Tracking durch CSS 07.01.2025, 07:00 Uhr

Das ist der Schlüssel zum digitalen Fingerabdruck im Internet

Eine neue Studie zeigt, wie CSS-Funktionen das Tracking von Nutzerinnen und Nutzern im Web und sogar in E-Mails ermöglichen. Durch die Analyse von Schriftarten und anderen CSS-Elementen lassen sich detaillierte Profile erstellen. Welche Gefahren birgt dieser digitale Fingerabdruck und wie können sich Nutzende schützen?

CSS Tracking

Computer-Nutzerinnen und -nutzer werden aufgrund von Tracking-Cookies oft ungewollt vermessen.

Foto: PanterMedia / suwannar1981.gmail.com

Das Zusammentragen verschiedener Merkmale wie Prozessortyp, IP-Adresse, Browser und installierte Schriftarten erlaubt die Erstellung eines präzisen, mitunter einzigartigen Profils von Internetnutzenden. Dieses als Browser Fingerprinting bekannte Verfahren verwendet Informationen zu den Browsereinstellungen und dem zugrundeliegenden Betriebssystem. Aktuelle Forschungsergebnisse von Leon Trampert und Kollegen vom CISPA Helmholtz Center for Information Security deuten darauf hin, dass Tracking nicht nur beim Surfen im Web, sondern auch in E-Mails möglich ist – mithilfe von CSS (Cascading Style Sheets), einer Sprache zur Gestaltung von Websites.

Selbst in einer großen Menge von Websitebesuchenden sind einzelne Nutzerinnen und Nutzer oft eindeutig identifizierbar. Der Grund dafür liegt in der weitverbreiteten Verwendung von JavaScript. Die Programmiersprache gestattet das Sammeln spezifischer Attribute zu den genutzten Geräten und Einstellungen. Ursprünglich sollten diese Daten Webentwicklerinnen und -entwickler dabei unterstützen, das Nutzererlebnis und die Funktionalität zu optimieren. Doch dieses Wissen birgt auch Missbrauchspotenzial. „Mittlerweile ist das Fingerprinting über JavaScript ziemlich bekannt. Menschen, denen Privatsphäre besonders wichtig ist, können sich schützen, indem sie JavaScript blockieren. Das geht entweder mithilfe von Plugins oder durch Nutzung des Tor-Browsers. Das kann zum Beispiel für Journalistinnen und Journalisten, die Angst vor Verfolgung haben, hilfreich sein“, erläutert Leon Trampert.

CSS als neue Quelle für den digitalen Fingerabdruck

Doch wo eine Tür sich schließt, öffnet sich häufig eine andere – so auch beim Fingerprinting. „Forschende haben kürzlich herausgefunden, dass auch durch den Einsatz von CSS Infos über Nutzende durchsickern können“, berichtet Trampert. CSS steuert das Layout von Websites, definiert Schriftarten, Farben und Größen von Elementen und ermöglicht die Anpassung an verschiedene Bildschirmgrößen. Trampert: „CSS wird immer beliebter und hat in den vergangenen Jahren immer neue Funktionen hinzugewonnen. Einige davon wurden von Forschungskolleginnen und -kollegen bereits auf ihr Potenzial für Privatsphäre-Verletzungen untersucht. Eine ganzheitliche Betrachtung stand allerdings noch aus.“ Deshalb analysierte Trampert systematisch moderne CSS-Funktionen: „Wir wollten sehen, wieviel wir damit herausfinden können und ob CSS das Tracking auch jenseits des Webs ermöglicht.“

Trampert untersuchte mehrere Fingerprinting-Ansätze und identifizierte mithilfe verschiedener Techniken drei Wege, um mittels CSS digitale Fingerabdrücke von Nutzenden zu erstellen. „Wir haben zunächst 1176 Kombinationen aus Browser und Betriebssystemen mit verschiedenen Einstellungen untersucht und konnten in 97,95 Prozent Rückschlüsse auf das System der Nutzenden ziehen. Verräterisch sind zum Beispiel installierte Schriftarten. Sie können Hinweise auf den genutzten Browser, das Betriebssystem und installierte Programme geben“, erläutert Trampert. Um herauszufinden, welche Schriftarten genutzt werden, griffen die Forschenden auf Tricks zurück: „Wir sehen das nicht im Klartext, können aber zum Beispiel durch das Ausnutzen bestimmter an sich sinnvoller CSS-Funktionen Höhen und Breiten von Wörtern messen und daraus nicht nur auf die Schriftart, sondern zum Beispiel auch auf die Systemsprache schließen“, so Trampert.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
AGR Betriebsführung GmbH-Firmenlogo
Ingenieur Leittechnik (m/w/d) AGR Betriebsführung GmbH
Herten Zum Job 
Zweckverband Bodensee-Wasserversorgung-Firmenlogo
BIM-Modellierer / CAD-Administrator (m/w/d) Zweckverband Bodensee-Wasserversorgung
Stuttgart Zum Job 
Zweckverband Bodensee-Wasserversorgung-Firmenlogo
BIM-Ingenieur (m/w/d) mit Schwerpunkt Datenmanagement / Informationsmanagement Zweckverband Bodensee-Wasserversorgung
Stuttgart Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Systemingenieur (m/w/i) für Oberflächeninspektion IMS Messsysteme GmbH
Heiligenhaus Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
IMS Röntgensysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) für digitale Inspektionssysteme IMS Röntgensysteme GmbH
Heiligenhaus Zum Job 
AVM-Firmenlogo
Entwickler für Hochfrequenztechnik (w/m/d) AVM
Berlin Zum Job 
AVM-Firmenlogo
Team Lead Software Entwicklung Treiberintegration (w/m/d) AVM
Berlin Zum Job 
Flughafen München GmbH-Firmenlogo
Projektingenieur Sicherheitstechnik Sprachalarmierung (w/m/d) Flughafen München GmbH
München Zum Job 
B. Braun Melsungen AG-Firmenlogo
Senior Expert (w/m/d) Manufacturing Digitalization B. Braun Melsungen AG
Melsungen Zum Job 
Heuft Systemtechnik GmbH-Firmenlogo
Projektingenieur - Schwerpunkt Automatisierung, IT und Netzwerkinfrastruktur (m/w/d) Heuft Systemtechnik GmbH
Burgbrohl Zum Job 
VIVAVIS AG-Firmenlogo
Referent für Standardisierung und Förderprogramme / Wissenschaftlicher Mitarbeiter (m/w/d) VIVAVIS AG
Ettlingen Zum Job 
VIVAVIS AG-Firmenlogo
Produktmanager (m/w/d) - Metering Devices und Steuerbox VIVAVIS AG
Koblenz, Ettlingen Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) Systemsoftware IMS Messsysteme GmbH
Heiligenhaus Zum Job 
DFS Deutsche Flugsicherung GmbH-Firmenlogo
Referent (m/w/d) Anforderungsmanagement Funktionale Systeme DFS Deutsche Flugsicherung GmbH
Langen Zum Job 
DNV GL SE-Firmenlogo
(Senior) Consultant for Digital System Operation (m/w/d) DNV GL SE
Dresden, Schönefeld Zum Job 
ESFORIN SE-Firmenlogo
Mitarbeiter*in Marktkommunikation & Prozesse (m/w/d) ESFORIN SE
Essen Zum Job 
THD - Technische Hochschule Deggendorf-Firmenlogo
Professorin | Professor (m/w/d) für das Lehrgebiet "Ingenieursinformatik/Embedded Systems" THD - Technische Hochschule Deggendorf
Deggendorf Zum Job 
THD - Technische Hochschule Deggendorf-Firmenlogo
Lehrgebiet "Autonome und eingebettete Systeme" THD - Technische Hochschule Deggendorf
Deggendorf Zum Job 
FRIWO-Firmenlogo
Senior Softwareentwickler Embedded Systems / C/C++ (m/w/d) FRIWO
Ostbevern Zum Job 

Digitaler Fingerabdruck durch CSS: Eine Bedrohung auch für E-Mails

Besonders spannend war für Trampert das Testen von E-Mail-Anwendungen. Während JavaScript von vielen Mailclients standardmäßig blockiert wird, ist der Einsatz von CSS bisher nicht eingeschränkt. „Wir haben 21 Mailclients untersucht, darunter sowohl Android- und iOS- als auch Desktop und Web-Clients. In neun Fällen konnten wir alle unsere Techniken erfolgreich einsetzen und so Informationen über die Nutzenden sammeln. 18 der 21 Mailclients davon waren für mindestens eine bestimmte Technik anfällig“, berichtet Trampert. Dadurch können sich ganz neue Bedrohungsszenarien ergeben. „Angriffe könnten zum Beispiel darauf abzielen, die Web-Sitzungen von Besucherinnen und Besuchern mit deren E-Mail-Konto zu verknüpfen oder alle E-Mail-Adressen bestimmter Nutzenden zu identifizieren“, warnt Trampert.

Robuste Verteidigung durch Aufklärung über Tracking-Methoden

Im Web werden Nutzerinnen und Nutzer aufgrund von Tracking-Cookies und JavaScript bereits ungewollt vermessen. „Trotzdem ist es wichtig, aufzuzeigen, welche technischen Möglichkeiten es gibt und wo sich neue Missbrauchsmöglichkeiten eröffnen – wie hier gesehen plötzlich auch in Mailprogrammen. Nur so können wir auch robuste Verteidigungsmaßnahmen entwickeln“, betont Trampert. Der PhD-Student forscht am CISPA, betreut von CISPA-Faculty Dr. Michael Schwarz und Prof. Dr. Christian Rossow. Um die Privatsphäre der Nutzenden zu schützen, ist eine kontinuierliche Erforschung neuer Tracking-Methoden unerlässlich. Nur so können geeignete Gegenmaßnahmen entwickelt und implementiert werden.

Ein Beitrag von:

  • Anke Benstem

    Anke Benstem ist freie Journalistin, Buchautorin und Texterin. Sie gehört zum Team von Content Qualitäten. Ihre Themen: Klima und Umwelt.

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Messe

Hannover Messe Special

Ähnliche Artikel

Sicherheitslücke
Gefährliche E-Mails

Sicherheitslücke in Mozilla Thunderbird entdeckt
BSI und BND warnen

Russische Hacker nehmen Logistik- und Tech-Unternehmen ins Visier
IT-Sicherheit für die Industrie

Neuer Service hilft bei Abwehr von Cyberangriffen auf OT-Systeme
Eine Gamerin tippt aus einer Tastatur und hält eine Kreditkarte in der anderen Hand.
Gaming

Game Over für Sicherheitslücken? Studie zur IT-Sicherheit bei Videospielen

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos