche Websites Ihren Browser-Fingerabdruck speichern und welche Methode dafür verwendet wird. Außerdem hat das Team 10.000 populäre und bekannte Websites analysiert, um zu entdecken, welche Art von Informationen von diesen Seiten gesammelt werden. Teammitglied Julian Fietkau hielt auf dem Remote Chaos Communication Congress (RC3) einen Vortrag zum Thema und erklärte, wie das Team das Projekt durchgeführt hat.
Was ist Browser-Fingerprinting?
Browser-Fingerprinting bzw. der digitale Fingerabdruck besteht aus zusammengetragenen Information zu Ihrem Computer und Browser, die eine Website auf Anfrage erhalten kann, wenn die Seite geladen wird. Der Fingerabdruck umfasst Dutzende von Datenpunkten, wie beispielsweise die gewählte Sprache, die Zeitzone, in der Sie sich befinden, welche Erweiterungen Sie installiert haben, Ihre Browser-Version usw. Darüber hinaus können auch Informationen über Ihr Betriebssystem, den RAM, die Bildschirmauflösung, Schriftarteinstellungen und viele andere Daten gespeichert werden.
Websites speichern unterschiedliche Mengen und verschiedene Arten von Informationen und verwenden diese, um eine einmalige Identifizierung für Sie zu erstellen. Ein Browser-Fingerabdruck ist kein Cookie, er kann allerdings ähnlich verwendet werden. Ein grundlegender Unterschied ist, dass für die Cookie-Anwendung Ihre ausdrückliche Zustimmung erforderlich ist (Sie haben es bestimmt bereits satt andauernd die Cookie-Hinweise zu schließen), während der Browser-Fingerabdruck ohne Ihr Einverständnis erstellt werden kann.
Selbst wenn Sie im Inkognito-Modus — auch als privater Modus bekannt— surfen, wird Ihr Browser-Fingerabdruck erstellt, denn beinahe alle Browser- und Geräteparameter bleiben unverändert und es kann festgestellt werden, wer gerade surft.
Wie Browser-Fingerprinting gebraucht und missbraucht wird
Der grundlegende Zweck eines Browser-Fingerabdrucks besteht darin, den Benutzer ohne dessen Hilfe zu identifizieren. Zum Beispiel, wenn eine Bank über Ihren digitalen Fingerabdruck feststellen kann, dass Sie derjenige sind, der die Transaktion durchführt, ist es nicht notwendig Ihnen einen Sicherheitscode an das Handy zu schicken und sollte sich jemand mit einem anderen Fingerprint in Ihr Account einloggen – selbst, wenn Sie es sind – können weitere Sicherheitsmaßnahmen ergriffen werden. In diesem Beispiel verbessert das Fingerprinting Ihr Benutzererlebnis.
Aber Browser-Fingerprints werden auch eingesetzt, um auf Ihre Interessen zugeschnittene Werbung anzuzeigen. Informieren Sie sich beispielsweise auf einer Website über die Verwendung von Bügeleisen und wechseln dann zu einer anderen Website, die das gleiche Werbenetzwerk verwendet, werden Anzeigen für Bügeleisen eingeblendet. Im Grunde genommen erfolgt das Tracking ohne die Zustimmung des Webseitenbesuchers und es ist logisch, dass Benutzer von dieser Methode nicht begeistert sind und ihr sehr misstrauisch gegenüberstehen.
Kurz gefasst, gibt es viele Webseiten mit eingebauten Elementen von verschiedenen Werbenetzwerken und Analysediensten, die Ihren digitalen Fingerabdruck speichern und analysieren.
Wie kann ich feststellen, ob mein Browser-Fingerabdruck von einer Webseite erfasst wird?
Um die erforderlichen Informationen zur Erstellung des Browser-Fingerabdrucks zu erhalten, schickt die Website mehrere Anfragen über einen eingebetteten JavaScript-Code an den Browser. Die Summer dieser Antworten ergeben dann den digitalen Fingerabdruck.
Fietkau hat gemeinsam mit seinen Kollegen die beliebtesten Bibliotheken mit dieser Art von JavaScript-Code analysiert und eine Liste mit den 115 verschiedenen Fingerprinting-Techniken aufgestellt, die am meisten verwendet werden. Daraufhin hat das Team eine Browser-Erweiterung namens FPMON entwickelt, die verwendet werden kann, um Websites darauf zu prüfen, ob sie diese Techniken anwenden und welche Informationen zur Erstellung des Browser-Fingersprints von der entsprechenden Seite angefordert werden.
Benutzer, die FPMON installiert haben, erhalten eine Benachrichtigung, sobald eine Website Informationen über den Benutzer beim Browser anfordert. Das Team hat die Informationen in zwei Kategorien unterteilt: sensibel und aggressiv.
Die erste Kategorie umfasst Informationen, die von Websites aus berechtigten Gründen angefordert werden. Zum Beispiel kann eine Seite automatisch in der gewünschten Sprache angezeigt werden, wenn die Website über die Spracheinstellung Ihres Browsers informiert wurde und Informationen über Ihre Zeitzone sind erforderlich, um die richtige Uhrzeit anzuzeigen. Allerdings sagen auch diese Informationen etwas über Sie aus.
Aggressive Informationen sind für die Website nicht wichtig und werden höchstwahrscheinlich nur angefordert, um Ihren digitalen Fingerabdruck zu erstellen. Unter diese Art von Informationen fallen z. B. der Speicherplatz Ihres Geräts oder die Liste mit den Plug-ins, die Sie in Ihrem Browser gespeichert haben.
Wie aggressiv sammeln Websites Informationen für Fingerprinting?
FPMON kann Anfragen für 40 verschiedene Arten von Informationen feststellen. Fast alle Websites fragen nach der einen oder anderen Information zum Browser oder Endgerät. Ab welchem Punkt kann diese Aktivität als Fingerprinting eingestuft werden? Ab wann wird es bedenklich?
Das Forschungsteam nutze bestehende Websites, wie das Projekt von EFF (Elektronic Fronter Foundation) Panopticlick, auch bekannt als „Cover Your Tracks“, das von der Interessengruppe mit Schwerpunkt Privatsphäre entwickelt wurde, um zu zeigen, wie Browser-Fingerprinting funktioniert. Panopticlick erfordert 23 Parameter, um richtig zu funktionieren und kann Benutzer mit mehr als neunzigprozentiger Sicherheit identifizieren. Fietkau und sein Team legten 23 Parameter als Mindestwert fest. Demzufolge kann ab dieser Anzahl oder höher davon ausgegangen werden, dass die Website die Benutzer trackt.
Die Forscher haben die ersten 10.000 Websites auf der Rangliste von Alexa-Ranking überprüft und festgestellt, dass die meisten davon — beinahe 57 % — 7 bis 15 Parameter abfragen und der Durchschnittswert der gesamten Websites bei 11 Parameter liegt. Ca. 5 % der Websites fragten gar keine Parameter ab und maximal wurden 38 von 40 möglichen Parametern abgefragt. Das war allerdings nur bei 3 von 10.000 Websites der Fall.
Die untersuchten Websites verwenden über hundert Skripts, um Daten zu erheben. Auch wenn nur wenige Skripts viele Informationen aus der aggressiven Kategorie sammeln, ist es doch bedenklich, dass gerade diese Skripts von sehr beliebten Websites eingesetzt werden.
Wie kann ich mich vor Fingerprinting schützen?
Es gibt zwei Möglichkeiten, um Website-Skripts daran zu hindern, Ihren Browser-Fingerprint zu erstellen – Sie können die Skripts blockieren oder nur unvollkommene oder falsche Informationen freigeben. Tools zum Schutz der Privatsphäre wenden entweder den einen oder den anderen Ansatz an. Des Weiteren hat Safari vor Kurzem damit begonnen nur unvollständige Informationen freizugeben und schützt so die Benutzer vor Tracking über Fingerprinting.
Andere Unternehmen verwenden zu diesem Zweck Browser-Erweiterungen. Zum Beispiel können Skripts mit Privacy Badger blockiert werden, ein Plug-in das von EFF zum Schutz der Privatsphäre entwickelt wurde, der allerdings nicht alle Skripts abwehrt. Skripts, die Informationen anfragen, die für die korrekte Funktionsweise der Website erforderlich sind, werden nicht von Privacy Badger blockiert (aber auch diese Informationen können für Fingerprinting verwendet werden).
Wir verwenden denselben Ansatz für Kaspersky Protection, unsere Sicherheitserweiterung für Webbrowser, um zu verhindern, dass Websites zu viele Benutzerinformationen sammeln und diese für Fingerprinting verwenden. Kaspersky Protection zählt zu unseren Sicherheitslösungen für Privatanwender. Bitte denken Sie daran, die Sicherheitserweiterung zu aktivieren.