Über fünf Prozent der Websites nutzen neue Methoden zum User-Tracking
Wissenschaftler der Universitäten Princeton (US) und Löwen (Belgien) haben auf die zunehmende Nutzung von Methoden der nächsten Generation für das User-Tracking im Web hingewiesen: Ihrer Untersuchung von 100.000 der weltweit meistgenutzten Websites zufolge werden das sogenannte Canvas Fingerprinting und die ebenso hartnäckigen Evercookies auf 5,5 Prozent davon eingesetzt.
Alleine unter der Top-Level-Domain .de trackten 144 Websites Nutzer so – angefangen vom Naturschutzbund Deutschland e.V. (NABU) und der Tierschutzorganisation PETA über die Website des Autoherstellers Peugeot und den Webauftritten regionaler Tageszeitungen bis zu Serviceseiten wie IBAN-Rechner.de, MSN.de dem Ticketverkäufer Eventim oder auch Wetter.com.
Update 28. Juli 20:12: Bei in Deutschland betriebenen Webseiten, auf denen im Untersuchungszeitraum Skripte für Canvas Fingerprinting vom Anbieter Ligatus gefunden wurden, sollte dies inzwischen nicht mehr der Fall sein. Wie dieser gegenüber der Süddeutschen Zeitung erklärt hat, sei mit der Technik lediglich experimentiert worden, die Testphase aber inzwischen beendet.Update Ende
Den Forschern zufolge sind zwar 20 Provider beim Canvas Fingerprinting aktiv, 95 Prozent der nutzenden Websites lassen sich jedoch auf einen von ihnen, nämlich Addthis.com, zurückführen. Außerdem ist nur noch der von der OnVista Group entwickelte und inzwischen zu Gruner + Jahr gehörende Dienst Ligatus hier nennenswert aktiv: Ihm sind 115 der insgesamt 5542 ermittelten Domains zuzuordnen.
Canvas Fingerprinting wurde 2012 von Keaton Mowery und Hovav Shacham erstmals als Methode für das User-Tracking-vorgeschlagen. Sie erläuterten, dass sich unter Ausnutzung der in modern Browsern vorhandenen Canvas-API durch minimale Abweichungen im Rendering desselben Textes eine Art digitaler Fingerabdruck des Browsers erstellen lässt – und zwar in Sekundenbruchteilen und ohne dass dieser sich dessen gewahr wird. Einmal so erfasst, lässt sich der Nutzer bei jedem neuerlichen Besuch der Website eindeutig identifizieren.
Die zweite, zunehmend beliebter werdende Methode sind Evercookies: Aktuell setzen den Forschern zufolge 10 der 200 meistgenutzten Webseiten darauf. Sie entstehen aus der Kombination von mehreren Cookie-Arten und lassen sich aufgrund der mehrfachen Speicherung, die es ihnen erlaubt sich zu rekonstruieren (daher auch die Bezeichnung “Zombie-Cookies”) nur schwer löschen.
Als mögliche Gegenmaßnahmen diskutieren die Forscher von Princeton und Löwen in ihrem Bericht (PDF) Tools wie Ghostery, die einfach jeglichen Inhalt Dritter auf Webseiten blocken sowie das Abschalten von Flash Cookies – was allerdings auch nur begrenzten Erfolg verspricht: Einige sogenannte Tracking Vektoren lassen sich nämlich ihnen zufolge nicht oder nur mit Verlust wesentlicher Funktionen abschalten.
Ihrer Erfahrung nach ist der Tor Browser der einzige, der erfolgreich vor Canvas Fingerprinting schützt: Er fragt jedesmal nach, ob das erlaubt, untersagt oder dieser Website für die Zukunft genehmigt werden soll. Gegen Third Party Cookies helfe das von der US-Bürgerrechtsorganisation EEF kürzlich bereitgestellte Privacy Badger. Von den Browser-Anbietern habe außer Mozilla in Ansätzen bisher keiner Bemühungen gemacht, gegen die neuen Tracking-Methoden etwas zu unternehmen.
Downloads zu diesem Beitrag:
Tipp der Redaktion: Max Schrems war vor drei Jahren Jurastudent in Wien – einer von vielen. Das änderte sich, nachdem er durch seine Klage gegen Facebook bekannt geworden war. Er warf dem Konzern vor, zu emsig Daten zu sammeln. Mit “Kämpf um deine Daten” hat er jetzt sein erstes Buch vorgelegt – ein Weckruf für alle Internet-Nutzer.