Studie zum digitalen Fingerabdruck: Bitte zurückverfolgen!

Für Ämter und Behörden bezeugt der Fingerabdruck die Identität einer Person. Im Internet fehlt es aber bislang an einer sicheren Methode, vom Nutzer auf die reale Person zu schließen. Gott sei Dank, sagen Datenschützer. Leider, sagen Werbeunternehmer. Zwischen diesen beiden Polen bewegen sich jene, die finden, eine Zuordnung von Rechner und Person berge nicht nur die Gefahr personalisierter Werbung, sondern auch die Chance, den Missbrauch von Daten zu verhindern.

Von letzterem ist Henning Tillmann überzeugt. Der 28-jährige Informatik-Student an der Humboldt-Universität Berlin referierte vergangene Woche auf der Bloggerkonferenz „re:publica“ über das Ende der Cookies. Und über alternative Wege, das Surfverhalten von Internet-Usern auszuwerten. Cookies sind kleine Textbausteine, mit deren Hilfe Werbedienstanbieter, die Werbebanner auf verschiedenen Internetseiten geschaltet haben, das Surfgewohnheiten einzelner Personen analysieren – und dementsprechend maßgeschneiderte Werbung platzieren.

Auf der Suche nach Alternativen zu Cookies

Da man Cookies deaktivieren kann und nun der beliebte Browser Mozilla Firefox ab der Version 22 standardmäßig Cookies von Drittanbietern blockieren will, ist die Werbebranche eifrig auf der Suche nach Alternativen. Eine davon ist das Browser Fingerprinting – das Auslesen der Datenspur, die der Nutzer beim Surfen im Netz hinterlässt. „Werbenetzwerke haben natürlich ein sehr großes Interesse daran“, sagte Henning Tillmann der taz.

Warum das so ist, zeigen Tillmanns Forschungsergebnisse. Anhand der Browser-Spuren ist die eindeutige Identifizierung von Nutzern weitgehend möglich. Von den 17.937 Fingerabdrücken, die Tillmann im Rahmen seiner Diplomarbeit auswertete, sind 92 Prozent einzigartig. Eine Verwechslung untereinander kann durch die einmalige Kombination verschiedener Rechner-Einstellungen – Betriebssystem, Browserkonfiguration, Bildschirmauflösung, installierte Plugins, die Zeitzone, Hintergrundfarben oder Schriftarten – ausgeschlossen werden. Über viele dieser Einstellungen informiert der Browser ungefragt. Andere können von alltäglichen Web-Skriptsprachen wie Javascript oder Flash ausgelesen werden.

Wiedererkennungsquote 90 Prozent

Selbst nach drei geänderten Einstellungen liegt die Wiedererkennungsquote bei immerhin 90 Prozent. Ein Rechner kann also auch noch dann identifiziert werden, wenn beispielsweise Software-Updates seinen Fingerabdruck leicht abgeändert haben. „Richtigen Schutz vor Browser-Fingerprinting gibt es kaum“, bilanziert Tillmann. Die einzige Möglichkeit bestünde darin, zum Surfen einen Rechner mit Standard-Einstellungen des Herstellers zu verwenden. Denn jedes zusätzlich installierte Plugin, jede besondere Schriftart macht einen Rechner unterscheidbarer – Modifikationen, auf die kaum ein Nutzer verzichten möchte.

Für Tillmann ist es deshalb nur eine Frage der Zeit, bis der digitale Fingerabdruck auch in der Werbe-Industrie genutzt wird. Für die Branche wäre das ein großer Fortschritt: Denn im Gegensatz zu den momentan eingesetzten Cookies kann der Fingerprint nicht festgestellt werden, weil bislang keine Software das Auslesen von Browser-Spuren nachweisen kann.

Mit der Identifizierung von Personen anhand seiner Rechner-Spuren ließe sich der Datentransfer im Netz aber auch sicherer machen. Zum Beispiel beim Online-Banking: Dank des Fingerabdrucks könnte die Bank erkennen, ob sich ein Kunde von einem anderen Rechner aus einloggen will und daraufhin eine zusätzliche Verifizierung der Identität abfragen. An solchen Sicherheits-Checks wird bei Facebook und Google getüftelt.

Verstoß gegen bestehendes Datenschutzrecht?

Oberbeck, Sprecher von Google Nordeuropa, beteuert gegenüber der taz, dass Google den Browser-Fingerabdruck noch nicht „für interessensbasierte Dienste“ verwende. Anders formuliert: Die Google-Dienste schalten noch keine personalisierte Werbung, die auf der Auswertung von Browser-Datenspuren beruht. Gegenüber Tillmann haben aber Vertreter der Werbebranche eingeräumt, den Einsatz der Methode ernsthaft in Erwägung zu ziehen. Welche das sind, wollte Tillmann allerdings nicht verraten.

Dabei ist strittig, ob die ungefragte Datenerhebung zu Werbezwecken nicht gegen bestehendes Datenschutzrecht verstoße. Die Frage stellt sich insbesondere dann, wenn die gesammelten Daten Rückschlüsse auf die „natürliche Person“ zulassen, erklärt der IT-Rechtsanwalt Sebastian Kraska. Darunter zählen personenbezogene Daten wie Name oder Anschrift.

Der Rückschluss vom Intenet-Nutzer auf die reale Person ist allerdings jetzt schon leicht möglich. Beispielsweise indem man das Surfverhalten mit den E-Mail-Adressen oder den Benutzernamen von Sozialen Netzwerken abgleicht. Um Bewusstsein für diesen Umstand zu schaffen, sieht Informatiker Tillmann die Wissenschaft in die Pflicht gerufen: „Wir müssen die Nutzer informieren, dass sie alleine durch den Aufruf einer Webseite gewisse Informationen preisgeben.“

Gut möglich, dass der Browser-Fingerabdruck schon bald eingesetzt wird. Sollte sich die Werbeindustrie dazu ähnlich ausschweigen wie zum Einsatz von Cookies, werden Intenet-Nutzer über das Sammeln von Browser-Spuren aber nur spekulieren können.