Der Fingerabdruck der Internet-Browser
Browser verraten ihre Nutzer auf Schritt und Tritt. Dabei spielt ihre Herkunft keine Rolle: Ob Internet Explorer, Firefox, Safari oder Chrome - jeder kann so individuell konfiguriert sein, dass Website-Betreiber auf die Identität seiner Nutzer schließen können. Die US-Bürgerrechtsbewegung Electronic Frontier Foundation (EFF) führt das nun mit dem vor kurzem veröffentlichten Tool Panopticlick vor.
Panopticlick ist ein Augenöffner. Für alle, denen ihre Privatsphäre im Netz wichtig ist. Denn das kleine Tool, das die digitalen Bürgerrechtler der amerikanischen EFF auf die Beine stellten, zeigt: Du bist identifizierbar. Mit den Daten, die dein Browser jeder Website übermittelt.
Insbesondere das Weltbild derjenigen, die glaubten, es genüge, den Privacy-Mode ihres Firefox-Browsers anzuwerfen, die allgegenwärtigen Cookies auszuschalten und nur noch über verschlüsselte Kommunikationstunnel wie AN.ON oder Tor mit der Internet-Welt zu verkehren, dürfte Panopticlick nachhaltig erschüttern. Denn der sechs bis acht Sekunden dauernde Browser-Test enthüllt, was ihren Browser so einzigartig macht.
Plug-ins und Rechnerkonfiguration
Mit seinem Download wird jeder Browser erst einmal so heruntergeladen, wie ihn seine Entwickler geschaffen haben. Er unterscheidet sich nur durch seine Versionsnummer von anderen seiner Art. Sobald der Nutzer aber anfängt, Plug-ins zu installieren, verändert sich das Profil seines Browsers. Das nächste Identifikationsmerkmal ist die Rechnerkonfiguration des Nutzers: Der Anwender hat ein bestimmtes Betriebssystem wie etwa Windows XP installiert, das verschiedene Library- und Komponentenversionen verwendet.
Der "User Agent" des Browsers liest diese Angaben aus, die sich als Puzzlestückchen zu einem individuellen Bild zusammensetzen lassen. Die Zusammensetzung dieser Angaben kann so unterschiedlich sein, dass sie beispielsweise nur auf einen Nutzer von 91.141 Nutzern zutreffen, die die jeweilige Website besucht haben. Dieses Zahlenverhältnis ermittelte die EFF aus ihrer Datenbank mit über fünf Millionen Einträgen, die sie aus eigenen, anonymisierten Besucherstatistiken erstellt hat.
Schrifttypen als Identifikationsmerkmal
Hinzu kommt aber noch ein weiteres Identitätsmerkmal: Die auf dem Rechner installierten Schrifttypen, also System-Fonts wie Arial, Georgia oder Courier. Diese Schrifttypen verwendet der Browser, um die Texte einer Website darzustellen. Im Laufe seines Lebens hat der Nutzer durch diverse Installationen einen recht individuellen Font-Mix erworben. So kann es sein, dass der Nutzer sich etwa von 60.761 anderen Nutzern unterscheidet.
Ob der Internet-Nutzer hingegen Cookies akzeptiert oder nicht, spielt für die Identifizierung per Browser keine Rolle – hier kann es sein, dass der Nutzer so handelt wie die meisten anderen Nutzer: Einer von 1,14 Nutzern soll Cookies akzeptieren. Ebenfalls wenig individuell sind weitere Angaben zur Zeitzone und Bildschirmgröße.
Wie einzelne Chromosomen
Die Angaben, die der "User Agent" des Browser ausliest, sind wie einzelne Chromosomen, die zu einer höchst individuellen DNA-Kette zusammengesetzt werden können – und letztlich einen digitalen Fingerabdruck ergeben. Peter Eckersley, der Panopticlick mitentwickelt hat, sagt: "Es ist erstaunlich, wie gut die 'User Agent'-Datenstränge einzelne Nutzer identifizieren können." Die Informationsstränge sind zwischen fünf und 15 Bits lang, durchschnittlich liest der Nutzeragent 10,5 Bits aus. Eckersley: "Das ist ein Drittel der Information, die notwendig ist, um einen Internet-Nutzer zu identifizieren."
"Richtiges Datenschutzproblem"
Je individueller die Konfiguration ist, desto länger wird der Informationsstrang. Die im Test von futurzone.ORF.at angefallenen 16,48 Bits etwa sorgen dafür, dass sich derjenige Nutzer von 91.141 Nutzern unterscheidet. Für Eckersley steht fest: "Der 'User Agent' an sich kann Cookies nicht ersetzen und die Leute perfekt verfolgen. Doch in Kombination mit anderen Details wie etwa dem Ort oder einem ungewöhnlichen Browser-Plug-in könnte der 'User Agent' zu einem richtigen Datenschutzproblem werden."
(Christiane Schulzki-Haddouti)