Unter dem Titel „The web never forgets: Persistent tracking mechanisms in the wild“ veröffentlichten Forscher der Princeton-Universität und der Universität Leuven 2014 eine Studie über moderne Methoden zur Nutzerverfolgung. Neben Evercookies und Cookie-Synchronisation beschäftigten sie sich dabei vor allem mit dem bis dato relativ unbekannten Canvas-Fingerprinting. Bei über 5,5 Prozent der zum Zeitpunkt der Studie führenden 100.000 Websites kam die raffinierte Technik zur Nutzeridentifikation den Ergebnissen nach zum Einsatz.
Keaton Mowery und Hovav Shacham, Mitarbeiter der Universität Kaliforniens, formulierten 2012 in ihrer Arbeit „Pixel Perfect: Fingerprinting Canvas in HTML5“ erstmals die Idee des Fingerprint-Trackings. In der Publikation präsentierten sie ihre Überlegungen, dass mithilfe der mit HTML5 eingeführten Canvas-Elemente problemlos ein individueller Fingerabdruck auf Basis der Systemkonfigurationen der Webnutzer erzeugt werden kann. Inspiriert von der Arbeit der beiden Forscher, entwickelte und veröffentlichte der russische Programmierer Valentin Vasilyev ein Jahr später den ersten beispielhaften Canvas-Fingerprint-Code unter einer Open-Source-Lizenz auf GitHub. Sein Code diente Firmen wie AddThis und Ligatus als Basis, um dieses Tracking-Verfahren zu realisieren.
Bei den erwähnten Canvas-Elementen handelt es sich eigentlich um definierbare Bereiche (Höhe und Breite), in die per JavaScript gezeichnet werden kann, um beispielsweise Grafiken, Logos und Buttons inklusive Text zu kreieren. Je nach
fällt die Darstellung des Textes allerdings unterschiedlich aus, was das Canvas-Fingerprinting ermöglicht. Der Website-Betreiber benötigt zu diesem Zweck einzig den spezifizierten Canvas-Fingerprint-Code, der den Browser beim Seitenaufruf im Hintergrund zur Anzeige eines versteckten Textes via JavaScript veranlasst und die dadurch erhaltenen Informationen an den Webserver weiterleitet. Dank der Fülle an Merkmalen ist der auf diese Weise erstellte digitale Fingerabdruck in über 80 Prozent der Fälle einzigartig, wodurch er jederzeit wiedererkannt werden kann – insofern der Nutzer keine Veränderungen an den aufgezählten Systemkonfigurationen vornimmt.
Ein Canvas-Fingerprint enthält grundsätzlich nur die bisher erwähnten Informationen über System und Browser. Doch diese bieten bereits die Möglichkeit, Website-Besucher als einzelne Individuen zu identifizieren, um so im Anschluss ihr Surfverhalten nachzuverfolgen. Dabei kann es sich um die Aktivitäten auf einer einzigen, aber auch auf mehreren Websites handeln, insofern das Skript auf verschiedenen Seiten implementiert ist. Somit ist das Verfahren sowohl in Sachen Website-Optimierung als auch bei der Konzipierung zielgerichteter Werbung höchst interessant. Ein großer Pluspunkt der modernen Nutzerverfolgungs-Methode ist, dass sie keine personenbezogenen Daten sammelt. Das macht das Fingerprint-Tracking für Webanalytiker zu einer ernstzunehmenden Alternative zu Cookies, die rechtlich bedenklich sind und von vielen Nutzern blockiert und gelöscht werden.
Da der digitale Fingerabdruck im Gegensatz zum menschlichen nicht zu 100 Prozent einzigartig ist, sind allerdings auch die Ergebnisse des Canvas-Fingerprintings nicht immer aussagekräftig. So erhalten z. B. zwei Website-Besucher mit gleichen Konfigurationen nur eine Nutzer-ID, was die weiteren Untersuchungen entsprechend verfälscht. Da die Wahrscheinlichkeit einer solchen Übereinstimmung steigt, je mehr User verfolgt werden, wächst diese Problematik gemeinsam mit dem Traffic des untersuchten Webprojekts. Ein weiteres Problem des Fingerprint-Trackings entsteht bei der Identifizierung von Nutzern mobiler Geräte: Die verwendete Hard- und Software von Tablets und Smartphones sind in der Regel zu standardisiert, weshalb zu wenige Unterscheidungsmerkmale vorliegen, um einzigartige Fingerabdrücke zu erzeugen.
Im Gegensatz zu Cookies können Canvas-Fingerprints nicht einfach gelöscht werden, da die Daten direkt an den Server übermittelt werden – eine clientseitige Speicherung findet nicht statt. Entsprechend verhindert auch der Inkognito-Modus eines Browsers nicht, dass die Canvas-Skripte die System- und Browserinformationen ausspionieren. Schutzlos sind Nutzer gegenüber der Tracking-Methode dennoch nicht. Sie können das Ausführen der Skripte im Voraus unterbinden, was z. B. mit den folgenden Maßnahmen gelingt:
Als 2014 die Liste der Websites mit Canvas-Fingerprint-Script erschien, staunten selbst manche Website-Betreiber nicht schlecht, als sie ihre Seite unter den über 5.000 Fällen entdeckten – denn sie selbst hatten das Tracking-Verfahren gar nicht implementiert. Im deutschsprachigen Raum zeichnete vielmehr der Kölner Vermarkter Ligatus verantwortlich, der seine zahlreichen Auftraggeber wie kicker.de, golem.de oder n-tv.de über die Verwendung der Technik im Unklaren ließ. Laut den Aussagen der Performance-Agentur handelte es sich dabei allerdings nur um einen limitierten Testlauf, in dessen Rahmen ausschließlich anonyme Informationen ohne Rückschlussmöglichkeit auf konkrete Nutzer gesammelt wurden. Der größte Teil der Websites nutzte allerdings – ebenfalls ohne es zu wissen – den Tracking-Code der US-Firma AddThis, die vor allem durch Social-Media-Buttons für Websites bekannt ist.
Wesentlich problematischer als die Unwissenheit der Website-Betreiber ist, zumindest in Deutschland, die der Website-Besucher. Auch wenn die EU-Cookie-Richtlinie nicht auf das Canvas-Fingerprinting anwendbar ist, so ist es zumindest § 15 Abs. 3 des Telemediengesetzes: Da der Fingerprint als Pseudonym betrachtet werden kann, ist das Fingerprint-Tracking nur zulässig, wenn die Nutzer über den Zweck aufgeklärt werden und die Möglichkeit zum Widerspruch besitzen.
Log-Dateien enthalten eine Vielzahl an Informationen über die Prozesse von Systemen, Programmen und Diensten. Egal ob Betriebssystem, Datenbank oder Antiviren-Software: Im jeweiligen Logfile werden alle Informationen über die relevanten Prozesse abgespeichert. Das ermöglicht im Problemfall eine schnelle Fehlerbehebung, eine umfassende Datenwiederherstellung oder die Anpassung der Software. Welchen...
Wer Webanalyse-Tools wie Google Analytics nutzt, weiß die Daten zu schätzen, die ihm diese Webservices liefern. Um sich im Internet gegen die Konkurrenz zu behaupten, gehört das Monitoring der Website-Besucher mittlerweile zum Standardprogramm. Doch welche Techniken sich hinter den Datenerhebungs-Tools verbergen, ist den meisten Nutzern dabei nicht bewusst. Wir stellen das sogenannte Page-Tagging...
In der jüngeren Vergangenheit hat sich mit dem sogenannten Browser-Fingerprinting eine Tracking-Methode etabliert, die auch gänzlich ohne Cookies auskommt. Dabei erfassen Webserver unterschiedliche Merkmale von den Browsern der Besucher und ermitteln auf diesen basierend deren digitalen Fingerabdruck. Über diesen können die Nutzer zu einem späteren Zeitpunkt wiedererkannt werden. Während einige...
Google plant, Third-Party-Cookies als Instrument für die Generierung von individuellen Nutzerprofilen in den kommenden Jahren aus dem hauseigenen Browser Chrome zu streichen. Werbung und Tracking soll allerdings auch in Zukunft möglich sein, weshalb der Suchmaschinenriese intensiv mit Alternativlösungen wie Federated Learning of Cohorts (FLoC) beschäftigt ist. Was steckt hinter der Methode? Und...
Nur für kurze Zeit: So erhalten Sie zwei Gratis-Domains!
Kaufen Sie eine .de-Domain und erhalten Sie eine .com und .info Domain gratis dazu.
Sie empfehlen unsere Produkte über unseren Partner Aklamio weiter. Wir bedanken uns mit einer Geldprämie.
Weiterempfehlen
Professionell: 100% werbefrei