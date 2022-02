Es wird scheinbar immer schwieriger, im Netz anonym zu bleiben. Cookies, die eure Aktivitäten nachverfolgen, könnt ihr zwar ablehnen, allerdings kann eure Grafikkarte euch neuerdings auch tracken.

Das hat ein internationales Forschungsteam, bestehend aus französischen, israelischen und australischen Wissenschaftlern herausgefunden und ihre Ergebnisse in diesem Bericht der Cornell Universit zusammengefasst.

Grafikkarten können eindeutig identifiziert werden

Die Technik wird von den Forschern Drawnapart genannt und beschreibt eine Geräteidentifikationstechnik basierend auf Remote-GPU-Fingerprinting. Im Klartext heißt das, dass damit euer PC eindeutig identifiziert und eure Aktivitäten im Internet nachverfolgen werden können.

Programme können nicht nur Grafikkarten, sondern auch Menschen problemlos identifizieren. Die App Clearview AI zum Beispiel sammelt Bilder aus sozialen Netzwerken und wertet diese aus. Wie genau die Auswertung hier funktioniert, ist allerdings nicht bekannt:

105 2 Mehr zum Thema App identifiziert Millionen Menschen in Sekunden

Bekannt ist aber, wie Drawnapart funktioniert: Grob gesagt geht das über WebGL, was dafür verantwortlich ist, 3D-Grafiken in eurem Browser zu rendern. Dazu sendet Drawnapart eine Reihe von Anfragen an WebGL, auf die eure Grafikkarte reagiert. Anhand der Timings, die euer PC ausgibt, kann das System einen Fingerabdruck erstellen, den die Forscher eindeutig eurer Grafikkarte zuordnen können.

Der Algorithmus kann auch Karten von der gleichen Baureihe unterscheiden. Eine Nvidia RTX 3080 zum Beispiel ist nie komplett baugleich mit einer anderen RTX 3080. In der Praxis werdet ihr den Unterschied nicht merken, da dieser marginal ist, Drawnapart kann die einzelnen Karten aber unterscheiden.

Gegenmaßnahmen sind noch unbefriedigend

Damit könnte Drawnapart Privatsphäre-Mechanismen wie das Löschen von Cookies sehr einfach umgehen und Unternehmen damit fleißig eure Nutzerdaten sammeln, um euer Verhalten zu analysieren und euch maßgeschneiderte Werbung zukommen lassen. Auch bei Videospielen wie Battlefield wurden schon Nutzerdaten ausspioniert. Wir haben mithilfe eines Rechtsanwalts geklärt, was das für eure Privatsphäre bedeutet:

19 22 Sind meine Daten sicher? Was Battlefield-Spieler über EA Origin wissen sollten

Das Problem ist den Forschern ebenfalls bewusst. Deshalb geben sie Ratschläge, wie ihr Algorithmen wie Drawnapart wirkungslos machen könnt.

Der Offensichtlichste ist wohl WebGL abzuschalten, denn so kann Drawnapart nicht mehr darauf zugreifen und euren GPU-Fingerabdruck lesen. In der Praxis ist das allerdings nicht sehr hilfreich, da dadurch die Funktionen eures Browsers eingeschränkt werden würden. Viele Webseiten wie Amazon, Microsoft Office Online oder Google Maps nutzen WebGL und würden ohne nicht ordnungsgemäß funktionieren.

Andere Vorschläge zielen darauf ab, Skripte zu blockieren oder die Spannung der Grafikkarte zu ändern, was dafür sorgen könnte, dass eure Karte nicht mehr einwandfrei identifizierbar ist.

Softwarehersteller könnten am meisten bewirken: Die wirkungsvollste Lösung kommt aber wohl von den Softwareherstellern selbst. Vor allem WebGL und die Browserentwickler könnten Drawnapart und ähnliche Skripte blockieren, bevor sie auf eurem PC ausgeführt werden können. Darum sind die Forscher bereits in Gesprächen mit den Entwicklern und arbeiten an einer Lösung.

Warum entwickeln sie dann überhaupt erst den GPU-Fingerabdruck?

Das Ziel der Forscher war es hier wohl nicht euch auszuspionieren, sondern genau das Gegenteil: Durch das Entwickeln der Technik haben sie auch die Möglichkeit, direkt dagegen vorzugehen.

Gewinnorientierte Unternehmen hätten Drawnapart möglicherweise genutzt, um über längere Zeit unbemerkt an eure Daten zu gelangen, ohne eine Einverständniserklärung einzuholen. So haben Softwareentwickler nun jedoch die Chance, Gegenmaßnahmen einzuleiten, bevor die Technik missbraucht werden kann.

Wie steht ihr zum Thema Privatsphäre im Netz? Ist es euch wichtig, dass euer Nutzerverhalten geheim bleibt oder stellt ihr die Daten gerne freiwillig zur Verfügung? Welche Risiken seht ihr für euch selbst? Lasst es uns gerne wissen.