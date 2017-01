Cookies kennt Ihr: Das sind kleine Systemdateien auf der Festplatte oder im Handy-Speicher, die der Browser dort ablegt und die helfen können, beim Surfen im Netz komfortabler unterwegs zu sein, etwa wenn man sich einen Warenkorb im Onlineshop zusammenstellt. Allerdings werden Cookies auch von der Werbeindustrie genutzt, um uns User auszuspionieren. Dabei gibt es längst Methoden, einen Nutzer auch ohne Cookies wiederzuerkennen. Fingerprinting wird das genannt, wenn ein User – mit vergleichsweise hoher Treffergenauigkeit – anhand diverser anderer Daten und Umstände erkannt wird.

Trefferquote auf 99,24 Prozent erhöht

Allerdings ist das Fingerprinting bislang nicht zuverlässig genug. Es kann also passieren, dass ein Nutzer nicht wiedererkannt oder mit anderen Usern verwechselt wird. Doch nun ist es Forschern gelungen, die Methoden des Browser-Fingerprinting erheblich zu verbessern. Mittlerweile erreichen die Forscher an der Lehigh University in Pennsylvania eine Zuverlässigkeit von sage und schreibe 99,24 Prozent. Und das völlig ohne Cookies oder IP-Adressen. Das ist einer Trefferquote, die sich mit Cookies messen lassen kann – und die Cookie-Methode sogar übertrifft. Schließlich können Cookies auch wieder gelöscht werden.

Die neu entwickelte Fingerprinting-Technologie ist sogar fähig, einen Benutzer mit 83 Prozent Wahrscheinlichkeit wiederzuerkennen, selbst wenn er oder sie den Browser wechselt. In der Welt der Cookies undenkbar – bei Fingerprinting aber möglich. Mal eben den Browser zu wechseln, um die Anonymität zu wahren, funktioniert nur noch mit 17-prozentiger Wahrscheinlichkeit – also eher schlecht. Wenn die neuen Fingerprinting-Technologien angewendet werden, führt das Blockieren von Cookies und/oder das Deaktivieren von Skripten im Browser folglich nicht mehr zum gewünschten Ziel.

Im Hintergrund wird gerechnet

Wie aber lassen sich derart hohe Trefferraten erreichen? Wir merken nichts davon, aber jeder Browser liefert jedem Server eine Menge Daten über uns: Welches Betriebssystem setzen wir ein, wie hoch ist die Bildschirmauflösung, welche Schriftarten sind installiert und vieles andere mehr. Das allein sind schon so viele Informationen, dass man einen User vergleichsweise gut wiedererkennen kann. Dann werden mit Hilfe des Browsers noch Grafiken gerendert (gezeichnet), die nicht dazu dienen, angezeigt zu werden, sondern das Verhalten des Rechners zu ermitteln: Wie viele Farben stehen zur Verfügung, wie lange dauert das Erledigen der Aufgabe, welche Sprachen sind auf dem Rechner/Gerät installiert und im Einsatz?

All diese Daten zusammen ergeben ein erstaunlich präzises Bild – und eben einen soliden digitalen Fingerabdruck. Selbst wenn ein Browser einige Daten nicht liefert, reicht es trotzdem, einen Benutzer hinreichend zuverlässig wiederzuerkennen. Wer das mal selbst ausprobieren möchte: Diese Demo zeigt, wie einfach und zuverlässig das funktioniert. Noch brauchen die Tester rund zehn Sekunden, um den Fingerabdruck zu ermitteln, doch das könnte in Zukunft auch schneller gehen.

Wer sich gegen diese Art der Enttarnung schützen will, muss den Tor-Browser benutzen oder in einer virtuellen Maschine (VM) surfen. Allerdings sind das eher Lösungen für erfahrene Benutzer, weniger für Standard-User. Das technisch Machbare ist damit eindrucksvoll dokumentiert. So wie die EU die Verwendung von Cookies geregelt hat, müsste wohl auch der Einsatz solcher Fingerprinting-Technologien geregelt werden. Besser wär’s.