Privatsphäre ade: So entsteht der Fingerabdruck im Browser

Man sollte annehmen, dass die Browser zumindest im privaten Modus nicht ganz so freizügig mit den Informationen sind, die sie an fremde Websites übermitteln. Die Bilder 9 und 10 beweisen jedoch das Gegenteil. Sowohl Firefox 3.6 als auch Internet Explorer 8 senden im privaten Modus exakt dieselben Parameter wie im Normalmodus.

Das Hinterhältige an den abfragbaren Browserparametern ist, dass sie von jeder Website abgerufen werden können. Das macht sie gefährlicher als Cookies.

Wenn die Website example.com ein Cookie beim Benutzer setzt, dann kann dieses Cookie nur von example.com abgefragt werden. Andere Websites haben bei modernen Browser mit den Default-Sicherheitseinstellungen keine Chance. Angriffe auf fremde Cookies sind nur durch Modifikation der Namensauflösung wie DNS-Spoofing oder Modifikation der Hosts-Datei möglich.

Denkbar ist beispielsweise, dass ein Online-Händler, bei dem man Liefer- und Rechnungsanschrift hinterlegt hat, in finanziellen Schwierigkeiten steckt und die Browserparameter seiner Kunden sammelt und zusammen mit Name und Anschrift verkauft. Ebenso ist ein Hackerangriff auf eine seriöse Site denkbar, bei der man seine Adressdaten angegeben hat.

Der Aufbau einer solchen Datenbank mit Browser-Fingerprints ist nicht nur für Cyberkriminelle sehr wertvoll. Auch Ermittlungsbehörden aus dem In- und Ausland könnten ein Interesse daran haben, solche Datenbanken einzusetzen, wenn ein Nutzer seine IP-Adresse verschleiert.

Ein Interesse an Browser-Fingerprints könnten auch P2P-Schnüffelfirmen haben. Wenn sie Filesharer auf ihre eigene Webseite locken, können sie mit hoher Wahrscheinlichkeit "Wiederholungstäter" identifizieren, die gegen eine strafbewährte Unterlassungserklärung verstoßen. In diesem Fall lassen sich statt Abmahnungen hohe Vertragsstrafen einklagen.