IRCNF
Privacy & Data

Cookies sterben aus. Browser-Fingerprinting übernimmt – und ist schwerer zu blockieren.

Teilen:
Cookies sterben aus. Browser-Fingerprinting übernimmt – und ist schwerer zu blockieren.

Das Third-Party-Cookie wird endlich abgeschafft. Nach jahrelangen Verzögerungen hat Google 2024 im Rahmen der Privacy-Sandbox-Initiative begonnen, Third-Party-Cookies für Chrome-Nutzer zu deaktivieren. Safari und Firefox hatten sie bereits standardmäßig blockiert. Die Werbebranche, die seit Jahren mit dieser Entwicklung gerechnet hat, arbeitet an einem Ersatz. Der vielversprechendste Kandidat ist kein datenschutzfreundlicher Ansatz. Es ist das Fingerprinting – und das wirft ernste Fragen bei Datenschutzforschern und Regulierungsbehörden auf.

Was Browser-Fingerprinting ist

Ein Browser-Fingerprint ist ein probabilistischer Identifikator, der aus Dutzenden von Merkmalen zusammengesetzt wird, die jede besuchte Website ohne Ihre Zustimmung und ohne Setzen eines Cookies sehen kann. Zu diesen Merkmalen gehören:

  • User-Agent-String: Browsername, Version, Betriebssystem
  • Bildschirmauflösung und Farbtiefe
  • Zeitzone und Spracheinstellungen
  • Installierte Schriftarten: abgefragt über Canvas-API-Textrendering
  • WebGL-Renderer und -Hersteller: GPU-Modell und Treiberversion
  • AudioContext-Fingerprint: nicht hörbare Audioverarbeitung erzeugt gerätespezifische Fließkommaausgaben aufgrund von Hardware- und Treiberunterschieden
  • Canvas-Fingerprint: Ein gerendertes Canvas-Element, unsichtbar für den Nutzer, erzeugt Pixelausgaben, die je nach GPU, Betriebssystem-Rendering-Engine und Treiberversion variieren
  • TCP/IP-Stack-Verhalten: Netzwerk-Fingerprinting basierend darauf, wie das Betriebssystem Paket-Timing und Reihenfolge handhabt

Die Kombination dieser Merkmale – auch wenn keines für sich allein eindeutig ist – ergibt für die überwältigende Mehrheit der Nutzer einen eindeutigen Fingerprint. Das Cover-Your-Tracks-Projekt der EFF (ehemals Panopticlick) hat wiederholt festgestellt, dass über 99 % der Browser eindeutige Fingerprints aufweisen, wenn genügend Merkmale kombiniert werden. Diese Zahl sinkt, je mehr Nutzer fingerabdruckresistente Browser einsetzen, aber die zugrunde liegende Technik bleibt gegenüber der Allgemeinheit wirksam.

Die Kombination von Canvas und AudioContext

Die beiden zuverlässigsten Fingerprinting-Vektoren nutzen die Tatsache aus, dass dieselben mathematischen Operationen auf unterschiedlicher Hardware geringfügig abweichende Fließkomma-Ausgaben erzeugen. GPU-Modell, Treiberversion und Betriebssystem-Rendering-Engine führen zu Mikrovariationen in der Berechnung von Grafik und Audio.

Ein Canvas-Fingerprint-Script zeichnet Text und Formen auf ein unsichtbares Canvas-Element und liest dann die Pixelwerte über toDataURL() aus. Die Pixelwerte sind für eine bestimmte Gerätekonfiguration deterministisch, unterscheiden sich jedoch zwischen Geräten – manchmal auf Subpixelebene – aufgrund unterschiedlicher Implementierungen von Anti-Aliasing und Subpixel-Rendering in GPU-Treibern.

Ein AudioContext-Fingerprint lässt einen Oszillator durch einen Kompressor laufen und liest die Werte des verarbeiteten Ausgabepuffers aus. Das Rundungsverhalten von Fließkommazahlen variiert mit der Hardware-Implementierung der IEEE-754-Arithmetik. Beides sind Nebeneffekte normaler Browser-APIs, die legitime Zwecke haben – Canvas für Grafikdarstellung, AudioContext für Audioverarbeitung. Es gibt keine Berechtigungsabfrage. Nichts wird gespeichert. Die Extraktion geschieht unsichtbar während eines normalen Seitenaufrufs.

Warum Fingerprinting schwerer zu blockieren ist als Cookies

Das Blockieren von Cookies ist architektonisch einfach: Der Browser kann sich weigern, Third-Party-Cookies zu speichern oder zu senden, ohne Webstandards zu brechen. Beim Fingerprinting ist das anders, weil es die beobachtbaren Nebeneffekte von APIs ausnutzt, die legitime Zwecke haben.

Wenn Sie das Auslesen von Canvas (toDataURL()) vollständig blockieren (es gibt einen leeren String zurück), brechen Sie legitime Canvas-Anwendungen – Bildbearbeitungsprogramme, Design-Tools, grafiklastige Web-Apps. Wenn Sie WebGL blockieren, brechen Sie 3D-Anwendungen, browserbasierte Spiele und Karten. Wenn Sie den AudioContext stumm schalten, brechen Sie webbasierte Audioproduktion. Die Fingerprinting-Oberfläche ist in die APIs eingebaut, die das Web funktionsfähig machen.

Die alternative Verteidigung – Randomisierung – fügt den von diesen APIs zurückgegebenen Werten Rauschen hinzu, sodass dasselbe Gerät auf verschiedenen Websites oder Sitzungen unterschiedliche Fingerprint-Werte liefert. Das schafft jedoch ein eigenes Problem: Ein Canvas, das jedes Mal anders rendert, ist selbst ein Signal. Auf Machine Learning basierende Fingerprinting-Systeme können die Randomisierung erkennen und ihre Modelle anpassen.

Was Browser tun

Firefox: Der Fingerprinting-Schutzmodus (im erweiterten Schutz vor Tracking im Modus „Streng“) randomisiert Canvas-, WebGL- und AudioContext-Ausgaben je nach Website und Sitzung. Außerdem wird die Schriftartenabfrage eingeschränkt und die Genauigkeit bestimmter Timing-APIs reduziert, die für Timing-Angriffe genutzt werden können.

Brave: Der aggressivste Fingerprinting-Schutz aller großen Browser. Brave randomisiert Canvas, WebGL, AudioContext, Schriftliste, Bildschirmauflösung, Hardware-Concurrency und Gerätespeicher je nach Website und Sitzung. Es blockiert außerdem die Battery-API vollständig und begrenzt die JavaScript-Timer-Präzision, um Timing-basiertes Fingerprinting zu verhindern. Braives Ansatz besteht darin, jede Browser-Instanz statistisch ähnlich und nicht eindeutig erscheinen zu lassen.

Safari: Intelligent Tracking Prevention konzentriert sich hauptsächlich auf Cookie- und URL-basiertes Tracking, schränkt aber auch einige Fingerprinting-Oberflächen ein. Safari begrenzt die Schriftartenabfrage auf einen systemweiten Standardsatz, schränkt das Auslesen von Canvas in Drittanbieter-Kontexten ein und kappt bestimmte hardware-identifizierende APIs.

Chrome: Die Privacy Sandbox umfasst eine User-Agent-Reduzierung, die allen Chrome-Nutzern denselben verkürzten User-Agent-String liefert und dabei Betriebssystemversion, Chrome-Minor-Version und hardware-identifizierende Details entfernt. Die Protected Audience API und die Attribution Reporting API der Privacy Sandbox sollen einige Cookie-Funktionen ohne Cross-Site-Tracking ersetzen – aber Kritiker haben dokumentiert, dass die APIs der Privacy Sandbox selbst über ihr Timing und Antwortmuster gefingered werden können.

Die rechtliche Lage

Die DSGVO behandelt Fingerprinting als Verarbeitung personenbezogener Daten, sofern der Fingerprint zur Identifizierung oder Verfolgung einer Person verwendet wird – was im Werbekontext der einzige praktische Zweck ist. Die Leitlinien des Europäischen Datenschutzausschusses sind klar: Fingerprinting für Werbung erfordert eine ausdrückliche Einwilligung, genau wie Cookies. Der Unterschied liegt in der Durchsetzung.

Standard-Consent-Management-Plattformen – die Cookie-Consent-Dialoge, die Sie auf jeder europäischen Website sehen – decken Fingerprinting in der Regel überhaupt nicht ab. Die meisten Ad-Tech-Unternehmen haben Fingerprinting ohne die gesetzlich erforderliche ausdrückliche Einwilligung eingesetzt, in der impliziten Annahme, dass Regulierungsbehörden es nicht erkennen können. Anders als Cookies, die nachvollziehbare Artefakte im Browserspeicher und in Netzwerkanfragen hinterlassen, hinterlässt Fingerprinting keinen gespeicherten Identifikator, der überprüft werden könnte.

Die französische Datenschutzbehörde CNIL verhängte 2022 Geldstrafen von 150 Millionen Euro gegen Google und 60 Millionen Euro gegen Facebook wegen Verstößen gegen die Cookie-Einwilligung. Eine breit angelegte Durchsetzung gegen Fingerprinting hat bisher nicht stattgefunden, vor allem weil die Erkennung technisch schwierig ist und eine aktive Überwachung des JavaScript-Verhaltens von Ad-Tech erfordert. Das ICO im Vereinigten Königreich und die DSK in Deutschland haben Leitlinien veröffentlicht, die besagen, dass Fingerprinting den Cookie-Gesetzen unterliegt, aber die Durchsetzungsressourcen sind begrenzt.

Der kalifornische CPRA definiert ein Recht, der Verwendung personenbezogener Daten für Werbung zu widersprechen. Fingerprinting-Daten fallen unter die Definition personenbezogener Daten im CPRA. Die California Privacy Protection Agency baut eine Durchsetzungsinfrastruktur auf, aber die technische Komplexität, Fingerprinting-Implementierungen bei Tausenden von Ad-Tech-Anbietern zu erkennen, ist erheblich.

Die Dynamik des Wettrüstens

Ein Paper von Laperdrix et al. aus dem Jahr 2024, „Browser Fingerprinting: A Modern Survey“, dokumentierte, dass auf Machine Learning basierende Fingerprinting-Systeme eine Genauigkeit von über 95 % bei der Wiedererkennung von Nutzern über Sitzungen hinweg erreichen, selbst bei Browsern mit aktiver Randomisierung, indem sie mehrere Merkmale korrelieren, deren Rauschmuster miteinander verbunden sind – zum Beispiel korreliert das dem Rotkanal hinzugefügte Canvas-Rauschen auf vorhersagbare Weise mit dem Rauschen im Grünkanal.

Die grundlegende Asymmetrie: Fingerprinting-Verteidiger müssen jedes Merkmal unabhängig und unkorreliert mit jedem anderen Merkmal unvorhersehbar machen, was rechenintensiv ist und oft legitime Funktionen beeinträchtigt. Fingerprinting-Angreifer müssen nur ein einziges stabiles Merkmal oder Korrelationsmuster finden. Die Position des Verteidigers ist strukturell schwächer.

Was Nutzer tun können

Praktisch gesehen: Brave bietet den stärksten Fingerprinting-Schutz aller gängigen Browser. Firefox im strengen Modus ist eine deutliche Verbesserung gegenüber Chrome. Die Verwendung eines VPNs maskiert die Netzwerk-Fingerprinting-Komponente (IP-Adresse, TCP/IP-Stack-Verhalten). Das Deaktivieren von JavaScript blockiert Canvas- und AudioContext-Fingerprinting, zerstört aber auch den größten Teil des modernen Webs.

Wichtiger ist, dass individuelle technische Gegenmaßnahmen von Natur aus reaktiv sind. Die grundlegende Lösung ist die regulatorische Durchsetzung bestehender Gesetze – die DSGVO verbietet bereits nicht eingewilligtes Fingerprinting für Werbung; der CPRA-Text unterstützt dieselbe Auslegung. Die Lücke ist nicht rechtliche Unklarheit, sondern die Fähigkeit zur Erkennung und die Durchsetzungsressourcen. Datenschutzbehörden, die in die Infrastruktur zur Prüfung von Ad-Tech investieren – Websites crawlen, JavaScript-Verhalten überwachen, Fingerprinting-Implementierungen dokumentieren – könnten in großem Umfang durchsetzen. Die Frage ist, ob diese Investition zustande kommt, bevor Fingerprinting so tief im Ad-Tech-Stack verankert ist, dass eine Behebung politisch nicht mehr durchführbar ist.

privacygdprbrowser fingerprintingad techcookiestrackingcanvas-fingerprintingBrave-browser
Teilen:
Cookies sterben aus. Browser-Fingerprinting übernimmt – und ist schwerer zu blockieren. | IRCNF - Intelligent Reliable Custom Next-gen Frameworks