Browser wird zur verräterischen Gefahr
Eine neue Webseite der Electronic Frontier Foundation (EFF) macht aus scheinbar harmlosen Browserparametern einen digitalen Fingerabdruck. Die Organisation hat herausgefunden, dass es neben IP-Adresse und Cookies noch eine ganz andere Methode gibt, um einen Nutzer im Internet zu identifizieren. ZDNet Redakteur Christoph Hochstätter zeigt, wie damit jede Privatsphäre ausgehebelt wird.
Private Browsing ist öffentlicher als gedacht
Normalerweise geht man davon aus, dass die Browser zumindest im privaten Modus die Informationen zurückhalten, die sie an fremde Webseiten übermitteln. Doch falsch gedacht, sowohl Firefox 3.6 als auch der Internet Explorer 8 senden im privaten Modus exakt dieselben Parameter wie im Normalmodus. Das Hinterhältige an den abfragbaren Browserparametern ist, dass sie von jeder Webseite abgerufen werden können. Das macht sie gefährlicher als Cookies.
Panopticlick fragt verschiedene Browser-Parameter ab.
Foto: EFF
So ist zum Beispiel denkbar, dass ein Online-Händler, bei dem man Liefer- und Rechnungsanschrift hinterlegt hat, in finanziellen Schwierigkeiten steckt und die Browserparameter seiner Kunden sammelt und zusammen mit Name und Anschrift verkauft. Ebenso ist ein Hackerangriff auf eine seriöse Webseite denkbar, bei der man seine Adressdaten angegeben hat. Der Aufbau einer solchen Datenbank mit Browser-Fingerprints ist nicht nur für Cyberkriminelle sehr wertvoll. Auch Ermittlungsbehörden aus dem In- und Ausland könnten ein Interesse daran haben, solche Datenbanken einzusetzen, wenn ein Nutzer seine IP-Adresse verschleiert.
Auch der Wohnort bleibt nicht geheim
Geht man davon aus, dass die überwiegende Anzahl der Nutzer mit identifizierbarer IP-Adresse im Netz unterwegs ist, dann ergeben sich spannende Szenarien. So verrät die IP-Adresse genügend über den Nutzer, um den Internetanschluss örtlich sehr stark einzugrenzen. In Verbindung mit abgefragten Browserparametern dürfte eine Verwechslung faktisch ausgeschlossen sein. Die EFF schätzt, dass es meist ausreicht, die Postleitzahl, das Geburtsdatum und das Geschlecht zu kennen, um eine Person eindeutig zu identifizieren. Mit der IP-Adresse kennt man den Provider und den ungefähren Standort. Kombiniert man diese Informationen mit den Browserparametern, dann lassen sich Nutzer immer wieder erkennen.
Den Internetprovider findet man ganz einfach mit dem Whois-Dienst heraus. Dieser Dienst liefert Informationen über die Inhaber von IP-Adressen und Domain-Namen. Die Deutsche Telekom ist besonders auskunftsfreudig und teilt mit, ob jemand eine statische Adresse besitzt. Das hilft natürlich bei einer Identifizierung.