Canvas Fingerprinting: So tappten Websites mit Ligatus in die Tracking-Falle

Vergangene Woche sorgte eine gemeinsam von Forschern der Universitäten Princeton und Löwen (Belgien) durchgeführte Erhebung, die den vermehrten Einsatz neuer Tracking-Methoden belegte, für einiges Aufsehen. Die Wissenschaftler fanden auf 5,5 Prozent der 100.000 weltweit meistbesuchten Seiten hartnäckige Evercookies oder Skripte für das sogenannte Canvas Fingerprinting. Beide lassen sich anders als herkömmliche Cookies nicht ohne weiteres löschen.

Von den unter der Top-Level-Domain .de untersuchten Webseiten verfolgten im Untersuchungszeitraum vom 1. bis 5. Mai 2014 144 Websites Nutzer auf diese Weise – angefangen vom Naturschutzbund Deutschland e.V. (NABU) und der Tierschutzorganisation PETA über die Site des Autoherstellers Peugeot und MSN.de bis hin zu den Webauftritten zahlreicher regionaler Tageszeitungen und Serviceseiten wie wetteronline.de oder IBAN-Rechner.de. Ein Teil davon nutzte zumindest im Zeitraum der Untersuchung den Dienst von Addthis.com – distanzierte sich aber inzwischen davon, darunter zum Beispiel der NABU.

115 der untersuchten Websites – nicht nur mit der Endung .de, sondern auch in der Schweiz, Frankreich den Niederlanden und Polen, wurden von den Forschern als Nutzer des Dienstes Ligatus identifiziert. Darüber waren Anfang Mai auf ihnen Skripte für Canvas Fingerprinting ermittelt worden. Diese 2012 erstmals für das User-Tracking vorgeschlagene Methode macht sich die in modernen Browsern vorhandene Canvas-API zunutze, um durch minimale Abweichungen im Rendering desselben Textes eine Art digitalen Fingerabdruck des Browsers zu erstellen. Der Nutzer merkt davon nichts. Einmal so erfasst, lässt er sich jedoch eindeutig identifizieren – oder zumindest sein Rechner.

Ob das in Deutschland so datenschutzkonform machbar ist, ist höflich gesagt umstritten. Deshalb rieben sich auch zahlreiche Betreiber von Webseiten Anfang der Woche die Augen, als ihr Name auf der Liste der Webseiten mit Canvas Fingerprinting auftauchte. Nicht zuletzt wunderten sie sich, wieso der zu Gruner + Jahr gehörende Dienst Ligatus auf ihrer Website Skripte ausführte.

Einige von ihnen wundern sich immer noch, beziehungsweise prüfen dies gerade, wie sie auf Anfrage von ZDNet mitteilten.

Empörte und entsetzte Website-Betreiber

Zitieren lassen wollen sich allerdings nur wenige. Mutig genug dazu war auf Anfrage von ZDNet aber zum Beispiel Werner Wittmann, Leiter Digitale Medien bei der Olympia-Verlag GmbH, die sich mit ihrem Angebot kicker.de in der Liste der bösen Tracker wiederfinden musste. „Wir pflegen keine direkte Geschäftsbeziehung zu Ligatus, die Werbemitteleinbindungen obliegen unserem Vermarkter. Diesen haben wir nach Kenntniserlangung sofort aufgefordert, alle Ligatus-Einbindungen von kicker.de zu entfernen, was auch unverzüglich geschehen ist.“ Vorher gefragt worden sei man nicht – und falls das geschehen wäre, hätte man es auch nicht erlaubt.

Ähnlich ging es zum Beispiel der Aschendorff Medien GmbH in Münster, die die Westfälischen Nachrichten herausgibt und sich mit wn.de in der Liste der Wissenschaftler wiederfinden musste, sowie Netcologne, dass die Site koeln.de betreibt und damit „vertreten“ ist. Auch von dort hieß es: Nein, keine Info vorab und nein, das hätten wir nicht erlaubt. Und wieder bestand keine direkte Geschäftsbeziehung, sondern hatte der Vermarkter seine Hände im Spiel.

Der habe zwar auch in diesen Fällen stets umgehend reagiert – dennoch hat zum Beispiel Ulrich Babiak, Technischer Leiter von koeln.de, festgelegt, „dass vergleichbare Tests und dergleichen nicht ohne unsere Zustimmung durchgeführt werden“ – so, „wie das eigentlich ohnehin selbstverständlich wäre“, fügt er hinzu. Bei den anderen Website-Betreibern ist aufgrund der ZDNet vorliegenden Stellungnahmen davon auszugehen, dass ähnlich reagiert wurde oder noch wird.

Zum Beispiel erklärt auch Bernhard Bahners, Geschäftsführer von radio.de, wo der Code von Ligatus ebenfalls über einen Vermarktungspartner ausgeliefert wurde, auf Anfrage von ZDNet: „Wir wurden weder vorab noch nach der Beendigung des von Ligatus erwähnten Tests darüber informiert, dass radio.de involviert war. Wir distanzieren uns von Datenerhebungs-Varianten wie dem Canvas Fingerprinting. … Wir haben nach Bekanntwerden bei unseren Vermarktungspartnern beantragt, Kooperationspartner offenzulegen und haben dafür gesorgt, dass Ligatus und AddThis in Zukunft als Vermarktungsdienstleister unserer Partner ausgeschlossen werden.“

Aus all diesen Statements ist eine gehörige Portion Empörung herauszuhören. Schließlich haben viele noch den Ärger mit dem datenschutzrechtlich bedenklichen Like-Button von Facebook in Erinnerung und müssen nun mit ansehen, wie ihre auch aufgrund dessen getroffenen, oft umfangreichen Datenschutzvorkehrungen und Datenschutzerklärungen, durch Geschäftspartner torpediert werden.

Stellungnahmen von Ligatus

Die Empörung muss auch bei Ligatus angekommen sein scheint dort wenig Eindruck zu machen. Gegenüber ZDNet erklärt Geschäftsführer Lars Hasselbach: „Es ist richtig, dass Ligatus in der Vergangenheit Canvas Fingerprinting eingesetzt hat – allerdings zu reinen Forschungszwecken.“ Fingerprinting-Technologien würden bereits von vielen Anbietern digitaler Dienstleistungen eingesetzt. Als Teil des digitalen Marktes evaluiere man „regelmäßig solche Technologien im Rahmen von reinen Testläufen“. Hasselbach betont aber auch: „In unserem regulären Geschäft setzen wir weder Fingerprinting noch Cookie-Tracking ein.“

Der bereits vielzitierte „Test“ lief laut Hasselbach auf den Websites des Ligatus-Netzwerkes. „Leider wurde durch ein internes Missverständnis eine entsprechende Vorabinformation über das Forschungsprojekt gegenüber den betroffenen Websites im Vorfeld versäumt – diese Kommunikationslücke bedauern wir sehr.“ Man habe in den vergangenen Tagen für die entsprechende Aufklärung gegenüber den Marktpartnern gesorgt.

Zudem sei der Test inzwischen beendet, in welchem Zeitraum er stattfand, wollte Hasselbach auch auf Nachfrage nicht verraten. Er stellt jedoch fest, dass lediglich anonyme IDs ohne Rückschlussmöglichkeit auf konkrete User gesammelt wurden. Hasselbach wörtlich: „Es wurden keinerlei personenbezogene Daten erhoben und während des Tests wurde zu keiner Zeit die Privatsphäre von Usern verletzt. Das Ganze hatte keinerlei datenschutzrechtliche Relevanz.“

Zudem seien während der Testphase zu keinem Zeitpunkt Nutzerdaten für operative Zwecke gespeichert oder in die Optimierung beziehungsweise Auslieferung von Werbung im Ligatus-Netzwerk eingeflossen. „Die Daten wurden ausschließlich zu Forschungszwecken verwenden. Und sämtliche Daten wurden nach Beendigung des Test gelöscht“, so der Ligatus-Chef. Pläne, die Technologie Canvas Printing einzusetzen, habe man derzeit keine.

Fazit

Überzeugend klingt das nicht. Selbst wenn zu Beginn des Test tatsächlich vergessen wurde, die Partner zu informieren, so hätte dieses Versäumnis doch inzwischen auffallen können. Die Frage, ob überhaupt jemand jemals etwas davon erfahren hätte, wenn nicht zufällig im Testzeitraum einige ambitionierte Wissenschaftler ihren Versuch durchgeführt hätten, kann wohl jeder für sich selbst beantworten.

Auf der Ligatus-Website und im Firmenblog findet sich jedenfalls kein Eintrag, in dem transparent darüber informiert wird, dass man mit Canvas Fingerprinting experimentiert, das aber wegen der völlig unzureichenden Ergebnisse wieder verworfen habe. Genau das sollte man aber bei so sensiblen Themen erwarten dürfen.

Das Vorgehen jetzt erinnert eher an einen Reisebusfahrer, der nachts mit 120 km/h durch die Stadt rast und bei der Kontrolle durch die Polizei erklärt, er habe nur mal testen wollen, ob das Gaspedal noch funktioniert. Die schlaftrunkenen Fahrgäste reiben sich dann wohl zu Recht verwundert die Augen und wissen auf die Fragen der Ordnungshüter, warum sie nichts unternommen haben, nicht viel zu sagen. Einzige und wohl auch richtige Konsequenz ist es sicher, nächstes Mal mit einer anderen Gesellschaft zu fahren – und zwar einer komplett anderen, nicht einer, bei der derselbe Busfahrer als Springer wieder an Bord ist.

Abschließende Anmerkungen des Autors

Gewerblich betriebene Webseiten müssen sich regelmäßig umschauen, wie sie ihr Projekt finanzieren. Das gilt für die, die jetzt in der „Tracking-Liste“ auftauchen ebenso, wie für Angebote, die dort nicht zu finden sind und für die Sites von NetMediaEurope, zu denn auch ZDNet.de gehört. Im Rahmen dieser Bemühungen werden immer wieder neue Dinge ausprobiert – und schließlich will man ja auch im Web nicht den nächsten großen Trend verpassen – sei es nun der Like-Button, die Möglichkeiten einen Artikel oder Beitrag per Twitter, E-Mail oder Google+ weiterzuempfehlen, oder eben auch die möglichst passgenaue Auslieferung von Werbung – selbst oder durch Partner.

Schließlich kann nicht jede Website selbst das Rad neu erfinden. Daher gibt es Vermarkter und Dienstleister, die sich dafür anbieten. Neben Ligatus heißen sie zum Beispiel OMS, Plista, SevenOneMedia, Nuggad oder DoubleClick. Außerdem sind selbst Webseiten, die sich „um alle Werbung selber kümmern“ oft in der Pflicht, ihren Kunden belastbare und zuverlässige Zahlen vorzulegen. Dafür erheben sie dann zum Beispiel via Google, INFOnline oder Webtrekk Daten. Das ist alles erforderlich – denn nur die Öffentlich-Rechtlichen Fernsehanstalten „senden“ pauschal finanziert auch im Netz. Alle anderen müssen schauen, wo sie bleiben.

Dabei sind die Grenzen fließend – was erlaubt und was nicht erlaubt ist, was von den Nutzern toleriert und was abgelehnt wird. Mancher mag es als Komfort empfinden, wenn ihm beim erneuten Besuch sein zuletzt gefüllter, aber nicht bestellter Warenkorb wieder zur Verfügung steht – ein anderer als unzumutbare Bevormundung. Stets honoriert werden wird es jedoch, wenn verständlich darüber informiert wird, was geschieht – was allerdings angesichts der juristischen Fallstricke die dabei lauern, eine nicht immer ganz einfach Aufgabe ist. Versuchen sollte man´s trotzdem.

UPDATE 17:55 Uhr
Wir bedauern die unrichtige Tatsachenbehauptung in einer früheren Version dieses Artikels. Wir stellen richtig: nugg.ad setzt kein Canvas Fingerprinting oder eine vergleichbare Technologie ein.