Cookies stehen gemeinhin in schlechtem Ruf, dienen sie schließlich bei der Schaltung von personalisierten Werbeanzeigen der Nutzer-Identifikation und dem Tracking des Surfverhaltens. Aufgrund der möglichen Verletzung von Privatsphäre werden Cookies daher von Nutzern häufig geblockt oder regelmäßig gelöscht.
Vergangene Woche hatte SPIEGEL ONLINE Canvas-Fingerprinting als Methode zum Online-Tracking vorgestellt, die „Verstecken fast unmöglich“ mache. Wie ist es um den Wahrheitsgehalt dieser Aussage bestellt und worum handelt es sich beim Canvas-Fingerprinting?
Bei der Canvas-Fingerprinting-Methode sind Cookies oder Social-Media-Logins für die Schaltung von personalisierter Werbung nicht länger erforderlich. Stattdessen führt der Browser einen Befehl aus und generiert via Javascript ein verstecktes grafisches HTML5-Bildelement. Die Darstellung von Zeichen oder Linien ist dabei nicht immer identisch, sondern variiert je nach Betriebssystem, Grafikkarte, Prozessor, Treiber und Browser minimal. Anhand dieser Abweichungen sowie anderer individueller Daten, beispielsweise den auf dem System installierten Schriftarten oder Uhrzeit-Einstellungen, ergibt sich ein einzigartiger Fingerabdruck, mit dessen Hilfe der User wiedererkannt und sein Surfverhalten nachvollzogen werden kann.
Forscher der Princeton-University und der Katholieke-Universiteit Leuven haben die 100.000 bekanntesten Internetseiten (nach Alexa-Ranking) untersucht und Canvas-Fingerprinting auf rund fünf Prozent entdeckt, unter anderem auf der Website des Weißen Hauses sowie auf 144 Websites mit DE-Domain.
Allem Anschein nach ist diese Tracking-Methode jedoch ohne das Wissen der betroffenen Publisher quasi durch die Hintertür über ein von ihnen verwendetes Plugin der Social-Bookmarking-Firma AddThis oder via den deutschen Performance-Werber Ligatus eingeführt worden. Dementsprechend groß die Empörung bei den Kunden von AddThis und Ligatus: während die Telekom SPIEGEL ONLINE bestätigte, nichts von dem Einsatz gewusst zu haben und die Zusammenarbeit mit Ligatus unterbunden hat, haben auch US-Unternehmen Konsequenzen gezogen und AddThis entfernt. Ligatus spricht unterdessen von einem „misslungenem Experiment“ und auch AddThis sah sich gezwungen zum durchgeführten Test Stellung zu nehmen.
Unabhängig von diesem Debakel bei der Einführung und den möglichen rechtlichen Konsequenzen, scheint Canvas-Fingerprinting jedoch auch weder technisch ausgereift noch schwer zu umgehen zu sein. Während AddThis von einer zu 90 Prozent genauen User-Identifizierung spricht, funktioniert das Verfahren etwa auf mobilen Geräten nur schlecht und die Verlässlichkeit ist bei einer großen Zahl von Besuchern nicht gegeben, da die Wahrscheinlichkeit für mehrere User mit übereinstimmender System-Konfiguration – und somit identischem Canvas-Fingerprint – hoch ist. Soll also ein Tracking von Usern über mehrere Websites hinweg vorgenommen werden, um Werbeanzeigen passend auszusteuern, stößt diese Tracking-Methode somit schnell an ihre Grenzen.
Während ProRepublica und infolgedessen nahezu der gesamte deutsche Blätterwald davon ausgegangen ist, dass das Canvas-Fingerprinting nur schwer zu umgehen sei, liegt unterdessen umfangreiches Feedback von Privacy-Experten und Anbietern von Werbeblockern vor. Während einige empfehlen, Anbieter wie AddThis und Ligatus direkt zu blocken und somit auch das von ihnen betriebene Canvas-Fingerprinting zu unterbinden, könne dieses auch direkt dadurch verhindert werden, dass die erforderlichen JavaScript-Abfragen nicht mehr zugelassen werden.
Die KU-Kleuven stellt eine Seite mit den Studienergebnissen sowie eine Liste der Internetseiten bereit, auf denen Canvas Fingerprinting identifiziert wurde. Darunter finden sich folgende bekannte deutsche Seiten:
Alexa Rank | URL |
411 | http://t-online.de |
1349 | http://wetter.com |
1349 | http://kicker.de |
1880 | http://n-tv.de |
2005 | http://kaspersky.com |
2050 | http://computerbild.de |
2366 | http://handelsblatt.com |
3025 | http://golem.de |
3052 | http://wetteronline.de |
3406 | http://conrad.de |
4867 | http://msn.de |
4974 | http://diepresse.com |
5542 | http://eventim.de |
6330 | http://presseportal.de |
6423 | http://abendzeitung-muenchen.de |
6620 | http://mopo.de |
9981 | http://augsburger-allgemeine.de |
10794 | http://radio.de |
11149 | http://greenpeace.org |
11245 | http://skyscanner.de |
11640 | http://merkur-online.de |
13540 | http://oebb.at |
16710 | http://weg.de |
16742 | http://stuttgarter-zeitung.de |
18624 | http://essen-und-trinken.de |
26928 | http://suedkurier.de |
28292 | http://jobscout24.de |
30461 | http://stuttgarter-nachrichten.de |
32173 | http://adidas.de |
32392 | http://onlinekosten.de |
33398 | http://dmax.de |
34108 | http://machdudas.de |
34145 | http://nvidia.de |
34169 | http://playboy.de |
48751 | http://penny.de |
54394 | http://seat.de |
54597 | http://rundschau-online.de |
56350 | http://presseanzeiger.de |
56711 | http://samsung.de |
57836 | http://skoda.de |
62647 | http://allgemeine-zeitung.de |
66022 | http://nabu.de |
94085 | http://peugeot.de |