Canvas Fingerprinting – Tracking ohne Entkommen

Digitale Forensik und Incident Response
News

Datenschützer, IT-Spezialisten und nicht zuletzt der Gesetzgeber hatten gerade einen Weg gefunden, das Tracking mit Cookies halbwegs in den Griff zu bekommen. Eine Studie belegt jetzt, dass eine neue Tracking-Methode auf dem Vormarsch ist, die ohne Cookies auskommt und gegen die auch ansonsten kein Kraut gewachsen ist.

Canvas auf dem Vormarsch!

Wissenschaftler der amerikanischen Princeton-Universität und der Katholischen Universität Leuven (Belgien) haben eine Studie zu der Tracking Methode vorgelegt. Deren technischen Merkmale sind zwar an sich keine Neuheit, aber noch nie so eingehend untersucht worden.

Die eigentliche Neuheit ist aber die Verbreitung des bislang kaum beachteten Canvas Fingerprinting: Auf bereits 5,5 Prozent der 100.000 weltweit meistbesuchten Websites wird das neue Tracking-Tool eingesetzt. Die veröffentlichte Liste enthält die verschiedensten Webauftritte, unter anderem die Deutsche Telekom, das Weiße Haus und YouPorn.

Wie funktioniert Canvas Fingerprinting?

Die angesteuerte Webseite bringt mithilfe der Tracking-Methode den Browser des Nutzers dazu, im Hintergrund, innerhalb von Sekundenbruchteilen ein Bild („Canvas“) zu erstellen. Wie das Bild aussieht, hängt vom Betriebssystem, der Bildschirmauflösung, den installierten Schriftarten und der Browser-Version ab.

Da fast jede Browser-Computer-Kombination bei der Erstellung dieses Bildes kleine Unterschiede macht, wird der Rechner des Nutzers durch einen individuellen Code („Fingerprint“) gekennzeichnet. Beim Besuch einer weiteren Website, die ebenfalls diese Technik einsetzt, kann der Nutzer ohne weiteres identifiziert werden. Nach Analyse seiner Website-Besuche erhält er auf ihn zugeschnittene Werbung.

Die Erstellung des Codes kann nicht durch Browsereinstellungen unterdrückt werden, mehr noch, sie bleibt für den Nutzer zunächst unsichtbar. Technisch lässt sich Canvas Fingerprinting also kaum verhindern.

Ganz ausgereift ist die Methode aber noch nicht. Wie der Spiegel und die Süddeutsche Zeitung berichten, liegt die Trefferquote bei nur 90 % und vor allem mobile Anwendungen wie Tablets und Mobiltelefone können nicht zuverlässig erfasst werden.

YouPorn seriöser als Weißes Haus?

Viele Betreiber waren offenbar selbst überrascht, als sie erfuhren, dass ihre Websites Canvas Fingerprints aufzeichnen. So erklärte die Deutsche Telekom laut Spiegel:

Die Deutsche Telekom wusste nichts von der eingesetzten Methode auf t-online.de. Wir werden dem Sachverhalt nachgehen und diese nicht abgestimmte Form des Trackings unterbinden.

Das ist durchaus glaubhaft, denn die Technik wird durch Bookmarking-Dienste auf den Websites eingebaut, wobei sie ihre Auftraggeber nicht immer darüber informieren. Die Kölner Ligatus GmbH (Gruner und Jahr) ist ein solcher Dienst und liefert auf der Website der Deutschen Telekom Werbung aus. Die Frankfurter Allgemeine Zeitung meldet, dass der Dienstleister eilig erklärt hat, auf dieser Website handele es sich nur um einen Testlauf zu wissenschaftliche Zwecken.

Der Bookmarking-Dienst, der bislang Canvas Fingerprinting am häufigsten einsetzt, ist Addthis. Das Unternehmen stellt die Facebook- und Twitter-Buttons auf 13 Millionen Internetseiten zur Verfügung. Allerdings nicht mehr auf dem YouPorn-Portal, dessen Betreiber die Zusammenarbeit laut Spiegel Online umgehend beendete.

Ob man auch vom Weißen Haus erwarten kann, die Besucher der eigenen Website mit transparenten Methoden zu tracken und auf den Einsatz von Canvas Fingerprinting zu verzichten?

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonformer Einsatz von Webanalyse-Tools, wie z.B. Google Analytics und Piwik
  • Prüfung und Gestaltung der Datenschutzerklärung auf Ihrer Website
  • Erstellung und Anpassung erforderlicher datenschutzrechtlicher Vereinbarungen

Informieren Sie sich hier über unser Leistungsspektrum: Webanalyse und Datenschutz

6 Kommentare zu diesem Beitrag

    • Wenn ich denselben lokalen (Tor- oder auch nicht) Browser starte berechnet der den Canvas doch auch dann gleich, wenn meine Internet-Verbindung verschleiere!

      • Testen Sie bitte den TorBrowser, bevor Sie vorschnelle Urteile fällen.
        Wenn Sie mit dem TorBrowser eine Website besuchen, die Canvas Fingerprinting einsetzt, informiert Sie der TorBrowser darüber, dass nur “blanket data” übermittelt wurde. Wichtig ist, welche Daten der Browser an die Server von Website und Trackingdiensten sendet. Der TorBrowser sendet eben nicht eine eindeutige ID, die Canvas Fingerprinting ermöglichen würde.

        Wie genau dieser Schutz des TorBrowsers vor Canvas Fingerprinting funktioniert, können Sie in der Designdokumentation auf der Projektseite erfahren.

  1. Klar hilft Tor oder einfacher ist es das Browserplugin NoScript zu installieren. Standardmäßig bei Tor installiert. Ohne Java Script auch keine Bildermalerei und kein Datenschutzquatsch ;-)

    • Ich bezweifele, dass Tor hilft (der TorBrowser schon eher, das ist ein auf Privacy getweakter Browser, aber IE über Tor wird genauso gut/schlecht abschneiden, wie IE allein).
      Neben NoScript (das hilft nur gegen 3rd party scripts, denn ohne JS-Grundfunktionalität laufen viele Webseiten nicht sauber – d.h. meineseite.de muss erlaubt werden. Werden die Scripts direkt dort eingebettet war es das schon) sollten deshalb Browserplugins wie Ghostery und ABP eingesetzt werden, zusätzlich ist der jetzt freie (gratis) Admuncher.com zu empfehlen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.