piwik no script img

Überwachung durch WerbedienstleisterCookies sind tot, es lebe Canvas

Weil viele Menschen Cookies blockieren, wird eine neue Technik eingesetzt, um Nutzern nachzuspüren. Prominente deutsche Websites sind betroffen.

Nicht ganz genau, aber wahrscheinlich nah genug dran: ein Bild vom Nutzer. Bild: claudiarndt / photocase.de

BERLIN taz | Eine Webseite aufrufen, für den Nutzer ist das heute einfach. Doch im Hintergrund läuft eine Vielzahl komplexer technischer Prozesse ab – und davon lassen sich einige auch missbrauchen, um die Nutzer fast eindeutig zu identifizieren. Bisher taten sie das mit „Cookies“, kleinen Dateien, die Websites auf den Rechnern der Nutzer speicherten, die aber deshalb auch einfach von Nutzern gelöscht werden können. Nun haben sich Werbedienstleister eine neue Technik einfallen lassen, eine die kaum abgewehrt werden kann.

Die neue Technologie funktioniert so: Auf den besuchten Webseiten läuft ein kleines Programm, das über den Browser und die Art, wie er mit Inhalten wie Bildern umgeht, einen digitalen Fingerabdruck erstellt. Da fast jeder Nutzer einen etwas anders eingerichteten Computer hat, entsteht so eine Signatur – „Canvas“ genannt – und die wird beim Werbedienstleister gespeichert. Surft der Nutzer danach weiter, wird die Prozedur wiederholt – und der Rechner des Nutzers wird wiedererkannt.

Neu ist, welche enormen Anstrengungen die Anbieter dabei unternehmen. „Die Nutzer haben nur begrenzten Einfluss darauf, diese Gefahren einzugrenzen“, schreiben Forscher der Universitäten Berkeley und Leuven in einer aktuellen Studie. Knapp sechs Prozent der beliebtesten 100.000 Seiten im Web setzen die digitale Fingerabdruck-Technologie ein. Das Ziel der Anbieter: möglichst genau sagen zu können, wer wo surft – um den Nutzern dann passende Werbung einzublenden.

Auch 25 deutsche Webangebote setzten die digitale Fingerabdruck-Technologie ein, fanden die Forscher heraus, darunter auch große Seiten wie T-Online und die IT-News-Seite Golem.de. Doch die Schuld liegt wohl nicht direkt bei den Betreibern, sondern bei den von ihnen beauftragten Werbedienstleistern.

In den meisten Fällen der betroffenen deutschen Webseiten handelt es sich um den Werbedienstleister Ligatus. Der erklärt, dass man die Technik ausschließlich zu Testzwecken eingesetzt habe, „ohne Rückschlussmöglichkeit auf konkrete User“. Golem.de erklärte, dass sie vom Einsatz der neuen Technik nicht informiert worden seien. Laut Ligatus ist der Test beendet worden, alle Daten seien gelöscht und ein weiterer Einsatz nicht geplant.

1,7 Milliarden digitale Fingerabdrücke

Ein zweites Unternehmen, das auf die Nachspür-Methode setzt, ist die Firma AddThis: Sie stellt für Webseitenbetreiber ein kleines Programm zur Verfügung, mit dem die Nutzer Inhalte ganz leicht in Social-Media-Dienste wie Twitter, Facebook oder Instagram verteilen können. Dass sie dabei auch eine Menge über die Nutzer und deren Interessen erfahren, dürfte für AddThis bares Geld wert sein – denn AddThis verdient sein Geld unter anderem damit, dass es diese Daten Werbetreibenden zur Verfügung stellt: Für 1,7 Milliarden individuelle Browserprofile hat AddThis laut eigener Aussage digitale Fingerabdrücke gesammelt. Unter anderem auf 48 Regierungswebseiten, darunter whitehouse.gov – das digitale Zuhause des US-Präsidenten.

Gegen diese digitalen Fingerabdrücke sind die Nutzer derzeit fast machtlos: Wenn Javascript ausgeschaltet ist, funktionieren sie nicht aber auch beliebte Websites wie Facebook gehen dann nicht mehr. Und die Debatte darum, welche Werbetechniken im Netz zulässig sind, ist damit noch längst nicht am Ende. Die nächste Runde steht schon an: Werbedienstleister wie die Firma Krux versprechen, dass mit ihren Datenbanken Anwender selbst bei der Nutzung verschiedene Geräte wie Computer, Smartphone und Tablet identifizierbar wären. Das konnten bislang nicht einmal die nun von den US-amerikanischen und belgischen Forschern identifizierten digitalen Fingerabdruck-Sammler.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

5 Kommentare

 / 
  • 7G
    786 (Profil gelöscht)

    Der derzeit einzige vernünftige Schutz gegen all diesen Kram ist Ghostery.

  • Wie Rainer B. schreibt, weisen meine Addware-Blocker taz.de als eine besonders aggressiv werbende Seite aus. Unterschiedliche Werbefirmen klauen vor allem Rechenzeit und Bandbreite. Wie viel Nutzinformation steht wie viel Zeilen Code gegenüber, das mein Verhalten beeinflussen möchte? Auch wenn es schwer ist, das Blatt zu finanzieren, sollten die Werbepartner sorgfältig ausgewählt werden. Ich habe schon die Frequenz bei Seiten verringert, die zu sehr zugemüllt sind mit Werbe-Scripten.

  • Und dann wäre da ja auch noch die taz zu nennen, die vor einigen Tagen von ihrem Rechner mit der IP: 193.104.220.6 einen Port Scan auf mein System startete.

  • Was waere mit geteilten Konfigurationen bzw. einem Satz an Standardkonfigurationen? Sollte dann bei hinreichend vielen Nutzern nicht das Bild verschwimmen?

  • Na dann sollte man einfach JavaScript deaktivieren bzw. ein Add-on wie NoScript installieren.

     

    Gute Websites (also im Sinne von "im Gegenteil zu böse") sollten sowieso schauen, dass man möglichst die Seite auch ohne JavaScript nutzen kann.