Unter anderem der Stern berichtet von einer neuen Technik, mit der Nutzer „verfolgt und ausgespäht“ würden und zwar „quer durchs Netz“. Fünf Prozent der beliebtesten Webseiten setzten auf die neue Technik, die 90 Prozent der Browser individuell identifizieren könne. User-Tracking, also die Kunst die Bewegung eines Interessenten durch das Internet nachzuvollziehen, ist auch für Versicherer ein spannendes und aktuelles Feld. Deshalb wollen wir diese Technik etwas genauer unter die Lupe nehmen.
Durch User-Tracking kann festgestellt werden, welche Themen bei den Besuchern auf besonderes Interesse stoßen und in welcher Reihenfolge die Seiten betrachtet werden. Es ist dadurch weiterhin möglich Gestaltungsfehler, unpraktische Menüführungen und „informative Sackgassen“ einer Website zu finden. In Verbindung mit weiterführenden Techniken kann User-Tracking auch die Personalisierung von Websites gestatten.
Voraussetzung für das User-Tracking ist, dass der User (oder zumindest dessen Browser) möglichst eindeutig identifiziert werden kann und dadurch bei jedem neuen Seitenaufruf wiedererkannt wird. Canvas Fingerprinting ist eine Technik, die der Identifikation des Nutzers dienen soll.
Wie funktioniert die Technik des Canvas Fingerprinting und wo liegen ihre Grenzen?
Wie funktioniert die Technik des Canvas Fingerprinting und wo liegen ihre Grenzen?
Mit einem Script wird im Browser zunächst eine Zeichnung in einem sogenannten HTML-Canvas-Element (einer „Leinwand“) erstellt. Diese Zeichnung hat überraschende Eigenschaften: Verschiedene Systeme werden die Leinwand in der Regel geringfügig unterschiedlich zeichnen, aber wenn das selbe Systeme sie wiederholt zeichnet, wird sie wahrscheinlich jedes Mal exakt gleich sein. Es ist nun möglich, die Zeichnung mit einem Browser-Script zu analysieren. Das Ergebnis der Analyse kann dann an den Server zurückgemeldet werden und es identifiziert das verwendete System recht eindeutig. [Keaton Mowery, Hovav Shacham: Pixel Perfect: Fingerprinting Canvas in HTML5. In: Proceedings of W2SP 2012, IEEE Computer Society, 2012.]
Allerdings gibt es Grenzen: Auf Smartphones und Tablets funktioniert Canvas Fingerprinting nicht besonders zuverlässig (viele Geräte liefern dasselbe Ergebnis, andere beherrschen die Canvas-Technik überhaupt nicht). Der Stern schreibt dazu, Canvas Fingerprinting sei dort noch sehr fehleranfällig. Aber ich glaube, dieses „noch“ ist zu optimistisch. Fehlerhaft ist eher das Verhalten der Geräte, die sich auf diesem Weg identifizieren lassen. Wenn Smartphones diesen Fehler bisher nicht haben, warum sollten sie ihn dann in Zukunft bekommen?
Auch bei anderen Geräteklassen ist die Präzision beschränkt. Mindestens zwei Unternehmen haben auf Presseanfragen hin bekannt gegeben, dass sie die Technik getestet haben, aber nicht planen, sie weiterhin einzusetzen, da die Identifikation nicht eindeutig genug sei. Dabei ist auch das Unternehmen AddThis, auf dessen großflächigen Test sich die aktuelle Berichterstattung überwiegend konzentriert.
Hinzu kommt, dass mit Canvas Fingerprinting nur das System, nicht aber der Benutzer identifiziert wird. Wenn ein Interessent beispielsweise zunächst mit seinem Smartphone sucht, später auf einem Tablet weiter recherchiert und schließlich einen Desktopcomputer für den Abschluss benutzt, wird das Canvas Fingerprinting die drei Geräte nicht zueinander in Verbindung bringen können. Um eine solche Customer-Journey über verschiedene Geräte nachzuvollziehen (Multi- oder Omnikanal), ist die Technik nur in Verbindung mit weiteren Identifikationsmerkmalen (z. B. Login bei Facebook, Google oder AddThis) nützlich.
Wie sind diese und ähnliche Techniken moralisch zu bewerten und wie steht es mit der Nutzer-Akzeptanz?
Die Zeitschriften-Artikel zu dem Thema stehen der Technik sehr kritisch gegenüber, und das ist auch berechtigt: Moralisch ist der Einsatz solcher Tricks zum Usertracking kaum zu rechtfertigen. Wer Usertracking betreiben möchte, kann das mit Cookies und dem HTML-5-Ping-Attribut (siehe oben) ziemlich offen und transparent tun. Wenn der Benutzer das nicht möchte, kann er es in seinem Browser dauerhaft abstellen oder zeitweilig den Privacy-Modus des Browsers nutzen. Das ist also soweit schon ziemlich fair. Wer auf Nummer sicher gehen möchte, teilt das den Seitenbesuchern auch ungefragt mit, was er tut und bietet eine einfache „Opt-out-Möglichkeit“.
Wer stattdessen ein Usertracking anhand irgendwelcher Browser-Eigenschaften oder Gerätemerkmale versucht, hat dafür eigentlich nur einen einzigen Grund: Er möchte die bewusste Entscheidung des Users für oder gegen Cookies und HTML-Pings ignorieren. Das ist wohl kaum eine gute Grundlage für eine vertrauensvolle Kundenbeziehung.
Am Rande: Auf die Anfrage von ProPublica hat ein namhafter Anbieter für „Adult Entertainment“ sich entschuldigt, man habe nicht gewusst, was der Werbepartner AddThis einsetzt und sei damit auch keinesfalls einverstanden. Wenn eine Technologie sogar schon den Anbietern aus dem Rotlichtmilieu peinlich ist, sollte man vielleicht keine allzu hohen Akzeptanz-Erwartungen haben.
Für wie zukunftsfähig halten Sie Technologien wie „Canvas Fingerprinting“? Geht die Technologie hier zu weit?
Es ist – wie immer – eine Frage des „Wie wird es angewendet“. Zum Usertracking ohne Einverständniserklärung ist es eindeutig „Pfui“. Aber im Bereich Micropayment, um Missbrauch durch User zu minimieren die eine Leistung ohne Zahlung abgreifen wollen (z.B. bei Bezahlmodellen mit nachgelagerter Zahlung), halte ich Fingerprints für eine faire Maßnahme, denn hier erfolgt eine Einwilligung bei der Zahlungsankündigung. Die nachgelagerte Bezahlung (wie sie z.B. LaterPay anbietet) könnte übrigens auch der MicroInsurance einen Schub geben.
Das stimmt natürlich, Herr Jürschick: Solche Techniken bei registrierten und angemeldeten Benutzern zu verwenden, kann gerechtfertigt sein. So könnten solche Fingerprints auch genutzt werden, um Indizien für Session-Hijacking zu sammeln: wenn eine aktive User-Session auf einmal von einem anderen Browser und Kontinent weitergeführt wird, wäre das ein guter Grund, den Kunden erneut um Authentifizierung zu bitten.