zurück zur Übersicht

Canvas-Fingerprinting: wie funktioniert’s und wie verhindert man Tracking?

31. Juli 2014

Canvas Fingerprinting

Bild: Johan Swanepoel – Shutterstock

Von Yi-Ji Lu

Cookies stehen gemeinhin in schlechtem Ruf, dienen sie schließlich bei der Schaltung von personalisierten Werbeanzeigen der Nutzer-Identifikation und dem Tracking des Surfverhaltens. Aufgrund der möglichen Verletzung von Privatsphäre werden Cookies daher von Nutzern häufig geblockt oder regelmäßig gelöscht.

Vergangene Woche hatte SPIEGEL ONLINE Canvas-Fingerprinting als Methode zum Online-Tracking vorgestellt, die „Verstecken fast unmöglich“ mache. Wie ist es um den Wahrheitsgehalt dieser Aussage bestellt und worum handelt es sich beim Canvas-Fingerprinting?

Wie funktioniert Canvas-Fingerprinting?

Bei der Canvas-Fingerprinting-Methode sind Cookies oder Social-Media-Logins für die Schaltung von personalisierter Werbung nicht länger erforderlich. Stattdessen führt der Browser einen Befehl aus und generiert via Javascript ein verstecktes grafisches HTML5-Bildelement. Die Darstellung von Zeichen oder Linien ist dabei nicht immer identisch, sondern variiert je nach Betriebssystem, Grafikkarte, Prozessor, Treiber und Browser minimal. Anhand dieser Abweichungen sowie anderer individueller Daten, beispielsweise den auf dem System installierten Schriftarten oder Uhrzeit-Einstellungen, ergibt sich ein einzigartiger Fingerabdruck, mit dessen Hilfe der User wiedererkannt und sein Surfverhalten nachvollzogen werden kann.

Canvas Fingerprinting – Abweichung von Bildern

Rechnerspezifische Abweichungen bei generierten Canvas-Elementen (Grafik aus der Studie der Princeton-University und Katholieke-Universiteit Leuven)

Forscher der Princeton-University und der Katholieke-Universiteit Leuven haben die 100.000 bekanntesten Internetseiten (nach Alexa-Ranking) untersucht und Canvas-Fingerprinting auf rund fünf Prozent entdeckt, unter anderem auf der Website des Weißen Hauses sowie auf 144 Websites mit DE-Domain.

Test ohne das Wissen der Publisher?

Allem Anschein nach ist diese Tracking-Methode jedoch ohne das Wissen der betroffenen Publisher quasi durch die Hintertür über ein von ihnen verwendetes Plugin der Social-Bookmarking-Firma AddThis oder via den deutschen Performance-Werber Ligatus eingeführt worden. Dementsprechend groß die Empörung bei den Kunden von AddThis und Ligatus: während die Telekom SPIEGEL ONLINE bestätigte, nichts von dem Einsatz gewusst zu haben und die Zusammenarbeit mit Ligatus unterbunden hat, haben auch US-Unternehmen Konsequenzen gezogen und AddThis entfernt. Ligatus spricht unterdessen von einem „misslungenem Experiment“ und auch AddThis sah sich gezwungen zum durchgeführten Test Stellung zu nehmen.

Technisch nicht ausgereift

Unabhängig von diesem Debakel bei der Einführung und den möglichen rechtlichen Konsequenzen, scheint Canvas-Fingerprinting jedoch auch weder technisch ausgereift noch schwer zu umgehen zu sein. Während AddThis von einer zu  90 Prozent genauen User-Identifizierung spricht, funktioniert das Verfahren etwa auf mobilen Geräten nur schlecht und die Verlässlichkeit ist bei einer großen Zahl von Besuchern nicht gegeben, da die Wahrscheinlichkeit für mehrere User mit übereinstimmender System-Konfiguration – und somit identischem Canvas-Fingerprint – hoch ist. Soll also ein Tracking von Usern über mehrere Websites hinweg vorgenommen werden, um Werbeanzeigen passend auszusteuern, stößt diese Tracking-Methode somit schnell an ihre Grenzen.

Wie lässt sich Canvas-Fingerprinting blockieren?

Während ProRepublica und infolgedessen nahezu der gesamte deutsche Blätterwald davon ausgegangen ist, dass das Canvas-Fingerprinting nur schwer zu umgehen sei, liegt unterdessen umfangreiches Feedback von Privacy-Experten und Anbietern von Werbeblockern vor. Während einige empfehlen, Anbieter wie AddThis und Ligatus direkt zu blocken und somit auch das von ihnen betriebene Canvas-Fingerprinting zu unterbinden, könne dieses auch direkt dadurch verhindert werden, dass die erforderlichen JavaScript-Abfragen nicht mehr zugelassen werden.

Auf folgenden deutschen Websites war Canvas-Fingerprinting im Einsatz

Die KU-Kleuven stellt eine Seite mit den Studienergebnissen sowie eine Liste der Internetseiten bereit, auf denen Canvas Fingerprinting identifiziert wurde. Darunter finden sich folgende bekannte deutsche Seiten:

Alexa Rank URL
411 http://t-online.de
1349 http://wetter.com
1349 http://kicker.de
1880 http://n-tv.de
2005 http://kaspersky.com
2050 http://computerbild.de
2366 http://handelsblatt.com
3025 http://golem.de
3052 http://wetteronline.de
 3406 http://conrad.de
 4867  http://msn.de
 4974  http://diepresse.com
 5542  http://eventim.de
 6330  http://presseportal.de
 6423  http://abendzeitung-muenchen.de
 6620  http://mopo.de
 9981  http://augsburger-allgemeine.de
 10794 http://radio.de
 11149 http://greenpeace.org
 11245 http://skyscanner.de
 11640  http://merkur-online.de
 13540 http://oebb.at
 16710 http://weg.de
 16742  http://stuttgarter-zeitung.de
 18624  http://essen-und-trinken.de
 26928 http://suedkurier.de
 28292  http://jobscout24.de
 30461  http://stuttgarter-nachrichten.de
 32173 http://adidas.de
 32392  http://onlinekosten.de
 33398  http://dmax.de
 34108  http://machdudas.de
 34145  http://nvidia.de
 34169  http://playboy.de
 48751  http://penny.de
 54394  http://seat.de
 54597  http://rundschau-online.de
 56350  http://presseanzeiger.de
 56711  http://samsung.de
 57836 http://skoda.de
 62647  http://allgemeine-zeitung.de
 66022  http://nabu.de
 94085  http://peugeot.de
vorheriger Beitrag nächster Beitrag

Der Autor

Yi-Ji Lu

Yi-Ji Lu

Foto: CREATIVE CONSTRUCTION HEROES GMBH

ist Content Strategist bei CREATIVE CONSTRUCTION HEROES GMBH.

nach Oben