Der Fingerabdruck im Netz
FAU-Informatiker untersucht Methoden gegen Ausspähung im Netz durch Browserfingerprinting
Es gibt verschiedene Möglichkeiten, seine Daten im Netz zu schützen. Was viele jedoch nicht wissen: Alleine durch die Informationen, die der Nutzer über seinen Browser preisgibt, lässt sich ein nahezu einmaliger digitaler Fingerabdruck erstellen, mit dem man ihn jederzeit wiedererkennen kann. Kann man sich vor dem sogenannten Browserfingerprinting schützen? Tim Grocki, Student am Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen) der FAU, hat in seiner Masterarbeit Möglichkeiten untersucht, sich der Ausspähung zu entziehen.
Die Kombination von Daten macht den digitalen Fingerabdruck einzigartig
Betreiber von Webseiten können Informationen zu den Browsern der Seitenbesucher auslesen. Die Fülle an Informationen, die der Nutzer über seinen Browser preisgibt, ist enorm und in ihrer Kombination so einzigartig, dass er immer wieder erkannt werden kann. Installierte Schriftarten, Browsersoftware, Betriebssystem, Bildschirmauflösung, Farbeinstellungen, Plug-Ins – dies alles und weiteres können Seitenbetreiber über den Browser ablesen und anhand dieser Informationen Nutzer wiedererkennen, was vor allem für Werbezwecke genutzt wird.
Schutzstrategien haben ihre Grenzen und Nachteile
Gegen das Browserfingerprinting gibt es verschiedene Strategien, wie beispielsweise das Deaktivieren von JavaScript, das Verwenden von Standardeinstellungen oder das Imitieren weitverbreiteter Fingerprints, also viel genutzte Konfigurationen des Browsers. „Solche Schutzstrategien haben ihre Grenzen und Nachteile. Alle Methoden umfassend zu testen und auszuwerten stellt einen wichtigen Beitrag für IT-Sicherheit und Datenschutz dar“, bewertet Prof. Dr. Felix Freiling, Inhaber des Lehrstuhls für Informatik 1, die Masterarbeit. „In seiner Masterarbeit hat Tim Grocki die Effizienz der verschiedenen Strategien gegen Browserfingerprinting untersucht und dabei herausgefunden: Einzelne Strategien können keinen umfassenden Schutz bieten.“, so die Betreuerin der Arbeit, Dr. Zinaida Benenson.
Abtauchen in der Masse geht nicht
Durch JavaScript können Seitenbetreiber Informationen über den Browser auslesen. JavaScript zu deaktivieren hat den Nachteil, dass die meisten Nutzer JavaScript aktiviert haben, sodass ein Nutzer mit deaktiviertem JavaScript auffällt und auf diese Weise wiedererkannt wird. Auch die Art und Weise mit der JavaScript deaktiviert wird, zum Beispiel mit der Anwendung NoScript, kann zur Unterscheidung der Nutzer herangezogen werden. Außerdem gibt der Nutzer auch ohne aktiviertes JavaScript noch Informationen preis, die bei gekonnter Auswertung genügen, um einen Fingerprint zu erstellen.
Eine andere Methode ist, die eigenen Einstellungen so anzupassen, dass sie einem häufigen Fingerprint entsprechen und der Nutzer so in der Masse untertauchen kann. Gegen diese Methode spricht, dass selbst die häufigsten Fingerprints nur sehr selten vorkommen und auch die Informationen zu häufigen Fingerprintmodellen bis jetzt nur im Ansatz vorhanden sind.
Da das Browserfingerprinting auf der Möglichkeit, Browser anhand ihrer Browserkonfiguration zu unterscheiden, basiert, wäre eine Standardisierung der Einstellungen eine denkbare Methode, um sich vor Ausspähung zu schützen. Hätten alle Nutzer die gleichen Einstellungen, kann man sie nicht mehr unterscheiden. Aber natürlich haben Nutzer nun mal unterschiedliche Anforderungen an ihre Browser und damit eine Standardisierung sinnvoll wäre müssten genügend Nutzer mitmachen. Weiter spricht gegen diese Methode, dass die Menge an zu standardisierenden Informationen enorm groß wäre, und entsprechend aufwendig ist.
Die Empfehlung: verschiedene Schutzmaßnahmen kombinieren
Da die gängigen Strategien gegen Browserfingerprinting nur unzureichenden Schutz bieten, empfiehlt Grocki eine Kombination aus den aufgeführten Maßnahmen. Ein wirklich hundertprozentiger Schutz ist allerdings auch dann nicht gegeben. Browserfingerprinting bleibt damit ein ungelöstes Problem, auch sind einfache Mittel gegen diese Form des Webtrackings nicht abzusehen. „Neben weiterer Forschung könnte aber auch gesellschaftlich durch die Politik, Webseitenbetreiber und normale Nutzer auf nicht-technische Weise gegen Browserfingerprinting vorgegangen werden. So könnte Browserfingerprinting beispielsweise verboten, boykottiert oder geächtet werden“, so Grocki.
Weitere Informationen:
Dr. Zinaida Benenson
Tel.: 09131/85-69908
zinaida.benenson@cs.fau.de