Unter anderem der Stern berichtet von einer neuen Technik, mit der Nutzer „verfolgt und ausgespäht“ würden und zwar „quer durchs Netz“. Fünf Prozent der beliebtesten Webseiten setzten auf die neue Technik, die 90 Prozent der Browser individuell identifizieren könne. User-Tracking, also die Kunst die Bewegung eines Interessenten durch das Internet nachzuvollziehen, ist auch für Versicherer ein spannendes und aktuelles Feld. Deshalb wollen wir diese Technik etwas genauer unter die Lupe nehmen.

 

Durch User-Tracking kann festgestellt werden, welche Themen bei den Besuchern auf besonderes Interesse stoßen und in welcher Reihenfolge die Seiten betrachtet werden. Es ist dadurch weiterhin möglich Gestaltungsfehler, unpraktische Menüführungen und „informative Sackgassen“ einer Website zu finden. In Verbindung mit weiterführenden Techniken kann User-Tracking auch die Personalisierung von Websites gestatten.
Voraussetzung für das User-Tracking ist, dass der User (oder zumindest dessen Browser) möglichst eindeutig identifiziert werden kann und dadurch bei jedem neuen Seitenaufruf wiedererkannt wird. Canvas Fingerprinting ist eine Technik, die der Identifikation des Nutzers dienen soll.

 

Wie funktioniert die Technik des Canvas Fingerprinting und wo liegen ihre Grenzen?

 

Wie sind diese und ähnliche Techniken moralisch zu bewerten und wie steht es mit der Nutzer-Akzeptanz?

 

Young businesswoman pressing modern technology panel with finger

Young businesswoman pressing modern technology panel with finger © ra2 studio – Fotolia.com

Wie funktioniert die Technik des Canvas Fingerprinting und wo liegen ihre Grenzen?


Mit einem Script wird im Browser zunächst eine Zeichnung in einem sogenannten HTML-Canvas-Element (einer „Leinwand“) erstellt. Diese Zeichnung hat überraschende Eigenschaften: Verschiedene Systeme werden die Leinwand in der Regel geringfügig unterschiedlich zeichnen, aber wenn das selbe Systeme sie wiederholt zeichnet, wird sie wahrscheinlich jedes Mal exakt gleich sein. Es ist nun möglich, die Zeichnung mit einem Browser-Script zu analysieren. Das Ergebnis der Analyse kann dann an den Server zurückgemeldet werden und es identifiziert das verwendete System recht eindeutig. [Keaton Mowery, Hovav Shacham: Pixel Perfect: Fingerprinting Canvas in HTML5. In: Proceedings of W2SP 2012, IEEE Computer Society, 2012.]
Allerdings gibt es Grenzen: Auf Smartphones und Tablets funktioniert Canvas Fingerprinting nicht besonders zuverlässig (viele Geräte liefern dasselbe Ergebnis, andere beherrschen die Canvas-Technik überhaupt nicht). Der Stern schreibt dazu, Canvas Fingerprinting sei dort noch sehr fehleranfällig. Aber ich glaube, dieses „noch“ ist zu optimistisch. Fehlerhaft ist eher das Verhalten der Geräte, die sich auf diesem Weg identifizieren lassen. Wenn Smartphones diesen Fehler bisher nicht haben, warum sollten sie ihn dann in Zukunft bekommen?
Auch bei anderen Geräteklassen ist die Präzision beschränkt. Mindestens zwei Unternehmen haben auf Presseanfragen hin bekannt gegeben, dass sie die Technik getestet haben, aber nicht planen, sie weiterhin einzusetzen, da die Identifikation nicht eindeutig genug sei. Dabei ist auch das Unternehmen AddThis, auf dessen großflächigen Test sich die aktuelle Berichterstattung überwiegend konzentriert.
Hinzu kommt, dass mit Canvas Fingerprinting nur das System, nicht aber der Benutzer identifiziert wird. Wenn ein Interessent beispielsweise zunächst mit seinem Smartphone sucht, später auf einem Tablet weiter recherchiert und schließlich einen Desktopcomputer für den Abschluss benutzt, wird das Canvas Fingerprinting die drei Geräte nicht zueinander in Verbindung bringen können. Um eine solche Customer-Journey über verschiedene Geräte nachzuvollziehen (Multi- oder Omnikanal), ist die Technik nur in Verbindung mit weiteren Identifikationsmerkmalen (z. B. Login bei Facebook, Google oder AddThis) nützlich.

Wie sind diese und ähnliche Techniken moralisch zu bewerten und wie steht es mit der Nutzer-Akzeptanz?

Die Zeitschriften-Artikel zu dem Thema stehen der Technik sehr kritisch gegenüber, und das ist auch berechtigt: Moralisch ist der Einsatz solcher Tricks zum Usertracking kaum zu rechtfertigen. Wer Usertracking betreiben möchte, kann das mit Cookies und dem HTML-5-Ping-Attribut (siehe oben) ziemlich offen und transparent tun. Wenn der Benutzer das nicht möchte, kann er es in seinem Browser dauerhaft abstellen oder zeitweilig den Privacy-Modus des Browsers nutzen. Das ist also soweit schon ziemlich fair. Wer auf Nummer sicher gehen möchte, teilt das den Seitenbesuchern auch ungefragt mit, was er tut und bietet eine einfache „Opt-out-Möglichkeit“.
Wer stattdessen ein Usertracking anhand irgendwelcher Browser-Eigenschaften oder Gerätemerkmale versucht, hat dafür eigentlich nur einen einzigen Grund: Er möchte die bewusste Entscheidung des Users für oder gegen Cookies und HTML-Pings ignorieren. Das ist wohl kaum eine gute Grundlage für eine vertrauensvolle Kundenbeziehung.

 

Canva

Google ist beim User-Tracking zumindest um Höflichkeit bemüht.

 

Am Rande: Auf die Anfrage von ProPublica hat ein namhafter Anbieter für „Adult Entertainment“ sich entschuldigt, man habe nicht gewusst, was der Werbepartner AddThis einsetzt und sei damit auch keinesfalls einverstanden. Wenn eine Technologie sogar schon den Anbietern aus dem Rotlichtmilieu peinlich ist, sollte man vielleicht keine allzu hohen Akzeptanz-Erwartungen haben.

 

Für wie zukunftsfähig halten Sie Technologien wie „Canvas Fingerprinting“? Geht die Technologie hier zu weit?


 

Vincent Wolff-Marting
Vincent Wolff-Marting ist seit 2013 bei den Versicherungsforen Leipzig, wo er die Leitung des Kompetenzteams »Digitalisierung & Innovation« übernommen hat. Nachdem er einige Jahre als wissenschaftlicher Mitarbeiter an den Universitäten Essen und Leipzig tätig war, bringt er nun sein fundiertes (IT-)Wissen in der Versicherungspraxis ein. Er ist Ansprechpartner für alle Themen im Bereich der Versicherungsinformatik, Digitalisierung und Innovation und begleitet Versicherungsunternehmen bei Strategie- und Entwicklungsprojekten.