Security

Hintergrund: So funktioniert Nutzer-Tracking per Canvas Fingerprinting (Update: Stellungnahmen)

Ohne Wissen von Nutzern und Website-Betreibern testen Vermarkter und andere Unternehmen die neue Tracking-Methode Canvas Fingerprinting. Onlinekosten.de erklärt, wie und wo sie eingesetzt wird.

24.07.2014, 19:31 Uhr
Arbeitsplatz© Brad / Fotolia.com

Ohne Wissen von Nutzern und Website-Betreibern testen Vermarkter und andere Unternehmen die neue Tracking-Methode Canvas Fingerprinting. Onlinekosten.de erklärt, wie und wo sie eingesetzt wird.

Jede Computer-Browser-Kombination ist einmalig

Canvas Fingerprinting erlaubt es, einzelne Nutzer beim Besuch einer Webseite wiederzuerkennen - auch wenn diese ihrem Browser verbieten, Cookies zu speichern, oder die Do-not-Track-Funktion aktiviert haben. Dafür wird bei jedem Zugriff auf eine Webseite mit entsprechendem Code ein Fingerabdruck des Browsers erstellt und dieser an einen Server übermittelt, wo sich ein Bewegungsprofil erstellen lässt.

Dieser Fingerabdruck ist einmalig. Im Hintergrund wird eine kleine Rechenaufgabe erledigt, genau genommen wird per Javascript mittels der Canvas-Funktion ein Bild gezeichnet, in das die Browserdaten einfließen. Dazu gehören auch individuelle Merkmale wie die installierten Schriften. Schließlich werden noch die kleinen Abweichungen beim Zeichnen dieses Bildes berücksichtigt, die jeden Rechner einzigartig machen. Am Ende steht dann ein Hash-Wert, der einmalig sein soll.

Nichts zu deaktivieren, nichts zu löschen

Das Surfen im Inkognito-Modus ändert übrigens nichts daran. Und da der Hash auf einem Server gespeichert und bei jedem Aufruf einer Webseite neu im Browser errechnet wird, lässt sich auch nichts lokal löschen. Sogar die Kontrolle des Datenverkehrs misslingt. Der Werbeblocker Adblock Plus soll Canvas Fingerprinting jedenfalls nicht unterdrücken können.

Forscher der Universitäten Princeton und Leuven haben herausgefunden (Studie), dass im Mai 2014 Canvas Fingerprinting auf 5.542 der 100.000 Top-Websites eingesetzt wurde. Das seien mehr als 5,5 Prozent.

Auf computerbild.de und kicker.de - aber auch bei uns

Auf 5.282 Seiten hat der Social-Media-Dienstleister AddThis den Code eingeschleust, auf 115 Seiten der deutsche Vermarkter Ligatus. In der Studie werden noch neun weitere mit Internetadresse und neun weitere ohne genannt. AddThis und Ligatus sagen nun, sie würden diese Methode nicht weiter einsetzen. Angeblich sei sie nicht effektiv genug.

Die Betreiber der Canvas-Fingerprinting-Server haben es geschafft, den Code auf viele bekannte Websites zu schleusen - darunter whitehouse.gov und youporn.com, aber auch onlinekosten.de. Wir haben den Code des Vermarkters Ligatus umgehend entfernt.

Fingerprinting-Code bei zahlreichen Medien nachgewiesen

Ligatus-Werbung mit entsprechendem Code fanden die Forscher auf vielen renommierten deutschen Medien-Angeboten wie handelsblatt.com, n-tv.de, computerbild.de, golem.de, kicker.de, wetteronline.de, t-online.de und eventim.de. Bisher sagen alle Befragten unisono, der Code sei ohne ihre Kenntnis eingesetzt worden.

Auch Deutschlands führende Wirtschaftszeitung Handelsblatt wurde von den Vorgängen auf ihrer eigenen Website überrascht, wie eine Sprecherin gegenüber onlinekosten.de erklärte: "Weder Handelsblatt Online noch die iq digital als Webseiten-Vermarkter haben etwas über den Einsatz von Canvas Fingerprinting gewusst. Der Einsatz erfolgte durch einen unserer Dienstleister, die Ligatus GmbH, auf Eigeninitiative der Technik und ohne Kenntnis der verantwortlichen Publisher-Betreuung. Weder die iq digital noch Handelsblatt Online wurden über den Einsatz informiert; die Kollegen der iq digital haben selbst erst gestern durch Medienberichte davon erfahren."

Völlig überraschend: Sogar auf kaspersky.com sowie mehreren weiteren Websites des Sicherheits-Software-Herstellers fand sich der Tracking-Code, allerdings mit Fingerprinting-Domain addthis.com. Ob nicht gelistete Angebote wie spiegel.de, stern.de, heise.de, managermagazin.de, capital.de, rtl.de und bunte.de den Code definitiv nicht enthielten, lässt sich nicht mit Sicherheit sagen. Ein Vermarktungsexperte erklärte, dass auch viele dieser Seiten von den betroffenen Vermarktern beliefert wurden.

Update vom 25. Juli, 12.30 Uhr: Stellungnahmen

Bei einigen betroffenen Angeboten haben wir nachgefragt, wie sie vom Einsatz von Canvas Fingerprinting auf ihren Websites erfahren haben und wie sie damit umgehen.

Der Tickethändler Eventim schreibt: "Die CTS EVENTIM AG & Co. KGaA hat keine Kenntnis von einem potentiellen Einsatz der besagten Tracking-Technik. Bis zur Klärung des Sachverhalts werden wir Ad This nicht verwenden. CTS legt größten Wert auf Datenschutz und lehnt das sogenannte Canvas Fingerprinting ab."

Der Onlinehändler Conrad hat ebenfalls schnell reagiert: "Wir haben unsere Webseiten auf Canvas Fingerprinting hin überprüft. Dabei haben wir leider feststellen müssen, dass neben vielen anderen Unternehmen auch wir betroffen sind. Wir haben dieses Tracking umgehend unterbunden."

Weiter heißt es: "Der Einsatz der Canvas Fingerprinting Technologie erfolgte unbeabsichtigt und ohne dass wir davon Kenntnis hatten. Wir bedauern den Vorfall und werden Maßnahmen ergreifen, um Ähnliches für die Zukunft zu verhindern."

Javascript ausschalten ist nicht die Lösung:
So verhindern Sie das Tracking per Fingerprinting

Mehr über die Rolle des Vermarkters Ligatus:
Telekom killt Nutzer-Tracking per Canvas Fingerprinting

(Peter Giesecke)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang