Browser Fingerprinting: Wie schütze ich mich?

Wer sich vor Tracking im Web schützen will, sollte Cookies deaktivieren. Diese Empfehlung war lange Zeit gültig, reicht heute aber nicht mehr aus. Denn unter dem Sammelbegriff Fingerprinting existieren inzwischen eine Reihe von Tracking-Techniken, mit denen sich Nutzer ohne Einsatz von Cookies eindeutig identifizieren lassen. Ist dies geschehen, können Tracker-Betreiber das Nutzungsverhalten nachverfolgen und analysieren.

Browser Fingerprinting steht für das Prinzip, sich verfügbare Web-Schnittstellen (APIs) zunutze zu machen, um eine für einen bestimmten Browser einmalige Kennnummer zu erstellen, die sich zuverlässig wiederholt berechnen lässt. Diese Nummer kann dann dazu verwendet werden, den Browser eines bestimmten Nutzers zu identifizieren. Auf diese Weise lässt sich feststellen, welche verschiedenen Webseiten der Nutzer mit diesem Browser besucht hat. Die einzelnen Besuche können dann miteinander in Verbindung gebracht werden. Dieses Verfahren hat einige Aufmerksamkeit erregt, weil es ein zuverlässiges Tracken des Browsers ermöglicht – selbst wenn der Nutzer diesen neu installiert und Cache sowie Profil löscht.

Die Generierung dieser Fingerabdrücke beruht auf APIs, die durch Code aufrufbar sind, der beim Öffnen einer Webseite ausgeführt wird. Übliche Verfahren setzen Javascript sowie Browser-Erweiterungen ein, um zahlreiche Merkmale zu sammeln, darunter Bildschirmauflösung, Größe des Browserfensters und installierte Schriftarten. Diese können sich von Browser zu Browser leicht unterscheiden. Kombiniert können diese Unterschiede ausreichenden Informationsgehalt liefern, um einen sogenannten Unique Identifier (also einen digitalen Fingerabdruck) für deine Browserkonfiguration zu erstellen. Es gibt frei verfügbare Bibliotheken, die sich eine lange Liste verschiedener APIs zunutze machen, um stabile Unique Identifier zu generieren.

Ein Lösungsansatz, um diese Fingerprinting-Methoden zu unterbinden, besteht in dem Versuch, die Fingerprinting-Algorithmen zu stören, indem man entweder Javascript und Erweiterungen komplett blockiert (NoScript) oder die APIs verändert, sodass sie weniger einzigartig sind. Der Tor-Browser unternimmt große Anstrengungen, viele verschiedene Arten von Fingerprinting direkt zu blockieren. Jedoch werden mit der Zeit immer mehr Vektoren entdeckt, die sich zur eindeutigen Identifikation eignen. Es erfordert also stetige Wachsamkeit, um Schutz vor neuen Fingerprinting-Verfahren zu bieten – ein ständiges Wettrüsten. Die Schöpfer von Web-Standards sind sich des Risikos inzwischen bewusst, dass neu erstellte APIs eventuell Fingerprinting ermöglichen.

Es gibt zahlreiche Websites, die Fingerprinting demonstrieren und bewerten, wie erfolgreich der verwendete Browser Fingerprinting-Techniken entschärft. In diesen Tests schneidet Cliqz schlecht ab, und sie legen nahe, dass wir Fingerprinting nicht blockieren. Woran liegt das, wird der eine oder andere Nutzer fragen. Sollte Cliqz nicht vor Tracking-Verfahren schützen?

Die Antwort darauf lautet, dass der Cliqz Browser keinerlei direkte Anti-Fingerprinting-Maßnahmen einsetzt. Der Grund dafür ist, dass man nicht das jeweilige Fingerprinting blockieren muss, um Tracking zu verhindern. Wie wir in unserer Web-Tracking-Einführung erläutern, ist die Erstellung eines Unique Identifier für den Nutzer nur der erste Schritt im Tracking-Prozess. Um Daten zu sammeln, muss der Tracker diesen Identifier vom Browser zurückerhalten. Cliqz’ Anti-Tracking-Technologie setzt an diesem Punkt an und ist in der Lage, eindeutige Datenwerte in Anfragen zu erkennen und zu entfernen. Ein eventuell im Browser erstellter Fingerabdruck wird beim Senden blockiert, so dass Tracking-Betreiber diese Daten nicht erhalten. Der Vorteil dieser Methode besteht darin, dass sie unabhängig von dem eingesetzten Fingerprinting-Verfahren funktioniert. Dadurch müssen wir uns nicht am Fingerprinting-Wettrüsten beteiligen. Und Cliqz-Nutzer sind auf diese Weise immer vor Tracking geschützt.