Seite 2: So werden Sie getrackt

Inhaltsverzeichnis

Datendealer möchten Sie über möglichst alle Webseiten hinweg identifizieren (Fingerprinting) und verfolgen, um Nutzungsprofile zu erstellen. Diese lassen sich erstaunlich leicht de-anonymisieren und damit bestimmten Personen zuordnen. Dazu reicht es schon, die aufgerufenen Webseiten mit öffentlichen Facebook- oder Twitter-Konten abzugleichen. Die Links, die Sie dort gepostet haben, haben Sie mit hoher Wahrscheinlichkeit auch aufgerufen.

Klassische Methode, um User über mehrere Webseiten hin zu tracken, sind Cookies. Datendealer gleichen diese Identifikationsdaten auch gerne untereinander ab, um ihre Reichweite zu maximieren. Dazu gesellten sich Evercookies, die besonders schwer loszuwerden sind, und sich beispielsweise im Flash-Player einnisten. Die NSA verfolgt damit seit Jahren insbesondere Tor-User, die Werbebranche jedermann. Zur Identifikation werden auch Informationen wie Betriebssystem, Browserversion, Bildschirmauflösung, installierte Schriftarten und Erweiterungen ausgelesen.

Wiedererkannt ohne Cookies

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Videos immer laden Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Doch es gibt Methoden, die ganz ohne lokalen Speicher auskommen. Beim so genannten Canvas Fingerprinting schreibt ein Script Text in Ihr Browserfenster, gerne nicht oder kaum sichtbar. Anschließend liest das selbe Script den entsprechenden Bildschirminhalt als graphische Information aus. Je nach Betriebssystemversion, Browserversion, Grafikkarte und Grafiktreiberversion unterscheidet sich das gerenderte Ergebnis minimal. Läuft auf einer anderen besuchten Webseite das gleiche Script, kann es Ihren Computer mit hoher Wahrscheinlichkeit wiedererkennen – ganz ohne Cookies.

In den 100.000 meistbesuchten Webseiten fanden Forscher für eine Studie im Jahr 2014 mehr als 5.500 Seiten, auf denen solches Canvas Fingerprinting lief. Auf rund 5.300 dieser Seiten waren das Scripte von addthis.com, auf 115 Seiten Scripte von ligatus.com. Dazu kamen etwa 18 weitere Betreiber mit geringerer Verbreitung. Ligatus erklärte inzwischen, seit einem "kurzen Testlauf" vor über vier Jahren kein Canvas Fingerprinting mehr einzusetzen.

Ähnliche Tricks können die Datendealer dank Software-Schnittstellen (API) für Ton, Batteriestatus oder WebRTC anwenden. Beispielsweise lässt ein Script eine Tonfolge berechnen. "Sie müssen den Ton gar nicht über Lautsprecher ausgeben. Es reicht aus, die Sequenz zu berechnen. Das Ergebnis wird je nach Browserversion leicht anders ausfallen", erläutert Narayanan. Beim nächsten Mal kann der Tracker das Ergebnis wiedererkennen und zuordnen.