taz.de -- Studie zum digitalen Fingerabdruck: Bitte zurückverfolgen!

Jeder Browser verursacht eine einzigartige Datenspur im Netz. Sie auszulesen, könnte das Online-Banking sicherer machen. Aber auch personalisierte Werbung erleichtern.
Bild: Kein Browser im Spiel: analoges Fingerprinting.

Für Ämter und Behörden bezeugt der Fingerabdruck die Identität einer Person. Im Internet fehlt es aber bislang an einer sicheren Methode, vom Nutzer auf die reale Person zu schließen. Gott sei Dank, sagen Datenschützer. Leider, sagen Werbeunternehmer. Zwischen diesen beiden Polen bewegen sich jene, die finden, eine Zuordnung von Rechner und Person berge nicht nur die Gefahr personalisierter Werbung, sondern auch die Chance, den Missbrauch von Daten zu verhindern.

Von letzterem ist Henning Tillmann überzeugt. Der 28-jährige Informatik-Student an der Humboldt-Universität Berlin referierte vergangene Woche auf der Bloggerkonferenz [1][„re:publica“] über das Ende der Cookies. Und über alternative Wege, das Surfverhalten von Internet-Usern auszuwerten. Cookies sind kleine Textbausteine, mit deren Hilfe Werbedienstanbieter, die Werbebanner auf verschiedenen Internetseiten geschaltet haben, das Surfgewohnheiten einzelner Personen analysieren – und dementsprechend [2][maßgeschneiderte Werbung] platzieren.

Auf der Suche nach Alternativen zu Cookies

Da man Cookies deaktivieren kann und nun der beliebte Browser Mozilla Firefox ab der Version 22 standardmäßig [3][Cookies von Drittanbietern] blockieren will, ist die Werbebranche eifrig auf der Suche nach Alternativen. Eine davon ist das Browser Fingerprinting – das Auslesen der Datenspur, die der Nutzer beim Surfen im Netz hinterlässt. „Werbenetzwerke haben natürlich ein sehr großes Interesse daran“, sagte Henning Tillmann der taz.

Warum das so ist, zeigen Tillmanns Forschungsergebnisse. Anhand der Browser-Spuren ist die eindeutige Identifizierung von Nutzern weitgehend möglich. Von den 17.937 Fingerabdrücken, die Tillmann im Rahmen seiner [4][Diplomarbeit] auswertete, sind 92 Prozent einzigartig. Eine Verwechslung untereinander kann durch die einmalige Kombination verschiedener Rechner-Einstellungen – Betriebssystem, Browserkonfiguration, Bildschirmauflösung, installierte Plugins, die Zeitzone, Hintergrundfarben oder Schriftarten – ausgeschlossen werden. Über viele dieser Einstellungen informiert der Browser ungefragt. Andere können von alltäglichen Web-Skriptsprachen wie Javascript oder Flash ausgelesen werden.

Wiedererkennungsquote 90 Prozent

Selbst nach drei geänderten Einstellungen liegt die Wiedererkennungsquote bei immerhin 90 Prozent. Ein Rechner kann also auch noch dann identifiziert werden, wenn beispielsweise Software-Updates seinen Fingerabdruck leicht abgeändert haben. „Richtigen Schutz vor Browser-Fingerprinting gibt es kaum“, bilanziert Tillmann. Die einzige Möglichkeit bestünde darin, zum Surfen einen Rechner mit Standard-Einstellungen des Herstellers zu verwenden. Denn jedes zusätzlich installierte Plugin, jede besondere Schriftart macht einen Rechner unterscheidbarer – Modifikationen, auf die kaum ein Nutzer verzichten möchte.

Für Tillmann ist es deshalb nur eine Frage der Zeit, bis der digitale Fingerabdruck auch in der Werbe-Industrie genutzt wird. Für die Branche wäre das ein großer Fortschritt: Denn im Gegensatz zu den momentan eingesetzten Cookies kann der Fingerprint nicht festgestellt werden, weil bislang keine Software das Auslesen von Browser-Spuren nachweisen kann.

Mit der Identifizierung von Personen anhand seiner Rechner-Spuren ließe sich der Datentransfer im Netz aber auch sicherer machen. Zum Beispiel beim Online-Banking: Dank des Fingerabdrucks könnte die Bank erkennen, ob sich ein Kunde von einem anderen Rechner aus einloggen will und daraufhin eine zusätzliche Verifizierung der Identität abfragen. An solchen [5][Sicherheits-Checks] wird bei Facebook und Google getüftelt.

Verstoß gegen bestehendes Datenschutzrecht?

Oberbeck, Sprecher von Google Nordeuropa, beteuert gegenüber der taz, dass Google den Browser-Fingerabdruck noch nicht „für interessensbasierte Dienste“ verwende. Anders formuliert: Die Google-Dienste schalten noch keine personalisierte Werbung, die auf der Auswertung von Browser-Datenspuren beruht. Gegenüber Tillmann haben aber Vertreter der Werbebranche eingeräumt, den Einsatz der Methode ernsthaft in Erwägung zu ziehen. Welche das sind, wollte Tillmann allerdings nicht verraten.

Dabei ist strittig, ob die ungefragte Datenerhebung zu Werbezwecken nicht gegen bestehendes Datenschutzrecht verstoße. Die Frage stellt sich insbesondere dann, wenn die gesammelten Daten Rückschlüsse auf die „natürliche Person“ zulassen, erklärt der IT-Rechtsanwalt Sebastian Kraska. Darunter zählen [6][personenbezogene Daten] wie Name oder Anschrift.

Der Rückschluss vom Intenet-Nutzer auf die reale Person ist allerdings jetzt schon leicht möglich. Beispielsweise indem man das Surfverhalten mit den E-Mail-Adressen oder den [7][Benutzernamen von Sozialen Netzwerken abgleicht]. Um Bewusstsein für diesen Umstand zu schaffen, sieht Informatiker Tillmann die Wissenschaft in die Pflicht gerufen: „Wir müssen die Nutzer informieren, dass sie alleine durch den Aufruf einer Webseite gewisse Informationen preisgeben.“

Gut möglich, dass der Browser-Fingerabdruck schon bald eingesetzt wird. Sollte sich die Werbeindustrie dazu ähnlich ausschweigen wie zum Einsatz von Cookies, werden Intenet-Nutzer über das Sammeln von Browser-Spuren aber nur spekulieren können.

20 May 2013

LINKS

[1] http://www.re-publica.de/
[2] http://www.heise.de/tr/artikel/Wenn-Web-Werbung-zuviel-weiss-1851834.html
[3] http://www.heise.de/ix/meldung/Firefox-bleibt-bei-Cookie-Blockade-hart-1839688.html
[4] http://bfp.henning-tillmann.de/?lang=de
[5] http://www.golem.de/1201/89097.html
[6] http://www.datenschutzbeauftragter-online.de/datenschutz-internet-diskussion-ip-adresse-personenbezogenes-datum-daten-bdsg/3475/
[7] http://www.golem.de/news/onlinewerbung-facebook-statt-tracking-cookie-1301-97139.html

AUTOREN

Ralf Pauli

TAGS

Datenschutz
Google
Werbebranche
Cookies
taz.de
Tracking
Datenschutz
Internet
Apple
re:publica
Telekommunikation
Peter Schaar

ARTIKEL ZUM THEMA

In eigener Sache: Ganz schön vertrackt

Auch auf taz.de werden Daten der UserInnen gesammelt. Von uns, aber auch von anderen. Warum das so ist und warum es im Augenblick nicht anders geht.

Schutz gegen Tracking: Spione kommen hier nicht rein

Werbedienste sammeln heimlich Daten über unser Surfverhalten. Die Tracking Protection List des Fraunhofer-Instituts kappt die Verbindung zu den Schnüffel-Websites.

Auskunftsrecht bei Polizeibehörden: Weg mit dem Datenschmutz

Der Auskunftsgenerator der „Roten Hilfe“ hilft Aktivisten, polizeiliche Datenbanken einzusehen. Das Ziel: den Datenbank-Sumpf der Behörden trocken legen.

Anwalt über Online-Medien-Datenschutz: „Grundgesetz wurde unterschätzt“

Ein Gericht zwang einen Netzseiten-Betreiber, Daten eines Nutzers herauszugeben. Rechtsanwalt Roman Ronneburger geht das zu weit.

Berliner Gerichtsurteil: Apples Datenschutz ist rechtswidrig

Das Landgericht Berlin kippt Teile der Datenschutzrichtlinie von Apple. Die Verwendung von Daten sei nicht transparent für den Kunden.

Konferenz „Re:publica“ in Berlin: Denkt denn keiner an die Kinder?

Die gleichen Wortführer wie in den vergangenen Jahren, aber ohne zündende Ideen: Die digitalen Bürgerrechtler brauchen dringend Nachwuchs.

Behördenzugriff auf Nutzerdaten: Beschwerde gegen Spitzelei

Gerade erst hat der Bundesrat die Neufassung des Telekommunikationsgesetzes gebilligt, schon geht der Protest weiter. Datenschützer wollen sich beschweren.

Unsicherer Informantenschutz: Der Staat kann zugreifen

Der Datenschutzbeauftragte Peter Schaar mahnt, dass Journalisten aufpassen sollten: Online gespeicherte Namen und Texte unterliegen nicht dem Quellenschutz.