Privacy: Unsichtbares Tracking mit Bildern statt Cookies

Viele Webseiten und Vermarkter setzen auf eine neue Tracking-Methode namens Canvas Fingerprinting, um Nutzer, die den Einsatz von Cookies im Browser verbieten, seitenübergreifend identifizieren zu können. Dabei wird statt einer Textdatei ein eindeutiger Fingerabdruck aus den Profilinformationen des Browsers eines Nutzers erstellt. Der wird nicht auf dem Client-Rechner gespeichert, sondern direkt an einen Server übermittelt. Mit dieser eindeutigen ID lässt sich das Surfverhalten eines Nutzer serverseitig speichern und verfolgen. Die Einstellungen zur Privatsphäre in Browsern greifen hier nicht. Auch mit Inkognito-Modus werden solche IDs erstellt und selbst Werkzeuge wie Adblocker können sie bislang nicht ausnahmslos sperren.

Wie wir im Zuge unserer Recherchen erfahren haben, wurde auch bei Golem.de Canvas Fingerprinting eingesetzt. Allerdings war die Tracking-Methode niemals fester Bestandteil unserer Webseite, sondern wurde nur zeitweilig und ohne unser Wissen über die Werbung des Vermarkters Ligatus ausgeliefert. Wir haben umgehend dafür gesorgt, dass die Technik bei Golem.de nicht mehr eingesetzt wird.

Ein "internes Missverständnis"

Ligatus schrieb auf Anfrage von Golem.de dazu: "Leider wurde durch ein internes Missverständnis eine entsprechende Vorabinformation über das Forschungsprojekt gegenüber den betroffenen Websites im Vorfeld versäumt - diese Kommunikationslücke bedauern wir sehr und sorgen derzeit gerade für die entsprechende Aufklärung gegenüber unseren Marktpartnern."

Forscher an den Universitäten Princeton in den USA und Leuven in Belgien haben untersucht, wie häufig Canvas Fingerprinting verwendet wird. Ihre Arbeit ist inzwischen veröffentlicht worden. Sie kommen zu dem Ergebnis, dass mittlerweile 5 Prozent der 100.000 populärsten Webseiten Canvas Fingerprinting einsetzen. Das Forscherteam hat die Liste der Webseiten veröffentlicht, auf denen es Canavs Fingerprinting im Mai 2014 entdeckt hat, darunter auch die Seite des Weißen Hauses in Washington D.C - und Golem.de. Der größte Teil der Webseiten nutzt Code der US-Firma Addthis, die unter anderem Social-Media-Schaltflächen für Webseiten baut. Allerdings scheinen auch nicht alle Kunden von Addthis gewusst zu haben, dass die Firma die Tracking-Methode verwendet.

Schon länger bekannt

Die Technik selbst ist nicht neu. Das Grundprinzip zum Fingerprinting wurde 2010 von der Electronic Frontier Foundation gezeigt und 2012 von den Entwicklern Keaton Mowery und Hovav Shacham an der Universität von San Diego in Kalifornien weiterentwickelt. Ihr Verfahren nutzt das Canvas-API von HTML5, um aus Profildaten ein Bild zu erstellen. Der russische Programmierer Valentin Vasilyev hat einen entsprechenden Javascript-Beispielcode auf Github veröffentlicht.

Zu den dabei gesammelten Profildaten gehören nicht nur Informationen über den Browser und installierte Plugins, sondern auch die Zeitzone und die CPU. Selbst darüber, ob Donottrack aktiviert wurde oder nicht, werden Daten gesammelt. Persönliche Daten sollen dabei nicht gesammelt werden. Rein technisch wäre das aber möglich, etwa wenn der Seitenbetreiber persönliche Daten verlangt und sie dem Javascript zur Verfügung stellt.