Fingerprinting

Tauchanalogie: Man hat Ihnen gesagt, Sie müssten einwilligen, das Firmen mit Teleobjektiven auf Sie zielen, wenn Sie im Fluss schwimmen. Man hat gesagt, manche der Fotos sind notwendig, auch die Fotografen müssen von irgendwas leben. Man hat Ihnen nicht gesagt, dass man anhand Ihres Platzes am Ufer, Ihrer Grösse und Figur, Ihrer Hautfarbe, Ihre Augenfarbe, Ihrer Frisur, Ihres Atemrhythmuses und der Länge der Zehennägel, Ihres Schwimmstils, ganz ohne Ihre Einwilligung, von echten Meistern Ihres Faches, Bilder malen lässt. Und diese mit den bisher gemalten Bildern vergleicht um herauszufinden ob Sie das im Wasser sind. Ich hoffe, Sie haben die Zehennägel dieses Mal geschnitten. 😏

Nachdem wir Cookies kennengelernt haben und uns an diesen abarbeiten, in den Medien, in unserem Ärger auf jeder Webseite immer wieder aufs Neue diese zu bestätigen, bis wir vergebens und frustriert aufgeben und immer nur noch ‚Alle akzeptieren‘ anklicken, hat sich eine aus meiner Sicht viel schlimmere Technologie durchgesetzt: Fingerprinting!

Fingerprinting ist eine Art von Online-Tracking, das invasiver ist als gewöhnliches Cookie-basiertes Tracking.

Durch Fingerprinting können Sie monatelang verfolgt werden, selbst wenn Sie Ihren Browserspeicher löschen oder den privaten Surf-Modus verwenden – auch wenn Sie klargestellt haben, dass Sie nicht verfolgt werden möchten.

Mozilla

Es interessiert vor allem Online-Shops, welches Betriebssystem und welche Hardware Sie verwenden. Nicht nur, um die Fenster bunt zu malen und Ihnen eine perfekte Erfahrung zu bieten, sondern auch um Ihnen unterschiedliche Preise zu zeigen. Wer einen Mac oder ein iPad nutzt, der bekommt auf manchen Webshops höhere Preise angezeigt als ein Nutzer mit einem alten Linux oder Windows Rechner. Gerade in der Reisebranche, Airlines und Hotels, haben die Medien immer wieder darüber berichtet. Mir ist das auch passiert. Ich war mit einem Mac am Reisebuchen, als man noch reisen konnte und stellte zufällig fest, dass der Preis mit einem alten Windowsrechner niedriger war. Wie Sie das nutzen können, zeige ich in einem späteren Artikel. Falls Sie neugierig geworden sind: Suchen Sie nach User-Agent-Switcher.

Außerdem versuchen die Webseiten herauszufinden, von wo Sie surfen und welche Sprache Sie eingestellt haben. Während das bei Netflix die Region vielleicht noch verständlich ist, weil die Rechte für Filme pro Land verkauft werden, frage ich mich doch, warum andere Seiten wissen wollen, von wo ich gerade surfe. Damit sollen natürlich Bewegungsprofile erstellt werden. Diese kombinieren die Firmen mit den Daten aus Ihrem Handy und Tablet, wenn Sie diese mit dem Rechner verbunden haben, und können sehr gut abschätzen, wann Sie wo waren! Starbucks, Möbelgeschäft usw. 

Es werden noch viel mehr Daten gesammelt, um ein sog. Fingerprinting (Fingerabdruck: das heisst nicht zufällig so) durchführen zu können. Da Ihre IP Adresse variieren kann (und sollte, dazu später mehr), versuchen die Werbetreibenden und Datensammler andere Informationen über Sie zu erhalten um Sie unabhängig von der IP Adresse wiederzukennen. Auch hat sich rumgesprochen, dass Sie vielleicht einen User-Agent-Switcher verwenden. Es muss eine neue Technologie her, die Sie übergreifend eindeutig identifizieren kann. Je mehr Daten da sind, desto genauer ist die Berechnung. Eine Untersuchung von Julian Fietkau von der Bundeswehr Universität in München hat in einem Paper 115 JavaScript Funktionen identifiziert, die darauf ausgelegt sind, Daten von Ihnen zu sammeln um einen Fingerabdruck über Sie zu erzeugen, mit dem Sie weltweit eindeutig zu erkennen sind. Daher der Begriff Fingerprinting.

Man unterscheidet passives und aktives Fingerprinting.

Passives Fingerprinting:  Informationen die automatisch an den Webserver gesendet werden: Browser, IP Adresse, … Diese Daten sind oftmals wirklich notwendig, um Ihnen eine vernünftige Webseite zu präsentieren. Dagegen können Sie nichts oder nur sehr wenig unternehmen.
Das aktive Fingerprinting: Durch kleine Programme ausgelesene Informationen: Zeitzone, Schriftarten, Fenstergrösse, welche Plug-Ins Sie installiert haben,… Dazu gehören alle nur denkbaren Informationen, nicht nur die offensichtlich nützlichen. Wenn Sie zum Beispiel an einem Notebook sitzen wird oftmals der Ladezustand der Batterie abgefragt. Wenn Sie auf die Webseite browserleaks.com gehen, können Sie ein paar Tests durchführen.

Testen Sie, wie einmalig Sie im Netz sind, in dem Sie auf Panopticlick der EFF (Electronic Frontier Foundation) oder auf Am I Unique gehen. Dort sehen Sie einige der Informationen, die Sie eindeutig identifizieren sollen. Aus all diesen Informationen wird eine eindeutige Nummer erzeugt, die Sie eindeutig kenntlich macht. Sie gehen auf Webseite A und es wird diese Nummer erzeugt. Diese wird in eine Datenbank gesendet und verglichen. Wenn es diese schon gibt, wird ein zusätzlicher Eintrag generiert. Wenn nicht, wird ein neuer angelegt. Dann gehen Sie auf Webseite B und derselbe Prozess läuft. So erkennen die Webseiten, wer da surft (nicht Sie als Mensch, wenn Sie nirgends angemeldet sind) aber welcher Rechner, welches Gerät. Dann weiss der Werbetreibende, dass Sie auf Nike und Reebok waren und blendet Ihnen, während Sie nach Kühlschränken suchen, Laufschuhwerbung ein. Überraschung!!!

Übrigens: Für einen Hacker, der Ihr Geld will, sind diese Informationen auch Gold wert. Wenn er beispielsweise weiss, welches Betriebsystem in welcher Version Sie verwenden, kann er die Schwachstellen gezielt ausnutzen. Und für Social Engineering, um beispielsweise eine „vertrauenswürdige“ Phishing-Email zu senden, helfen diese Informationen auch. Das nur so am Rande.

Mit HTML5 haben die Verantwortlichen, möglicherweise unbewusst, eine neue Art des Fingerprintings ermöglicht: CanvasFingerprinting (können Sie auf Browserleaks.com separat auswählen). Nicht umsonst denken manche Werbetreibende, dass das der nicht-löschbare Cookie-Nachfolger ist. Warum? In HTML5 gibt es ein sog. Canvas-Element, also eine leere Grafikfläche, auf der einfach gezeichnet werden kann. Das war es! Klingt nicht so schlimm, oder? Das Zeichnen in diesem Element geschieht im Browser, dauert keine Sekunde und bleibt vor Ihren Augen verborgen, es bleibt virtuell im Hintergrund. Die Ergebnisse dieses „Malens“ sind jedoch weitreichend. Jede Grafikkarte, jeder Browser, jedes Betriebssystem und jeder Font erzeugt ein eindeutiges „Schriftbild“. Und eindeutig ist genau das, was die Werbetreibenden, Kriminellen und Überwacher suchen. Sie wollen Sie überall und zu jeder Zeit im Netz eindeutig erkennen können. IP-Adressen können manipuliert werden und ändern sich, wenn Sie beispielsweise das WLAN um die Ecke verwenden, Browser können vorgeben ein anderer zu sein (siehe oben, User-Agent-Switcher), aber die Kombination aus Betriebssystem, installierten Fonts, Grafikkarte uvm. machen Sie eindeutig identifizierbar. Das gezeichnete Bild wird über einen Algorithmus in eine eindeutige Zahl umgewandelt, das ist grob gesagt vergleichbar mit der Erzeugung von gespeicherten Passwörtern, ein sogenannter Hash. Diese Nummer vergleichen die Firmen dann mit anderen Webseiten, wo derselbe Ablauf stattgefunden hat. Wenn also diese Zahl auf den Webseiten google.com, amazon.com, ebay.com und noch ein paar anderen immer wieder auftaucht, dann wissen die Überwacher: Das ist immer derselbe. Diese Daten werden dann zusammengeführt und ein Profil erstellt.

Oftmals wird empfohlen, dass Sie verschiedene Browser verwenden sollen um das Tracking einzuschränken. Das hilft nicht, wenn über die Grafikkarte, den Rechner, die Anzahl der CPU Kerne etc. ein Fingerprint erzeugt wird. Außerdem erkennen die Datenspione, wenn Sie und ein oder mehrere andere Familienmitglieder denselben Rechner verwenden. Unterschiedliche Konten aber derselbe Rechner und schon können die Profilersteller erkennen: da verwenden mehrere Menschen denselben Rechner.

Schon 2017 haben Cal, Li und Wijmans ein PDF vorgelegt, dass aufzeigt, dass anhand von wenigen Daten ein Gerät eindeutig identifizierbar ist. Und wenn das Gerät bei Apple, Microsoft oder anderen bekannt ist, dann sind auch Sie eindeutig zuordenbar. Verwenden Sie einen Mac oder einen Windows-Rechner ohne bei Apple oder Microsoft angemeldet zu sein?
Bis dahin war die Wahrscheinlichkeit maximal 91%, das Gerät eindeutig zu identifizieren. Mit dieser Methode wiesen die Forscher nach, dass sie Ihr Gerät (und damit meistens auch Sie) mit 99,24% Genauigkeit identifizieren können. Die besten Corona-Impfstoffe kommen auf maximal 95% Wirksamkeit und wir sind sehr glücklich darüber.

Auf Mobilgeräten werden die Sensoren abgefragt. Orientierung des Geräts, Bewegung und vieles mehr. Und dieses Fingerprinting nimmt immer mehr zu. Gerade auch, weil Anwender bei Cookies doch hin und wieder nicht alle akzeptieren. Schlimm ist daran auch, dass in dem eben genannten Dokument herausgefunden wurde, dass die gewonnenen Daten an verschiedene Server teilweise im Klartext verschickt werden. Wenn Sie in Ihren Netzwerkzugriffen schauen, welche Verbindungen geöffnet werden und Sie sehen die Adresse moatads.com, dann denken Sie an diesen Artikel. Und selbst honorige Firmen wie Reuters senden diese Daten beispielsweise an b2c.com. Oftmals verwenden diese Datensammler eine Kombination aus Sensorabfrage und klassischem Fingerprinting. Je mehr Daten sie haben, desto besser sind Sie zu identifizieren. Und das völlig egal, ob Sie Cookies akzeptieren oder nicht.

In einem späteren Artikel stelle ich Tools vor, die Ihnen helfen, diese Sammelleidenschaft einzugrenzen.

Es wird noch besser: Bevor Sie auch nur Cookies akzeptiert haben oder sonst irgendeine Aktivität auf einer Webseite gestartet haben, bevor Sie anfangen zu lesen, werden schon massenhaft Daten über Sie gesammelt. Dazu mehr im nächsten Artikel.