Browser-Fingerprinting

Was ist Browser-Fingerprinting?

Um Inhalte von einem Server abrufen zu können, benötigen Sie eine Client-Software. So greifen Sie beispielsweise auf einen E-Mail-Client zurück, um Nachrichten vom Mail-Server abzuholen. Der Zugriff auf Webserver gelingt hingegen mit den bestens bekannten Webbrowsern wie Mozilla Firefox, Safari, Edge, Opera oder Google Chrome. Über das HTTP-Protokoll fordern diese Anwendungen Daten von Webseiten an, um sie anschließend nutzergerecht darzustellen. Die Übermittlung der Inhalte findet dabei über IP-Pakete statt, die neben den Nutzdaten auch Informationen zum Client enthalten und die auf Serverseite dazu verwendet werden können, um den Fingerprint des Browsers zu ermitteln.


Dabei unterscheidet man grundsätzlich zwei Arten des Browser-Fingerprintings:

  • Passives Fingerprinting: Unter dem sogenannten passiven Fingerprinting versteht man das Sammeln von Browserinformationen, die ohne Einsatz einer speziellen Anwendung gewonnen werden. Dabei handelt es sich um Informationen, die standardmäßig in den Kopfdaten der IP-Pakete enthalten sind und den Webserver daher in jedem Fall erreichen. Zu diesen Informationen gehören unter anderem die IP-Adresse, der genutzte Port und der Browsertyp. Aber auch grundsätzliche Konfigurationen wie die gewünschten Dateitypen zählen dazu. Außerdem liefert der HTTP-Header in einigen Fällen auch Informationen über das verwendete Betriebssystem und die Herkunftsseite.
  • Aktives Fingerprinting: Beim aktiven Fingerprinting fragt der Browser gezielt solche Informationen ab, die nicht automatisch bei einem Aufruf einer Webressource mitgeliefert werden. Diese Abfrage gelingt beispielsweise mit JavaScript-Anwendungen oder Plug-ins, die die Funktionalität des Browsers erweitern. Unter anderem können auf diese Weise erweiterte Informationen über den Browser, aber auch ausführliche Informationen über das Betriebssystem sowie den Bildschirm (Breite, Höhe, Auflösung) des Nutzers gewonnen werden. Weitere Daten geben beispielsweise Auskunft über die installierten Schriftarten oder die Zeitzone, in der sich der User befindet.

Wie funktioniert die passive Ermittlung des digitalen Fingerabdrucks?

Wie bereits erwähnt dient der Fingerabdruck des Browsers dazu, einen Nutzer zu identifizieren, um ihn später wieder erkennen zu können. Auf diese Weise ist es möglich, dessen Surfverhalten zu beobachten, um Erkenntnisse über die Funktionalität und Usability des eigenen Webprojekts zu gewinnen oder diesem User personalisierte Inhalte zuspielen zu können. Das Browser-Fingerprinting soll der Besucher der Seite selbst natürlich möglichst nicht bemerken, was bei der passiven Variante auch kein Problem darstellt, da die Daten ohnehin bei jedem Request übertragen werden und nur auf Serverseite gespeichert werden müssen.

So funktioniert aktives Browser-Fingerprinting

Aktives Fingerprinting setzt – wie der Name bereits vermuten lässt – voraus, dass der Betreiber eines Webprojekts Informationen über den Client aktiv abfragt. Die erfragten Eigenschaften und Daten sind folglich Merkmale, die nicht aus den Kopfdaten der Client-Pakete hervorgehen. Da zu diesem Zweck Anwendungen auf Seiten des Browsers ausgeführt werden müssen, kann der Nutzer das Fingerprinting theoretisch jederzeit nachweisen, indem er die ausgehenden Datenpakete oder den HTML- bzw. JavaScript-Quellcode analysiert. In den überwiegenden Fällen wird der Prozess den Besuchern jedoch ebenso verborgen bleiben, wie es auch bei vergleichbaren Tracking-Verfahren der Fall ist.

Wie lässt sich Browser-Fingerprinting verhindern?

Es lässt sich nicht gänzlich verhindern, dass der digitale Fingerabdruck Ihres Internetbrowsers ermittelt wird – die beim passiven Fingerprinting automatisch übertragenen Merkmale im HTTP-Header erhält der Betreiber des Webservers in jedem Fall. Sie können jedoch versuchen, den Wiedererkennungswert Ihres Clients so gering wie möglich zu halten, damit der Fingerabdruck nicht einzigartig und somit für das Tracking nicht zu gebrauchen ist. Die einfachste Lösung ist dabei der Einsatz einer Browser-Erweiterung, die aktive Inhalte wie JavaScript-, Flash oder Silverlight-Anwendungen automatisch blockiert, wodurch diese logischerweise auch keine Informationen an den Server weitergeben können.


Wenn Sie solche Plug-ins aktivieren, müssen Sie allerdings damit rechnen, dass bestimmte Webservices oder zumindest einzelne Inhalte nicht mehr funktionieren. Zwar erlauben die Erweiterungen, Inhalte oder Webseiten gezielt auf Filterlisten zu setzen, um die Skript-Blockierung auszusetzen – dies ist jedoch wenig hilfreich, wenn man sich als Nutzer unsicher ist, ob der Anbieter vertrauenswürdig ist oder nicht. Zudem ist an dieser Stelle darauf hinzuweisen, dass auch die Nutzung eines solchen Blockers ein Merkmal darstellt, das direkt für die Spezifizierung des digitalen Fingerabdrucks verwendet werden kann.


Abseits der Skript-Blocker-Lösung bleibt Ihnen im Grunde genommen nur übrig, auf Individualisierungen von System und Browser zu verzichten. Entscheiden Sie sich für einen häufig genutzten Browser (in Deutschland z. B. Firefox) und greifen Sie möglichst auf die Standardeinstellungen zurück. Gleiches gilt natürlich auch für das verwendete Betriebssystem. Verzichten Sie darüber hinaus auf zusätzliche Erweiterungen für Ihren Client, haben Sie gute Chancen, dass Sie keinen einzigartigen Fingerabdruck erzeugen und gut gegen Trackingverfahren gewappnet sind. Als Smartphone-Nutzer sind Sie unterdessen, insbesondere mit älteren Modellen, noch weitestgehend sicher – dank der Tatsache, dass bei Smartphones aktuell nur wenige Individualisierungsmöglichkeiten für Browser und System bestehen.

Auszeichnungen und Mitgliedschaften