Auch ohne Cookies oder Web-Beacons können Personen online identifiziert werden

Browser-Fingerprinting ist eine Technik, um Informationen über Benutzer von Webbrowsern zu sammeln und diese Informationen zu nutzen, um individuelle Benutzer zu identifizieren. Typischerweise werden verschiedene Elemente wie Browsereinstellungen, Umgebung, Vorhandensein von Plugins, Bildschirmauflösung, installierte Schriftarten und mehr kombiniert, um einen eindeutigen Identifikator für jeden Benutzer zu erstellen. Dies ermöglicht das Tracking von Online-Aktivitäten und die Erstellung von Benutzerprofilen, auch wenn sie nicht eingeloggt sind. Browser-Fingerprinting wird hauptsächlich von Werbetreibenden und Website-Betreibern verwendet, um Benutzerinteressen und -verhalten zu analysieren und die gezielte Anzeigenschaltung zu ermöglichen.

Auf dieser Seite werden wir die Arten von Informationen vorstellen, die beim Browser-Fingerprinting verwendet werden, sowie Methoden zur Verhinderung der Identifizierung von Personen durch Browser-Fingerprinting.

Elemente des Browser-Fingerprinting

Die beim Browser-Fingerprinting verwendeten Elemente sind vielfältig. Im Folgenden sind einige gängige Elemente aufgeführt, zusammen mit einer kurzen Einführung zu jedem:

User-Agent:

Eine Zeichenfolge, die den Typ und die Version des Browsers angibt.
Der User-Agent hilft bei der Identifizierung des Browsers eines Benutzers, da je nach Typ und Version des Browsers unterschiedliche Rendering-Engines und Funktionen verwendet werden.

Aufgrund der einfachen Identifizierung von Personen bei der Kombination des User-Agent mit anderen Elementen wird die Verwendung von User-Agents allmählich eingestellt.
Beispielsweise wurde für Google Chrome unter Windows ab etwa April 2023 die folgende Zeichenfolge festgelegt:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.0.0 Safari/537.36

Jedoch wurde zur Vorbereitung auf die Notwendigkeit, Verzweigungen basierend auf Browser-Typen zu behandeln, das User Agent Client Hints API (UA-CH) als alternatives Attribut zum User-Agent implementiert. Obwohl UA-CH weniger Informationen zur Identifizierung von Personen im Vergleich zum User-Agent bereitstellt, besteht immer noch ein Risiko der Ausnutzung beim Browser-Fingerprinting.

Bildschirmauflösung:

Die Anzahl der Pixel in Breite und Höhe auf einem Display.
Die Bildschirmauflösung des Geräts eines Benutzers ist eine einzigartige Eigenschaft und ist für das Browser-Fingerprinting entscheidend.

Insbesondere erleichtert die Änderung der Fenstergröße von den Standardeinstellungen aus die Identifizierung von Personen.
Deshalb wird in datenschutzorientierten Browsern wie dem Tor Browser eine Warnmeldung angezeigt, wenn die Fenstergröße geändert wird, um Benutzer vor den Risiken des Fingerprintings zu warnen.

Installierte Schriftarten:

Eine Liste der auf dem Gerät des Benutzers installierten Schriftarten.
Da sich die Arten und Versionen von Schriftarten von einem Gerät zum anderen unterscheiden, werden sie als Teil des Browser-Fingerprinting verwendet.
Das Risiko des Fingerprintings durch Schriftarten steigt, wenn benutzerdefinierte Schriftarten auf dem Betriebssystem installiert sind.

Spracheinstellung:

Die Browsersprache und regionale Einstellungen.
Die Identifizierung der Sprache und Region, die der Browser eines Benutzers verwendet, ist hilfreich beim Browser-Fingerprinting.
Die Browserspracheinstellung eines Benutzers wird einfach durch die navigator.languages-Eigenschaft in der Standard-JavaScript-API oder die Accept-Language-Einstellung im HTTP-Anforderungsheader bestimmt.

Darüber hinaus birgt die Priorisierung von Sprachen auch Risiken beim Fingerprinting.
Je nach Browser bestimmt die Sprachpriorisierung Präferenzwerte.

de,en-US;q=0.7,en;q=0.3
In diesem Beispiel ist Deutsch als erste Sprache festgelegt (Präferenzwert 1,0), Englisch (Vereinigte Staaten) als zweite Sprache (Präferenzwert 0,7) und Standard-Englisch als dritte Sprache (Präferenzwert 0,3).

de,en;q=0.7,en-US;q=0.3
Hier ist Deutsch als erste Sprache festgelegt (Präferenzwert 1,0), Standard-Englisch als zweite Sprache (Präferenzwert 0,7) und Englisch (Vereinigte Staaten) als dritte Sprache (Präferenzwert 0,3).

Obwohl beide Beispiele das gleiche Array bevorzugter Sprachen haben, liefert die Einstellung der Sprachpriorität Hinweise zur Identifizierung von Personen.

Plugin-Informationen:

Informationen zu im Browser installierten Plugins oder Add-Ons.
Die Anwesenheit oder Abwesenheit von Plugins und ihre Versionen variieren bei jedem Benutzer und machen sie zu einzigartigen Elementen beim Browser-Fingerprinting.
Erweiterungen, die Benutzerskripte ausführen, wie Greasemonkey, oder benutzerdefiniertes CSS wie Stylus, geben Websites Hinweise zur Identifizierung von Benutzern.

Während jedes dieser Elemente allein möglicherweise nicht ausreicht, um einen Benutzer zu identifizieren, erzeugt ihre Kombination einen präziseren Browser-Fingerprint.

Canvas-Fingerprinting:

Canvas-Fingerprinting ist eine Technik, die den Browser und das Gerät eines Benutzers eindeutig identifiziert, indem die Canvas-API (eine API für das Zeichnen von 2D-Grafiken) verwendet wird.
Canvas-Fingerprinting nutzt subtile Unterschiede aus, wenn ein Browser bestimmte Zeichenoperationen durchführt, um eindeutige Kennungen für jeden Benutzer zu generieren.

Canvas-Fingerprinting ist aufgrund seiner Abhängigkeit von den Zeichenfähigkeiten des Browsers, der Grafikhardware und den Merkmalen des Rendering-Engines äußerst genau und schwer nachzuverfolgen. Beispielsweise wird selbst beim Zeichnen des gleichen Textes oder Bildes in einem Browser der generierte Canvas-Fingerprint aufgrund subtiler Zeichenunterschiede unterschiedlich sein.

ETag-Tracking:

ETag-Tracking ist eine Methode zur Verfolgung von Benutzern unter Verwendung des Caching-Mechanismus von Webbrowsern. ETag bezieht sich auf ein Entitäts-Tag, das im HTTP-Header enthalten ist und verwendet wird, um die Version einer bestimmten Ressource (normalerweise einer Webseite oder eines Bildes) zu identifizieren.

Beim ETag-Tracking weist eine Website den Ressourcen, die sie einem Benutzer bereitstellt, ein eindeutiges ETag zu. Anschließend sendet der Browser beim erneuten Zugriff des Benutzers auf dieselben Ressourcen das ETag in der Anforderung an den Server. Der Server verwendet dann dieses ETag, um zu überprüfen, ob die Anfrage des Clients mit der Version der zuvor bereitgestellten Ressource übereinstimmt.
Das Problem beim ETag-Tracking ist, dass ETags für jeden Benutzer eindeutig sind, was das Potenzial für die Verfolgung des Verhaltens des Benutzers jedes Mal, wenn der Benutzer auf Ressourcen mit demselben ETag zugreift, erhöht. ETag-Tracking besteht fort, bis der Browsercache geleert wird.
ETag-Tracking wird in einer verdeckteren Weise als das Cookie-basierte Tracking durchgeführt, was es für Benutzer weniger auffällig macht. Um dem entgegenzuwirken, können das Anpassen der Browser-Datenschutzeinstellungen oder die Verwendung von Datenschutz-Erweiterungen effektiv sein.

Für weitere Details zum ETag-Tracking, siehe [hier](https://

privacycheck.sec.lrz.de/passive/fpetag/fpetag.php) (Die Überprüfung des Verhaltens ist ebenfalls möglich!)

Ähnliche Technologien wie Browser-Fingerprinting

Wie gezeigt, ist Browser-Fingerprinting ein Mechanismus, um Personen anhand verschiedener Browserinformationen zu identifizieren. Es gibt jedoch zahlreiche andere Methoden, mit denen Personen identifiziert werden können.

Hier sind einige Beispiele:

1. Cookies: Kleine Textdateien, die von Webbrowsern gespeichert werden und Informationen wie die Besuchshistorie einer Website und Einstellungen speichern. Ähnlich wie beim Browser-Fingerprinting werden Cookies zur Identifizierung von Benutzern verwendet, können jedoch Informationen über verschiedene Browser hinweg teilen. Die Verwendung von Cookies zur Identifizierung von Personen unterliegt zunehmender globaler Regulierung und wird allmählich eingestellt.

2. Geräte-Fingerprinting: Identifiziert Benutzer nicht nur anhand von Browserinformationen, sondern auch anhand von Informationen zum gesamten Gerät. Dazu gehören die IP-Adresse des Geräts, Hardwareinformationen und die Betriebssystemversion. Während die Genauigkeit der Identifizierung von Personen bei gängigen Geräten im Vergleich zu anderen Methoden möglicherweise geringer ist, steigt das Risiko der eindeutigen Identifizierung von Benutzern mit einzigartigen Geräten oder Systemkonfigurationen.

3. Tracking-Pixel: Auch als Web-Beacons bekannt, handelt es sich dabei um unsichtbare 1x1-Pixel-Bilddateien, die in Webseiten eingebettet sind, um das Benutzerverhalten zu verfolgen. Werbetreibende und Website-Betreiber nutzen diese, um die Besuchshistorie und Bewegungen der Benutzer für Analysen zu verfolgen. Da bei einem Serveranforderung eine Sitzungsinformationen, die Personen identifizieren, verknüpft werden, kann es bei Websites, die Tracking-Pixel lokal implementieren, schwierig sein, dies zu verhindern.

Methoden zum Verbergen vor Tracking auf Websites

Browser-Fingerprinting ist ein bekanntes Risiko für Benutzer, und daher stehen zahlreiche Gegenmaßnahmen zur Verfügung. Hier sind einige Beispiele:

anonymoX

https://anonymox.net/en

anonymoX ist ein kostenloser VPN-Dienst, der als Browsererweiterung verfügbar ist.
Durch den Zugriff auf Websites über anonymoX-Server wird die Identifizierung von Personen anhand von IP-Adressen verhindert.
Darüber hinaus tarnt anonymoX OS-Informationen und verhindert so das Fingerprinting anhand von Betriebssystemversionen.

CanvasBlocker

https://github.com/kkapsner/CanvasBlocker

CanvasBlocker blockiert Websites daran, Fingerprinting mithilfe von JavaScript-APIs durchzuführen und schützt so vor Canvas-Fingerprinting.

CanvasBlocker umfasst Funktionen, um Fingerprinting mithilfe von canvas2d, WebGL, DomRect und anderen Methoden zu verhindern.

PrivacyPossum

https://github.com/cowlicks/privacypossum

PrivacyPossum ist eine Browsererweiterung, die Tracker daran hindert, Benutzeridentifikationscookies zu verwenden, und die Auswirkungen des ETag-Trackings minimiert.

Diese Erweiterung verwirrt Tracker, indem sie die Browserinformationen der Benutzer verschleiert und die Identifizierung erschwert.
PrivacyPossum, inspiriert von der Electronic Frontier Foundation's Privacy Badger, behebt die Schwächen anderer Erweiterungen.

Fortgeschrittener Datenschutz

Obwohl es wichtig ist, diese Browsererweiterungen zu verwenden, um das Tracking zu erschweren, gestaltet sich der Schutz persönlicher Informationen aufgrund des Katz-und-Maus-Spiels zwischen Benutzern und Analyseunternehmen als herausfordernd. Eine der besten Optionen für den Datenschutz besteht darin, möglichst keine identifizierbaren Informationen online einzugeben.

Hier stellen wir SMSOnline vor, einen Dienst, der kostenlose Einweg-Telefonnummern bereitstellt, als ausgezeichnete Wahl zum Schutz persönlicher Informationen.

Durch die Nutzung des Dienstes für Einweg-Telefonnummern von SMSOnline ist es möglich, die Risiken der Identifizierung persönlicher Informationen und der Geoblockierung zu minimieren.

Mobiltelefonnummern werden häufig für Zwecke wie die SMS-basierte Verifizierung verwendet, um Benutzer eindeutig zu identifizieren. Die Beschaffung einer Mobiltelefonnummer aus einem anderen Land ist nicht einfach, und Websites verwenden dies oft, um Benutzer auf bestimmte geografische Gebiete zu beschränken. SMSOnline ist nützlich, um diese Beschränkungen zu umgehen.

https://www.smsonline.cloud/de

SMSOnline ist eine Website, auf der Sie SMS-Nachrichten anzeigen können, die auf Telefonnummern aus der ganzen Welt empfangen wurden.

Die Verwendung von SMSOnline eliminiert die Notwendigkeit, Ihre tatsächliche Telefonnummer online preiszugeben. Der Service bietet Zugang zu Telefonnummern aus über 20 Ländern, einschließlich Tier-1-Ländern wie Japan, China, Taiwan, Südkorea, den Vereinigten Staaten und Deutschland, wobei jederzeit über 100 Telefonnummern online verfügbar sind. Mit dem einfachen Zugang zu internationalen Telefonnummern ist es einfach, Geoblockaden aufgrund der Verifizierung per Mobiltelefonnummer zu umgehen. Durch die Kombination dieses Dienstes mit den heute vorgestellten Browsererweiterungen können Sie Ihre digitale Präsenz und Aktivitätsspuren im Internet reduzieren.

Vielen Dank fürs Lesen.