Canvas-Fingerprinting: das steckt hinter dem Cookie-Nachfolger

Unter dem Titel „The web never forgets: Persistent tracking mechanisms in the wild“ veröffentlichten Forscher der Princeton-Universität und der Universität Leuven 2014 eine Studie über moderne Methoden zur Nutzerverfolgung. Neben Evercookies und Cookie-Synchronisation beschäftigten sie sich dabei vor allem mit dem bis dato relativ unbekannten Canvas-Fingerprinting. Bei über 5,5 Prozent der zum Zeitpunkt der Studie führenden 100.000 Websites kam die raffinierte Technik zur Nutzeridentifikation den Ergebnissen nach zum Einsatz.

Was ist Canvas Fingerprinting?

Keaton Mowery und Hovav Shacham, Mitarbeiter der Universität Kaliforniens, formulierten 2012 in ihrer Arbeit „Pixel Perfect: Fingerprinting Canvas in HTML5“ erstmals die Idee des Fingerprint-Trackings. In der Publikation präsentierten sie ihre Überlegungen, dass mithilfe der mit HTML5 eingeführten Canvas-Elemente problemlos ein individueller Fingerabdruck auf Basis der Systemkonfigurationen der Webnutzer erzeugt werden kann. Inspiriert von der Arbeit der beiden Forscher, entwickelte und veröffentlichte der russische Programmierer Valentin Vasilyev ein Jahr später den ersten beispielhaften Canvas-Fingerprint-Code unter einer Open-Source-Lizenz auf GitHub. Sein Code diente Firmen wie AddThis und Ligatus als Basis, um dieses Tracking-Verfahren zu realisieren.

Bei den erwähnten Canvas-Elementen handelt es sich eigentlich um definierbare Bereiche (Höhe und Breite), in die per JavaScript gezeichnet werden kann, um beispielsweise Grafiken, Logos und Buttons inklusive Text zu kreieren. Je nach

  • Betriebssystem,
  • Browser,
  • Grafikkarte,
  • Grafikkartentreiber
  • und installierten Fonts des Clients

fällt die Darstellung des Textes allerdings unterschiedlich aus, was das Canvas-Fingerprinting ermöglicht. Der Website-Betreiber benötigt zu diesem Zweck einzig den spezifizierten Canvas-Fingerprint-Code, der den Browser beim Seitenaufruf im Hintergrund zur Anzeige eines versteckten Textes via JavaScript veranlasst und die dadurch erhaltenen Informationen an den Webserver weiterleitet. Dank der Fülle an Merkmalen ist der auf diese Weise erstellte digitale Fingerabdruck in über 80 Prozent der Fälle einzigartig, wodurch er jederzeit wiedererkannt werden kann – insofern der Nutzer keine Veränderungen an den aufgezählten Systemkonfigurationen vornimmt.

Der Wert von Canvas-Fingerprinting für die Webanalyse

Ein Canvas-Fingerprint enthält grundsätzlich nur die bisher erwähnten Informationen über System und Browser. Doch diese bieten bereits die Möglichkeit, Website-Besucher als einzelne Individuen zu identifizieren, um so im Anschluss ihr Surfverhalten nachzuverfolgen. Dabei kann es sich um die Aktivitäten auf einer einzigen, aber auch auf mehreren Websites handeln, insofern das Skript auf verschiedenen Seiten implementiert ist. Somit ist das Verfahren sowohl in Sachen Website-Optimierung als auch bei der Konzipierung zielgerichteter Werbung höchst interessant. Ein großer Pluspunkt der modernen Nutzerverfolgungs-Methode ist, dass sie keine personenbezogenen Daten sammelt. Das macht das Fingerprint-Tracking für Webanalytiker zu einer ernstzunehmenden Alternative zu Cookies, die rechtlich bedenklich sind und von vielen Nutzern blockiert und gelöscht werden.

Da der digitale Fingerabdruck im Gegensatz zum menschlichen nicht zu 100 Prozent einzigartig ist, sind allerdings auch die Ergebnisse des Canvas-Fingerprintings nicht immer aussagekräftig. So erhalten z. B. zwei Website-Besucher mit gleichen Konfigurationen nur eine Nutzer-ID, was die weiteren Untersuchungen entsprechend verfälscht. Da die Wahrscheinlichkeit einer solchen Übereinstimmung steigt, je mehr User verfolgt werden, wächst diese Problematik gemeinsam mit dem Traffic des untersuchten Webprojekts. Ein weiteres Problem des Fingerprint-Trackings entsteht bei der Identifizierung von Nutzern mobiler Geräte: Die verwendete Hard- und Software von Tablets und Smartphones sind in der Regel zu standardisiert, weshalb zu wenige Unterscheidungsmerkmale vorliegen, um einzigartige Fingerabdrücke zu erzeugen.

Nutzer können Canvas-Fingerprinting umgehen

Im Gegensatz zu Cookies können Canvas-Fingerprints nicht einfach gelöscht werden, da die Daten direkt an den Server übermittelt werden – eine clientseitige Speicherung findet nicht statt. Entsprechend verhindert auch der Inkognito-Modus eines Browsers nicht, dass die Canvas-Skripte die System- und Browserinformationen ausspionieren. Schutzlos sind Nutzer gegenüber der Tracking-Methode dennoch nicht. Sie können das Ausführen der Skripte im Voraus unterbinden, was z. B. mit den folgenden Maßnahmen gelingt:

  • Deaktivierung von JavaScript: Ohne JavaScript können die Canvas-Elemente nicht geladen und damit auch keine Informationen über den Client abgerufen werden. Da allerdings viele Websites JavaScript beinhalten, kann es vorkommen, dass diese mit deaktiviertem JavaScript nicht mehr korrekt angezeigt werden.
  • Adblock Plus: Adblock Plus ist vor allem als Browser-Erweiterung zur Blockierung von Werbung bekannt. In Kombination mit der Filterliste EasyPrivacy sagt das Plug-in allerdings auch dem Fingerprint-Tracking den Kampf an.
  • CanvasBlocker: Firefox-Nutzer erhalten mit dem Add-on CanvasBlocker verschiedene Optionen, Canvas-Fingerprinting zu blockieren. Es ist beispielsweise möglich, alle Canvas-Anfragen zu ignorieren oder die herausgegebenen Daten dahingehend zu manipulieren, dass das Fingerprinting immer einen anderen Wert erzeugt.

Transparenz als Grundvoraussetzung

Als 2014 die Liste der Websites mit Canvas-Fingerprint-Script erschien, staunten selbst manche Website-Betreiber nicht schlecht, als sie ihre Seite unter den über 5.000 Fällen entdeckten – denn sie selbst hatten das Tracking-Verfahren gar nicht implementiert. Im deutschsprachigen Raum zeichnete vielmehr der Kölner Vermarkter Ligatus verantwortlich, der seine zahlreichen Auftraggeber wie kicker.de, golem.de oder n-tv.de über die Verwendung der Technik im Unklaren ließ. Laut den Aussagen der Performance-Agentur handelte es sich dabei allerdings nur um einen limitierten Testlauf, in dessen Rahmen ausschließlich anonyme Informationen ohne Rückschlussmöglichkeit auf konkrete Nutzer gesammelt wurden. Der größte Teil der Websites nutzte allerdings – ebenfalls ohne es zu wissen – den Tracking-Code der US-Firma AddThis, die vor allem durch Social-Media-Buttons für Websites bekannt ist.

Wesentlich problematischer als die Unwissenheit der Website-Betreiber ist, zumindest in Deutschland, die der Website-Besucher. Auch wenn die EU-Cookie-Richtlinie nicht auf das Canvas-Fingerprinting anwendbar ist, so ist es zumindest § 15 Abs. 3 des Telemediengesetzes: Da der Fingerprint als Pseudonym betrachtet werden kann, ist das Fingerprint-Tracking nur zulässig, wenn die Nutzer über den Zweck aufgeklärt werden und die Möglichkeit zum Widerspruch besitzen.