Sonstiges

Panopticlick: Wenn der Browser mehr verrät, als IP-Adresse und Cookies

Panopticlick

Vor Kurzem hatte die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) ein wissenschaftliches Projekt namens „Panopticlick“ vorgestellt. Hierbei handelt es sich um ein Verfahren, das den vom User verwendeten Browser untersucht, um dann Rückschlüsse auf seine Identität zu ziehen. Während für gewöhnlich hierzu die IP-Adresse oder Browser-Cookies verwendet werden (die der User bei Bedarf über Proxy-Server verschleiern beziehungsweise deaktivieren kann), macht sich „Panopticlick“ diejenigen Informationen zunutze, die der Browser selbst liefert – durch seinen digitalen Fingerabdruck sozusagen.

In Prinzip funktioniert diese Art der Identifizierung sehr einfach: Jeder User passt den verwendeten Browser seinen eigenen Wünschen gemäß an. Er installiert Plug-ins, Add-Ons, verwendet ausgewählte Schriftarten und so weiter. Diese individuellen Einstellungen unterscheiden ihn natürlich von denen anderer User. „Panopticlick“ kann diese Daten nun bei jedem Web-Besuch auslesen, und nicht nur diese. Zusammen mit den standardmäßig vom Browser verschickten Informationen im sogenannten User Agent (Name des Browsers und dessen Versionsnummer sowie das Betriebssystem, nachfolgend ein Screenshot meines User Agents ) lässt sich anhand einer mathematischen Methode (Entropie) die „Einzigartigkeit“ eine Users errechnen. Und je einzigartiger er ist, desto sicherer lässt er sich identifizieren (siehe Bild oben). 

User Agent

Ich bin mir sicher, dass es auch hier die Möglichkeit gibt, unter dem Radar zu fliegen, sich also für diese Form der „Überwachung“ unsichtbar zu machen (etwa indem als man Verwender von Microsoft-Produkten ein wenig in der Windows-Registry rumschraubt – wer es besser weiß, kann es gerne in den Kommentaren posten). Der Otto-Normal-User wird dies aber kaum tun beziehungsweise zu bewerkstelligen wissen.

Umso wichtiger finde ich daher einen Beschluss, der vor einigen Tagen in den USA gefasst wurde, in den Medien aber kaum Beachtung fand und auch hier auf dem Blog wenig Resonanz erhielt. Es handelt sich dabei um die Einführung eines Icons („Power I„), das zukünftig Online-Ads angefügt werden soll. Hierdurch sollen große Unternehmen wie Google oder Microsoft dazu gezwungen werden, offenzulegen, wie sie an die Daten der User gelangen, auf deren Basis sie ihm die jeweilige Werbung präsentieren. Wird dieser Beschluss in letzter Konsequenz durchgeführt, müsste jeder User auch über jene Daten informiert werden, die auf oben beschriebene Weise gewonnen wurden. Dies würde nicht nur für Transparenz sorgen, sondern möglicherweise auch das Gespür der Menschen dafür sensibilisieren, wem wie sie wo welche Daten von sich offenbaren.

Die Zahl jener User steigt, die sich nicht nur dann Sorgen um den Datenschutz machen, wenn mal wieder ein neues Leck bei Facebook publik wird (Panne im neuen Dashboard sorgt dafür, dass die letzten Applikationen, die meine „Freunde“ genutzt haben, für mich einsehbar sind, ob die es wollen oder nicht). Ein guter Hinweis darauf ist die Existenz der Suchmaschine Startpage, die ihren Usern ein anonymes Surf-Erlebnis verspricht, ohne Speicherung ihrer Daten oder des Surfverhaltens. Die Nachfrage ist also offenbar da. Inwieweit Startpage sein Versprechen aber halten kann oder will, steht auf einem anderen Blatt.

(Marek Hoffmann)

Über den Autor

Marek Hoffmann

Marek Hoffmann hat von 2009 bis 2010 über 750 Artikel für BASIC thinking geschrieben und veröffentlicht.

15 Kommentare