Fingerprinting und andere Trackingmethoden

Vor etwa einem Jahr ist das Thema Fingerprinting sehr prominent in den Medien aufgetaucht (siehe z. B. http://www.spiegel.de/netzwelt/web/canvas-fingerprinting-macht-internetnutzung-nachverfolgbar-a-982280.html oder http://www.zdnet.de/88200448/canvas-fingerprinting-tappten-websites-mit-ligatus-die-tracking-falle/ ). Hintergrund war eine Studie einiger Forscher der amerikanischen Princeton Universität und der Katholische Universität Löwen. Diese haben im Mai 2014 die 100.000 meist besuchten Internetseiten (nach Alexaranking) nach der Trackingmethode untersucht.  Während bis dato klassischerweise Cookietracking bekannt war, kam aufgrund der Studie heraus, dass 5.500 Seiten die bis dato kaum bekannte Technik „Canvas Fingerprinting“ nutzen (u. a. auch Anbieter wie t-online.de). Gerade in Deutschland ist da die Diskussion in Bezug auf Datenschutz sehr groß aufgepoppt.

Inzwischen ist die Diskussion jedoch kaum noch vermerkbar oder wird teilweise sogar schon standardmäßig (z. B. im Mobile Bereich) verwendet. Aus diesem Grund wollte gebe ich noch einmal einen allgemeinen Überblick was sich eigentlich hinter Fingerprinting verbirgt und wie sich dies von anderen Trackingmethoden unterscheidet.

Tracking Einführung

Für das Wort Tracking gibt es unterschiedliche Definitionen. Im Grunde jedoch ist mit Tracking die technische Methode der Verfolgung von Nutzerverhalten im Internet gemeint. Die gängige Trackingmethode basiert auf Cookies. Cookies sind kleine Dateien, die auf dem von Nutzern genutzten Browser gesetzt werden.

Bei der Nutzung von Cookies wird in der Regel nach zwei unterschiedlichen Arten unterschieden, First-Party-Cookies und Third-Party-Cookies.

First-Party-Cookies werden von der vom Nutzer besuchten Website auf den Browser des Nutzers gesetzt. Die meisten Webanalyse Trackingtools nutzen First-Party Cookies. Bei Trackingtoolanbietern wie beispielsweise Webtrekk oder Google Analytics werden damit primär Nutzerbewegungen auf der eigenen Seite gemessen sowie die Referrer-Herkunft der Nutzer. Domainübergreifende Nutzerbewegungen werden von First-Party-Cookies nicht getrackt.

Im Gegensatz zu First-Party-Cookies werden mit Third-Party-Cookies domainübergreifende Nutzerbewegungen getrackt. Dies kommt dem Interesse des Werbetreibenen nach, übergreifende  Informationen über das Nutzerverhalten auf unterschiedlichen Seiten zu erhalten, um daraus möglichst effizient, mit der richtigen Ansprache des richtigen Nutzers, die Marketingmaßnahmen auszusteuern. Third-Party-Cookies werden deshalb auch nicht von der eigenen Website gesetzt sondern von Werbenetzwerk-Adserver-Anbieter. Diese stellen die mit dem Third-Party-Cookie Tracking das Bindeglied zwischen dem Werbetreibenden (Adverstiser) und dem Inhalteanbieter (Publisher) dar.

Neben der Unterscheidung von First-Party und Third-Party-Cookies gibt es auch unterschiedliche Laufzeiten von Cookies mit denen ein Nutzer sowie der einzelne Besuch getrackt wird.

Bei First-Party-Cookie unterscheidet man zwischen „User-Cookies“ welche den Nutzer bei einem erneuten Besuch der Website wiedererkennen und Session-Cookies welche jeden Besuch (Session) und das damit verbundene Verhalten auf der Website aufzeichnet. Die Session hat in der Regel eine Laufzeit von 30 Minuten.

Bei den Third-Party-Cookies wird hingegen eher über Profile gesprochen. Hier wird der Nutzer domainübergreifend getrackt woraufhin ein Nutzerprofil entsteht.

Damit Cookies überhaupt bei einem Websitebesuch gesetzt werden muss auf der jeweiligen Website ein Tracking-Pixel eingebaut werden. Bei dem Aufruf der Website wird dieses Trackingpixel aufgerufen und dabei die Cookies auf dem Browser des Nutzers gesetzt. Anhand der gesetzen Cookies kann der Nutzer wiedererkannt werden und es wird anhand der Session das Nutzerverhalten auf der Seite gemessen.

Trackingproblematik

Aufgrund des Trackings mit Cookies ergeben sich unterschiedlichste Trackingproblematiken. Eine Problematik ist das Thema Datenschutz. Gerade im Bezug auf Third-Party-Cookie Tracking  welches schon seit Jahren diskutiert wird sind sich viele Datenschützer uneinig (Cookie Richtlinie).

Diese Richtlinie sieht vor, dass Cookies zum Tracking durch Drittanbietern nicht mehr ohne Einverständnis der User möglich ist (Opt-In).

Aufgrund des mangelnden Vertrauens bei Third-Party-Cookies oder dem störendem Empfinden von Werbeeinblendungen, löschen viele Nutzer ihre Cookies oder blockieren das Tracking mit Hilfe von Adblockern. Einige neuste Browserversionen blockieren beispielsweise die Third-Party-Cookies per Default. Das Deaktivieren der Cookies aber auch das Löschen der Cookies stellt ein erhebliches Problem dar. Bei den First-Party-Cookie führt das Löschen der Cookies dazu, dass Nutzer nicht als Wiederkehrender Nutzer erkannt werden sondern als Neuer Nutzer, welcher zum ersten mal die Website gelangt. Bei den Third-Party-Cookies führt das Löschen der Cookies dazu, dass Profilinformation und übergreifende Informationen zum Nutzeverhalten verloren gehen, um damit den Nutzer mit Marketingmaßnahmen zielgerichtet anzusprechen.

Eine weitere Trackingproblematik stellt das Cross Device Tracking dar. Eine Studie von Google aus dem Jahr 2012 zeigt, dass ein Nutzer in der Regel nicht mehr nur ein Device wie den PC oder Laptop nutzt sondern zusätzlich noch mindestens mit dem Smartphone oder Tablet noch ein weiteres Device. Jedes Device steht für ein einzelnes Profil was über Cookies nicht zusammengeführt werden kann. Zumindest nicht, wenn sich der Nutzer nicht über eine Login Funktion auf der Seite einloggt.

Wenn sich ein Nutzer beispielsweise immer über sein Smartphone informiert und nach Produkten recherchiert und dann über Desktop kauft, können diese Profile falsch interpretiert werden, wenn sie nicht übergreifend betrachtet werden. Bei keinem Cross Device Tracking würden die beiden Profile als unterschiedliche Nutzer identifiziert werden. Dadurch würde ggf. das Profil über Mobil als nicht relevanten Kunden identifiziert, das Profil über Desktop jedoch als relevanten Nutzer. Das Profil über Smartphone würde man dadurch mit keinen weiteren Marketingmaßnahmen ansprechen, obwohl es eventuell essentiell als Anstoßkette wichtig wäre.

Fingerprinting

Einführung

Inzwischen hat sich aufgrund einiger geschilderter Trackingproblematiken eine weitere Trackingmethode entwickelt. Hierbei wird von Canvas Finger Printing gesprochen, welches ein Tracking ohne Cookies ermöglicht. Damit wird das Nutzerverhalten selbst beim Löschen von Cookies oder bei der Nutzung von Adblockern oder Trackingeinstellungen in den Browsern getrackt.

Um den Fingerprint so eindeutig wie möglich zu machen, müssen Daten und Eigenschaften abgefragt werden, die nicht direkt durch den Aufruf einer Internetressource mitgeschickt werden und standardisiert sind. Hierzu muss auf der Seite des Clients eine Abfrage dieser Eigenschaften stattfinden. Dieses kann z. B. durch ein JavaSript erfolgen. Beim Canvas Fingerprint wird ein JavaScript genutzt welches eine Pixelgrafik erzeigt, die der Browser in Formate wie JPEG oder PNG umwandeln kann. Dabei werden in der Grafik Informationen gespeichert, die dann später ausgelesen werden, um den Nutzer eindeutig wieder zu erkennen. Einfach ausgedrückt, wird eine Grafik als Cookie zweckentfremdet.

Im folgenden eine Auflistung von den abgefragten und im Bild gespeicherten Merkmalen:

  • Plugin Informationen im Browser
  • Informationen über Browser und Betriebssystem
  • Informationen ob der Browser das Ablegen von Cookies unterstützt oder der Nutzer dieses deaktiviert hat
  • Einstellung der Sprache
  • Informationen über den Bildschirm (z. B. Bildschirmbreite und – höhe, Anzahl der Pixel, Farbtiefe)
  • Zeitzone des Client-Computer
  • Systemfarben des Betriebssystem (z. B. Farbe des Desktophintergrunds, Farbe des Textes auf Schaltflächen)
  • installierten Schriftarten

Hennig Tillmann hat 2012 bereits für seine Diplomarbeit eine Fallstudie zum Thema Fingerprint durchgeführt. Dabei kam raus, dass ca. 93% der während der Studie gesammelten Fingerprints einzigartig waren. Als aussagekräftigste Eigenschaften und Unterscheidungskriterien stellten sich insbesondere die Listen der installierten Plugins und Schriftarten dar. Zudem wurde ebenfalls geprüft, wie häufig sich die Konfigurationseinstellungen eines Nutzers ändern und ob diese dadurch nicht mehr wiedererkannt werden.  Bei 60% der wiederkehrenden Nutzer wurde keine Veränderung der Konfiguration festgestellt. Bei denjenigen wo sich in der Kofiguration geändert hatte, waren dies am häufigsten die „User-Agent“-Zeichenfolge und die Liste der installierten Plugins. Dennoch erwähnt Henning Tillmann in seiner Studie, dass trotz der Änderungen die abweichenden Fingerprints mit einem entsprechenden Algorithmus erkannt werden können und damit der Fingerprint recht genau ist.

Das Thema Fingerprint wurde vor allem in diesem Jahr 2014 in Deutschland populär. Forschern der Universitäten Princeton sorgten im Juli 2014 für Aufsehen für das Thema, da sie untersucht hatten welche Seiten bereits Fingerprinting nutzen. Auf der Liste der Websiten die Fingerprint einsetzen waren u. a. auch einige große deutschen Seiten wie t-online.de, kicker.de, computerbild.de, n-tv.de, wetteronline.de, skyscanner und weitere bekannte Websites. Insgesamt wurde es bei 144 deutschen Websites entdeckt. Im Nachgang hatten einige Websitebetreiber gesagt, dass sie nichts von diesem Verfahren wussten, da die Canvas-Fingerprints meistens von den Vermarktern auf der Seite positioniert wurden.

Vor- und Nachteile

Ein großer Vorteil des Fingerprints ist es, dass die Erhebung der Daten valider sein sollen als ds Tracking mit Cookies. Im Gegensatz zur Cookielöschung oder der Deaktivierung der Cookies gibt es aktuell kaum Nutzer die Fingerprinting deaktivieren. Nach Statistiken kann davon ausgegangen werden, dass 20% der Nutzer Cookies verweigern oder regelmäßig löschen. Damit ist die Datenqualität bei Auswertungen die auf Basis von Cookies gemacht werden schlechter als beim Fingerprinting. Jedoch gibt es aktuell bereits ebenfalls Möglichkeiten wie sich das Tracking anhand Fingerprints deaktivieren lässt. Einziger Unterschied, ist erst mal ein Profil angelegt kann dieses auch nicht wie beim Cookie gelöscht werden.

Trotzdessen bietet Fingerprint für den Anwendungsfall einige Vorteile mit sich. Banken können diese Methode z. B. für das Online-Banking nutzen. Hier könnten die Fingerprintmerkmale beim Login eines Nutzers verglichen werden, um festzustellen ob es sich um denselben Nutzer handelt. Unterscheiden sich diese deutlich von den Fingerprintmerkmalen aus einer vorherigen Anmeldung, so kann eine weitere Sicherheitsabfrage stattfinden, um damit das Online-Banking noch sicherer zu machen.

Allerdings gibt es auch einige Nachteile bzw. Risiken. Zum einen ist beim Fingerprinting noch umstritten, inwieweit diese Methode datenschutzkonform ist. Auch ist Fingerprinting keine Lösung für alle Trackingproblematiken. Die Cross-Device Tracking Problematik wird auch mit Fingerprinting nicht gelöst.

Fazit

Letztlich ist Canvas-Fingerprinting damit nur eine weitere von vielen Techniken zum Tracken individueller Nutzer. Nach gegenwärtigem Stand der Technik lässt sich noch keine genaue Aussage darüber treffen inwieweit Fingerprinting zuverlässiger ist als andere weitere Trackinglösungen, den ganz ausgereift ist die Methode auch noch nicht.

Wie sieht eure Erfahrung mit Fingerprinting aus?


Related Posts



Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>