Forscher haben in einer aufwändigen Studie untersucht, welche Methoden die Industrie anwendet, um das Verhalten von Internetbenutzern auszuspionieren und Profile der User anzulegen. Dabei kommen verschiedene Methoden zum Einsatz. Eine der neusten, die nur schwer zu blockieren ist: Canvas Fingerprinting. Manche sprechen auch von „nicht löschbaren Cookies“.Es sind vor allem die großen Onlinedienste und die Werbeindustrie, die sich immer wieder neue Methoden ausdenkt, wie sie dem User auf die Pelle rücken können. Das Ziel: Eine möglichste effektive und diskrete Beobachtung, die sich möglichst auch nicht unterbinden lässt.

Eine Methode ist Browser Fingerprinting. Da jeder PC anders aussieht, mit anderer Ausstattung, anderer Software, anderen Geräten liefert jeder Browser eine Art unverwechselbaren Fingerabdruck. Auf diese Weise lassen sich Rechner und damit User unterscheiden, ohne dass der davon etwas mitbekommt. Doch auch diese Methode ist bereits wieder überholt. Die neueste Methode zum User Tracking nennt sich Canvas Fingerprinting und hat es wirklich in sich.

Vereinfacht erklärt, wird beim Canvas Fingerprinting HTML5 genutzt. Der Browser wird aufgefordert, eine kleine Grafik zu zeichnen, „Canvas“ genannt. Beim Zeichnen werden verschiedene Fähigkeiten genutzt, etwa werden Texte in die Grafik „gezeichnet“.

canvas

Zeichenfunktion „Canvas“ von HTML5 missbraucht

Genau das macht jeder Rechner anders, je nachdem, unter welchem Betriebssystem der Browser läuft, welche Fonts installiert sind, welche Bildschirmauflösung zum Einsatz kommt und welchen Browser man verwendet. In Wahrheit fließen noch viel mehr Parameter ein. Am Ende entsteht dann eine kleine Grafik – und die muss nicht mal wirklich zu sehen sein. Diese Grafik (Canvas) ist die individuelle ID des Rechners – auch als Zahlencode.

Wie gut das funktioniert, zeigt diese kleine Demo. Blitzschnell wird eine unverwechselbare ID errechnet, die sich in einer Datenbank speichern lässt und dabei hilft, einen Besucher wiederzuerkennen. Das Prinzip dieser Form des Trackings haben Wissenschaftler in Princeton und der KU Leuven Universität aus Belgien erarbeitet, es wird hier erklärt.

Wirksame Methode – schwer zu blockieren

Die Methode ist äußerst wirksam. Nur wenn sich etwas Grundlegendes an der Konfiguration ändert, dann ändert sich auch die ID und der Tracking-Prozess ist zu Ende. Aber wer seine Cookies löscht, der wird auch nicht wieder erkannt.

Für die Werbeindustrie ist diese Methode ein Glücksfall, denn sie lässt sich nicht erkennen und auch nicht blocken. Diverse Anbieter wie AddThis, Ligatus oder Plentyoffish setzen die Technik bereits ein. Hier gibt’s eine Liste bereits ertappter Webseiten und Onlinedieste. Vom Weißen Haus bis Youporn sind alle mit dabei. Das Problem: Typische Werbeblocker wie Ad-Blocker sind wirkungslos. Auf diese Weise lassen sich dann Profile von den Usern erstellen, basierend auf den besuchten Webseiten. Je nach Profil bekommt der User dann automatisch passende Anzeigen, Artikel oder andere Inhalte angezeigt. Vollautomatisch.

Canvas Fingerprinting lässt sich nur schwer verhindern. Man könnte dann Javascript abschalten, den Tor-Browser nutzen, NoScript-Erweiterungen verwenden oder eine Browser-Erweiterung wie Chameleon einsetzen. All diese Methode haben allerdings auch ihre Nachteile – und sind für unbedarfte User nur mit Aufwand richtig zu nutzen. Canvas Fingerprinting macht uns also eindeutig besser identifizierbar.