Die Electronic Frontier Foundation (EFF) ist ein amerikanischer Verein, der sich Gedanken um den Datenschutz im digitalen Zeitalter macht – gibt es in den USA sonst ja nicht so oft.
Jetzt hat sich die EFF zum Beispiel die Frage gestellt, wie indiskret moderne Browser eigentlich sind, welche Daten sie preisgeben und ob daraus ein Profil erstellt werden kann. Konkret: Ob es möglich ist, einen Internetbenutzer allein anhand der Konfiguration seines Browsers wiederzuerkennen.
Die Antwort lautet: Ja. in den meisten Fällen ist das durchaus möglich, denn acht von zehn Browsern hinterlassen eine Art digitalen Fingerabdruck beim Surfen.
Aber der Reihe nach. Drei Monate lang hat die EFF geforscht und untersucht, welche Daten die gängigen Browser eigentlich an Webseiten übermitteln, wenn sie eine Webseite aufrufen. Der Ergebnisbericht ist besorgniserregend. Da passiert eine Menge im Hintergrund, ohne dass wir als Internetbenutzer davon etwas mitbekämen. Der Browser verrät dem Server der Webseite zum Beispiel, welcher Browser er ist, welche Version, welches Betriebssystem verwendet wird (und welche Version), im Zweifel aber auch, welche Plugins und Zusatzprogramme installiert sind, welche Bildschirmauflösung zum Einsatz kommt und vieles andere mehr.
Durchaus sinnvoll und nützlich, denn so kann der Webserver entscheiden, wie die Webseite aussieht. Da jeder Browser anders ist, kann es erforderlich sein, spezielle Varianten einer Webseite auszuliefern, auch die Bildschirmauflösung ist interessant, denn auf einem großen Bildschirm kann eine Webseite anders aussehen als auf einem Smartphone. Das dürfte jedem einleuchten.
Jetzt hat die EFF aber herausgefunden, dass derart viele Daten übertragen werden, dass nur wenige Benutzer exakt dieselben Daten übertragen – und dann spricht man von einem digitalen Fingerabdruck, da sich auf diese Weise eine Unterscheidung der Benutzer erreichen lässt – und natürlich auch ein „Wiedererkennen“, wenn der Benutzer irgendwann wieder kommt.
Was sie Sache besonders heikel macht: Das klappt auch über die Grenzen einer Webseite hinaus. Tauschen sich zwei (oder mehr) Webserver untereinander aus, ist nicht nur ein Widererkennen möglich, sondern natürlich auch, ein Profil anzufertigen.
Auf diese Weise lässt sich nicht nur theoretisch ein einzelner Internetbenutzer mit relativ hoher Wahrscheinlichkeit identifizieren und bei seiner Surftour beobachten. Das ist keineswegs Theorie: Die EFF weist darauf hin, dass bereits mehrere Firmen entsprechende Lösungen für Webseitenbetreiber anbieten, um solche Daten zu sammeln und auszuwerten – ob diese nun Cookies verwenden (dann ist es ohnehin recht einfach) oder eben nicht.
Natürlich gibt die EFF auch Tipps, wie man sich als Datensurfer eine Tarnkappe aufsetzen kann. So empfehlen die Experen, keinen seltenen Browser zu benutzen, denn so ist man einfacher zu erkennen. Außerdem solle man JavaScript deaktivieren, da sich dadurch die Zahl der an den Webserver übertragenen Daten massiv verringert. Schließlich solle man noch den Anonymisierungsdienst „Tor“ benutzen.
Alles gut und schön – aber nicht besonders praxistauglich. Denn wer JavaScript deaktiviert, kann schlichtweg viele Webseiten nicht nutzen – oder muss auf eine Menge Komfort verzichten. Und der Anonymisierungsdienst Tor ist zwar zweifellos eine sinnvolle Sache, wenn man anonym im Web unterwegs sein will, bremst das Surftempo aber enorm aus. Je mehr Leute ihn benutzen, umso langsamer wird das Ganze.
Auch wenn die Tipps zum gewünschten Ergebnis führen – sie dürften die User ganz schön frusten.
Sinnvoller ist es zweiffelos, die Hersteller von Browsern aufzufordern, sich Gedanken darüber zu machen, wie zumindest im Tarnkappenodus (ergo Privatmodus) der Browser möglichst wenige Daten übermittelt werden, damit Webserver keine Rückschlüsse auf den Datensurfer ziehen können. In einem ausführlichen Dosser der EFF (PDF) steht sehr detailreich erklärt, wie sich das erreichen lässt.
Mal sehen, ob sich die Browser-Anbieter bewegen. Es wäre wünschenswert.
