Der Datenschutz-Albtraum des Browser-Fingerprinting

 (kevinboone.me)
13 Punkte von GN⁺ 2025-11-23 | 1 Kommentare | Auf WhatsApp teilen
  • Browser-Fingerprinting ist eine schwerwiegende Tracking-Technik, die sich selbst mit Cookies oder einem VPN nur schwer verhindern lässt, da aus Umgebungsinformationen des Nutzers eine eindeutige Kennung erzeugt wird
  • Die Kombination aus Betriebssystem, Browserversion, Sprache, Zeitzone, Schriftarten, Erweiterungen, Canvas-Rendering-Ergebnissen und weiteren Faktoren erhöht die Möglichkeit einer persönlichen Identifizierung
  • Einfache Abwehrmaßnahmen wie JavaScript deaktivieren, Browser-Spoofing oder Canvas-Manipulation verursachen oft Nebenwirkungen, indem sie zusätzliche Identifikationshinweise hinterlassen oder Website-Funktionen beschädigen
  • Einige Browser wie Brave, Mullvad und Librewolf haben Schutz gegen Fingerprinting eingebaut, doch eine vollständige Abwehr ist unmöglich und geht mit Nachteilen wie geringerer Nutzbarkeit und mehr CAPTCHAs einher
  • Da bestehende Gesetze wie die DSGVO keine eindeutige Grundlage für die Regulierung bieten, wird die Notwendigkeit neuer gesetzlicher Maßnahmen aufgeworfen

Warum Browser-Fingerprinting entstanden ist

  • Früher waren Third-Party-Cookies die zentrale Bedrohung für die Privatsphäre
    • Cookies waren ursprünglich ein Mittel für die fortlaufende Kommunikation zwischen Browser und Server, wurden aber von Werbenetzwerken genutzt, um Nutzerinformationen über mehrere Websites hinweg zu verknüpfen
    • In Europa wurde dafür eine gesetzliche Hinweispflicht eingeführt
  • Als Browser die Trennung von Cookies verbesserten, nahm das Risiko durch Cookie-Tracking ab, doch Fingerprinting trat als neue Bedrohung in den Vordergrund

Wie Browser-Fingerprinting funktioniert

  • Es funktioniert auch ohne Cookies und ermöglicht selbst bei Verwendung eines VPN weiterhin eine gewisse Identifizierbarkeit
  • Aus den Basisinformationen, die der Browser an den Server übermittelt (Browserversion, Betriebssystem, Sprache, Zeitzone usw.), wird eine eindeutige numerische Kennung erzeugt
  • Über JavaScript lassen sich zusätzlich Schriftarten, Erweiterungen und Hardware-Informationen erfassen
  • Canvas-Fingerprinting nutzt Pixelunterschiede beim Rendern von Text durch den Browser, um feine systemspezifische Unterschiede zu erkennen
    • Die Einzigartigkeit ist so hoch, dass unter etwa 1.000 Browsern oft nur einer denselben Canvas-Fingerprint besitzt
  • Auch Kleinigkeiten wie Fenstergröße, Theme oder Auflösung können als zusätzliche Identifikationshinweise genutzt werden

Grenzen von Abwehrversuchen

  • JavaScript zu deaktivieren blockiert Canvas-Fingerprinting, macht aber zugleich „JavaScript ist deaktiviert“ zu einem seltenen Merkmal, das selbst wieder Teil des Fingerprints wird
  • Selbst wenn sich ein Browser als eine andere Plattform ausgibt (Spoofing), kann der Server anhand anderer Signale die tatsächliche Umgebung abschätzen
  • Raffinierte Tarnmethoden wie Canvas-Manipulation können Fehlfunktionen auf Websites verursachen oder zusätzliche Spuren hinterlassen
  • Dadurch bleibt Fingerprinting letztlich eine sehr schwer zu blockierende Technik, die von Tracking-Unternehmen laufend weiter verfeinert wird

Teilweise Gegenmaßnahmen und praktische Grenzen

  • Testseiten wie amiunique.org laufen in einer viel einfacheren Umgebung als reales Tracking und spiegeln die Praxis daher nur begrenzt wider
  • Selbst wenn ein Fingerprint „einzigartig“ ist, kann er sich mit der Zeit verändern und ist daher kein perfekter Tracking-Indikator
  • Einige Browser wie Brave, Mullvad und Librewolf bieten eingebaute Schutzfunktionen gegen Fingerprinting
    • Librewolf aktiviert die Firefox-Schutzfunktionen standardmäßig
    • Brave und Mullvad gehen auf unterschiedliche Weise dagegen vor
  • Doch auch die Fingerprinter entwickeln ihre Technik weiter, sodass vollständiger Schutz unmöglich bleibt

Was Nutzer tun können

  • Langzeit-Cookies löschen und ein VPN verwenden sind die Grundvoraussetzungen
    • Ein VPN verhindert die Offenlegung der IP-Adresse, doch schon die Nutzung eines VPN kann selbst zum Fingerprinting-Merkmal werden
  • Den Browser möglichst im Standardzustand belassen und Änderungen an Erweiterungen, Schriftarten und Themes minimieren
  • Wer eine weit verbreitete Umgebung (Windows 11 + Chrome usw.) nutzt, senkt die Wahrscheinlichkeit einer Identifizierung
  • Mullvad, Librewolf, Firefox (mit aktiviertem Fingerprinting-Schutz) und ähnliche integrierte Schutzfunktionen nutzen
  • Selbst mit allen Maßnahmen sinkt die Tracking-Wahrscheinlichkeit nur von etwa 99 % auf 50 %

Nebenwirkungen des Schutzes gegen Fingerprinting

  • Wenn in Firefox oder Librewolf der Schutz gegen Fingerprinting aktiviert wird, kommt es zu fixierter Fenstergröße, nicht änderbaren Themes und UI-Einschränkungen
  • Weil Server den Browser schlechter erkennen, steigt die Häufigkeit von CAPTCHAs
  • Auf manchen Websites treten visuelle Fehlfunktionen wie Farbfehler oder Probleme bei der Textpositionierung auf

Rechtliche Unsicherheit und Regulierungsbedarf

  • Die DSGVO enthält zwar Regelungen zu Cookies, aber keine klaren Bestimmungen zu Fingerprinting
  • Die britische ICO (Information Commissioner’s Office) bewertet Fingerprinting negativ
  • Die Rechtmäßigkeit ist unklar, und es bleibt Raum für das Argument einer vernünftigen Nutzung zu Sicherheitszwecken
  • Derzeit lautet die Schlussfolgerung, dass neue Gesetze notwendig sind
  • Fingerprinting ist für Nutzer nicht erkennbar, und die gesammelten Daten sind kurzlebig und statistischer Natur,
    gelten jedoch als ein zentrales Mittel zur Unterstützung des übermäßigen Tracking-Verhaltens der Werbeindustrie

Fazit

  • Browser-Fingerprinting ist eine Bedrohung für die Privatsphäre, die technisch schwer zu erkennen und rechtlich eine Grauzone ist
  • Auf dem heutigen Stand der Technik ist vollständiger Schutz unmöglich; nötig sind stärkere gesetzliche Regulierung und Gegenmaßnahmen auf Browser-Ebene
  • Solange die Tracking-Praktiken der Werbeindustrie fortbestehen, bleibt das Internet ein Umfeld mit dauerhaftem Risiko für Datenschutzverletzungen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-23
Hacker-News-Kommentare

  • Früher ist mir aufgefallen, dass Chrome jedes Mal, wenn man auf „Diese Sprache nicht übersetzen“ klickt, diese Sprache automatisch zum Accept-Language-Header hinzufügt
    Obwohl ich das nie manuell eingestellt hatte, hat Chrome diese Auswahl dauerhaft in alle Anfragen aufgenommen
    Ich hatte das Gefühl, dass diese Kombination als meine eigene eindeutige Sprachreihenfolge aufgebaut ist und damit ein sehr nützliches Signal für Fingerprinting sein kann
    Es gab dazu auch einen Vorschlag, der aber nicht übernommen wurde → reduce-accept-language proposal

    • Ich frage mich, ob Chrome beim Auswählen von „nicht übersetzen“ annimmt, dass der Nutzer diese Sprache lesen kann, und sie deshalb dem Header hinzufügt. Das ist ein interessanter Punkt
    • Ich möchte eine PSA aussprechen, Chrome nicht zu benutzen
    • Wenn man den Vorschlag liest, ging es darum, dass der Browser die Sprachverhandlung statt der Website übernehmen soll, aber ich halte das in der Praxis für unsinnig. Bei mehrsprachigen Websites reicht es doch, dem Nutzer einfach eine UI zur Sprachauswahl zu zeigen
    • Ich hatte das Problem, dass YouTube-Untertitel in einer völlig falschen Sprache angezeigt wurden, und obwohl ich von mehreren Geräten aus zugreife, ist mir das hauptsächlich bei Chrome passiert
    • Seit dem Zeitpunkt, an dem Google uBlock Origin blockiert hat, ist für mich klar, dass Chrome und Privatsphäre unvereinbar sind
      Siehe auch: HN discussion

  • Ich halte die Kombination aus Firefox + Arkenfox user.js in Sachen Privatsphäre für am stärksten
    Sie bietet Schutz auf Tor-Browser-Niveau, etwa automatisches Löschen von Cookies, Canvas-Fingerprint-Spoofing und das Fixieren der Zeitzone auf UTC
    Auf DNS-Ebene werden Werbe- und Tracking-Domains blockiert, und mit uBlock Origin oder uMatrix werden 3rd-party-Inhalte standardmäßig blockiert

    • Wenn aber nur wenige Leute solche Einstellungen verwenden, wird genau das selbst wieder zum Fingerabdruck
      Wie bei Tor ergibt es nur Sinn, wenn viele dieselbe Konfiguration verwenden
      Wenn nur man selbst dieses Masking nutzt, fällt man am Ende sogar stärker auf
    • Ich frage mich, ob man auch den GPU-Namen oder die per WebRTC offengelegte interne IP verbergen kann
      Außerdem werden viele Fingerprinting-Skripte von 1st-party-Domains geladen, daher ist vollständiges Blockieren schwierig
    • Orion Browser (Kagi) blockiert Fingerprinting-Skripte standardmäßig
      Siehe: Orion privacy guide
    • JavaScript-basierte Anti-Fingerprinting-Techniken können am Ende sogar die Einzigartigkeit erhöhen
    • Ich frage mich, ob die Arkenfox-Konfiguration stärker ist als das Firefox-Flag privacy.resistFingerprinting. Die beschriebenen Funktionen scheinen bereits durch dieses Flag aktiviert zu werden

  • Beim Fingerprinting werden identifizierende Merkmale und Tracking oft verwechselt
    Nur weil man die Zeitzone auf UTC stellt, wird Tracking nicht unmöglich
    Es gibt stärkere Signale wie IP oder GeoIP
    Wenn Familienmitglieder dieselbe IP verwenden, aber jeweils unterschiedliche Browser-Einstellungen haben, wird Tracking dadurch sogar einfacher
    Wer echtes Tracking vermeiden will, muss VPN-Rotation und Randomisierung der Request-Header kombinieren
    Wenn es einfach nur um Anonymität geht, ist der Tor Browser am effektivsten

  • Wer mehr darüber wissen möchte, wie Browser-Fingerprinting funktioniert, kann meinen Artikel lesen
    Browser Fingerprinting Explained

    • Weil über Websites hinweg ein konsistenter Fingerabdruck erhalten bleibt, entsteht dasselbe Privatsphäreproblem wie bei 3rd-party-Cookies

  • Im Artikel fehlt noch, dass es mit Cover Your Tracks (EFF) schon früh ein Tool zur Analyse von Fingerabdrücken gab

    • Es gibt aber auch die Meinung, dass man der EFF nicht vollständig vertrauen sollte

  • Ich stimme dem Kern des Artikels zu. Fingerprinting ist eine große Bedrohung für die Freiheit des Einzelnen
    Gleichzeitig finde ich, dass Content-Ersteller fair entlohnt werden sollten
    Das werbebasierte Modell ist effizient, hat aber Privatsphäre als Preis

    • Eigentlich haben Werbefirmen uns mit dem Vorwand „Vergütung für Kreative“ getäuscht
      Die meisten Blogger verdienen kaum nennenswert daran, und das Geld landet bei den Werbefirmen
      Ich denke, das frühere Internet mit stärkerem Fokus auf freie Inhalte war gesünder
    • Die Lösung ist einfach: zurück zu kontextbezogener Werbung (contextual ads)
    • Das Problem ist nicht Werbung an sich, sondern Tracking
      Nur weil man mich verfolgt, werden Anzeigen nicht automatisch effektiver
      Stattdessen bekomme ich immer wieder Werbung für Produkte, die ich gar nicht brauche
      Es ist eine gruselige Erfahrung, als würde ein Ladengeschäft per Gesichtserkennung personalisierte Werbung ausspielen
    • Ich frage mich, wie ein Pay-per-View-Modell anstelle eines „5-Dollar-pro-Monat-Abos“ aussehen würde
      Wenn Werbekosten nicht in den Produktpreisen stecken würden, könnte am Ende vielleicht alles billiger werden
    • Wenn anonyme Micropayments möglich wären, könnte das nicht nur Überwachungsprobleme, sondern sogar DDoS-Abwehr lösen
      Ich stelle mir ein Modell vor, bei dem man pro Pageview 1 Cent zahlt und der Preis je nach Serverlast steigt

  • Das erinnert mich an ein Spiel aus dem Unterricht zur Datenklassifikation
    „Wie viele Ja/Nein-Fragen braucht man, um alle Personen in diesem Raum zu identifizieren?“
    Auf ähnliche Weise grenzt auch Browser-Fingerprinting Menschen schon mit wenigen Signalen immer weiter ein
    Zum Beispiel reduziert die Kombination „Linux + Firefox + linker Monitor“ die Menge schon auf Zehntausende

    • Wenn die Fragen aber stark miteinander korrelieren, sinkt der Informationsgehalt
      Zum Beispiel enthalten „Lange Haare?“ und „Weiblich?“ ähnliche Informationen, daher liefern sie kaum zusätzliche Bits
      Eine Frage wie „Metalhead?“ liefert dagegen bei einem seltenen „Ja“ sehr viele Informationen
    • Es kam auch die einfache Frage auf, ob es nicht eigentlich nur Ja/Nein-Fragen sein sollten

  • Der Kern des Problems ist, dass wir eine Struktur zum Standard gemacht haben, in der JavaScript weiteres JavaScript nachlädt und ausführt
    Stallman hatte recht

    • Ich denke aber, das größere Problem ist nicht JavaScript selbst, sondern dass Technologien wie WebRTC oder WebGL ohne Erlaubnis laufen und für Fingerprinting missbraucht werden
    • Je älter ich werde, desto mehr wird mir klar, was für ein Kämpfer für die Freiheit RMS war
    • Allerdings laufen viele Fingerprinting-Skripte auf 1st-party-Domains wie Cloudflare oder Akamai, daher löst simples Blockieren von JS das Problem nicht
    • Der Browser funktioniert wie ein dummer Soldat, der das trojanische Pferd hereinzieht
    • JavaScript vollständig zu blockieren ist keine realistische Alternative, weil dann das halbe Web kaputtgeht. Fingerprinting ist auch ohne JS möglich

  • Wer prüfen will, welche Informationen der Browser preisgibt, für den ist Am I Unique? nützlich

  • Damit Fingerprints nützlich sind, braucht es nicht nur Einzigartigkeit, sondern auch Persistenz
    Wenn man bei jedem Mal zufällig Fonts installiert und wieder entfernt, könnte man dann nicht das heutige Ich vom morgigen Ich entkoppeln?

    • Laut Forschung kann man aber selbst dann, wenn sich Fingerprints im Laufe der Zeit ändern, mit 99,1 % Genauigkeit auf denselben Nutzer schließen
      Siehe: EFF study PDF, Mullvad explanation
    • In der Praxis kann man meist nur prüfen, ob bestimmte Fonts installiert sind, aber nicht die vollständige Liste erhalten
      Chomes queryLocalFonts-API erfordert ein Berechtigungs-Popup
    • Wenn man einen allzu unrealistischen Fingerprint abliefert, wird genau das durch Spoofing-Erkennung wieder zu einem weiteren Fingerabdruck
      Passender Comic: xkcd 1105
    • Über Cookies, den Elliptic-Curve-Fingerprint des SSL-Handshakes und anonyme Persona-Klassifikation auf Basis von GDPR/CCPA wird man am Ende doch wieder zusammengeführt
      Heute wird meist schon innerhalb von 5 ms während des Seitenladens entschieden, zu welcher Persona ein Nutzer gehört
      Die meisten Datenplattformen löschen Daten nach 90 Tagen aber automatisch wieder, um GDPR-konform zu bleiben