Was ist Browser Fingerprinting?

Das Browser Fingerprinting umfasst alle Techniken, die es einem Webseitenbetreiber ermöglichen, einen Nutzer, der sich auf einer Webseite befindet, mit Hilfe einer Reihe von raffinierten Codes, eine Menge Daten und Informationen des genutzten Gerätes, Browsers, Netzwerks und mehr abzufragen, um so eine möglichst einzigartige ID zu generieren. Mit Hilfe dieser ID kann der Betreiber seine Nutzer dann im besten Fall genau wiedererkennen. Dies kann nicht nur für sicherheitsrelevante oder benutzerdefinierte Features auf der Webseite, sondern auch für Werbezwecke und – sofern gewünscht – auch für bösartige Absichten genutzt werden.

Andere Begriffe für Browser Fingerprinting

Wer sich mit dem Thema Browser Fingerprinting beschäftigt, stößt in dem Zusammenhang schnell auf verschiedene Begriffe: Device Fingerprinting, Canvas Fingerprinting, WebGL Fingerprinting, Audio API Fingerprinting,..

Ich möchte diese Begriffe daher zu Beginn kurz einordnen. Im Grunde ist immer die Sammlung von Daten und das Generieren eines einzigartigen „Identifiers“ gemeint, nur dass dafür teilweise verschiedene Techniken, Geräte oder Komponenten genutzt werden. Ein hoch entwickeltes Fingerprinting Script nutzt jedoch diese verschiedenen Varianten in Kombination um ein möglichst noch genaueres Ergebnis zu erschaffen. Daher und, weil immer ein Browser involviert ist, hat sich der Oberbegriff Browser Fingerprinting für sämtliche Techniken des Fingerprintings etabliert.

Wofür wird Browser Fingerprinting genutzt?

Browser Fingerprinting kann immer dann genutzt werden, wenn der Webseitenbetreiber ein Interesse daran hat, seine Nutzer genauer zu identifizieren oder sogar (bei einem erneuten Besuch der Webseite) wiederzuerkennen. Dies ist selbstverständlich über Cookies bereits seit vielen Jahren möglich. Browser Fingerprinting kommt jedoch mitunter vollkommen ohne Cookies aus, da alle Geräteinformationen clientseitig über JavaScript ausgelesen werden und dann an einen Fingerprinting Server übermittelt werden können. Um die Anwendungsfälle von Browser Fingerprinting genauer zu klassifizieren, werden in der Literatur oft verschiedene Arten der Nutzung unterschieden.

Sicherheitsrelevante Features

Eine der „gutmütigsten“ Verwendungen für Browser Fingerprinting ist die Wiedererkennung von Nutzern als sicherheitsrelevantes Feature einer Webseite. So können Fingerprinting Codes etwa dafür verwendet werden, vor betrügerischen Zugriffen zu schützen in dem solche Nutzer (bzw. Bots), die in bösartiger Art und Weise mit einer Webseite interagieren, wiedererkannt und ggfs. gesperrt werden.

Anpassung des Contents / der User Experience

Besonders in Zeiten, wo es möglich ist, die User Experience oder auch Inhalte einer Webseite an seine Nutzer anzupassen, kommt Browser Fingerprinting ins Spiel. Mit der Fähigkeit einen Nutzer wiederzuerkennen, können Webseitenbetreiber Daten über das Verhalten ihrer Nutzer bei jedem Besuch abspeichern und ihm / ihr dann bspw. besondere Inhalte anzeigen oder auch Einstellungen, wie etwa ein aktivierter Dunkelmodus oder die vom Nutzer eingestellte Schriftgröße, für den nächsten Besuch zu speichern – und das ganze sogar über mehrere Geräte hinweg, ohne Cookies zu setzen.

Werbezwecke

Die Identifizierung von Nutzern ist natürlich auch für Unternehmen, die Online Werbung in ihrem Geschäftsmodell haben, mehr als interessant. Mittels Browser Fingerprinting können Nutzer also wiedererkannt und somit Profile über sie erstellt werden. Diese Profile enthalten dann Informationen zu Interessen, besuchten Seiten, verwendeten Geräten und viele mehr. Werbetreibende haben so die Möglichkeit, ihre Werbung ganz spezifischen Zielgruppen anzuzeigen. Personalisierte Werbeanzeigen haben logischerweise einen höheren ROAS (Return on Advertising Spend) als Anzeigen, die völlig ohne Personalisierung ausgespielt wird, da der Ad Content für die zu erreichende Zielgruppe wesentlich relevanter ist. Konkret gesagt: Der Betreiber eines Online Shops für Damenschuhe kann seine Werbeanzeigen also gezielt an weibliche Personen eines gewissen Alters, die Interesse an Schuhen gezeigt haben ausspielen.

Sonstige eher als „bösartig“ zu klassifizierende Zwecke

Unterschiedliche Preise in einem Online Shop für Mac User oder in Flugpreise in verschiedenen Ländern.


Über browserfingerprinting.de

Auf dieser Webseite möchte ich gerne mehr Bewusstsein für diese Art des User Trackings im deutschsprachigen Raum schaffen und aktuelle Forschungsstände veröffentlichen. Auch wird es eine möglichst aktuelle Auflistung aller verfügbaren (kommerziellen und Open Source) Anbieter von Browser Fingerprinting Mechanismen geben. Darüber hinaus soll das Browser Fingerprinting natürlich auch unter dem Aspekt des Datenschutzes kritisch betrachtet und mögliche Gegenmaßnahmen vorgestellt und diskutiert werden.

Dafür habe ich in den vergangenen Jahren die Entwicklungen des Browser Fingerprinting genau beobachtet und eine Menge an Beiträgen, Veröffentlichungen und medialen Inhalten gespeichert, die ich nun gerne nach und nach mit kurzen Kommentaren veröffentlichen werde.

Sollte sich der Leser dieses Blogs für das Thema besonders interessieren oder sogar Interesse haben, an der Aufdeckung und Veröffentlichung von Browser Fingerprinting relevanten Themen mitzuwirken, freue ich mich gerne jederzeit um eine Nachricht.


Über mich

Mein Name ist Sven Schebitz. Ich bin aktuell Masterstudent der Wirtschaftsinformatik an der Fernuniversität in Hagen. Anfang 2016 habe ich das erste Mal etwas über Fingerprint Tracking gelesen. Seit Juni 2017 befasste ich mich dann stärker mit Browser Fingerprinting und schrieb schließlich auch meine Abschlussarbeit im Bachelor Studiengang Allgemeine Informatik an der TH Köln über dieses Thema. In meiner Thesis User Tracking via Browser Fingerprinting – Possibilities & Problems gab ich einen Rundumblick über die Möglichkeiten, mittels raffinierter Codes Nutzer einer Webseite zu identifizieren und wiederzuerkennen. Indem ich die Top 10.000 Webseiten gecrawlt habe, konnte ich aufzeigen, dass Browser Fingerprinting Scripts (oder solche die stark danach aussahen) auf immer mehr Webseiten präsent sind und diese auch (für einen Kenner) recht offensichtlich zu erkennen sind und selten verschleiert werden.