Mit jedem Besuch einer Webseite hinterlassen Sie Informationen, die für Ihre weiteren Aktivitäten im Internet genutzt werden. Webseiten-Betreiber müssen jedoch Ihre Erlaubnis zur Verwendung von Cookies einholen. Und der Vorteil von diesen Cookies ist, dass Sie sie löschen können.
Beim sogenannten Device Fingerprinting ist dies nicht der Fall. Hierbei handelt es sich um Tracking-Software, die dazu dient, Informationen über das von Ihnen benutzte Gerät zu sammeln, beispielsweise Marke, Modell, Betriebssystem, Browser und sogar die verwendete Software, um so Ihren einzigartigen digitalen Fingerabdruck zu identifizieren.
Laut einem Artikel in der New York Times wird diese Taktik allerdings bislang nur auf weniger als fünf Prozent der Webseiten angewendet. Dabei sind Bedeutung und Wirkung von Device Fingerprinting nicht zu unterschätzen.
Das Besorgniserregende am Fingerprinting ist, dass Sie aufgrund der Einzigartigkeit Ihrer Hardware-und Software-Komponenten mit einer Genauigkeit von mehr als 95 Prozent identifizierbar sind. Dadurch kann sich derjenige, der Ihren Fingerabdruck identifiziert hat, ein klares Bild davon machen, wer Sie sind – ohne dass Sie diesem die Erlaubnis dazu erteilen. Mit Ihrem Fingerabdruck, den Informationen zu Ihrer Internetnutzung und Ihrem Surf-Verhalten, können sich Dritte ein vollständiges Bild Ihrer Online-Geschichte, Ihrer Vorlieben, Aktivitäten und sogar Ihrer Lebensumstände machen.
Datenaustausch mit Dritten
Eine Studie der Universität Princeton zeigt, dass 60 Prozent oder mehr der 1000 Top-Webseiten Informationen mit Dritten austauschen. Viele dieser Dritten erstellen Online-Profile oder Fingerabdrücke von Webseiten-Besuchern, die sie wiederum an Werbetreibende oder Datenfirmen weitergeben und verkaufen. Darüber hinaus zeigt die Untersuchung, dass 96,5 Prozent der Webseiten zwar selbst keine Fingerabdruck-basierte Nachverfolgung verwenden, aber Zugang zu Ihrem digitalen Fingerabdruck über Dritte erlangen.
Die Schwierigkeit besteht darin, dass der Nutzer nicht weiß, welche Webseiten seinen Fingerabdruck identifizieren, weil ihr Skript wie ein herkömmliches aussieht. Skripte laufen im Hintergrund von Webseiten und können für legitime Zwecke wie die Wiedergabe von Videos, Fotos und mehr verwendet werden. Allerdings werden dieselben auch für Zwecke wie das Sammeln von Daten von Nutzern verwendet.
Was machen Unternehmen mit den gesammelten Informationen?
Die große Mehrheit der Organisationen verwendet diese Daten, um personalisierte Werbeinhalte auszuspielen. Andere Unternehmen jedoch verwenden Ihre Online-Daten auch, um Rückschlüsse auf Sie zu ziehen, die sich negativ auf Sie als Verbraucher auswirken könnten.
Hier ein Beispiel: Sie recherchieren online zu Schmerzen im Brustbereich. Eine Webseite verkauft Ihre Suchhistorie an eine Krankenkasse, welche wiederum schlussfolgert, dass Sie ein Risiko für Herzkrankheiten haben und erhöht daraufhin Ihren Versicherungsbeitrag.
Ein weiteres Beispiel wäre, dass Sie auf einer Webseite Ihren Wohnort eingeben und ein Unternehmen XY Ihnen daraufhin – weil Sie in einer wohlhabenden Gegend wohnen – den Preis für bestimmte Ware erhöht, weil es davon ausgeht, dass Sie diesen Preis bezahlen können.
Wenn es um digitale Fingerabdrücke geht, fehlt es den Nutzern völlig an Transparenz – sie wissen nicht, welche Informationen und von wem diese Informationen zu welchen Zwecken gesammelt werden. Der Nutzer hat keine Kontrolle, denn er kann nicht entscheiden, ob bestimmte Informationen geteilt werden oder dass sie aus den Systemen der Unternehmen entfernt werden sollen – geschweige denn, dass ersichtlich ist, welche Unternehmen Informationen über ihn haben. Selbst Webseiten wie Facebook, deren Datenschutz-Praktiken fragwürdig sind, bieten dem Nutzer die Möglichkeit, die Informationen, die in seinem Profil hinterlegt sind, einzusehen und zu verwalten.
Device Fingerprinting und die DSGVO
Vorschriften wie die DSGVO sind entstanden, um die Nutzung persönlich identifizierbarer Informationen im Internet zu regulieren, indem sie sich speziell auf das auf Cookies basierende Tracking konzentrieren. Das Device Fingerprinting versucht diese Vorschriften zu umgehen und eine ungehinderte Verfolgung von Personen zu ermöglichen. Dabei ist laut DSGVO Device Fingerprinting nur zulässig, wenn eine ausdrückliche Einwilligung vorliegt, die Methode unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich verlangten Dienst zu erbringen und es ausschließlich zur Durchführung der Datenübermittlung genutzt wird.
Ein großer Nachteil der digitalen Fingerabdrücke für den Nutzer ist, dass Präventiv-Maßnahmen wie das Ändern von Passwörtern und das Löschen der Browser-Historie weitgehend zwecklos sind. Um die Weitergabe Ihrer Daten zu stoppen, müssten Sie Ihre Daten von Hunderten von Datenmaklern entfernen, die bereits über Ihre Daten verfügen. Diesen Schritt müssten Sie regelmäßig wiederholen. Da Unternehmen jedes Schlupfloch der DGSVO nutzen werden, um die Fingerprinting-Methodik einzusetzen, sollten Sie als Verbraucher Maßnahmen ergreifen, um sich vor der Überwachungsökonomie zu schützen.
Was können Sie tun, um sich vor Fingerprinting zu schützen?
Die Installation einer Anti-Tracking-Software sowie ein sicherer Browser können Sie beim Schutz ihrer Privatsphäre unterstützen. Anstatt Skripte zu blockieren, die Webseiten beschädigen, gibt eine Anti-Tracking-Software beispielsweise gefälschte Daten ein, um das Skript am Laufen zu halten und gleichzeitig zu verhindern, dass echte persönliche Daten gesammelt werden. Die Fingerabdruck-Verfolgungstechnik wird somit nutzlos.
Autor: Oliver Kunzmann
Oliver Kunzmann ist als Sales Engineer Manager für alle Regionen der Avast Business verantwortlich.