Privacy: Unsichtbares Tracking mit Bildern statt Cookies
Viele Webseiten und Vermarkter setzen auf eine neue Tracking-Methode namens Canvas Fingerprinting, um Nutzer, die den Einsatz von Cookies im Browser verbieten, seitenübergreifend identifizieren zu können. Dabei wird statt einer Textdatei ein eindeutiger Fingerabdruck aus den Profilinformationen des Browsers eines Nutzers erstellt. Der wird nicht auf dem Client-Rechner gespeichert, sondern direkt an einen Server übermittelt. Mit dieser eindeutigen ID lässt sich das Surfverhalten eines Nutzer serverseitig speichern und verfolgen. Die Einstellungen zur Privatsphäre in Browsern greifen hier nicht. Auch mit Inkognito-Modus werden solche IDs erstellt und selbst Werkzeuge wie Adblocker können sie bislang nicht ausnahmslos sperren.
Wie wir im Zuge unserer Recherchen erfahren haben, wurde auch bei Golem.de Canvas Fingerprinting eingesetzt. Allerdings war die Tracking-Methode niemals fester Bestandteil unserer Webseite, sondern wurde nur zeitweilig und ohne unser Wissen über die Werbung des Vermarkters Ligatus ausgeliefert. Wir haben umgehend dafür gesorgt, dass die Technik bei Golem.de nicht mehr eingesetzt wird.
Ein "internes Missverständnis"
Ligatus schrieb auf Anfrage von Golem.de dazu: "Leider wurde durch ein internes Missverständnis eine entsprechende Vorabinformation über das Forschungsprojekt gegenüber den betroffenen Websites im Vorfeld versäumt - diese Kommunikationslücke bedauern wir sehr und sorgen derzeit gerade für die entsprechende Aufklärung gegenüber unseren Marktpartnern."
Forscher an den Universitäten Princeton in den USA und Leuven in Belgien haben untersucht, wie häufig Canvas Fingerprinting verwendet wird. Ihre Arbeit ist inzwischen veröffentlicht worden(öffnet im neuen Fenster) . Sie kommen zu dem Ergebnis, dass mittlerweile 5 Prozent der 100.000 populärsten Webseiten Canvas Fingerprinting einsetzen. Das Forscherteam hat die Liste der Webseiten veröffentlicht(öffnet im neuen Fenster) , auf denen es Canavs Fingerprinting im Mai 2014 entdeckt hat, darunter auch die Seite des Weißen Hauses in Washington D.C - und Golem.de. Der größte Teil der Webseiten nutzt Code der US-Firma Addthis, die unter anderem Social-Media-Schaltflächen für Webseiten baut. Allerdings scheinen auch nicht alle Kunden von Addthis gewusst zu haben, dass die Firma die Tracking-Methode verwendet.
Schon länger bekannt
Die Technik selbst ist nicht neu. Das Grundprinzip zum Fingerprinting wurde 2010 von der Electronic Frontier Foundation gezeigt und 2012 von den Entwicklern Keaton Mowery und Hovav Shacham an der Universität von San Diego in Kalifornien weiterentwickelt(öffnet im neuen Fenster) . Ihr Verfahren nutzt das Canvas-API von HTML5, um aus Profildaten ein Bild zu erstellen. Der russische Programmierer Valentin Vasilyev hat einen entsprechenden Javascript-Beispielcode auf Github(öffnet im neuen Fenster) veröffentlicht.
Zu den dabei gesammelten Profildaten gehören nicht nur Informationen über den Browser und installierte Plugins, sondern auch die Zeitzone und die CPU. Selbst darüber, ob Donottrack aktiviert wurde oder nicht, werden Daten gesammelt. Persönliche Daten sollen dabei nicht gesammelt werden. Rein technisch wäre das aber möglich, etwa wenn der Seitenbetreiber persönliche Daten verlangt und sie dem Javascript zur Verfügung stellt.
Hash-Wert aus Bildern
Aus diesen Daten wird ein Bild in einem HTML-Canvas-Element(öffnet im neuen Fenster) gemalt. Dabei werden dem Browser so wenige Vorgaben wie möglich gemacht, um die Zeichnungseigenschaften selbst nochmals als Merkmal zu integrieren. Der Inhalt des Canvas wird in eine Data-URL(öffnet im neuen Fenster) umgewandelt und offenbar als Hash-Wert genutzt. Dieser kann vom Javascript an bestehende URLs in der Webseite angehängt oder per Ajax an einen Server geschickt werden. Der Hash wird bei jedem Seitenaufruf neu generiert, in der Theorie bleibt er immer gleich, da die dazu verwendeten Informationen ebenfalls immer dieselben sind.
Das erzeugte Bild dient dabei lediglich als Mittel zur Bildung eines möglichst eindeutigen Hash-Wertes für den jeweiligen Browser. Da es eine Data-URL ist, ist es dem Empfänger des Hash-Wertes zwar möglich, diese Data-URL wieder in das eigentliche Bild umzuwandeln und über eine Texterkennung Daten auszulesen, in der Praxis wird das aber stark erschwert. Denn die Profildaten werden im Bild überlagernd geschrieben und die Bildgröße ist fixiert. Das Bild muss eine feste Größe aufweisen, um einen eindeutigen Hash-Wert von konstanter Länge zu bekommen.
Kaum Abwehrmöglichkeiten
Es gibt für Anwender kaum Möglichkeiten, sich gegen die Tracking-Methode zu wehren. Da es sich nicht um ein Cookie handelt, nützt es nichts, sie im Browser zu verbieten. Der Hash wird clientseitig ebenfalls nicht gespeichert, demnach funktioniert Canvas Fingerprinting auch im Inkognitomodus eines Browsers. Im Juni 2012 hat bereits das Tor-Projekt reagiert und eine entsprechende Funktion in das Browser-Bundle integriert, die Nutzer warnt, wenn eine Webseite versucht, ein Canvas Fingerprint zu erstellen. Darüber hinaus können Nutzer nur Noscript einsetzen oder Javascript komplett deaktivieren, um Canvas Fingerprinting zu verhindern. Da sich die Javascripts der verschiedenen Anbieter unterscheiden, lassen sie sich nur schwer gezielt unterbinden.
Fingerprinting muss transparent sein
Ligatus erklärte uns, das Canvas Fingerprinting habe nur "im Rahmen eines limitierten Testlaufs stattgefunden, der inzwischen beendet ist." Während des Testlaufs seien ausschließlich anonyme IDs ohne Rückschlussmöglichkeit auf konkrete User gesammelt und auch in keiner Weise die Privatsphäre von Anwendern verletzt worden. "Es gibt aktuell keine Pläne, diese Technologie bei uns einzusetzen, da sie keinen Vorteil für die von Ligatus eigenentwickelten Optimierungsalgorithmen bringt, die sich auf die generelle Erkennung von Mustern im Nutzungsverhalten stützen und nicht auf Cookies oder die Wiedererkennung konkreter User setzen" , heißt es weiter.
Der Datenschützer Thilo Weichert sagte dazu: "Auf das Canvas-Fingerprinting ist nicht die Cookie-Regelung im europäischen Telekommunikationsdatenschutzgesetz anwendbar (Art. 5 Abs. 3), wohl aber § 15 Abs. 3 des Telemediengesetzes (TMG). Der Fingerprint ist im Prinzip ein Pseudonym. Auf Zweck und Widerspruchsmöglichkeit muss also hingewiesen werden. Wenn dies nicht passiert, ist das Angebot unzulässig."
Addthis stellt immerhin ein Opt-out-Cookie(öffnet im neuen Fenster) bereit.