Im Blog Beitrag "IP Adressen herausfinden - verfolgen" wird ein Beispiel gezeigt, wie schon im ersten Weltkrieg deutsche Truppenbewegungen indirekt über die Funker identifiziert werden konnten. Anhand der individuellen Anschlagsdynamik beim morsen eines Deutschen Funker konnte die französiche Abwehr die betreffende Station verfolgen.
Ungefähr ähnlich kann man sich den Browser Fingerprint (Deutsch: Browser Fingerabdruck) vorstellen. Laut der Studie der Lehigh University und Washingtion University kommt man so auf Trefferquoten von > 99% für die eindeutige Identifizierung. Als User fragt man sich, wie kann man das verhindern und testen oder wie ist die Definition vom Browser Fingerprint?
Um was geht es bei dem digitalen Fingerabdruck über den Browser?
Es geht um die eindeutige Identifizierung von Benutzer, was heute alle Webseiten oder Apps großer Unternehmen anwenden. Im Online Marketing wird dies global "Web Tracking" genannt. Web Tracking kann helfen "kriminelle Absichten" wie unberechtigter Zugriff auf Benutzerkonten einzugrenzen. Der Nutzen wird jedoch eher liegen im Bereich Remarketing, nutzerbezogene Werbung, Bemutzerprofile, Benutzergewohnheiten, forensische Identifikation, Klickbetrug und Medienmanipulation.
Wie funktioniert der Browser Fingerprint?
Es gibt sehr lange detaillierte Dokumentationen, welche dem normalen Nutzer wenig nützen. Lesen Sie hier einen kurzen Überblick zu Ihrer eigenen digitalen Selbstbestimmung und wie der Browser Fingerabdruck funktioniert.
Zuerst mal müssen 3 Bereiche der digitalen Welt getrennt erkannt und verstanden sein. Denn jeder einzelne Bereich hinterlässt seine eigenen Spuren.
| Hardware | Netzwerk | Software |
|
|
|
Den Ablauf kann man sich vereinfacht vorstellen:
- Der Benutzer startet seine Hardware Computer / Handy / Tablet, welche bestimmte Umgebungsparameter (Monitor, Kamera, Landeseinstellungen) hat.
- Der Web Browser wird gestartet
- Der Benutzer ruft eine Webseite auf
- Das Netzwerk baut eine Verbindung auf. Hier wird dem Gerät eine eindeutige IP Adresse zugeordnet.
- Die Webseite liest und speichert die Umgebungsparameter
Der Browser ist die Software, welche abhängig von der Programmierung, Sicherung, Erweiterungen (add-ons) und den Benutzer Einstellungen Informationen über die oben genannten drei Bereiche weiter gibt.
Erweiterungen (Synonym: Add-on, Plug-in, Extension), welche vorinstalliert oder Teil der Programmierung sind, ermöglichen den Fingerprint (deutsch: Fingerabdruck) und damit die Möglichkeit den Benutzer zu verfolgen und zu identifizieren. Nachfolgende Internet Standards, die Ihren Browser "aufbohren" sind die Schwachstellen der Anonymität von Benutzern.
- WebGL (Hardwarebeschleunigte 3D-Grafik im Browser)
- HTML5 Canvas
- Adobe Flash
- JavaScript
- Java
- WebRTC (Echtzeitkommunikation im Web Browser)
Oben benannte Erweiterungen (bzw. Web Technologien) stellen eine sehr lange Liste an Werten und Parameter bereit, mit der man den Benutzer sehr gut bestimmen kann. Wird ein mobiles Gerät verwendet sollte der Benutzer sich sehr genau überlegen welche Informationen er anschaut oder publiziert. Bei mobilen Geräten wie Handys (Smartphones) geht die Anonymität Richtung Null.
Heutige Mobiltelefone sowie deren Apps werden von machen Sicherheitsfachleuten auch als "Wanze" bezeichnet. Daher sind ein auf Anonymität ausgelegtes Gerät wie ein Desktop, Laptop oder Tablet (ohne SIM Karte) zu empfehlen.
Hier eine grobe Liste der Informationen welche für den Browser Fingerprint auslesbar sind.
Hardware
- CPU (Hauptprozessor)
- GPU (Grafikkarte)
- Monitor
- Kamera
- Mikrofon
- Sensoren (Mobile Geräte)
- GPS
Netzwerk
- IP Adresse
- Standort
- MAC Adresse (eingeschränkt)
- Übertragungsgeschwindigkeit
Software
- Betriebssystem
- Browser Typ
- Zeitzone
- Installierte Schriften
- Installierte Erweiterungen
- Cookies
Aus der Summe der Datenmenge wird der eindeutige Streuwert (Engl.: Hash, Fingerprint) gebildet.
Nun sollte klar sein, dass ein Fingerprint von einem Browser nicht zu löschen ist. Jedes mal wenn der Benutzer eine Seite aufruft, die sich der Methode bedient hinterlässt dazu Spuren. Für einen Benutzer ist es aber möglich diesen zu verändern, verschleidern oder zu vermeiden. Dazu gibt es je nach Anforderung hilfreiche Software und Strategien.
Browser Fingerabdruck vermeiden
Einen digitalten Fingerprint nachträglich löschen geht nicht. Einmal eine Webseite besucht, welche die Methoden des Webtrackings anwendet, hängt es von der dortigen Speicherung ab. Fast alle Browser Software Entwickler ermöglichen Webtracking und Fingerabdrücke. Der Benutzer muss selber - am besten ohne Online Verbindung - den Web-Browser oder Handy einstellen damit die eindeutige Identifizierung gering ist von Anfang an. Ganz schlecht schneidet hier das Betriebssystem Window 10 ab.
Will ein Benutzer einen Browser Fingerprint, digitalen Fingerabdruck oder ein Webtracking vermeiden erscheint der Tor Browser eine gute Alternative. Für mobile Geräte empfiehlt sich Orbot (Proxy) zusammen mit OrFox (Browser). Allgemein sind Browser oder andere Bestandteile der Betriebssystem Software so eingestellt, dass man digitale Spuren zwangsläufig hinterlässt, selbst wenn man es nicht vermutet. Eine weitere Alternative kann das Surfen mit dem Kali Linux Betriebssystem sein, was sich jedoch mehr für IT Profis empfiehlt.
Tipp
Mit mobilen Gerätem ist man alles andere als Anonym - mit dem einschalten gibt man die Privatsphäre ab. Eher kann man mit einem richtig konfigurierten Mac OS X oder Linux Betriebssystem auf der sicheren Seite sehen.
Bevor man aber das Gerät online bringt müssen zahlreiche Schritte offline gemacht werden. Daneben empfiehlt sich ein Netzwerkprotokollfilter (https://www.wireshark.org/) zu verstehen um zu erkennen welch allerlei Software im Hintergrund schnüffelt.
Fazit
Die IP Adresse oder Cookies zum verfolgen und identifizieren von Benutzern ist schon länger überholt durch Internet Technologien und dem Benutzerverhalten. Schon alleine aus diesem Grund ist die EU Cookie Richtlinie mit denn allseits eingeblendeten Warnmeldungen einfach Zeitverschwendung auf vielen Ebenen, außer das man indirekt fremde Datenschutzbestimmungen akzeptiert.
Internet Nutzer, die es mit der Anonymität ernst meinen, sollten sich genau überlegen, wann, wo und mit was online gegangen wird. Am besten setzt man eine separate Hardware oder Virtualisierung ein. Lösungen wie ein VPN (Virtual Private Network) verschleiern die IP Adresse und Identitäten, umgehen aber nur bedingt einen digital Fingerprint.
Allein durch Ihre Surf Gewohnheiten hinterlassen immer einen Digitalen Fingerabdruck, welche allen Anschein nach eingem gewissen Zeitraum den Benutzer eingrenzen lassen. Hier hilft nur ein unrythmisches Surfverhalten mit dem häufigen Wechsel zahlreicher oben erwähnter Parameter. Eine absolute Sicherheit gibt es kaum im täglichen Gebrauch und Umfeld, aber man kann es sehr schwer machen Dritte Sie zu verfolgen.