Doch bislang ließ sich die gängigste Tracking-Methode leicht umgehen: Cookies heißen die Dateien, die beim Aufrufen einer Webseite auf dem Rechner des Nutzers abgespeichert werden, um diesen beim nächsten Besuch wiederzuerkennen. Die kleinen Spione lassen sich aber jederzeit wieder löschen oder vom Nutzer sogar ganz abschalten. Auf der Suche nach einer Cookie-Alternative ist die Werbebranche nun offenbar fündig geworden.

Auf tausenden beliebten Webseiten kommt inzwischen eine neue, besonders hartnäckige Technologie namens "Canvas Fingerprinting" zum Einsatz, wie Forscher aus Belgien und den USA feststellten. Wie das Canvas Fingerprinting funktioniert, erklärt das IT-Portal Golem: Besucht ein Anwender eine Seite, sendet sein Browser automatisch bestimmte Daten an die Webseite, um diese korrekt anzeigen zu können. Die Webseite weiß daher etwa, welche Zusatzprogramme ("Plugins") oder welche Schriftarten auf dem Rechner des Besuchers installiert sind. Aus diesen Daten generiert die Seite beim Fingerprinting einen für den Nutzer unsichtbaren Code, quasi ein unverwechselbarer Fingerabdruck (engl.: fingerprint), den der Besucher hinterlässt.

Das Perfide: Da der Fingerabdruck nicht auf dem eigenen Rechner abgespeichert wird, können Nutzer das Fingerprinting kaum unterbinden, kritisieren die Forscher um Gunes Acar von der Universität Leuven. "Selbst bewanderte Nutzer dürften vor großen Schwierigkeiten stehen, wenn sie dem Tracking ausweichen wollen", so die Wissenschaftler .

Das Grundprinzip des Fingerprintings ist seit 2010 bekannt. Doch nun wurde erstmals sein breiter Einsatz nachgewiesen, heißt es in der aktuellen Studie. Mehr als fünf Prozent der 100 000 meistbesuchten Webseiten nutzen sie, so das Ergebnis der Forscher. Darunter hunderte pornografische Seiten, Webseiten der US-Regierung, aber auch deutschsprachige Nachrichtenportale wie etwa t-online.de oder computerbild.de.

Die Werber sind schuld

Viele Webseiten-Betreiber reagierten sofort. Nachdem die US-Seite "ProPublica" von den Forschungsergebnissen berichtet hatte, entfernten sie die Technologie aus ihren Auftritten. Die Daten wurden allerdings nicht von den Betreibern der Webseiten selbst gesammelt, sondern größtenteils von Drittfirmen, die für die Werbung zuständig sind, darunter insbesondere die US-Firma AddThis.

Auch die deutsche Firma Ligatus taucht in der Untersuchung auf, ihr Code fand sich auf 115 Webseiten . Das Kölner Unternehmen erklärt, das Fingerprinting sei nur testweise eingesetzt worden, die Daten seien mittlerweile gelöscht. Allerdings habe man den Code nicht sofort nach dem Ende des Tests wieder entfernt - und den Website-Betreibern nichts von dem Experiment erzählt. "Unser großer Fehler bestand darin, dass wir die Webseiten , mit denen wir zusammenarbeiten, nicht über diesen Test informiert haben", sagt Ligatus-Geschäftsführer Lars Hasselbach . Er versicherte, üblicherweise kein Fingerprinting einzusetzen. Dennoch gab er zu, dass die Technik "fast schon Marktstandard im Online-Marketing" sei.

Wie Golem erklärt, ist die einzige wirksame Gegenmaßnahme das Deaktivieren von Javascript - einer weit verbreiteten Browsertechnologie, ohne die der Fingerabdruck nicht gespeichert werden kann. Das Problem: Ohne Javascript funktionieren viele Webseiten überhaupt nicht.