How-To Analyze Everyone – Teil VIII: Browser-Fingerprints und Informationskrümel ohne Cookies

CC-BY-SA 3.0 via wikimedia

Du hast alle Cookies deaktiviert? Und das „Do Not Track“-Häkchen gesetzt? Nutzt einen Proxy? Und du denkst jetzt ist es ziemlich schwierig, dich im Internet zu tracken? Leider wiegst du dich da in falscher Sicherheit, denn nicht nur ein Cookie kann verraten, wer du bist. Auch die Eigenschaften, die dein Browser über sich und dein System verrät, können ein ziemlich einzigartiges Identifikationsmerkmal sein. Genauso wie ein selten vorkommender Name es entbehrlich macht, auch noch Adresse/Geburtsort/Geburtsdatum einer Person zu prüfen, um festzustellen, um wen es sich handelt, kann ein einzigartiger Browser-Fingerprint es leicht möglich machen, einen Nutzer zu tracken – ganz ohne Cookies, das Einfügen von IDs in URLs, HTML-Formulare oder andere klassische Tracking-Mechanismen.

Das ist für diejenigen praktisch,die uns gezielt mit personalisierter Werbung beglücken wollen, auch wenn wir offensichtlich bereits Verkehrungen getroffen haben, damit genau das nicht passiert. Denn natürlich ist es aus kommerzieller Sicht ärgerlich, dass mittlerweile viele Nutzer Cookies blocken oder zumindest regelmäßig löschen. Wie das in Werbe-Sprech aussieht, kann man sich auf den Seiten von Zanox anschauen, einem großen Marketing- und ECommerce-Dienstleister:

Mit „zanox TPV Fingerprint Tracking“ (TPV – True Post View) erweitern wir unsere marktführende Tracking-Technologie mit einer passiven Lösung für das Tracking von Display-Werbemitteln. Das „zanox TPV Fingerprint Tracking“ basiert nicht auf dem Einsatz von Cookies und bietet damit eine präzise und zuverlässige Alternative, wenn Cookies gelöscht, deaktiviert oder mittels entsprechender Browser-Einstellung blockiert werden. […] Das zanox Tracking-System ist so konzipiert und dimensioniert, dass es alle Aktionen in Echtzeit verarbeiten kann und jederzeit unterhalb der maximal möglichen Arbeitslast bleibt. Derzeit bedient die zanox Tracking-Architektur etwa 600 Millionen Ad-Impressions, 50 Millionen Klicks und mehr als zwei Millionen Kunden-Transaktionen pro Tag.

Gleichzeitig demonstriert uns eine kleinen Infografik schön das Ziel des Ganzen, nämlich wie unsere persönlichen Daten ganz einfach zu Geld werden:

zanox-tracking
via blog.zanox.com

Aber zuerst einmal wollen wir uns anschauen, wie so ein Browser-Fingerprint eigentlich aussieht und warum er uns so gut identifizieren kann.

Welchen Fingerabdruck hat mein Browser?

Einfache Wege sich anzuschauen, welche Charakteristika der eigene Browser dem Internet offenbart, bietet zum Beispiel die Electronic Frontier Foundation mit Panopticlick. Hat man nicht bereits Maßnahmen zur Minimierung der eigenen Verfolgbarkeit getroffen, bekommt man im Normalfall das recht ernüchternde Ergebnis, dass der eigene Browser unter den mehreren Millionen bislang getesteten einzigartig ist. Betriebssystem, installierte Schriftarten, Browserplugins und vieles mehr posaunen wir beim Surfen im Internet bereitwillig in die Welt hinaus. Zusätzlich dazu, was man preisgibt, zeigt Panopticlick außerdem an, wie verbretet die einzelnen Eigenschaften unter den Browsern sind, die bereits erfasst wurden. Oder anders ausgedrückt – wieviele Bits an Information man zur Identifikation bereitstellt. Je einzigartiger und detaillierter beispielsweise die „User Agent“-Angabe ist, die Angaben zu Browser, Betriebssystem und teilweise weiteren Infos wie Hardwareplattform bietet, desto mehr Informationsgehalt trägt diese Auskunft.

panopticlick

Ein ganz kurzer Ausflug in die Informationstheorie

„Bits of identifying information“ – klingt erstmal kryptisch. Was heißt das konkret: 12,56 bits, die durch den User Agent bereitstehen, um mich zu  identifizieren? Das Maß des Informationsgehalts einer Angabe in Bit formalisiert, wie viel „Überraschung“ eine Nachricht enthält. Das heißt: Es zählt nicht die Menge an Information, sondern wieviel Neuigkeitswert diese bietet, wie wahrscheinlich ihr Auftreten ist. Mathematiker würden das so sagen:

CodeCogsEqn

Bevor wir uns abschrecken lassen, betrachten wir ein einfaches Beispiel. Nehmen wir den Fall an, es gäbe nur Männer und Frauen auf der Welt und davon jeweils genau 50%, also ist die Wahrscheinlichkeit p 0,5. Dabei sind die möglichen Zustände, die Auftreten können – a – genau 2. In die Formel eingesetzt:

CodeCogsEqn (2)

Die Information, dass eine Person weiblich ist, enthält also genau 1 bit Information. Logisch, denn es gibt zwei Zustände und definiert man männlich als „0“ und weiblich als „1“ hat man alles abgedeckt.

Gibt es mehr Auswahlmöglichkeiten, also mehr Unsicherheit, wie das Ergebnis aussieht, steigt auch der Informationsgehalt. Schauen wir uns das Beispiel des Browsers an. Die Wahrscheinlichkeit, dass ein anderer Browser den gleichen „User Agent“-String schickt ist laut Tabelle 1/6023,58, demnach in etwa 0,0166%. Der Informationsgehalt beträgt also, wenn wir als mögliche Zustände „hat diesen User Agent“ oder „hat einen anderen User Agent“ annehmen:

CodeCogsEqn (3)

Damit lässt sich hoffentlich etwas besser verstehen, wie die Zahlen zustande kommen, die in der Auswertung angegeben sind.

Die EFF hat bei der Auswertung der Ergebnisse von Panopticlick übrigens festgestellt, dass Browser, die Flash und Java unterstützen, im Durchschnitt mindestens 18,8 bits Informationen bereitstellen, 94,2% dieser Browser waren in der Testmenge einzigartig. Henning Tillmann, der Browser-Fingerprints in seiner Diplomarbeit untersucht hat, kam außerdem zum Ergebnis, dass es bei 60 % der Nutzer über einen längeren Zeitraum zu keinerlei Veränderungen an ihrem Fingerprint kommt, bei 90% hatten sich höchstens drei Merkmale verändert.

Kommerzielle Tracking-Software kann noch mehr

Wer glaubt, die Informationen, die Panopticlick auswertet, wären schon genug, sollte sich bewusst machen, dass die Firmen, deren Tagesgeschäft das Tracking darstellt, sich noch weitaus mehr einfallen lassen, um Detailinformationen zu bekommen. Forscher der KU Leuven und der University of California haben drei kommerzielle Fingerprinting-Anbieter untersucht und konnten dabei einige Taktiken der „Cookieless Monsters“ rekonstruieren. Die Haupterkenntnis: Die professionellen Tracker schaffen es, noch weit mehr Informationen zu ermitteln. Dabei wurden vor allem Flash-Plugins genutzt. Die senden als Plattformangabe nicht „nur“ wie etwa Firefox das Betriebssystem mit Hardwarearchitektur, sondern noch dazu die genaue Kernelversion – was nicht nur beim Tracking hilft, sondern auch, wenn man gezielt Schwachstellen in bestimmten Systemversionen missbrauchen will. Ein weitere Lücke, die Flash in die die digitale Schutzmauer eines Nutzers reißen kann ist die Umgehung von IP-Adressen-Anonymisierung bei der Nutzung von HTTP-Proxies, da ein Flash-Plugin in der Lage ist, die Umleitung zu ignorieren und somit einem Tracker die wahre IP des Nutzers mitteilt.

fingerprint_websitesInteressant ist nicht nur, wie die Fingerprinting-Skripts arbeiten, sondern auch, wer sie nutzt. Die intuitive Vermutung fällt auf Shopping-Seiten, eine Statistik aus der obigen Studie kommt zu anderen Ergebnissen. Ganz weit vorn liegen Spam- und Schadseiten – womit man wieder bei genauen Infos zum Ausnutzen von Sicherheitslücken wäre.

Doch wie immer gibt es nicht nur eine Seite der Medaille, sondern es ergeben sich auch vermeintlich nützliche Anwendungen, bei denen Browser-Fingerprinting eine Rolle spielt.

Patentierte Betrugserkennung über den Browser

IBM_fraud_detectIBM hat ein System patentieren lassen, das die Möglichkeit bieten soll, Online-Betrug zu erkennen bevor er überhaupt entsteht. Dafür wurden Unmengen Verhaltensdaten vor dem Ausführen von Transaktionen wie Online-Bestellungen und Zahlvorgängen gesammelt. Die erfassten Informationen umspannen unter anderem das Navigationsverhalten des Nutzers – arbeitet er mit der Maus oder den Pfeiltasten, wohin klickt er am häufigsten -, den besagten Browser-Fingerprint und eine Statistik über gewöhnliche Anmeldezeiten und Orte des Nutzers. Alles plausibel, aber entsprechend der nebenstehenden Infografik von der IBM-Seite gehören auch Social-Media-Daten und „Big Data“ allgemein zu den Informationsquellen. Kurzum: Alles, was man bekommen kann, wird herangezogen, um das Normalverhalten des Nutzers zu modellieren. Weicht er vom über ihn bekannten Standard ab, tritt eine weitere Authentikationsstufe in Kraft bei der er beweisen muss, dass er wirklich die vorgegebene Person ist. Das können Captchas sein, aber auch andere Two-Factor-Authentication-Methoden wie SMS-Codes.

Neu ist die Idee nicht, ein früheres IBM-Patent stammt bereits aus dem Jahr 2007. Und ähnlich ist auch das Informieren und Blocken von Accounts bei „ungewöhnlichen“ Aktivitäten, das bereits jetzt von Google und Co. genutzt wird. Nur dass dann vielleicht schon der Zugang zum Mailpostfach geblockt wird, wenn die linke Hand statt der rechten zum Klicken benutzt wird, weil mit der anderen gerade eine Kaffeetasse gehalten wird oder man morgens um fünf ausnahmsweise spontan eine MP3 erwerben will, weil man gerade noch einen furchtbaren Ohrwurm hat, nachdem man vom Tanzen kommt. Und nicht, weil ein Anmelde-Versuch von einem bisher unbesuchten Ort stattfindet.

Was tun?

Klar ist: Das Missbrauchspotential von Browser-Fingerprints ist hoch und man sollte sich darum Gedanken machen, wie man sich bestmöglich schützen kann. Eine Patentlösung können wir nicht geben, aber ein paar Hinweise, wie man es den Trackern zumindest schwerer machen kann:

Sei Durchschnitt. Mit einem aktuellen Browser auf einem Mainstream-Betriebssystem kann man leichter in der Masse untergehen als das mit einem antiquierten Internet Explorer. Alternativ zum Browser und System könnte man auch den User Agent ändern. Der Browser sendet dann andere Informationen an die Webseite als eigentlich zutreffend. Geht zum Beispiel mit dem User Agent Switcher für Firefox, ist aber nicht zwingend sinnvoll. Denn wenn von einer einzelnen IP ständig andere User Agent Angaben gesendet werden, fällt das a) sowieso auf und b) landet man schnell automatisch als Spambot-Verdächtiger auf Blocklisten.

JavaScript und Flash deaktivieren. Vermeidet man die Nutzung von JavaScript und Flash, können keine Merkmale mehr aktiv vom Browser erfragt werden. Also keine Informationen mehr, welche Plugins genutzt werden, welche System-Schriftarten installiert sind u.v.m. Dafür gibt es unter anderem das beliebte NoScript, das auch Einzelentscheidungen ermöglicht, welche Seiten/Skripte geblockt werden und welche nicht. Wie stark sich das Ausschalten von JavaScript auf die Identifizierung auswirkt, kann man mit Panopticlick schön beobachten. In einer Testumgebung sank die indentifizierende Information von 20,44 bits auf 14,4 bits.

Vorher:

panopti_2

Nachher:

panopti_1

Nutze Tor. Tor anonymisiert nicht nur deine IP-Adresse, sondern der Tor-Browser schickt auch eine einheitliche User-Agent-Angabe mit blockt standardmäßig Java- und Flashanwendungen.

Nachdenken. Auch wer alle technischen Maßnahmen ergreift muss sich trotzdem noch bewusst machen, dass er auch durch unachtsames Verhalten schnell Datenspuren hinterlassen kann. Wer sich über Tor bei einem Mailanbieter mit Klarnamen anmeldet ist diesem gegenüber genauso wenig anonym wie mit einer direkten Verbindung…

w3cfingerprintingFazit: Es ist kompliziert. Nicht nur der einzelne Nutzer sorgt sich um Browser-Fingerprints, auch im W3C beschäftigt man sich damit, wie man vermeiden kann, dass solches Fingerprinting erst möglich wird. Eine Präsentation vom Technical Plenary / Advisory Committee Meeting des W3C 2012 mit dem Titel „Is preventing browser fingerprinting a lost cause?“ zeigt deutlich, wo das Problem liegt:

Internetprotokolle wurden weitgehend entworfen ohne die potentielle Bedrohung der Privatsphäre von Nutzern im Blick zu haben. Dementsprechend nutzen sie eine Menge Daten, die vielleicht vermieden werden könnten und so mehr Möglichkeiten zum anonymen Internetnutzung lassen würden. Und es ist wie immer schwer, nachträglich Maßnahmen zum Schutz selbiger im Nachhinein einzubauen. Notwendig wären also neue Protokolle, die Fingerprinting vermeiden. Womit wir auch beim generellen Vermeiden von Metadaten wären.

Ohne Browser-Fingerprints alles gut?

Sind wir endlich anonym, wenn wir es geschafft haben, alle Cookies zu blocken, verräterische Flash-Applikationen zu umgehen, JavaScript auszuschalten und noch jemand Protokolle entwirft, die unsere Browser-Fingerprints gar nicht erst aufnehmen und zum Beispiel keine User-Agent-Infos mehr in die Welt senden? Nein, natürlich nicht. Denn es wird wohl immer etwas zum Identifizieren geben. Zum Beispiel das Verhalten des Browsers und den Charakteristiken der Grafikkarte beim Rendern von Pixeln auf einem HTML5-Canvas-Element. Und die nächste Sicherheitslücke ist bestimmt nicht weit …

In dieser Reihe erschienen:

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

29 Ergänzungen

  1. Die Frage ist, wo dieses Wettrüsten hinführen soll.
    Wenn man jetzt schon seinen Browser mit allen relevanten „Schutzwaffen“ (scnr) ausstattet (noscript, adblock, ghostery, request policy) hat man nicht nur ständige Arbeit, doch wieder alle möglichen Seiten in allen Plugins zu whitelisten, nein man macht sich auch noch immer mehr unique für Fingerprinting und gehört darüber hinaus zu den 1,7 Promille, die sich diese Paranoia antun.
    (und vermutlich genau aus diesen Gründen von den Filtermaschinen der Dienste als potentielle Terroristen geflagt werden)

    Jedenfalls ist das schon die Auswirkung der Überwachung, vor der immer gewarnt wird:
    man verändert sein Verhalten und die Transaktionskosten steigern sich immens.

    Ob man will oder nicht: Man beteiligt sich an der Paranoia der Überwacher.
    Leider

      1. Beteiligung an der Paranoiaspirale.
        Das Ganze macht doch was mit einem, das bleibt doch nicht ohne Spuren.

    1. Grundsätzlich hast Du schon recht. Ich fühle mich überwacht und habe daher mein Surf- und Konsumverhalten grundlegend geändert. Eventuell bin ich als Tor-Nutzer sogar bereits als Extremist geflaggt. Ich stecke also bereits mitten in Deiner „Paranoiafalle“.

      Die Frage ist nur, was die Alternative ist. Weiter Facebook, Google, Amazon und Co. nutzen als wäre nichts passiert? Kommunikation weiterhin nicht verschlüsseln und akzeptieren, dass jederzeit irgend ein Datenfaschist auf Deinem Rechner rumschnüffeln kann? Ja, das ist wunderbar bequem und billig und man lässt sich ganz souverän nicht von der Paranoia anstecken.

      Aber falls Du es noch nicht gemerkt hast: Wir befinden uns auf direktem Weg in einen neuen, brandgefährlichen Totalitarismus der innert kürzester Zeit Grundrechte aushebelt, die in Generationen erkämpft wurden und die Kontrolle und Beeinflussung der Bevölkerung mittels Informationstechnologie zum Ziel hat. Und vor dieser Aussicht ist es sicher nicht zuviel verlangt, endlich seinen Arsch hochzukriegen und den Datenfaschisten mit allen verfügbaren Mitteln den digitalen Stinkefinger zu zeigen.

      1. Das ist alles richtig. Doch bedenket, dass zwar jeder Tor (etc.) Nutzer geflaggt wird, aber jeder Tor (etc.) Nichtnutzer ohnehin einer Totalerfassung unterworfen wird und aufgrund ihm unbekannter Merkmale (je weniger „Otto Normalidiot“, um so wahrscheinlicher ein abnormes Verhalten) dann trotzdem geflaggt wird. Schutz ist also besser als kein Schutz.

        Ich nutze jeden Tag Anonymisierungstools. Internetnutzung ohne sie ist für mich schlicht keine Option mehr.

  2. Selbst wenn man Tor unter Linux in der aktuellen Version (ohne zusätzliche Plugins) nutzt:
    „one in 502 browsers have the same fingerprint as yours.“
    Das ist bitter.

    1. Dir ist schon klar, dass der Wert immer besser ist je niedriger er ist?

      Wenn du mit einem anderen Browser einen annähernd so guten oder gar besseren Wert hast, poste den mal. Ich bezweifle es.

  3. @ Anna Biselli

    Kennst Du ip-check.info von JonDos?
    Das wird auch vom Tor Project in der Entwicklung des TorBrowsers als Testing Tool genutzt.

    1. Jap, kenn ich, aber danke für die Erwähnung hier :) Da ist natürlich die Farbmarkierung gut und die Erklärungen, warum was schlecht ist. Aber ich hab Panopticlick genommen, wegen der Informationsgehaltsrechnung.

  4. Ist ja alles toll beschrieben. Mal ne blöde Frage: Wenn ich alles deaktiviere und ausschalte, „funktioniert“ dann internetbanking, YouTube, ins Forum schreiben, irgendwo anmelden, Kleinanzeigen aufgeben usw usf etc ? Oder bin ich erstmal tagelang beschäftigt blöde whitelist zu schreiben?

    1. Youtube funzt nich, wenn Scriptblock an is.

      Internetbanking, kommt auf die Bank an.

      Forum, kommt aufs Forum an.

      Anmeldung, ebenso.

      usw usf, ebenso.

      In vielen Anmelde und Forenkonstellationen ist Anonymität ohnehin nicht darstellbar, weil die Nutzer da mit den persönlichen Anforderungen überfordert sind. Da brauchste also keine „whitelist“, sondern kannst ruhig deinen alten Kübel weiter benutzen.

  5. @hrothgaar
    mit der Anonymität im www ist es doch nicht viel anders wie im restlichen Leben. Man gibt von sich persönliche Informationen preis je nachdem wo, in welchem Kontext man gerade unterwegs ist. Bei einem Smalltalk in der Flughafen-Bar ist es anders als auf einem Schultreffen oder beim Vorstellungsgespräch.
    Ein praktikables Szenario könnte sein, dass man unterschiedlich anonymisierte Browser-Profile/Identitäten verwendet, je nachdem, ob man beim internetbanking, auf YouTube, im Forum usw. unterwegs ist. Mehr dazu https://support.mozilla.org/de/kb/firefox-profile-erstellen-und-loeschen .

    1. Ja, stimmt. Das arbeiten mit verschiedenen Profilen ist vielleicht ne Möglichkeit. Ansonsten hab ich schon drei Alter Egos für verschiedene „Vorgänge“. Des weiteren benutze ich ein einen Anonymisierungsdienst der ein bischen schneller ist als Tor. Was mich nur tierisch nervt ist das dämliche rumgeklicke bis eine Seite a) vernünftig angezeigt wird und b) dann auch funktioniert. Für jeden Blödsinn gibt es Alternativen. Das Dumme daran ist nur das die Alternativen keine kennt und auch dann auch in letzter Konsequenz nicht unterstützt wird.

      1. lustig und bezeichnend, dass man in gängigen browsern /erweiterungen/ braucht, um ungewollte und sehr kompliziert implementierte automatismen /auszuschalten/.

  6. Also ich habe auf meinem Rechner meist zwei Browser parallel auf. Einmal Safari und einmal Tor. Ich bemühe mich, hauptsächlich mit Tor zu surfen, gleichzeitig ist es aber leider die Realität, dass viele Seiten ohne JavaScript etc nicht laufen :(

    1. mache ich ähnlich. die normalen browser nur für klar mit meiner „realweltidentität“ in verbindung zu bringende zwecke, und dann auch nur über einen anderen tor-circuit geroutet, um ortstracking entgegenzuwirken.

      muss man heute.

      ich wünschte, mehr menschen würden so „extremistisch“ handeln.

      1. un auf dem handy (wenn’s mal sein muss) nutze ich orbot mit orweb

        der standard-browser schickt sogar die modellnummer im user-agent wie dämlich ist das denn.

  7. Sehr guter Artikel mal wieder! Aber der technische Aspekt alleine bringt gar nichts. Dieser wird erst voll zur Geltung kommen wenn am auf alle sozialen Netzwerke verzichtet (Youtube, Twitter, Facebook u.s.w.) und auch dem Schoppen im Netz systematisch fernbleibt (Finanztransfers über Anbieter wie Paypal oder Amazon. Überhaupt sind Konzernmonopolisten Gift für den Datenschutz, insbesondere sind hier Google, Bing, Microsoft, Apple, Android u.s.w. zu nennen. Zu all diesen Anbietern gibt es teils bessere Alternativen.

  8. Ich handhabe es ähnlich wie @benni, allerdings mit 3 Browseridentitäten. 2 sind ohne viel Schutz, eben allgemein gehalten, für Informationen sammeln, chatten, lesen, spielen, alles was ohne wirkliche Bedeutung ist.
    Onlinebanking und andere Aktivitäten laufen allerdings nie ohne VPN-Schutz. Was darüber hinaus geht dann zusätzlich mit Jondofox usw.
    Ob es wirklich „hilft“, keine Ahnung, vermutlich könnte ein Geheimdienst trotzdem problemlos an alle Informationen bei mir rankommen. Aber immerhin hab ich ein gutes Gefühl….

  9. „alles was ohne wirkliche Bedeutung ist.“ ???
    Wo lebst Du?! Nichts ist je ohne wirkliche Bedeutung gewesen und z.B. aus Deinem Spielverhalten lässt sich eine Menge ableiten. Du suchst Stichpunkte dafür?: Verhaltensforschung, Spieltheorie, … PreCog (sic!).

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.