Auf Tausenden Websites hat ein US-Unternehmen offenbar eine neuartige Tracking-Technik getestet, vor der man sich kaum verstecken kann. Wer nicht möchte, dass Webseitenbetreiber über seine Besuche Protokoll führen, deaktiviert im Browser die Cookies oder löscht sie regelmässig. Doch das Gefühl, damit die eigenen Spuren verwischt zu haben, ist trügerisch. Denn inzwischen existiert eine Methode zur Verfolgung der Online-Aktivitäten, die kaum noch ausgehebelt werden kann. Unter dem Namen "Canvas Fingerprinting" wird sie bereits von Tausenden Websites eingesetzt. Ihre Nutzer reichen nach Angaben von Wissenschaftlern vom Schmuddel-Portal YouPorn bis zum Netzauftritt des Weissen Hauses. Auch t-online.de steht auf der bunt gemischten Liste, die Forscher von der Princeton University und der Universität von Löwen nun veröffentlichten. Die Telekom erklärte auf Anfrage: "Die Deutsche Telekom wusste nichts von der eingesetzten Methode auf t-online.de. Wir werden dem Sachverhalt nachgehen und diese nicht abgestimmte Form des Trackings unterbinden." Die Wissenschaftler haben das bereits seit einiger Zeit grundsätzlich bekannte Funktionsprinzip der Verfolgungs-Software beschrieben und auf Tausenden Websites nachgewiesen. Die Methode funktioniert im Groben so: Die angesteuerte Webseite bringt den Browser des Nutzers dazu, im Hintergrund, unsichtbar für den Nutzer, ein Bild zu erstellen. Die Art und Weise, wie dieses Bild erstellt wird, hängt von einer Reihe von Faktoren ab, etwa vom Rechner und der Browserversion, die der jeweilige Nutzer einsetzt. Da fast jede Browser-Computer-Kombination bei der Erstellung dieses Bildes kleine Unterschiede macht, kann so jeweils eine eindeutig identifizierbare Nummernfolge generiert werden. Mit diesem "Fingerabdruck" sei jeder Computer eindeutig und dauerhaft zu erkennen. Die Technik des "Browser-Fingerprinting" ist an sich nicht neu, doch der Trick mit dem verborgenen Bild scheint das Verfahren noch einfacher und verlässlicher zu machen. Ein russischer Entwickler namens Valentin Wasilyew, der sich schon seit Jahren mit der Technik beschäftigt, sagte "ProPublica" allerdings: "Fingerprinting funktioniert auf Mobilgeräten nicht gut."

Wissenschaftler der Princeton University und der Katholieke Universiteit Leuven haben in einer Studie untersucht, wie weit sogenannte nicht-löschbare Tracking-Techniken bereits im Einsatz sind. Dazu haben sie die Homepages der meistbesuchten 100.000 Sites nach Canvas-Fingerprinting sowie Evercookies durchforstet. Canvas-Fingerprinting macht sich zunutze, dass sich, wenn man die Canvas-API moderner Browser nutzt, subtile Unterschiede beim Rendering desselben Textes ergeben. Diese Unterschiede lassen sich messen und in einen Fingerabdruck umrechnen, mit dem sich der einzelne Browser identifizieren lassen soll. Das Ganze passiere innerhalb eines Sekundenbruchteils und ohne dass der Anwender etwas davon mitkriegt. (...) Evercookies sind schon länger bekannt. Der Ansatz kombiniert mehrere Speichertechniken, um dauerhaft einen eindeutige Kennung im Browser unterzubringen. Dazu zählen unter anderem HTTP-, Flash- und Silverlight-Cookies, HTML5-Techniken wie LocalStorage, und auch ausgefallene Speichermethoden wie Caching mit Hilfe von PNG-Grafiken. Die Forscher bescheiben in ihrer Studie einen neuen Evercookie-Vektor, IndexedDB. Wenn der Benutzer eines dieser Teil-Cookies eines Evercookies löscht, hilft ihm das gar nichts; Evercookies können ihre Einzel-Cookies mit den anderen, nicht gelöschten Cookies wiederherstellen. Der Anwender muss sich also schon sehr gut auskennen, um Evercookies von Hand aus dem Browser zu tilgen. Die Datenschutzfunktionen der Browser genügen dazu nicht. Die Wissenschaftler haben Evercookies auf 10 der 200 meistbesuchten Websites gefunden.