Überwachung durch Werbedienstleister: Cookies sind tot, es lebe Canvas

Weil viele Menschen Cookies blockieren, wird eine neue Technik eingesetzt, um Nutzern nachzuspüren. Prominente deutsche Websites sind betroffen.

Nicht ganz genau, aber wahrscheinlich nah genug dran: ein Bild vom Nutzer. Bild: claudiarndt / photocase.de

BERLIN taz | Eine Webseite aufrufen, für den Nutzer ist das heute einfach. Doch im Hintergrund läuft eine Vielzahl komplexer technischer Prozesse ab – und davon lassen sich einige auch missbrauchen, um die Nutzer fast eindeutig zu identifizieren. Bisher taten sie das mit „Cookies“, kleinen Dateien, die Websites auf den Rechnern der Nutzer speicherten, die aber deshalb auch einfach von Nutzern gelöscht werden können. Nun haben sich Werbedienstleister eine neue Technik einfallen lassen, eine die kaum abgewehrt werden kann.

Die neue Technologie funktioniert so: Auf den besuchten Webseiten läuft ein kleines Programm, das über den Browser und die Art, wie er mit Inhalten wie Bildern umgeht, einen digitalen Fingerabdruck erstellt. Da fast jeder Nutzer einen etwas anders eingerichteten Computer hat, entsteht so eine Signatur – „Canvas“ genannt – und die wird beim Werbedienstleister gespeichert. Surft der Nutzer danach weiter, wird die Prozedur wiederholt – und der Rechner des Nutzers wird wiedererkannt.

Neu ist, welche enormen Anstrengungen die Anbieter dabei unternehmen. „Die Nutzer haben nur begrenzten Einfluss darauf, diese Gefahren einzugrenzen“, schreiben Forscher der Universitäten Berkeley und Leuven in einer aktuellen Studie. Knapp sechs Prozent der beliebtesten 100.000 Seiten im Web setzen die digitale Fingerabdruck-Technologie ein. Das Ziel der Anbieter: möglichst genau sagen zu können, wer wo surft – um den Nutzern dann passende Werbung einzublenden.

Auch 25 deutsche Webangebote setzten die digitale Fingerabdruck-Technologie ein, fanden die Forscher heraus, darunter auch große Seiten wie T-Online und die IT-News-Seite Golem.de. Doch die Schuld liegt wohl nicht direkt bei den Betreibern, sondern bei den von ihnen beauftragten Werbedienstleistern.

In den meisten Fällen der betroffenen deutschen Webseiten handelt es sich um den Werbedienstleister Ligatus. Der erklärt, dass man die Technik ausschließlich zu Testzwecken eingesetzt habe, „ohne Rückschlussmöglichkeit auf konkrete User“. Golem.de erklärte, dass sie vom Einsatz der neuen Technik nicht informiert worden seien. Laut Ligatus ist der Test beendet worden, alle Daten seien gelöscht und ein weiterer Einsatz nicht geplant.

1,7 Milliarden digitale Fingerabdrücke

Ein zweites Unternehmen, das auf die Nachspür-Methode setzt, ist die Firma AddThis: Sie stellt für Webseitenbetreiber ein kleines Programm zur Verfügung, mit dem die Nutzer Inhalte ganz leicht in Social-Media-Dienste wie Twitter, Facebook oder Instagram verteilen können. Dass sie dabei auch eine Menge über die Nutzer und deren Interessen erfahren, dürfte für AddThis bares Geld wert sein – denn AddThis verdient sein Geld unter anderem damit, dass es diese Daten Werbetreibenden zur Verfügung stellt: Für 1,7 Milliarden individuelle Browserprofile hat AddThis laut eigener Aussage digitale Fingerabdrücke gesammelt. Unter anderem auf 48 Regierungswebseiten, darunter whitehouse.gov – das digitale Zuhause des US-Präsidenten.

Gegen diese digitalen Fingerabdrücke sind die Nutzer derzeit fast machtlos: Wenn Javascript ausgeschaltet ist, funktionieren sie nicht aber auch beliebte Websites wie Facebook gehen dann nicht mehr. Und die Debatte darum, welche Werbetechniken im Netz zulässig sind, ist damit noch längst nicht am Ende. Die nächste Runde steht schon an: Werbedienstleister wie die Firma Krux versprechen, dass mit ihren Datenbanken Anwender selbst bei der Nutzung verschiedene Geräte wie Computer, Smartphone und Tablet identifizierbar wären. Das konnten bislang nicht einmal die nun von den US-amerikanischen und belgischen Forschern identifizierten digitalen Fingerabdruck-Sammler.