#Angsteinflößend: Neue Tracking-Methode ignoriert jegliche Datenschutzmaßnahmen

Eine neue Tracking-Methode, die von den Sicherheitsexperten von FingerprintJS entdeckt wurde, ermöglicht es, Nutzer browserübergreifend auszuspionieren – und zwar auch dann, wenn explizit Anti-Tracking-Maßnahmen zum Einsatz kommen. Weder ein anderer Browser, noch der Inkognito-Modus oder ein VPN-Dienst können das Tracking verhindern. Dank der als Scheme Flooding getauften Vorgehensweise können Dritte dich gezielt identifizieren und gleichzeitig unter Umständen sogar demografische Daten zu deiner Person erhalten. Besonders brisant: Selbst der speziell zum Wahren der Anonymität entwickelte Tor-Browser, bot bis vor Kurzem noch keinen Schutz.

Scheme Flooding: Funktionsweise der Tracking-Methode

Spätestens seit Homeoffice und Homeschooling zum Alltag wurden, sollte jedem das kleine Pop-up-Fenster ein Begriff sein, das um eine Erlaubnis bittet, eine Anwendung – beispielsweise Zoom, Slack, Steam oder WhatsApp – aus dem Browser heraus zu öffnen.

Sobald ein solches Pop-up-Fenster erscheint, identifiziert JavaScript es und der Hacker weiß, dass die entsprechende Anwendung auf deinem Rechner installiert ist. Nun muss man sich folgendes vorstellen: Man nehme 100 Anwendungen und prüfe, welche davon auf deinem Computer installiert sind. Daraus ergibt sich eine spezifische Anwendungs-Kombination – vergleichbar mit einer Identifikationsnummer –, die sich lediglich wenigen Nutzern oder sogar nur dir zuordnen lässt. Und sollte die Software dieselbe Kombination in einem anderen Browser oder gar über eine andere IP entdecken, dann können dich die Hacker trotzdem identifizieren.

Weiterhin kann eine solche Anwendungs-Kombination natürlich auch gewisse Hinweise auf deine demografischen Daten geben. Die Mehrheit derer, die die Internet-Vertriebsplattform für Computerspiele Steam auf ihren Rechnern installiert haben, dürfte beispielsweise relativ jung sein. Diejenigen, die Slack nutzen, müssten sich dagegen größtenteils bereits im arbeitsfähigen Alter befinden. Allein durch eine Kombination der beiden Faktoren lassen sich beispielsweise junge Erwachsene herausfiltern. Und je mehr Daten man analysiert, desto genauer wird das Benutzerprofil, das Dritte anschließend beispielsweise für zielgerichtete Werbung nutzen könnten.

Die Experten von FingerprintJS haben eine Demo-Website erstellt, die 24 Anwendungen überprüft. Bei unserem Selbsttest identifizierte die Website acht Programme und ordnete uns anschließend eine einzigartige Nummer zu. Das bedeutet, dass aus bis dato 62.974 Tests nur wir diese bestimmte Anwendungs-Kombination aufwiesen. Folglich identifizierte die Software uns nicht einmal als Teil einer kleinen Gruppe, sondern als Individuum.

Alle wichtigen Browser sind betroffen

Technisch variiert die oben beschriebene Vorgehensweise je nach Browser etwas voneinander. Doch weder Chrome, noch Safari, Firefox oder Tor konnten laut FingerprintJS ausreichenden Schutz bieten. Die Sicherheitsexperten informierten die dazugehörigen Unternehmen, doch bis jetzt hat nur Tor die Lücke geschlossen. Nutzern des Sicherheitsbrowsers empfiehlt sich daher, das Update auf Versionsnummer 10.0.17 schnellstmöglich durchzuführen. Andernfalls kann derzeit allenfalls ein zweiter Rechner Schutz vor der Schwachstelle bieten. Ob Dritte die Browser-Schwachstellen bereits in der Praxis missbraucht haben, ist allerdings nicht bekannt.