Web

"Canvas Fingerprinting"

Hartnäckiges Online-Tracking sorgt für Wirbel

25.07.2014
Viele Webseiten benutzen Techniken, um ihre Nutzer wiederzuerkennen und ihnen passende Werbung anzuzeigen. Viele Nutzer wiederum mögen das nicht, sie blockieren solche Dienste. Die Werbeindustrie hat nun eine neue Variante ausprobiert - und damit einigen Wirbel ausgelöst.

Daten sind die Wertmarken der digitalen Welt: Einige Unternehmen wollen möglichst viel davon sammeln, einige Nutzer möglichst wenig davon preisgeben. Eine neue, besonders hartnäckige Technik zur Nachverfolgung der Nutzer im Netz sorgt nun für Aufsehen. Auf tausenden beliebten Webseiten findet sich die Technologie namens "Canvas Fingerprinting", wie Forscher aus Belgien und den USA feststellten.

So werden die Klicks der Nutzer beobachtet und ausgewertet, damit ihnen passgenaue Werbung angezeigt werden kann. Das funktioniert selbst dann, wenn Nutzer herkömmliche Nachverfolgung, genannt "Tracking", durch Cookies löschen oder verbieten.

Bei ProPublica kann man sich den 'Fingerabdruck' des eigenen Browsers anschauen.
Bei ProPublica kann man sich den 'Fingerabdruck' des eigenen Browsers anschauen.

Die "Canvas Fingerprinting"-Technik können Nutzer kaum unterbinden, kritisierten die Forscher um Gunes Acar von der Universität Leuven in Belgien. "Das legt nahe, dass selbst bewanderte Nutzer vor großen Schwierigkeiten stehen, wenn sie Tracking-Techniken ausweichen wollen", schrieben die Wissenschaftler.

Die Forscher hatten die Technik bei ihrer Untersuchung auf mehr als 5000 Websites entdeckt. Auf hunderten Pornoseiten, auf Webseiten der US-Regierung und auf deutschsprachigen Nachrichtenportalen wurden demnach die digitalen Fingerabdrücke gesammelt.

Einige Website-Betreiber reagierten sofort. Nachdem die US-Seite "ProPublica" von den Forschungsergebnissen berichtet hatte, entfernten sie die Technologie aus ihren Auftritten. Das IT-Nachrichtenportal Golem schrieb: "Wir haben umgehend dafür gesorgt, dass die Technik bei Golem.de nicht mehr eingesetzt wird." Golem habe nicht gewusst, dass die Technik auf ihrer Webseite lief. Eingesetzt hatte sie ein Dienst zur Werbevermarktung.

Der Fall offenbart ein Dilemma: Die Werbebranche will Nutzern möglichst präzise folgen können, um Anzeigen an Mann und Frau zu bringen. Von diesen Werbegeldern leben viele Websites. Doch einigen Internetnutzern ist nicht wohl bei der Vorstellung, dass im Hintergrund Informationen über ihren Computer und ihr Surfverhalten gesammelt werden. Sie blockieren "Cookies", die kleinen Dateien von Werbenetzwerken und Websites, die die Nutzer wiedererkennen. "Deswegen überlegt die Werbebranche, was sie für Alternativen entwickeln kann", sagt der Software-Entwickler Henning Tillmann, der für seine Diplomarbeit neue Tracking-Mechanismen untersucht hat.

Eine davon ist das "Fingerprinting". Dabei werden Informationen über den Internetbrowser und den Computer gespeichert. Diese Einstellungen sind überraschend unterschiedlich, erklärt Tillmann. Menschen installieren verschiedene Software, Zusatzprogramme oder Schriftarten auf ihrem Gerät. "Sobald sich ein Star-Wars-Fan eine Star-Wars-Schriftart herunterlädt, ist der Rechner schon sehr individuell." So entsteht ein digitaler Fingerabdruck.

Das machen sich Entwickler beim "Canvas Fingerprinting" zu Nutze. Dabei wird im Browser eine Grafik generiert, meist ein Text mit möglichst vielen unterschiedlichen Buchstaben. Das macht jeder Computer ein klein wenig anders. So lässt sich ein Nutzer wiedererkennen. Forscher beschrieben die Technik schon 2012. Nun wurde erstmals ihr breiter Einsatz nachgewiesen, heißt es in der aktuellen Arbeit. Mehr als fünf Prozent der 100.000 meistbesuchten Websites nutzten sie.

Die Daten wurden allerdings nicht von den Betreibern der Websites gesammelt, sondern größtenteils von der Firma AddThis. Sie programmiert Schaltflächen, über die Nutzer Inhalte teilen können. Ein Klick auf das AddThis-Angebot zeigt dutzende Online-Netzwerke, die zum Weiterreichen der Inhalte einladen. Die Websites wussten gar nichts vom Einsatz der Technologie, erklärte AddThis "ProPublica".

Auch die deutsche Firma Ligatus tauchte in der Untersuchung auf, ihr Sammelcode fand sich auf 115 Webseiten. Das Kölner Unternehmen erklärt, das Fingerprinting sei nur testweise eingesetzt worden, die Daten seien mittlerweile gelöscht. Allerdings habe man den Code nicht sofort nach dem Ende des Tests wieder entfernt - und den Website-Betreibern nichts von dem Experiment erzählt. "Unser großer Fehler bestand darin, dass wir .. die Webseiten, mit denen wir zusammenarbeiten, nicht über diesen Test informiert haben", sagt Ligatus-Geschäftsführer Lars Hasselbach.

"Wir setzen üblicherweise weder Fingerprinting noch Cookie-Tracking ein", versichert er. Das machten viele Unternehmen anders: Fingerprinting sei "fast schon Marktstandard im Online-Marketing".

Die Variante des "Canvas Fingerprinting" sei dabei nicht besonders effektiv, gibt Software-Entwickler Tillmann zu Bedenken. "Um wirklich Nutzer eindeutig zu erkennen, ist es nicht zu gebrauchen. Allerdings, wenn ich es mit anderen Merkmalen kombinieren, sieht es anders aus." Er geht davon aus, dass Unternehmen bereits an den nächsten unauffälligen Techniken arbeiten. (dpa/tc)