Device Fingerprinting – Wie funktioniert der digitale Fingerabdruck?

| 3 Kommentare | Von Dr. Datenschutz
Fachbeitrag

Fingerabdrücke werden in der Kriminalistik benutzt, um Täter zu identifizieren. Aber auch wenn wir uns in der digitalen Welt bewegen, hinterlassen wir beim Surfen im Web Fingerabdrücke, mit denen wir identifiziert werden können (sog. Device Fingerprint oder auch Browser Fingerprint). Mit der steigenden Sensibilisierung der Nutzer, der Einstellungsmöglichkeiten im Browser (beispielsweise die Deaktivierung von Cookies) und dem Hinzukommen von Technologien wie Adblockern ist das Nachverfolgen des Nutzers im Netz weitaus schwieriger geworden. Der Einsatz von Technologien wie dem Device Fingerprinting soll hier Abhilfe verschaffen.

Was ist Device Fingerprinting?

Das Internet Architecture Board (IAB) definiert in RFC 6973 den Begriff Fingerprinting als:

„The process of an observer or attacker uniquely identifying (with a sufficiently high probability) a device or application instance based on multiple information elements communicated to the observer or attacker.“

Beim Device Fingerprinting können verschiedene Vorgehensweisen zur Anwendung kommen. Alle Technologien, die Informationen über den aktuellen Konfigurationsstand des Gerätes liefern, kommen dabei in Betracht. Bei Internetbrowsern sind dies vor allem Javscript und Flash.

Über das Device Fingerprinting werden auf Computern, Smartphones, Tablets oder anderen Endgeräten (den Devices) gespeicherte Informationen (z.B. installierte Schriften, Auflösung, Plugins, MAC oder IP Adressen) ausgelesen.

Funktionsweise von Device Fingerprinting

Beim Device Fingerprinting muss zwischen aktivem und passivem Fingerprinting unterschieden werden.

Passives Fingerprinting bezeichnet das Auslesen solcher Informationen, die beim Aufrufen einer Webseite technisch bedingt durch die verwendeten Protokolle übermittelt werden. Hierunter fallen bspw. Browsertyp/ -version/ -einstellungen, IP Adresse, und ggf. Hersteller und Typenbezeichnung des Smartphones, Tablets oder sonstigen mobilen Endgerätes. Dabei geht es in erster Linie um die Auslieferung und Funktionalität der Webseite.

Beim Aktiven Fingerprinting wird Programmcode direkt auf dem Gerät ausgeführt. Informationen können gezielt ausgelesen werden, beispielsweise durch Javascript oder Flash.

Im Unterschied zu rein passiven Techniken wird beim aktiven Fingerprinting Programmcode direkt auf dem Gerät zur Ausführung gebracht. Dadurch lassen sich weitere Informationen, wie beispielsweise Bildschirmauflösung, Zeitzone, Systemfarben, Plugin-Versionen und Schriftarten in Erfahrung bringen.

Identifizierung durch Device Fingerprinting

Über das Fingerprinting lässt sich in Abhängigkeit von den vom Nutzer verwendeten Plugins eine Vielzahl von Informationen ermitteln. Je nachdem, welche Browser-Plugins der Nutzer installiert hat, lassen sich beispielsweise auch Kenntnisse zu den verwendete Treibern erlangen.

Die übermittelten Informationen werden beim Besuch einer Webseite auf dem Server des Betreibers gespeichert und beim nächsten Seitenaufruf mit den gespeicherten Daten – dem Fingerprint – abgeglichen.

Aufgrund der Vielzahl an individuell veränderbaren Einstellungsoptionen des einzelnen Nutzers ermöglicht der Device- oder Browser Fingerprint eine relativ genaue Identifizierung des Nutzers. Denn die Kombination dieser verschiedenen Informationen ergibt in ihrem Gesamtbild ein relativ einzigartiges Nutzerprofil. Je mehr Informationen und je individueller die Einstellungen desto genauer lässt sich eine eindeutige Identifizierung erreichen. Daher kann ein Nutzer ggf. auch dann identifiziert werden, wenn der Fingerprint in der Zwischenzeit geringfügig modifiziert worden ist. In unserem Artikel „Testen Sie selbst: Ihr Browser hinterlässt Ihren einzigartigen „Fingerprint“ – ganz ohne Cookies“ können Sie testen, wie individuell Ihr digitaler Fingerabdruck ist.

Erstellung eines digitalen Fingerprints verhindern?

Durch die Installation von Add-ons wie NoScript kann man Javascript oder Flash blockieren, so dass weniger Informationen über einen gesammelt werden. Dies kann aber zum einen dazu führen, dass die Websites nicht mehr richtig ausgespielt werden und zum anderen verraten solche Einstellungen wiederum etwas über den Nutzer und ermöglichen eine Individualisierung. Denn oftmals wird nur ein kleiner Kreis von Nutzern das Device Fingerprinting blockieren. Zusammen mit den standardmäßig übertragenen Informationen lässt sich auch daraus ein Profil bilden. Selbst bei der Nutzung von Standardeinstellungen kann eine Identifizierung nicht ausgeschlossen werden. Dementsprechend lässt sich die Erstellung eines (identifizierbaren) Fingerabdrucks nicht wirklich verhindern.

Die Artikel-29-Datenschutzgruppe hat daher schon 2014 empfohlen, dass Websitebetreiber eine informierte Einwilligung für das Device Fingerprinting per Opt-In einholen sollen. Da die Empfehlung aber nicht verbindlich ist und die Cookie-Richtlinie in Deutschland nicht umgesetzt wurde, ist in Deutschland gem. § 15 Abs. 3 TMG noch eine Opt-Out Lösung beim Fingerprinting zulässig. Ein Blick in die Datenschutzerklärung lohnt sich also.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Mit dem Code „Webinar2023B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2023.

Über den Autor

Dr. Datenschutz
Dr. Datenschutz

Der Beitrag wurde von Dr. Datenschutz geschrieben. Unsere Mitarbeiter, dies sind in der Regel Juristen mit IT-Kompetenz, veröffentlichen Beiträge unter diesem Pseudonym. mehr →

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

Weitere Beiträge

Bedarf das Browser-Fingerprinting einer Einwilligung nach DSGVO?
Die Beweissicherung im Fokus der digitalen Forensik
Die Technik im Fokus der digitalen Forensik
Gehackt?! Was die IT-Forensik im Ernstfall leisten kann
Daten(schutz) im Wandel der Mobilität
IT-Forensik hilft Datendiebstahl durch Mitarbeiter aufzudecken

3 Kommentare zu diesem Beitrag

    • Wäre eine Lösung.
      Traurigerweise wurde seit Beginn der Affäre um Edward Snowden vereinzelt, vor allem aus der amerikanischen Politik, erklärt, man sehe alle Nutzer von derartigen Diensten als potentielle Terroristen an, da diese Nutzer ja offensichtlich etwas zu verheimlichen hätten.

      Das ist sehr traurig, dass User die auf Ihre Privatsphäre bedacht sind und sich nichts haben zuschulden kommen lassen (und dies auch nicht vorhaben) als Verdächtige bezeichnet werden. Man wird also wahrscheinlich mit der Nutzung eines Tor-Browsers auf kurz oder lang auf Beobachtungslisten auftauchen, wenn die Behauptung nicht nur heiße Luft war…

      • Auch ohne Tor stehen Sie auf „Beobachtungslisten“. Sie werden überwacht, jeden Tag. Sie können Sie sich nicht vor Überwachung schützen, indem Sie auf die wenigen verfügbaren Schutzinstrumente verzichten.

        Und entsagen Sie auch Vorhängen und Türschlössern, weil man Sie verdächtigen könnte, etwas „zu verbergen“ zu haben?

        Vorauseilender Gehorsam ist der Anfang vom Ende.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.