Websites verfolgen Nutzer über Browser-Fingerprinting

 (engineering.tamu.edu)
11 Punkte von GN⁺ 2025-06-20 | 1 Kommentare | Auf WhatsApp teilen
  • Browser-Fingerprinting ist eine Methode des Online-Trackings, die sich nicht allein durch das Löschen von Cookies verhindern lässt
  • Ein Forschungsteam der Texas-Universität wies mit einem Mess-Framework namens FPTrace reale Anwendungsfälle im Tracking nach, anhand von Veränderungen bei Werbegeboten und HTTP-Protokollen
  • Wenn sich ein Fingerprint ändert, wurden Veränderungen bei Werbegeboten und ein Rückgang von HTTP-Einträgen festgestellt
  • Auch wenn Nutzer das Tracking gemäß Datenschutzgesetzen wie GDPR oder CCPA ablehnen, findet Tracking auf Basis von Fingerprinting weiter statt
  • Die Forschenden weisen darauf hin, dass heutige Datenschutz-Tools und -Richtlinien unzureichend sind, und betonen die Notwendigkeit stärkerer Regulierung und technischer Schutzmaßnahmen

Websites Are Tracking You Via Browser Fingerprinting

  • Das Löschen von Cookies allein kann die Online-Privatsphäre nicht vollständig schützen
  • Laut einer aktuellen Studie unter Leitung der Texas A&M University verfolgen Websites Nutzer mithilfe von Browser-Fingerprinting über Sitzungen und Websites hinweg
  • Browser-Fingerprinting erzeugt aus verschiedenen Informationen wie Bildschirmauflösung, Zeitzone und Gerätemodell einen eindeutigen Browser-Identifikator
    • Anders als Cookies lässt er sich von Nutzern nicht einfach löschen oder blockieren
    • Die meisten Nutzer merken nicht einmal, dass dieses Tracking stattfindet
    • Selbst auf Datenschutz fokussierte Browser können es nur schwer vollständig blockieren

Detaillierte Untersuchung des Web-Trackings mit dem FPTrace-Framework

  • Es ist wie eine digitale Signatur, die man unbemerkt hinterlässt
  • Schon die Kombination aus Gerät und Browser reicht aus, um Nutzer selbst bei vermeintlicher Anonymität leicht zu verfolgen
  • Das Forschungsteam konnte erstmals empirisch nachweisen, wie Fingerprinting in realen Werbesystemen genutzt wird
    • Dafür entwickelten sie ein Mess-Framework namens FPTrace und analysierten den Einfluss von Browser-Fingerprints auf Werbegebote und HTTP-Kommunikation
    • Durch die Beobachtung von Veränderungen bei Werbegeboten, HTTP-Protokollen und Synchronisierungsereignissen bei geänderten Fingerprints machten sie das tatsächliche Tracking sichtbar

Forschungsergebnisse und Implikationen

  • Selbst wenn Nutzer Cookies löschen oder blockieren, wird Tracking über Fingerprinting weiterhin durchgeführt
  • Bei der Nutzung von Fingerprinting spiegeln einige Websites Fingerprint-Daten im Backend-Prozess der Anzeigenauktion wider; dabei wurde auch die mögliche Weitergabe identifizierender Informationen an Drittanbieter bestätigt
  • Auch wenn Nutzer gemäß Datenschutzgesetzen wie der europäischen GDPR oder dem US-amerikanischen CCPA Tracking ablehnen, wird Fingerprinting-basiertes Tracking nicht beendet
  • Die Forschenden betonen, dass bestehende Datenschutz-Tools und -Regelungen nicht ausreichen, und fordern stärkere technische und institutionelle Schutzmaßnahmen
    • Sie hoffen, dass das FPTrace-Framework dabei helfen kann, nicht einvernehmliches Tracking durch Websites und Werbeanbieter zu auditieren

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-06-20
Hacker-News-Kommentare

  • Als jemand, der in diesem Bereich arbeitet, habe ich den Eindruck, dass man fast nie darüber spricht, wie lange ein Fingerprint tatsächlich bestehen bleibt. Selbst sehr präzise Fingerprints haben in der Praxis oft nur eine Halbwertszeit von wenigen Tagen, besonders wenn sie stark auf Fenstergröße oder Softwareversionen beruhen. Große Werbenetzwerke verlassen sich derzeit eher stark auf Standortdaten. Deshalb sieht man im Feed oft Werbung, die mehrere Geräte miteinander zu verknüpfen scheint oder die Interessen des Ehepartners oder von Freunden widerspiegelt. Schon IP-basierte Standortdaten reichen aus, um Werbung sehr breit auszuspielen. Interessant ist, dass FPTrace ein Mess-Framework zur Analyse fingerprintbasierter Nutzerverfolgung ist; ich würde gern mehr über die konkrete Forschungsmethodik wissen. Ich vermute, dass Werbenetzwerke weniger den Fingerprint selbst nutzen, sondern eher Geräte-Setups zur Bildung von Werbesegmenten. Zum Beispiel könnten Nutzer mit aktueller Software und moderner Hardware als „Gruppe mit hoher Kaufabsicht“ eingeordnet werden. Selbst einfache Faktoren wie die Tageszeit beeinflussen Auktionsergebnisse bei Werbung stark, daher ist es in dieser Studie sehr wichtig, welche Variablen wie kontrolliert wurden

    • Ich habe meine Daten auf amiunique.org geprüft und dort tatsächlich die Bewertung erhalten, einzigartig zu sein (ganz wie meine Mutter immer gesagt hat!). Allerdings zeigt die Seite nicht, welche Änderungen mich nicht mehr einzigartig machen würden, und von 58 JavaScript-Eigenschaften liegen 16 in der Kategorie mit der geringsten Ähnlichkeit. Davon hängen 2 direkt von Versionsnummern ab, 6 betreffen Bildschirmgröße oder Auflösung. Es bleibt also der Eindruck, dass etliche Informationen übrig bleiben, die sich nicht so schnell ändern. Mit der Zeit können sich die exakten Werte zwar ändern, aber die Formulierung „Halbwertszeit von wenigen Tagen“ wirkt auf mich wie eine Unterschätzung der tatsächlichen Wirksamkeit dieser Technik

    • Bei maximiertem Fenster ändert sich die Fenstergröße fast nie, solange sich Umgebung, Monitor oder Desktop-Umgebung nicht ändern. Auch GPU-Hardware wird nicht häufig ausgetauscht, und über WebGL oder WebGPU lassen sich einzigartige Eigenschaften leicht für Fingerprints nutzen. Installierte Schriftarten ändern sich ebenfalls nicht oft. Auch Fingerprints des TCP-Stacks sind recht stabil. Schon mit wenigen dieser Faktoren lässt sich ein neuer Fingerprint leicht mit einem früheren Fingerprint-Cluster verknüpfen, selbst wenn sich ein einzelnes Merkmal geändert hat. Noch gravierender ist, dass sich auch zwei vollständig unterschiedliche Fingerprints eindeutig verbinden lassen, wenn clientseitige Identifikatoren wie Cookies nicht gleichzeitig gelöscht werden

    • Auch die Verarbeitungszeit von Hardware-Interrupts und deren Latenz kann je nach Details wie der Kombination installierter Apps oder der Version des GPU-Treibers eindeutige Werte haben. Deshalb dürften sich die Verteilungen nur dann wirklich ändern, wenn tatsächlich Updates stattfinden, und es ist selten, dass sich alle Verteilungen gleichzeitig verschieben

    • Siteimprove Analytics behauptet öffentlich, dass seine cookielose Tracking-Technologie genauer sei als herkömmliches cookiebasiertes Tracking. Visitor Hash werde aus IP und HTTP-Headern ohne personenbezogene Daten erzeugt, also etwa Browsertyp, Version, Sprache und User Agent, und solle damit das Problem der „kurzen Lebensdauer“ klassischer Cookies lösen und die Genauigkeit von Statistiken zu eindeutigen Besuchern verbessern. Es werden jedoch nur serverseitige Eigenschaften verwendet, keine clientseitigen. In Umgebungen wie Intranets, in denen viele Zugriffe unter derselben IP und mit ähnlichen Geräten erfolgen, können mehrere Nutzer denselben Visitor Hash erhalten, wodurch Besuche zusammenfallen. Für solche Domain-Typen wird daher empfohlen, cookieloses Tracking nicht zu verwenden

    • Browser-Fingerprints lassen sich je nach Wahl der Datenpunkte sehr robust machen, etwa mit installierten Plugins, Inhaltssprache oder Schriftarten. Man kann Datenpunkte situationsabhängig dynamisch anpassen oder sie pro Nutzer unterschiedlich gewichten. Außerdem ist der Fingerprint nur ein Teil der Gesamtdaten. In Kombination mit anderen Informationen wie Standortdaten lassen sich Beschränkungen oder Umgehungsmaßnahmen weitgehend aushebeln. Wenn zum Beispiel ein neuer Fingerprint auftaucht, der zu 80 % einem alten ähnelt und zusätzlich von derselben Büro-IP kommt, während der alte Fingerprint verschwindet, ist die Verknüpfung einfach. Werbefirmen bevorzugen aus Kosten- und Legalitätsgründen eher eine „Schrotflintenstrategie“ mit breitem Targeting, aber Organisationen mit anderen Zielen als Werbung können mit mehr Datenpunkten sehr viel präziser verfolgen

  • Auf amiunique.org wird betont, dass Browser viele Informationen preisgeben, etwa Bildschirmauflösung, Zeitzone oder Gerätemodell, und dass sich daraus ein „Fingerprint“ bilden lässt. Anders als Cookies lassen sich solche Fingerprint-Daten vom Nutzer nur schwer löschen oder blockieren, weshalb sie deutlich schwerer zu erkennen oder zu verhindern sind. Ironischerweise führt gerade eine starke Fokussierung auf Geräte-, OS-, Browser-Sicherheit und Datenschutz oft dazu, dass der eigene Fingerprint noch einzigartiger wird. Im FOSS-Ökosystem gibt es zwar eine lange Geschichte, aber schade ist, dass sich nie ein wirklich guter Open-Source-Browser im Mainstream durchgesetzt hat. Das lag daran, dass Monopole früh zu profitabel waren. Ich habe persönlich sogar einmal über einen Web-Scraper für Offline-Zugriff nachgedacht, hielt das aber letztlich für wenig praktikabel

    • Die Aussage, „ein wirklich guter Open-Source-Browser habe sich nie durchgesetzt“, ist nicht ganz korrekt. Firefox war zeitweise enorm populär und hatte den Markt praktisch vollständig im Griff. Erst später wurde das durch unfaire Praktiken von Google untergraben

    • Erstaunlich ist, dass Firefox über lange Zeit kaum irgendwelche wirksamen Maßnahmen gegen Fingerprinting ergriffen hat. Dass der Browser selbst 2025 standardmäßig noch einen viel zu detaillierten User-Agent-String mitsendet, ist schwer nachzuvollziehen (Mozilla/5.0 (X11; Linux x86_64; rv:139.0) … usw.). Eine Website muss nicht wissen, dass ich X11 benutze oder Linux auf x86_64. Auch der Referer ist standardmäßig immer noch aktiviert. JavaScript kann außerdem herausfinden, welche Schriftarten auf meinem System installiert sind. Es braucht deutlich feinere Berechtigungssteuerung und vernünftigere Standardeinstellungen. Es gibt zwar passende Plugins, aber Installation und Betrieb sind umständlich

    • Es gibt Browser wie Brave, die versuchen, Tracking durch randomisierte Fingerprints zu umgehen, aber ich habe Zweifel an der praktischen Wirksamkeit. Eine andere Methode ist, in der Menge unterzugehen, etwa durch eine Umgebung wie Tor, die viele andere ebenfalls nutzen

    • In zwei verschiedenen privaten Browserfenstern wurde ich beide Male als eindeutiger Nutzer erkannt. Daher bleibt für mich die Frage, ob eine Fingerprint-Verknüpfung zwischen privaten Tabs tatsächlich unmöglich ist

    • Ich frage mich, warum Firefox bei der Definition eines „wirklich guten Open-Source-Browsers“ ausgeschlossen werden sollte

  • Ich wünschte, es gäbe einen besser konzipierten Test dafür, „wie lange Fingerprint-Tracking denselben realen Nutzer tatsächlich über die Zeit hinweg wiedererkennt“, als coveryourtracks.eff.org oder amiunique.org. Beide Seiten testen nur die Einzigartigkeit, nicht die Beständigkeit. Deshalb könnte sogar ein vollständig zufälliger Zahlengenerator als Fingerprint gelten. Tatsächliche Schutztechniken gegen Fingerprinting enthalten oft bewusst Zufallsausgaben, weshalb Browser wie Tor, Safari oder LibreWolf auf solchen Seiten paradoxerweise eher durchfallen

    • CreepJS ist eine Seite, die dem eigenen Fingerprint einen Namen, also eine Signatur, gibt und beim erneuten Besuch prüft, ob es derselbe Fingerprint ist

    • Ich habe gehört, dass fingerprint.com solche „Tests über die Zeit hinweg“ anbieten kann. Im Bereich Fingerprinting as a Service gehört das offenbar zur Spitzenklasse; nur Meta und Google sollen noch weiter sein

  • Dass „Fingerprint-Tracking tatsächlich stattfindet“, hatten viele schon länger vermutet, aber ohne konkrete Belege war schwer nachzuweisen, ob wirklich geräteübergreifend verfolgt wird. Diese Studie schlägt nun ein Framework für Untersuchungen und ein groß angelegtes Experimentdesign vor, um empirisch zu prüfen, ob echtes Fingerprint-Tracking im Werbebereich stattfindet. Die meisten früheren Arbeiten haben nur gemessen, ob Fingerprinting-Skripte ausgeführt werden, aber daraus ließ sich nicht erkennen, ob der Zweck tatsächlich Tracking war oder eher etwas Defensives wie Bot- oder Betrugserkennung bzw. Authentifizierung. Diese Studie ist interessant, weil sie Browser-Fingerprints gezielt verändert und parallel Werbeveränderungen beobachtet, um den tatsächlichen Tracking-Kontext sichtbar zu machen (Link zum Paper). Den Volltext konnte ich nicht lesen, deshalb kenne ich die Details nicht genauer

  • Cookies werden für jede Domain getrennt gespeichert und liegen innerhalb einer Sicherheitsgrenze, Fingerprints dagegen lassen sich domainunabhängig berechnen. Es ist also gut vorstellbar, dass Werbeserver Nutzer allein anhand von Fingerprints verfolgen und identifizieren. Problematisch ist, dass schon das bloße Sammeln solcher Fingerprint-Daten Informationen über Betroffene liefern kann

  • Zur Frage „Warum legen Browser Websites standardmäßig so viele Informationen offen?“:

    • Ein Browser besteht im Kern aus einer Sandbox für viele verschiedene Funktionen und APIs. Jede einzelne ist für den Komfort der Nutzer gedacht, und für sich genommen wirkt sie oft unbedeutend, aber in der Kombination entsteht ein einzigartiger Fingerprint. Wer wirklich eine Umgebung ohne Fingerprint will, kommt letztlich zu dem Schluss, dass man JavaScript im Web komplett abschaffen müsste

    • Entwickler wollten diese APIs, um Funktionen bereitzustellen, und die Auswirkungen auf die Privatsphäre wurden erst beachtet, als die Situation bereits „unumkehrbar“ geworden war

    • Die meisten Informationen sind tatsächlich nützlich oder notwendig. Man kann zwar einige wenige entfernen, aber der Rest ergibt sich aus einer „Analyse von Verhaltensresultaten“; rendert man etwa Textboxen mit verschiedenen font-family-Werten, unterscheiden sich die tatsächlichen Größen je nach installierten Schriftarten des Geräts — und genau das kann wiederum als Fingerprint genutzt werden

    • Wenn Browser bestimmte Informationen reduzieren oder entfernen, etwa die OS-Version im User Agent, kommt es oft zu unerwarteten Fehlern auf Websites. Als Apple im User Agent nur die Versionsnummer von 10 auf 11 änderte, fielen viele Seiten bereits aus. Das Referer-Feld wird in neueren Browsern inzwischen allerdings stark eingeschränkt, etwa durch Weglassen des Pfads oder des vollständigen Werts

    • Ich habe den Eindruck, dass es den Führungskräften bei Mozilla schon immer an echtem Willen in Sachen Privatsphäre, Sicherheit und Freiheit gemangelt hat. Manchmal wirkte es eher wie ein Marketingthema, mit Änderungen ohne große Wirkung oder nur solchen, die nicht vollständig mit den Interessen großer Tech-Konzerne kollidieren. Schade ist auch, dass es selbst im W3C niemanden gibt, der wirklich hart dagegenhält

  • Apps verfolgen Nutzer viel gravierender als Websites. Dass Websites ständig zur Installation von Apps drängen, liegt auch daran, dass viele Schutzmechanismen des Browsers in der App-Umgebung wirkungslos werden. Apps verlangen Logins und können danach sämtliche Daten frei mit Dritten teilen

    • Meine App macht so etwas nicht. Ich verlange nicht einmal eine E-Mail-Adresse, daher ist die App die einzige Möglichkeit, über neue Benachrichtigungen zu informieren. Bei der Persistenz ist eine App im Vorteil; Websites sind vergleichsweise weniger effektiv

    • Unter iOS gibt es die Funktion „App Tracking ablehnen“. Sie blockiert allerdings nur bestimmte Arten von Tracking und nicht jede Form davon

  • Zur Aussage, „Fingerprint-Tracking werde in Wirklichkeit bereits breit eingesetzt“, wurde angemerkt, dass das nur für Leute überraschend sei, die „keine Dokumente außerhalb der akademischen Welt gelesen haben“, oder dass „verantwortliche Tracking-Anbieter seit Jahren ausdrücklich offenlegen, dass sie Fingerprinting einsetzen“

    • Der Punkt ist weniger Unwissenheit in Wissenschaft oder Industrie, sondern dass solche Studien gerade deshalb nützlich sind, weil sie quantitativ belegen, wie stark und wie effektiv Fingerprint-Tracking derzeit tatsächlich stattfindet. Selbst wenn Anbieter das aus Compliance-Gründen bereits offenlegen, ist das noch etwas anderes als Erkenntnisse über tatsächliche Wirksamkeit und Größenordnung. Wenn diese Studie die Erfolgsquote des Trackings selbst in einem „harmlosen“ Werbeumfeld bestätigt hat, liefert sie auch eine Grundlage dafür, wie effektiv andere Akteure verfolgen könnten

    • Auch in der Forschung war der Einsatz von Fingerprint-Tracking schon seit Jahren bekannt. Früher wurden etwa mit Flash häufig direkt die installierten Schriftarten eines Nutzers ausgelesen (relevantes Paper). Diese formale Darstellung als etwas Neues entspricht also nicht ganz der Realität

    • Es gibt auch seit Langem Open-Source-Frameworks für Fingerprinting wie FingerprintJS. In der Anfangszeit wurden sie oft für Spam oder zur Verfolgung böswilliger Besucher eingesetzt

    • Online-Privatsphäre ist zwar wichtig, aber es gibt auch die Ansicht, dass Gegenmaßnahmen gegen Fingerprinting das eigentliche praktische Problem nicht wirklich lösen und das Web stattdessen unbequemer machen. Als Analogie heißt es, dass böswillige Akteure Fingerprinting trotz Regulierung ohnehin weiter betreiben, während normale Websites nur mit zusätzlichen Einschränkungen leben müssen

    • In der akademischen Forschung legt man mehr Wert auf konkret messbare und schwer bestreitbare empirische Belege als auf Branchenrichtlinien oder Selbstauskünfte von Unternehmen

  • Auf der Fingerprint-Seite der EFF werde ich bei jedem Besuch immer als eindeutig eingestuft. Auch wenn ich eine Stunde später erneut darauf gehe, bleibt das so. Es wäre schön, wenn die Seite den Hash meines Fingerprints anzeigen würde, damit ich ihn auch nach Monaten vergleichen könnte. Wenn mein Fingerprint sich tatsächlich jedes Mal ändern würde, wäre Fingerprint-Tracking immerhin deutlich schwieriger, was wiederum beruhigend wäre

  • Ich bin skeptisch, dass so viel Aufwand und technische Raffinesse für Werbe-Targeting eingesetzt wird. Ich blockiere grundsätzlich alle Werbung, daher wirken all diese Fingerprinting-Bemühungen auf mich letztlich wie vergeudete Mühe