Der Begriff Digitaler Fingerabdruck beschreibt verschiedene Verfahren, mit denen Geraete, Browser oder digitale Zertifikate eindeutig identifiziert werden koennen. Im Unterschied zu Cookies, die lokal gespeichert und vom Nutzer geloescht werden koennen, basiert ein digitaler Fingerabdruck auf Merkmalen, die ein System bei jeder Verbindung automatisch preisgibt. Das Thema bewegt sich im Spannungsfeld zwischen legitimer Sicherheitstechnik und umstrittenem Nutzer-Tracking.
Beim Browser Fingerprinting werden technische Merkmale des Browsers und des Endgeraets gesammelt und zu einem moeglichst eindeutigen Profil kombiniert. Dazu gehoeren unter anderem:
Aus diesen Datenpunkten wird ein Hash-Wert berechnet, der den Browser mit hoher Wahrscheinlichkeit eindeutig identifiziert. Studien belegen Erkennungsraten von ueber 99 Prozent – selbst ohne Cookies oder Login-Daten. Das Verfahren laeuft im Hintergrund ab und ist fuer den Nutzer nicht direkt sichtbar.
Im Bereich der IT-Sicherheit hat der Begriff Fingerabdruck eine voellig andere Bedeutung. Der Fingerprint eines SSL-Zertifikats ist ein kryptografischer Hash-Wert, der das Zertifikat eindeutig identifiziert. Er wird berechnet, indem der gesamte Inhalt des Zertifikats (im DER-Format) durch eine Hash-Funktion wie SHA-256 verarbeitet wird.
Dieser Zertifikats-Fingerprint dient dazu:
Im Gegensatz zum Browser Fingerprinting ist der Zertifikats-Fingerprint ein reines Sicherheitsinstrument und hat nichts mit der Identifikation von Personen zu tun.
Device Fingerprinting erweitert das Prinzip des Browser Fingerprintings auf die gesamte Hardware-Ebene. Neben den Browser-Merkmalen werden zusaetzliche Geraeteeigenschaften erfasst, etwa:
Device Fingerprinting wird sowohl im Marketing (Cross-Device-Tracking) als auch in der Betrugsbekaempfung eingesetzt, beispielsweise um ungewoehnliche Anmeldemuster bei Online-Banking oder E-Commerce zu erkennen.
Digitale Fingerabdruecke koennen fuer voellig unterschiedliche Zwecke genutzt werden. Auf der Sicherheitsseite schuetzen Zertifikats-Fingerprints die Integritaet verschluesselter Verbindungen, und Device-Fingerprinting kann Betrugsversuche aufdecken. Auf der Tracking-Seite ermoeglicht Browser Fingerprinting eine weitgehend unsichtbare Nutzerverfolgung, die sich gaengigen Schutzmassnahmen wie dem Loeschen von Cookies entzieht.
Aus datenschutzrechtlicher Sicht ist Browser Fingerprinting nach DSGVO und TDDDG (ehemals TTDSG) in den meisten Faellen einwilligungspflichtig, da es sich um einen Zugriff auf Informationen des Endgeraets handelt. Viele Datenschutzbehoerden stufen das Verfahren als besonders problematisch ein, weil Nutzer es weder bemerken noch wirksam verhindern koennen.
Ein vollstaendiger Schutz vor Browser Fingerprinting ist schwierig, da das Blockieren einzelner Merkmale den Fingerabdruck paradoxerweise eindeutiger machen kann. Folgende Massnahmen koennen das Tracking dennoch erschweren:
Fuer die Absicherung von Domains und Webseiten hingegen sind Zertifikats-Fingerprints ein unverzichtbares Werkzeug. Wer ein SSL-Zertifikat einsetzt, kann ueber den SHA-256-Fingerprint jederzeit die Authentizitaet des Zertifikats nachvollziehen.
Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.