Cookies, Fingerprinting und Co: Tracking-Methoden verständlich erklärt

Was ist der Unterschied zwischen Cookies, Super-Cookies und Evercookies? Welche Fingerprinting-Methoden gibt es? Wir klären auf und geben Tipps, wie du verhindern kannst, dass dein Surfverhalten protokolliert wird.

(Icons: Nikita Golubev, Pixel Buddha, Freepik from www.flaticon.com)

Björn GreifRedakteur

Du hast im Zusammenhang mit Online-Tracking sicherlich schon einmal von Cookies und vielleicht auch von Fingerprinting gehört. Aber weißt du auch, was sich dahinter verbirgt und welche verschiedenen Varianten es gibt? Wir stellen die gängigsten Techniken vor, mit denen dich Tracker-Betreiber quer durchs Netz verfolgen, um deine Surfgewohnheiten zu überwachen. Außerdem erklären wir, wie du dich vor den verschiedenen Tracking-Methoden schützen kannst.

Tracking lässt sich definieren als Sammeln von Datenpunkten über mehrere Webseiten hinweg, die mittels einer eindeutigen Kennung einem bestimmten Nutzer zugeordnet werden kann. Grundsätzlich sind zwei Vorgehensweisen zu unterscheiden: Die eine bringt den Browser dazu, solch eine eindeutige Kennung lokal auf dem Endgerät des Nutzers zu speichern, etwa in Form von Cookies, Super-Cookies oder Evercookies. Die andere verzichtet auf eine lokale Speicherung und macht sich stattdessen Funktionen des Browsers zunutze, um einen eindeutigen „Fingerabdruck“ zu erstellen. In diese Kategorie fallen Canvas Fingerprinting, Audio Fingerprinting und JavaScript-Tracking. Im Folgenden erläutern wir die einzelnen Verfahren im Detail.

Ein Cookie ist eine kleine Textdatei, die beim Besuch einer Website für einen bestimmten Zeitraum auf deinem Rechner oder Mobilgerät gespeichert wird. Sie enthält zum Beispiel Log-in-Daten oder den aktuellen Inhalt deines Warenkorbs. Browser-Cookies dienen dazu, den Besucher einer Website zu „markieren“, um ihn und seine Einstellungen später wiedererkennen zu können.

Cookies sind aber auch eine klassische Methode, um Nutzer über mehrere Webseiten hinweg zu verfolgen. Tracking-Cookies von Drittanbietern speichern Daten über besuchte Webseiten mit dem Ziel, den Surfverlauf des Nutzers über einen langen Zeitraum zu protokollieren. Sie gelangen etwa über eingebettete Bilddateien (Werbebanner oder Zählpixel) auf dein Gerät. Glücklicherweise lassen sich Drittanbieter-Cookies über die Browsereinstellungen relativ leicht löschen oder von Vornherein blockieren. Mehr dazu weiter unten.

Super-Cookies enthalten einen eindeutigen Identifikator, der es Trackern ermöglicht, Datensätze in ihren Datenbanken zu verknüpfen, um Surfverlauf und -verhalten des Nutzers nachzuvollziehen (z.B. besuchte Webseiten samt Aufenthaltsdauer). Ein Beispiel sind Flash-Cookies (alias Local Share Objects oder kurz LSO), die im Gegensatz zu Standard-Cookies browserunabhängig sind und kein Verfallsdatum besitzen. Sie werden lokal gespeichert und lassen sich von Hand entfernen. Um zu verhindern, dass sie sich überhaupt im System einnisten, solltest du das Flash-Plugin im Browser so konfigurieren, das es nicht oder nur nach Bestätigung ausgeführt wird. Wähle dazu die Optionen „Nie aktivieren“ oder „Nachfragen, ob aktiviert werden soll“.

Evercookies sind nur extrem schwer loszuwerden, wenn sie sich einmal im System eingenistet haben – etwa im Flash-Player. Ihr Zweck ist es, einen Nutzer auch dann zu identifizieren, wenn er Standard- oder Flash-Cookies gelöscht hat. Evercookies verwenden verschiedene Speichertechniken, um Daten in unterschiedlicher Form an mehreren Orten auf dem Gerät abzulegen. Löscht der Nutzer einen Cookie, wird dieser sofort aus einem alternativen Speicherort wiederhergestellt.

Fingerprinting ermöglicht ohne Verwendung von lokal gespeicherten Cookies, ein Gerät oder einen Nutzer eindeutig zu identifizieren und webseitenübergreifend zu verfolgen. Wie der Name schon sagt, wird dabei ein „Fingerabdruck“ des Systems erstellt, der fortan als eindeutige Kennung dient. Lange Zeit war diese Tracking-Technik nur erfolgreich, wenn der Nutzer nicht mehrere Browser parallel verwendete. Inzwischen erlaubt Fingerprinting aber auch browserübergreifendes Tracking.

Die am weitesten verbreitete Fingerprinting-Methode ist Canvas Fingerprinting. Ein Tracking-Skript erzeugt dabei ein sogenanntes Canvas-Bild, das im Hintergrund geladen wird und einen kurzen Text enthält. Die Darstellung des Bildes variiert geringfügig je nach Betriebssystem, Browser, Grafikchip, Grafiktreiber und installierten Schriftarten. Dieser minimale Unterschied reicht aus, das Endgerät und somit den Nutzer mit hoher Wahrscheinlichkeit wiederzuerkennen, wenn er eine andere Webseite besucht, die dieselbe Tracking-Methode einsetzt.

Neben Canvas Fingerprinting sind noch andere Fingerprinting-Verfahren verbreitet, die sich etwa Browser-Schnittstellen (APIs) für Ton, Akkustatus oder Echtzeitkommunikation (WebRTC) zunutze machen. Beispielsweise wird beim Audio-Fingerprinting statt eines Bildes eine Tonsequenz berechnet, die sich je nach Browserversion und Systemkonfiguration leicht unterscheidet. Diese Unterschiede reichen aus, um Gerät und Nutzer eindeutig zu identifizieren und beim nächsten Besuch einer Website wiederzuerkennen. Beim Tracking mittels JavaScript werden zu diesem Zweck ebenfalls verschiedenste Systeminformationen ausgelesen.

Mit den genannten Verfahren sammeln Tracking-Betreiber massenhaft Daten, aus denen sie detaillierte Nutzerprofile erstellen, um sie zu Marketing-Zwecken einzusetzen oder weiterzuverkaufen. Der Wunsch der User, unbeobachtet im Internet zu surfen, ignorieren sie dabei ganz bewusst. Denn je mehr die Werbeindustrie über die Nutzer weiß, desto mehr Geld kann sie verdienen. In den Datenbanken der Tracking-Unternehmen sind höchst vertrauliche Informationen gespeichert, die nicht nur Rückschlüsse auf die finanzielle Situation, Interessen und Kaufabsichten erlauben, sondern etwa auch auf die sexuelle Orientierung, Gesundheit oder die politische und religiöse Einstellung. Diese zutiefst privaten Daten lassen sich oft sehr einfach einem einzelnen Nutzer zuordnen. Sie bergen also ein immanentes Privatsphärerisiko.

So kannst du dich schützen

Moderne Browser bieten von Haus aus einen Basisschutz gegen Cookie-Tracking: In den Einstellungen lässt sich festlegen, dass Cookies nach Ablauf ihrer Gültigkeit oder beim Beenden des Browsers automatisch gelöscht werden. Außerdem kannst du Cookies von Drittanbietern in den Browsereinstellungen von Vornherein blockieren. Um Cookies loszuwerden, hilft es häufig auch, einfach ein neues Benutzerprofil im Browser einzurichten. Mit Cliqz bist du immer auf der sicheren Seite: Unabhängig von den Einstellungen deines Browsers blockiert unser Anti-Tracking intelligent Drittanbieter-Cookies, so dass diese nicht zu Tracking-Zwecken eingesetzt werden können.

Die von Cliqz entwickelte Anti-Tracking-Technologie auf Basis Künstlicher Intelligenz (KI), die im Cliqz Browser und im Anti-Tracking-Tool Ghostery zum Einsatz kommt, verhindert zuverlässig eine Identifizierung mittels Drittanbieter-Cookies oder Fingerprinting. Sie erkennt, wenn ein Drittanbieter-Tracker eindeutige Kennungen oder Werte, die als solche genutzt werden könnten, verwenden will und ersetzt die angeforderten Daten durch Zufallswerte. Dadurch bleibt deine Identität und Privatsphäre im Netz stets geschützt. Ein weiterer Vorteil der KI-Technik: Anders als das bloße Blockieren von Tracking-Anfragen, wirkt sich der intelligente Tracking-Schutz nicht negativ auf bestimmte Website-Funktionen aus.


CLIQZ FÜR MOBILE