Cookies und IDs sind nicht der einzige Weg, Menschen beziehungsweise Geräte durchs Internet zu verfolgen. Zumindest ergänzend eingesetzt wird bereits das sogenannte Browser-Fingerprinting. Die Kombinationen der individuellen Browsereinstellungen und Merkmale wie IP-Adressen, Betriebssystem, Bildschirmauflösung, Sprache, Farbtiefe sowie installierte Plug-ins und Schriftarten sind fast so einmalig wie Fingerabdrücke. Mit kleinen Skripten auf einer Website können Unternehmen die Einstellungen jedes Besuchers abfragen. Der bekommt das gar nicht mit.

Henning Tillmann hat für seine Diplomarbeit an der Humboldt-Universität untersucht, wie gut der Browser als Wiedererkennungsmerkmal taugt. Nun hat er seine Ergebnisse veröffentlicht: 92,57 Prozent der rund 18.000 untersuchten Datensätze waren einzigartig. Das bedeutet, sein simpel gestrickter, nur fünf Zeilen langer Algorithmus hat neun von zehn Browser wiedererkannt. Schon vier untersuchte Merkmale reichten aus, um 86 Prozent aller Browser und damit deren Nutzer eindeutig zu identifizieren, beim Internet Explorer genügen bereits zwei Merkmale.

Größter Nachteil aus Sicht der Werbebranche dürfte der eingeschränkte Nutzen der Technik bei mobilen Geräten sein. Der Safari-Browser eines iPhones etwa ist aufgrund fehlender Plug-ins und fehlender Flash-Unterstützung bei sehr vielen Nutzern gleich konfiguriert und damit nicht unterscheidbar. In Tillmanns Untersuchung war zum Beispiel nur jedes vierte iOS-Gerät einzigartig konfiguriert, und auch bei Android-Geräten betrug die Wiedererkennungsrate vergleichsweise schwache 66 Prozent.

Fingerprinting lässt sich schwer umgehen

Studenten der belgischen Universität KU Leuven haben untersucht, wie häufig das Fingerprinting schon zum Einsatz kommt. Mindestens 145 der 10.000 beliebtesten Websites der Welt nutzen es demnach, darunter t-online.de und westernunion.com. Tatsächlich könnten es viel mehr sein, weil es sich gar nicht nachweisen lässt, ob ein Server bestimmte Fingerprint-Merkmale des Browsers abfragt. Entsprechend ist auch eine Gegenwehr kaum möglich.

Add-ons wie Ghostery helfen ein wenig, sind aber keine perfekte Lösung. Zuverlässiger sei der Tor-Browser, sagt Günes Acar von der KU Leuven, weil er standardmäßig auf Flash und JavaScript verzichtet. Dadurch können Websites einige Fingerprint-Merkmale nicht mehr ausspähen. Allerdings sind viele Seiten ohne Flash und JavaScript mehr oder weniger unbenutzbar. "Es ist ein schweres Geschütz", sagt Acar, "uns fehlen leichtgewichtigere Lösungen."

"Die Werbeindustrie wird sich auch nie auf Fingerprinting allein verlassen", sagt Henning Tillmann. "Sie wird immer mehrere Techniken kombinieren." Beispielhaft sieht man das an der Berliner Firma zanox. Die setzt drei Techniken ein, um Nutzer im Netz zu tracken, eine davon ist das Browser-Fingerprinting. Tillmann glaubt: "Als Nutzer werde ich mich irgendwann nicht mehr dagegen wehren können."