Browser Fingerprint und Datenschutz im Web

Viele Menschen machen sich eher weniger Gedanken um ihren Datenschutz und wenige machen sich welche, habe jedoch wenig Ahnung von der Materie.

Fakt ist, jeder Browser besitzt einen ziemlich eindeutigen Fingerabdruck. Da könnt ihr machen was ihr wollt, selbst VPN, Sandboxen oder Plugins, die den Datenschutz verbessern sollen, ändern dran nichts. Selbst wenn ihr „Do not Track“ im Browser aktiviert habt und alle Cookies ablehnt, ist dennoch der Fingerprint des Browsers sichtbar. Interessanterweise wird der Fingerabdruck je einzigartiger, je mehr jemand seinen Browser individualisiert. Jede Option, die den Browser vom Original-Zustand entfernt macht den Fingerprint des Browsers einzigartiger.

Jedes einzelne Attribut in der Konfiguration des Browsers macht den Fingerabdruck eindeutiger und der eine oder andere wird erschrocken sein, wie eindeutig sein Browser-Fingerabdruck ist.

Das Thema wird auch so gut wie nie öffentlich zur Debatte gestellt, obwohl es unserer Meinung nach eines der größten Datenschutz-Probleme überhaupt darstellt. Ich meine, welchen Sinn hat Datenschutz überhaupt mit diesem ganzen DSGVO-Brimborium, wenn Dank Browser-Fingerprint trotzdem fast jeder einem Daten-Profil zugeordnet werden kann? Hier herrscht eine Informationslücke.

Die ersten Fragen die sich jeder vernünftige Mensch stellen muss lauten, warum wird ein Fingerprint überhaupt angelegt? Warum wurden Algorithmen entwickelt, die den Fingerprint automatisch erzeugen, auslesen und dann Daten zu diesem Fingerprint speichern? Sicher gibt es hier, je nachdem wo man anfragt, eine andere Antwort. Im Sinne des Datenschutzes kann dieses Browser-Fingerprinting jedoch nicht sein.

Wahrscheinlich sind die meisten Datenschutzbeauftragten, technisch gesehen, mit dieser Thematik nicht vertraut, denn anders können wir uns nicht erklären, warum aus deren Reihen zu diesem Thema kein einziges Wort kommt.

Auch gut zu wissen ist, dass der Fingerprint des Browsers im Grunde nur den großen Tech-Konzernen dient. Nur diesen haben die verknüpfenden Technologien, um das alles abzugleichen. Ein Webserver kann diesen Fingerprint zwar auch erzeugen, aber letztlich hätte er dort keine andere als die Wiedererkennungsfunktion. Erst im Zusammenhang mit zugeordneten Profilen, welche Domain übergreifend Browser verfolgen wird der Fingerprint des Browsers kritisch.

Wer noch etwas mehr fachbezogene Informationen zum Fingerprinting des Browsers benötigt, findet hier eine gute Publikation dazu:
https://coveryourtracks.eff.org/static/browser-uniqueness.pdf

Dem Thema kann man sich gut annähern, wenn man den Begriff „Browser-Isolation“ recherchiert.

Einige Menschen glauben, allein die Auswahl des richtigen Browsers bringt hier eine wirkliche Lösung, doch das ist nicht so. Selbst beim so hochgelobten Brave Browser in seiner strengsten Einstellung entstehen trackbaren Daten.

Hier ein gutes Video zum Thema „Hilft Brave gegen das Browser Fingerprinting?“

Da es offensichtlich nicht möglich ist das Fingerprint des Browsers komplett zu unterbinden und wir aktuell einsehen müssen, dass es da keine technische Möglichkeit gibt das 100%ig zu verhindern, müssen wir uns fragen, was können wir dann tun?

Im Prinzip ist diese Frage leicht zu beantworten. Verändere dein Verhalten und damit die Art und Weise wie du online agierst.
Da hauptsächlich die großen Tech-Konzerne diese Fingerprints des Browsers verwenden und auswerten, um jeden zu durchleuchten muss man hier klipp und klar sagen. Die erste Maßnahme wäre, sich von diesen zu verabschieden. Das jedoch kommt für viele aus unterschiedlichen Gründen nicht in Frage, also müssen wir unser Profil aufsplitten und damit die Datenbasis selbst in unseren Fokus rücken. Niemand dürfte bezweifeln, dass 5 oder 6 Browser-Fingerprints weniger aussagekräftig sind als nur einer.
So könnten wir für jede Kategorie von Aktivitäten im Web einen anderen Browser verwenden. Muss jemand unbedingt die großen sozialen Netzwerke verwenden, dann sollte für jedes Netzwerk ein anderer Browser verwendet werden. Ja, es verursacht in der Tat etwas mehr Aufwand, wenn man seinen Datenschutz verbessern will, das sollte es aber jedem wert sein.

Die großen Tech-Konzerne tauschen Daten praktisch in Echtzeit aus und wer hier mehrere Browser verwendet, verwässert seine Datenbasis.

Noch weiter können man sein virtuelles Profil aufteilen, wenn man z.B. eine Sandbox verwendet.
Eine Software-Sandbox isoliert eine eigene Umgebung innerhalb des Betriebssystems. In einer Sandbox kann man sich sogar freiwillig Schadsoftware einfangen, das hätte dennoch keine Auswirkung auf das Betriebssystem und nach dem Reset der Sandbox, befindet diese sich wieder in einen jungfräulichen Ausgangszustand.
So kann man z.B. 1x Firefox mit Sandbox und 1x ohne, für zwei verschiedene Tätigkeiten (online) verwenden. Diese beiden Varianten werden einen unterschiedlichen Fingerprint hervorbringen und da diese beiden als jeweils ein anderes Profil gesehen werden, dürfte es schwer sein, diese in einem Zusammenhang zu bringen.

Ein weiterer Vorteil einer Sandbox oder einer virtuellen Maschine ist es, dass die Sandbox einen direkten Bezug zur Hardware unserer Systeme unterbindet. Gerade bei Apple- und Windows-Systemen ist per Protokoll der Hardware-Layer sehr transparent und niemand weiß wirklich, was alles „nach Hause“ gesendet wird. Bei Linux sieht es naturgemäß etwas besser aus, zumindest für Leute die sich hier auskennen.

Beim Einkaufen (Online-Bestellungen) spielt das Browser-Fingerprint eher eine untergeordnete Rolle, weil den Anbietern ja ohnehin bekannt, ist was ihr gekauft habt. Dennoch sollte man hier immer mit einem frischen Browser online gehen d.h. wenigstens alle Cookies und den Browser-Cache zu leeren. Aus Cookies lassen sich teilweise ganze Romane extrahieren.

Die Browser-Hersteller überbieten sich ständig gegenseitig beim Erfinden von neuen Sicherheits-Funktionen. So lässt sich eine Browser-Isolation sogar im Chrome-Browser selbst aktivieren, jedenfalls soll das so sein …

Gibt dazu in die Addresszeile des Chrome-Browsers ein:
chrome://flags/#enable-site-per-process (Achtung, nur wer weiß, was er tut, sollte hier Optionen verändern!)

Auch die anderen Browser bieten solche Features an.

Falls ihr z.B. beim Chrome das maximale Isolations-Level aktiviert indem er soviel wie möglich verbietet, werdet ihr bemerken, dass es euch zurückwirft in die Ära der 56k Modems :-). Auch verlieren viele Websites ihre Funktionalitäten. Vernünftiges Surfen wird damit eher unmöglich und das System verbraucht enorme Ressourcen, weil praktisch für jede Website eine eigene virtuelle Sandbox angelegt wird.

Wer bei Google nach Browser-Isolation sucht, wird hier Millionen Treffer vorfinden. Das zeigt uns, dass dieses Thema gerade in der IT-Security eine gr0ße Rolle spielt.

Tatsächliche Browser-Isolation erfordert den Einsatz von zusätzlicher Software, eben von virtuellen Maschinen oder Sandbox-Systeme. In meinem Fall hier handelt es sich eher um implizite Browser-Isolation, mit dem Ziel, so wenig wie möglich verknüpfungsfähige Daten zu generieren.

Gerade im Unternehmensbereichen, wo an Arbeitsplätzen sehr viel gesurft wird, sollte hier eine gewisse Sensibilität entstehen, denn das Thema hat durchaus Potential auch Unternehmen zu schaden.

VPN-Software gibt uns weitere Möglichkeiten unsere IP zu verschleiern. Jeder sollte wissen, dass es nicht illegal ist VPN zu verwenden. Es ist auch nicht illegal sich Gedanken um den Datenschutz zu machen. VPN selbst ist aber auch nur bedingt als Zuwachs an Sicherheit zu betrachten. Ihr könnt das testen, wenn ihr eure Geo-Lokalisation aktiv habt. Trotz VPN wird es sehr wahrscheinlich trotzdem möglich sein, euren echten Standort von außen zu triangulieren. Hier spielt auch WLAN eine Rolle. Wenn man es nicht benötigt, sollte WLAN ausgeschaltet sein. Die Router in der Nähe tauschen auch Informationen aus, genau wie Smartphones, und zwar ohne zu fragen. Allein das jeder mit seinem Smartphone WLAN-Netzwerke auslesen kann, beweist, dass die Router per Default sehr gesprächig sind. Das ist natürlich auch erforderlich, sonst könnte niemand mit einem Endgerät einen WLAN joinen.

Was Smartphones so alles tun, kann man sich mit der APP „Network Cell Info“ ansehen. Ich glaube diese gibt es nur für Android.

Hier ist ein Beispiel dafür, wie viele andere Smartphone über diese App „gesehen“ werden können.

Das Ganze wird sogar in Google-Maps sehr präzise angezeigt. Wenn man das Zoomlevel verringert, sieht man sogar die Straßennamen. Sehr genial an dieser App ist, dass man dort sogar sieht, mit welchem Funkmast das Smartphone aktuell verbunden ist.

Es gibt zunehmend Service-Anbieter, die sich des Themas „Browser-Isolation“ widmen und entsprechende Dienste anbieten. Ob das wirklich funktioniert können wir aktuell nicht sagen, weil eben Tatsache ist, solange ein Browser verwendet wird, dieser einen Fingerprint bekommt. Die Cloud-Browser-Lösung von Clouflare geht, zumindest wie es aussieht, in eine gute Richtung.

Im Prinzip wird es mit fortlaufender Entwicklung nahezu unmöglich sein, Herr der eigenen Daten zu bleiben und wir sehen auch nicht, dass hier eine echte breite Basis vorhanden ist, diese Entwicklung zu stoppen.

Bei dieser Gelegenheit möchte ich noch ein sehr gutes Browser-PlugIn erwähnen, welches zumindest die Tracking-Flut stark reduziert. Dieses PlugIn nennt sich „Privacy Badger“.

Es wurde entwickelt von der Electronic Frontier Foundation. Diese Foundation existiert bereits über 30 Jahre und hat sich den Datenschutz, die Privatsphäre und die Meinungsfreiheit auf die Fahnen geschrieben bzw. setzt sich mit der Entwicklung von Software dafür ein, diese zu stärken.

Das genannte Plugin gibt es für Chrome (Brave, Opera), Firefox und Edge. Anders als die meisten Ad-Blocker agiert dieses Tool etwas intelligenter, verhaltensbasiert und erkennt so auch unbekannte Tracker. Die meisten Ads-Blocker haben eine Liste und danach entscheiden diese ob etwas geblockt wird oder nicht. Privacy Badger schlägt erst zu, wenn es sicher ist, dass ein Tracker den User verfolgt.

Webmaster und Webdesigner sollte Ihre eigenen oder gerade bearbeiteten Domain komplett freigeben, sonst kann es zu Funktionsbeeinträchtigungen der Websites kommen. Das kann natürlich auch bei anderen Seiten passieren. Wenn irgend etwas Wichtiges auf einer Website nicht funktioniert, dann muss man sich die Optionen von Privacy Badger ansehen und ggf. eine Funktion freischalten, die das PlugIn selbständig gesperrt hat.

Das sehr bekannte Plugin HTTPS://Everywhere wurde auch von der Electronic Frontier Foundation entwickelt. In Kombination mit dem Privacy Badger haben wir hier eine gute Grundausstattung, um ohne Werbe-Tracking und ausschließlich verschlüsselt im Web unterwegs zu sein.

Im Zusammenspiel mit meinen anderen Tipps, das Fingerprinting des Browsers betreffend, ist man hier schon etwas sicherer im Web unterwegs.

Wer glaubt, Datenschutz ist ein Automatismus, der irrt sich. In erster Linie erfordert es Wissen, um seine eigenen Daten zu schützen. Jeder muss verstehen, dass es keine kriminelle Energie ist, wenn man seine Datenhoheit behalten möchte, vielmehr ist es ein Akt der Vernunft weitesgehend zu verhindern, dass Fremde aus euren Daten Kapital schlagen oder euch sogar schädigen.

Besonders in Unternehmensbereichen wo das Internet stark eingebunden ist, müssen diesen Aspekten Rechnung getragen werden. Die IT, die direkt am Web hängt, ist immer eine sensible Schnittstelle.

Jeder will Daten – der Staat, die Wirtschaft, die Behörden, Kriminelle. Solange es nicht gesetzlich verpflichtent ist, seine Daten freiwillig heraus zugeben, sollte jeder alles möglich dafür tun, seine Datenhoheit zu verbessern. Ohne Daten ist eine Informationsgesellschaft wertlos. Nun wollen wir nicht diese Informationsgesellschaft wertlos machen, sondern nur den Fokus auf den Datenschutz legen. Jeder sollte dafür sensibilisiert werden.