taz.de

# taz.de -- Studie zum digitalen Fingerabdruck: Bitte zurückverfolgen!

> Jeder Browser verursacht eine einzigartige Datenspur im Netz. Sie
> auszulesen, könnte das Online-Banking sicherer machen. Aber auch
> personalisierte Werbung erleichtern.

(IMG) Bild: Kein Browser im Spiel: analoges Fingerprinting.

Für Ämter und Behörden bezeugt der Fingerabdruck die Identität einer
Person. Im Internet fehlt es aber bislang an einer sicheren Methode, vom
Nutzer auf die reale Person zu schließen. Gott sei Dank, sagen
Datenschützer. Leider, sagen Werbeunternehmer. Zwischen diesen beiden Polen
bewegen sich jene, die finden, eine Zuordnung von Rechner und Person berge
nicht nur die Gefahr personalisierter Werbung, sondern auch die Chance, den
Missbrauch von Daten zu verhindern.

Von letzterem ist Henning Tillmann überzeugt. Der 28-jährige
Informatik-Student an der Humboldt-Universität Berlin referierte vergangene
Woche auf der Bloggerkonferenz [1][„re:publica“] über das Ende der Cookies.
Und über alternative Wege, das Surfverhalten von Internet-Usern
auszuwerten. Cookies sind kleine Textbausteine, mit deren Hilfe
Werbedienstanbieter, die Werbebanner auf verschiedenen Internetseiten
geschaltet haben, das Surfgewohnheiten einzelner Personen analysieren – und
dementsprechend [2][maßgeschneiderte Werbung] platzieren.

## Auf der Suche nach Alternativen zu Cookies

Da man Cookies deaktivieren kann und nun der beliebte Browser Mozilla
Firefox ab der Version 22 standardmäßig [3][Cookies von Drittanbietern]
blockieren will, ist die Werbebranche eifrig auf der Suche nach
Alternativen. Eine davon ist das Browser Fingerprinting – das Auslesen der
Datenspur, die der Nutzer beim Surfen im Netz hinterlässt. „Werbenetzwerke
haben natürlich ein sehr großes Interesse daran“, sagte Henning Tillmann
der taz.

Warum das so ist, zeigen Tillmanns Forschungsergebnisse. Anhand der
Browser-Spuren ist die eindeutige Identifizierung von Nutzern weitgehend
möglich. Von den 17.937 Fingerabdrücken, die Tillmann im Rahmen seiner
[4][Diplomarbeit] auswertete, sind 92 Prozent einzigartig. Eine
Verwechslung untereinander kann durch die einmalige Kombination
verschiedener Rechner-Einstellungen – Betriebssystem, Browserkonfiguration,
Bildschirmauflösung, installierte Plugins, die Zeitzone, Hintergrundfarben
oder Schriftarten – ausgeschlossen werden. Über viele dieser Einstellungen
informiert der Browser ungefragt. Andere können von alltäglichen
Web-Skriptsprachen wie Javascript oder Flash ausgelesen werden.

## Wiedererkennungsquote 90 Prozent

Selbst nach drei geänderten Einstellungen liegt die Wiedererkennungsquote
bei immerhin 90 Prozent. Ein Rechner kann also auch noch dann identifiziert
werden, wenn beispielsweise Software-Updates seinen Fingerabdruck leicht
abgeändert haben. „Richtigen Schutz vor Browser-Fingerprinting gibt es
kaum“, bilanziert Tillmann. Die einzige Möglichkeit bestünde darin, zum
Surfen einen Rechner mit Standard-Einstellungen des Herstellers zu
verwenden. Denn jedes zusätzlich installierte Plugin, jede besondere
Schriftart macht einen Rechner unterscheidbarer – Modifikationen, auf die
kaum ein Nutzer verzichten möchte.

Für Tillmann ist es deshalb nur eine Frage der Zeit, bis der digitale
Fingerabdruck auch in der Werbe-Industrie genutzt wird. Für die Branche
wäre das ein großer Fortschritt: Denn im Gegensatz zu den momentan
eingesetzten Cookies kann der Fingerprint nicht festgestellt werden, weil
bislang keine Software das Auslesen von Browser-Spuren nachweisen kann.

Mit der Identifizierung von Personen anhand seiner Rechner-Spuren ließe
sich der Datentransfer im Netz aber auch sicherer machen. Zum Beispiel beim
Online-Banking: Dank des Fingerabdrucks könnte die Bank erkennen, ob sich
ein Kunde von einem anderen Rechner aus einloggen will und daraufhin eine
zusätzliche Verifizierung der Identität abfragen. An solchen
[5][Sicherheits-Checks] wird bei Facebook und Google getüftelt.

## Verstoß gegen bestehendes Datenschutzrecht?

Oberbeck, Sprecher von Google Nordeuropa, beteuert gegenüber der taz, dass
Google den Browser-Fingerabdruck noch nicht „für interessensbasierte
Dienste“ verwende. Anders formuliert: Die Google-Dienste schalten noch
keine personalisierte Werbung, die auf der Auswertung von
Browser-Datenspuren beruht. Gegenüber Tillmann haben aber Vertreter der
Werbebranche eingeräumt, den Einsatz der Methode ernsthaft in Erwägung zu
ziehen. Welche das sind, wollte Tillmann allerdings nicht verraten.

Dabei ist strittig, ob die ungefragte Datenerhebung zu Werbezwecken nicht
gegen bestehendes Datenschutzrecht verstoße. Die Frage stellt sich
insbesondere dann, wenn die gesammelten Daten Rückschlüsse auf die
„natürliche Person“ zulassen, erklärt der IT-Rechtsanwalt Sebastian Kraska.
Darunter zählen [6][personenbezogene Daten] wie Name oder Anschrift.

Der Rückschluss vom Intenet-Nutzer auf die reale Person ist allerdings
jetzt schon leicht möglich. Beispielsweise indem man das Surfverhalten mit
den E-Mail-Adressen oder den [7][Benutzernamen von Sozialen Netzwerken
abgleicht]. Um Bewusstsein für diesen Umstand zu schaffen, sieht
Informatiker Tillmann die Wissenschaft in die Pflicht gerufen: „Wir müssen
die Nutzer informieren, dass sie alleine durch den Aufruf einer Webseite
gewisse Informationen preisgeben.“

Gut möglich, dass der Browser-Fingerabdruck schon bald eingesetzt wird.
Sollte sich die Werbeindustrie dazu ähnlich ausschweigen wie zum Einsatz
von Cookies, werden Intenet-Nutzer über das Sammeln von Browser-Spuren aber
nur spekulieren können.

20 May 2013

## LINKS

(DIR) [1] http://www.re-publica.de/
(DIR) [2] http://www.heise.de/tr/artikel/Wenn-Web-Werbung-zuviel-weiss-1851834.html
(DIR) [3] http://www.heise.de/ix/meldung/Firefox-bleibt-bei-Cookie-Blockade-hart-1839688.html
(DIR) [4] http://bfp.henning-tillmann.de/?lang=de
(DIR) [5] http://www.golem.de/1201/89097.html
(DIR) [6] http://www.datenschutzbeauftragter-online.de/datenschutz-internet-diskussion-ip-adresse-personenbezogenes-datum-daten-bdsg/3475/
(DIR) [7] http://www.golem.de/news/onlinewerbung-facebook-statt-tracking-cookie-1301-97139.html

## AUTOREN

(DIR) Ralf Pauli

## TAGS

(DIR) Datenschutz
(DIR) Google
(DIR) Werbebranche
(DIR) Cookies
(DIR) taz.de
(DIR) Tracking
(DIR) Datenschutz
(DIR) Internet
(DIR) Apple
(DIR) re:publica
(DIR) Telekommunikation
(DIR) Peter Schaar

## ARTIKEL ZUM THEMA

(DIR) In eigener Sache: Ganz schön vertrackt

Auch auf taz.de werden Daten der UserInnen gesammelt. Von uns, aber auch
von anderen. Warum das so ist und warum es im Augenblick nicht anders geht.

(DIR) Schutz gegen Tracking: Spione kommen hier nicht rein

Werbedienste sammeln heimlich Daten über unser Surfverhalten. Die Tracking
Protection List des Fraunhofer-Instituts kappt die Verbindung zu den
Schnüffel-Websites.

(DIR) Auskunftsrecht bei Polizeibehörden: Weg mit dem Datenschmutz

Der Auskunftsgenerator der „Roten Hilfe“ hilft Aktivisten, polizeiliche
Datenbanken einzusehen. Das Ziel: den Datenbank-Sumpf der Behörden trocken
legen.

(DIR) Anwalt über Online-Medien-Datenschutz: „Grundgesetz wurde unterschätzt“

Ein Gericht zwang einen Netzseiten-Betreiber, Daten eines Nutzers
herauszugeben. Rechtsanwalt Roman Ronneburger geht das zu weit.

(DIR) Berliner Gerichtsurteil: Apples Datenschutz ist rechtswidrig

Das Landgericht Berlin kippt Teile der Datenschutzrichtlinie von Apple. Die
Verwendung von Daten sei nicht transparent für den Kunden.

(DIR) Konferenz „Re:publica“ in Berlin: Denkt denn keiner an die Kinder?

Die gleichen Wortführer wie in den vergangenen Jahren, aber ohne zündende
Ideen: Die digitalen Bürgerrechtler brauchen dringend Nachwuchs.

(DIR) Behördenzugriff auf Nutzerdaten: Beschwerde gegen Spitzelei

Gerade erst hat der Bundesrat die Neufassung des Telekommunikationsgesetzes
gebilligt, schon geht der Protest weiter. Datenschützer wollen sich
beschweren.

(DIR) Unsicherer Informantenschutz: Der Staat kann zugreifen

Der Datenschutzbeauftragte Peter Schaar mahnt, dass Journalisten aufpassen
sollten: Online gespeicherte Namen und Texte unterliegen nicht dem
Quellenschutz.