Skip to main content

Canvas Fingerprinting

Was ist Canvas Fingerprinting?

Canvas Fingerprinting ist eine Methode, Benutzer im Internet zu identifizieren und zu verfolgen. Bisher wurden dazu Browser Cookies verwendet, doch immer mehr Benutzer akzeptierten die Online-Verfolgung nicht und ergriffen Abwehrmaßnahmen. Canvas Fingerprinting ist jedoch Form des Online-Trackings, das durch das Löschen von Cookies, Block-Software oder die Standard-Datenschutzeinstellungen des Browser nicht zu verhindern ist.

Das Internet vergisst nie

Unter dem Titel “Das Internet vergisst nie” veröffentlichten 2014 Forscher der Katholischen Universität Leuven und der Pricetown University eine Studie über fortschrittliche Methoden der Nutzerverfolgung im Web. Neben den bekannten Methoden der Cookie-Synchronisation und den nicht löschbaren Evercookies beschäftigten sie sich mit der damals noch weitgehend unbekannten Methode des Canvas Fingerprintings. Zum Zeitpunkt der Veröffentlichung nutzten etwa nur 5,5 Prozent der führenden Websites diese Technik der Nutzeridentifikation.

So funktioniert Canvas Fingerprinting

Auf die Idee des Fingerprint -Trackings kamen 2012 Keaton Mowery und Hovav Shacham, zwei Mitarbeiter der Universität Kalifornien. In ihrer Publikation “Pixel Perfect: Fingerprinting Canvas in HTML5” präsentierten die Forscher zum ersten Mal Überlegungen mithilfe der HTML 5 Canvas Elemente einen individuellen Fingerabdruck des Webnutzers auf der Grundlage seiner Systemkonfiguration zu erstellen. Aufgrund der Arbeit der beiden amerikanischen Forscher, entwickelte der Russe Valetin Vasilyev 2013 den ersten Code für das Canvas Fingerprinting. Seinen Entwurf veröffentlichte Vasilyev auf GitHub unter der Open Source Lizenz. Diesen Code nahmen Firmen wie Ligatus und AddThis als Grundlage zur Erstellung ihrer Tracking Verfahren.

Die Canvas Elemente in HTML5 sind genau definierte Bildschirmbereiche, in die per JavaScript Buttons, Logos, Text oder Grafiken gezeichnet werden können. Je nach

  • Browser
  • Betriebssystem
  • Grafikkarte
  • verwendetem Grafiktreiber
  • vom Browser verwendete Fonts

wird die Seite dann minimal unterschiedlich dargestellt und kann zum Fingerprinting verwendet werden. Das raffinierte an dieser Methode ist, dass der Seitenaufruf des Browser im Hintergrund erfolgt und die daraus gewonnenen Daten ohne Wissen des Benutzers an den Webserver geleitet werden. Der auf diese Weise erzeugte Fingerabdruck ist in über 80 Prozent aller Fälle singulär und kann zur Identifizierung verwendet werden, sofern der Nutzer an der Konfiguration des Systems keine Änderungen vornimmt.

Leider wurde das Verfahren des digitalen Fingerabdrucks von den o.g. Firmen ohne das Wissen der betroffenen Seitenbetreiber eingeführt. Fehlende Transparenz führte zur Verärgerung bei den Kunden, weshalb der Code von vielen Websites entfernt werden musste. Unabhängig von der Pleite bei der Einführung und den eventuellen rechtlichen Konsequenzen, ist Canvas Fingerprinting ein Verfahren, das technisch noch nicht ausgereift ist. So funktioniert der digitale Fingerabdruck auf mobilen Geräten nur sehr unzuverlässig, weil viele Benutzer dort über die gleiche Systemkonfiguration verfügen. Bei dem Versuch ein Tracking des Benutzers über mehrere Webseiten hinweg zu verfolgen, um adäquate Werbeanzeigen einzustreuen, stößt das Verfahren schnell an seine Grenzen. Waren Experten zunächst davon überzeugt, das Canvas Fingerprinting nur schwer zu unterbinden sei, existieren heute bereits zahlreiche Abwehrmaßnahmen.

Die Möglichkeiten des digitalen Fingerabdrucks für das Online-Marketing

Ein digitaler Fingerabdruck enthält nur die Informationen über den Browser (einschließlich verwendeter Fonts), das Betriebssystem und die Grafikkarte sowie ihrer Treibersoftware. Diese Informationen bieten bereits die Möglichkeit, Besucher von Webseiten individuell zu identifizieren und ihre Aktivitäten weiter zu verfolgen. Sofern das Script auf mehreren Sites installiert ist, ist eine Verfolgung über diese Websites möglich. Für das Online Marketing ist dieses Verfahren sehr interessant, weil sich bei der Verfolgung zielgerichtet Werbung einstreuen lässt. Auch, dass bei der Nachverfolgung keine personenbezogenen Daten gesammelt werden, macht das Fingerprinting zu einer attraktiven Alternative zu den Cookies, die nicht nur rechtlich bedenklich sind, sondern auch von zahlreichen Benutzern gelöscht oder blockiert werden.

Im Gegensatz zu menschlichen Fingerabdrücken ist der digitale Fingerabdruck jedoch weit weniger signifikant. Zwei oder mehrere Benutzer mit der gleichen Konfiguration erhalten zum Beispiel nur eine Nutzer-ID, was die Ergebnisse natürlich verfälscht. Je mehr Benutzer verfolgt werden, umso höher ist die Wahrscheinlichkeit einer Übereinstimmung. Diese Problematik wächst bei einem hohen Traffic-Aufkommen. Hinzu kommt die wachsende Anzahl von Benutzern mit mobilen Geräten, die aufgrund identischer Hardware, Browser und Betriebssystem keine Unterscheidungsmerkmale besitzen und für einen digitalen Fingerabdruck individuell nicht auseinander zu halten sind.

Canvas Fingerprinting lässt sich leicht umgehen

Zunächst wurden die digitalen Fingerabdrücke für eine besonders unheilvolle Form des Online-Trackings gehalten. AdBlocker und die Standard-Datenschutzeinstellungen greifen hier nicht. Anders als Cookies lassen sich Canvas Fingerprints nicht einfach löschen, denn eine Speicherung auf dem Client-Computer findet nicht statt. Der Inkognito-Modus eines Browser ist hier ebenfalls nutzlos, denn damit wird die Spionage der System- und Browserinformationen durch die Canvas-Skripte nicht verhindert. Dennoch sind Websurfer nicht schutzlos. Privacy-Experten empfehlen Anbieter wie Ligatus und AddThis mit dem Ziel Browser direkt zu blocken, um das Fingerprinting zu unterbinden. Wer Canvas-Fingerabdrücke vermeiden will, sollte auch die folgenden Maßnahmen beachten:

Deaktivierung von JavaScript
Eine Deaktivierung von JavaScript ist die einfachste und effektivste Methode Canvas-Skripte zu unterbinden. Auf diese Wiese können keine Skripting-Informationen abgefragt werden. Allerdings funktionieren die meisten Webseiten mit deaktiviertem JavaScript nicht mehr richtig, so dass diese unbenutzbar werden.

Browser-Erweiterungen nutzen
AdBlock Plus ist eine Browser-Erweiterung, die gerne als Add-Blocker von Werbeeinblendungen verwendet wird. In Zusammenarbeit mit der Filterliste von EasyPrivacy ist dieses Instrument auch zum Blockieren von Canvas Fingerprinting zu verwenden. Der von Firefox abstammende Browser enthält ab der Version 25.6 eine Schutzfunktion, die das Anfertigen eines digitalen Fingerabdrucks zwar nicht unmöglich, aber deutlich schwerer macht. Unter dem Namen Privacy Badger entwickelte die Electronic Frontier Foundation (EFF) ein Schutzprogramm als Browser-Erweiterung für Firefox und Chrome gegen Canvas Fingerprinting.

Canvas-Blocker für Firefox
Mit dem CanvasBlocker erhalten Firefox-Benutzer verschiedene Möglichkeiten, das digitale Fingerprinting zu unterbinden. Mit dieser Software ist es möglich, Canvas-Anfragen zu blockieren oder die herausgegebenen Daten so zu manipulieren, dass eine Weiterverfolgung nicht möglich ist.

Hinweis

Die EU-Richtlinie für Cookies ist auf das Canvas-Verfahren nicht anzuwenden. Dennoch gilt Transparenz bei der Anwendung als Grundvoraussetzung für die Verwendung und Akzeptanz dieser Methode. Canvas Fingerprinting ist nur zulässig, wenn Benutzer über den Zweck aufgeklärt und von der Möglichkeit des Widerspruchs Gebrauch machen können.

Sie haben noch Fragen?

Kontaktieren Sie uns

Canvas Fingerprinting
Beitrag bewerten