Mit dem Rückzug der Third-Party-Cookies und Storage Partitioning hat die Tracking-Industrie eine zweite Säule entdeckt — die ohne Speicherung auf dem Endgerät auskommt. Fingerprinting identifiziert dich an den Eigenschaften deines Browsers und Geräts, die du nicht löschen kannst. Eine Kombination von Bildschirm-Größe, installierten Schriftarten, WebGL-Renderer, Audio-Stack, Zeitzone und einigen anderen Werten genügt, um dich oft eindeutig zu erkennen — beim ersten Besuch und beim wiederholten. Dieser Artikel zeigt, wie es funktioniert, was die zwei wirklich wirksamen Schutz-Strategien sind und welche realistischen Schritte du im Alltag gehst.
Das Grundprinzip
Jeder Browser auf jedem Gerät hat eine leicht andere Konfiguration: andere Bildschirm-Größe, andere installierte Schriftarten, andere Grafikkarte mit anderem WebGL-Verhalten, andere Audio-Engine, andere Zeitzone, andere Browser-Version. Diese Eigenschaften sind aus JavaScript heraus messbar — entweder direkt (window.screen.width) oder indirekt (Rendering von Test-Mustern und Hash-Bildung).
Wenn man genug dieser Eigenschaften kombiniert, entsteht ein statistisch fast eindeutiger Identifier. Studien (EFF Panopticlick 2010, Université Paris-Saclay 2018, Mozilla Privacy Research 2022) zeigen: bei 18–25 sorgfältig gewählten Eigenschaften haben über 90 Prozent der Browser einen einzigartigen Fingerprint in einer Population von Millionen.
Anders als Cookies:
- Kein Speichern auf dem Endgerät nötig. Der Tracker liest die Werte beim ersten Besuch aus, hasht sie zu einer ID, speichert serverseitig. Beim nächsten Besuch (selbst nach „Cookies löschen") berechnet er denselben Hash und erkennt dich wieder.
- Browser-Schutz greift schwerer. Speicher-Partitioning betrifft, was gespeichert wird — Fingerprinting passiert in Echtzeit, ohne Speicher.
- Inkognito-Modus hilft nicht. Der Fingerprint im Inkognito-Fenster ist fast identisch mit dem normalen — nur Cookies und History fehlen.
Genau diese Eigenschaften machen Fingerprinting zur Tracking-Säule zweiter Wahl, sobald Cookies eingeschränkt sind.
Die Fingerprint-Quellen
Was alles in einen typischen Browser-Fingerprint einfließt:
| Quelle | Was sie verrät | Wie eindeutig |
|---|---|---|
| User-Agent-String | Browser-Version, OS-Version | Niedrig (viele teilen) |
| Bildschirm-Größe + Geräte-Pixel-Verhältnis | Display-Geometrie | Mittel |
| Zeitzone, Sprache, Locale | Wo und in welcher Sprache du surfst | Mittel |
| Installierte Schriftarten | Über CSS-Listen-Detection sichtbar | Hoch — viele Schriften = sehr eindeutig |
| Canvas-Fingerprint | Browser rendert Test-Text, kleinste Pixel-Unterschiede ergeben Hash | Hoch |
| WebGL-Fingerprint | Grafikkarten-Modell, Treiber-Version, Rendering-Quirks | Sehr hoch |
| Audio-Fingerprint | Audio-Kontext rendert Sinus-Wellen, Audio-Stack erzeugt Mikro-Unterschiede | Hoch |
| WebRTC-Daten | Lokale IP-Adresse, manchmal hinter VPN sichtbar | Mittel |
| Hardware-Concurrency | CPU-Thread-Anzahl | Niedrig |
| DeviceMemory | RAM-Approximation (in Stufen) | Niedrig |
| Permissions / Sensor-Verfügbarkeit | Was der Browser anbietet | Mittel |
| Battery-Status (deprecated) | Akku-Stand, Lade-Zustand | Früher hoch, in modernen Browsern entfernt |
| Mathematik-Quirks | Sehr feine Unterschiede in JS-Math-Library | Niedrig, aber stabilisierend |
In Kombination werden diese Werte zu einem Hash — typischerweise eine 64- oder 128-Bit-Zahl. Beim nächsten Besuch wird derselbe Hash berechnet und gegen die Server-DB abgeglichen. Wenn dein Hash da schon einmal aufgetaucht ist, bist du erkannt.
Canvas-Fingerprinting: das Paradebeispiel
Eine der ergiebigsten und meistgenutzten Techniken. Das Prinzip:
- Der Tracker erstellt im Browser ein versteckes Canvas-Element.
- Er zeichnet darauf einen vorgegebenen Text mit speziellen Effekten (Schatten, Curves, mehrere Schrift-Fallbacks).
- Er liest das gerenderte Bild Pixel für Pixel als Daten-URL aus.
- Aus den Pixel-Daten wird ein Hash berechnet.
Warum das funktioniert: Browser, OS, GPU-Treiber, installierte Schriftarten — alle beeinflussen, wie das Bild exakt gerendert wird. Selbst minimale Unterschiede (anderer Anti-Aliasing-Algorithmus, andere Sub-Pixel-Verschiebung) ergeben einen anderen Hash. Auf dem gleichen Gerät ist der Hash über Jahre stabil; auf unterschiedlichen Geräten ist er fast immer anders.
EFF Panopticlick (heute „CoveryYourTracks") demonstriert das in einer einfachen Online-Demo — selbst probieren ist aufschlussreich.
Andere Varianten mit ähnlichem Prinzip:
- WebGL-Fingerprinting — 3D-Rendering eines Test-Bildes auf der GPU.
- Audio-Fingerprinting — Audio-Context erzeugt einen Ton, Output wird per FFT analysiert; minimale Unterschiede im Audio-Stack ergeben Hash.
- Font-Fingerprinting — JavaScript misst die Render-Breite verschiedener Schriftarten; aus der Liste der vorhandenen Schriften lässt sich ein sehr eindeutiges Profil bauen.
Wer fingerprinting einsetzt
Drei Akteurs-Klassen:
- Anti-Fraud / Anti-Bot. Banken, Online-Shops, Anti-Spam-Filter nutzen Fingerprinting, um Betrugs-Versuche zu erkennen. Wer am Tag von zwölf unterschiedlichen Geräten in dasselbe Bank-Konto einzuloggen versucht, fällt auf. Diese Anwendung ist als Sicherheitsmaßnahme legitim und nicht in dieselbe Kategorie wie Werbe-Tracking einzuordnen.
- Werbe-Tracking. Werbenetzwerke nutzen Fingerprinting als Cookie-Ersatz und Cookie-Ergänzung. Über Tracking-Allianzen (z. B. Trust-Token, ID5) sind Fingerprints inzwischen Teil regulärer Targeting-Pipelines.
- Bot-Detection und CAPTCHA-Provider. Cloudflare, hCaptcha, reCAPTCHA setzen Fingerprinting als Bestandteil ihrer Bot-Erkennung ein. Genau deshalb sind diese CAPTCHA-Provider auch Tracking-Komponenten — sie sammeln Daten über alle Seiten, die sie integrieren.
Aus Nutzer-Sicht ist die schwierige Trennung: das gleiche technische Verfahren wird sowohl für legitime Sicherheits-Zwecke als auch für Werbe-Tracking eingesetzt. Komplettes Blockieren von Fingerprinting würde auch Anti-Fraud bei Banken brechen.
Die zwei Anti-Strategien: uniform vs. randomized
Wenn man Fingerprinting verhindern will, gibt es nur zwei konzeptuell wirksame Wege:
Strategie 1: Uniform (Tor Browser, Mullvad Browser). Mache jeden Nutzer gleich. Wenn alle Tor-Browser denselben User-Agent, dieselbe Bildschirm-Größe (1000×1000 in einem festen Fenster), dieselben Schrift-Fallbacks haben — dann bilden alle Nutzer zusammen einen einzigen großen Fingerprint, und der Tracker kann sie nicht mehr unterscheiden. Wirksam, aber stark einschränkend: Tor verlangt z. B., Fenster nicht zu maximieren, weil das die Größe individualisiert.
Strategie 2: Randomized (Brave, Firefox in striktem Modus). Liefere bei jeder Messung leicht andere Werte. Wenn das Canvas-Rendering bei jedem Lade-Vorgang um winzige Werte verfälscht wird, ergeben sich ständig andere Hashes — der Tracker kann denselben Browser bei zwei Besuchen nicht wiedererkennen. Brave nennt das „Farbling"; Firefox „Fingerprinting Protection".
Welches besser ist, hängt vom Threat-Model ab:
- Uniform ist gegen Profile-Bildung über Zeit hinweg unbeschlagbar — alle Tor-Nutzer:innen sind ein Profil, fertig. Bricht aber viele Sites (CAPTCHAs flaggen massiv) und macht den Browser auffällig (Sites erkennen oft, dass du Tor nutzt).
- Randomized funktioniert mit normalem Browsing-Verhalten ohne ständige CAPTCHAs. Aber: ein einzelner Fingerprint ist zwar inkonstant; wenn dazu noch andere Identifikatoren (Mail-Hash, IP, Browser-Profil) verfügbar sind, lässt sich oft trotzdem korrelieren.
Beide sind besser als gar nichts — und weit besser als bloßes Cookie-Löschen.
Was die Mainstream-Browser tun
Stand 2026:
- Safari — hat seit 2018 sehr starkes Anti-Fingerprinting (Reduzierte System-Schrift-Erkennung, Canvas-Tracking-Schutz). Auf Apple-Geräten ist Apple Privacy ein Verkaufsargument; Anti-Fingerprinting gehört dazu.
- Firefox — Anti-Fingerprinting im strikten Modus (Einstellungen → Datenschutz & Sicherheit → Browser-Datenschutz → Streng). Reduziert Canvas-/Audio-/WebGL-Genauigkeit; randomized.
- Tor Browser — der Maßstab: uniform. Klein-gehaltenes Fenster, gepatchte Schrift-Auswahl, deaktivierte Audio-Context, viele weitere Schutz-Schichten.
- Mullvad Browser — basiert auf Tor-Browser-Härtung, ohne Tor-Netzwerk-Tunnel.
- Brave — Farbling-Strategie: randomized.
- Chrome / Edge — historisch wenig Anti-Fingerprinting. Privacy Sandbox enthält einige Maßnahmen (z. B. User-Agent-Client-Hints statt vollständigem User-Agent), aber das Niveau ist deutlich schwächer als Firefox/Safari.
Für Datenschutz-orientierte Nutzer:innen heißt das: Firefox im Strict-Mode, Safari, Brave, Mullvad Browser oder Tor Browser — in absteigender Komfort-Reihenfolge. Mainstream-Chrome bietet wenig.
Praktische Reflexe
Was im Alltag realistisch hilft:
- Mainstream-Browser mit Anti-Fingerprinting nutzen (Firefox Strict, Safari, Brave). Reduziert die Eindeutigkeit deines Fingerprints erheblich.
- Kein Browser-Maximieren auf Tor. Wer Tor nutzt, hält das Fenster auf Standard-Größe (1000×1000).
- Browser-Extensions sparsam. Jede installierte Extension verändert oft Fingerprint-relevante Eigenschaften (DOM-Modifikationen, neue JavaScript-Funktionen). Viel installiert = viel eindeutig.
- Browser-Profile statt einer Identität für getrennte Aktivitäten (Banking-Profil, Job-Profil, Privat-Profil). Mehr in container-tabs-und-profile.
- Geräte-Heterogenität nicht mythologisieren. Ein iPhone in der Hand sieht einem anderen iPhone sehr ähnlich. Wer Apple-Hardware nutzt, hat von Haus aus weniger Eindeutigkeit als jemand mit ungewöhnlichem Linux-Setup.
- Account-Hygiene. Sobald du in vielen Konten eingeloggt bist, ist Fingerprinting für die direkte Identifikation oft überflüssig — Mail-Hash und Login-Daten reichen.
Was wenig bringt:
- User-Agent-Spoofing-Extensions. Erhöhen oft die Eindeutigkeit, weil sie inkonsistente User-Agents liefern (z. B. Chrome-UA mit Firefox-Features) — Tracker erkennen das und nutzen die Inkonsistenz als zusätzliches Merkmal.
- „Anti-Detect"-Browser (Multilogin u. Ä.) sind eher Tools für Werbe-Betrug — kein normaler Privatsphäre-Schutz.
- VPN allein. VPN ändert die IP-Adresse, nicht den Browser-Fingerprint. Wer mit VPN identisch bleibt im Browser, ist trotzdem identifizierbar.
coveryourtracks.eff.org ist eine sehr aufschlussreiche Selbst-Demo — der Test zeigt dir, wie eindeutig dein Browser-Fingerprint in einer großen Population ist, und welche Eigenschaften am meisten beitragen.
Besonderheiten
EFF Panopticlick startete 2010 die Aufmerksamkeit
Die Electronic Frontier Foundation hat 2010 mit Panopticlick die Tragweite von Browser-Fingerprinting erstmals breit zugänglich gemacht. In der damaligen Studie waren über 80 % der Browser eindeutig identifizierbar — bei viel weniger genutzten Eigenschaften als heute. Die Studie hat den Begriff "Fingerprinting" in den Mainstream gebracht.
WebGL-Fingerprinting verrät die GPU
WebGL-Rendering reagiert auf Grafikkarten-Modell, Treiber-Version, sogar Treiber-Bug-Eigenheiten. Damit wird der Fingerprint maschinen-spezifisch — auch bei sonst identischer Software-Konfiguration. Mozilla und Apple haben WebGL-Renderer-Strings deshalb anonymisiert.
Battery-Status-API: ein gutes Beispiel für API-Reduktion
Bis ca. 2016 lieferte JavaScript einen sehr präzisen Akku-Stand (in %). Studien zeigten, dass dieser Wert über Sites hinweg stabil genug war, um Nutzer zu identifizieren (gleicher Akku-Stand am gleichen Zeitpunkt = gleiche Person). Browser haben die API deshalb deprecated oder die Granularität auf 25 %-Stufen reduziert. Schöner Fall, in dem ein bekanntes Tracking-Vektor wirklich abgeschnitten wurde.
User-Agent-Client-Hints reduzieren die UA-Information
Chrome reduziert seit 2022 schrittweise den klassischen User-Agent-String auf gröbere Werte. Sites, die genauere Browser-/OS-Versionen brauchen, fragen mit dem neuen Client-Hints-Mechanismus explizit nach — und müssen dafür einen Berechtigungs-Header bekommen. Reduziert Fingerprint-Bandbreite.
Fingerprinting bei Mobile-Apps ist eine eigene Welt
Auf iOS und Android laufen Apps in eigenen Sandboxes mit weiteren Identifiern (IDFA, AAID, Vendor-IDs). Apple App Tracking Transparency (seit 2021) schränkt das stark ein, Google plant Ähnliches für Android. Aber: hardware-basierte Fingerprints (Geräte-Modell, Sensor-Charakteristika) sind im App-Kontext schwerer zu randomisieren.
Server-Side-Fingerprinting durch IP + TLS-Fingerprint
Was du im Browser nicht siehst: dein TLS-Handshake hat einen eigenen Fingerprint (Cipher-Suite-Reihenfolge, Erweiterungen, ALPN). Tools wie JA3 identifizieren Clients auch ohne Browser-Skript. Anti-Bot-Provider nutzen das aktiv. Selbst Tor schützt davor nicht vollständig.
Fingerprint-Reuse über Sub-Domains und Apps
Eine subtile Falle: wenn du in einer Bank-App auf deinem Smartphone eingeloggt bist und gleichzeitig im Browser dieselbe Bank besuchst, kann die Bank über Server-seitige Korrelation (IP, Login-Times, Fingerprint-Ähnlichkeit) Identitäten verknüpfen — auch wenn du in der Browser-Session anonym wirken willst.
Weiterführende Ressourcen
Externe Quellen
- EFF – Cover Your Tracks (ehemals Panopticlick)
- Mozilla – Anti-Fingerprinting
- Tor Browser – Fingerprinting Defenses
- Brave – Farbling (Fingerprint Randomization)
- W3C – Mitigating Browser Fingerprinting
- FingerprintJS – Open Source Library (zeigt das Konzept)
- Cisco / Salesforce JA3 – TLS Fingerprinting
- AmIUnique – Fingerprint-Demo