Ihr Browser verrät mehr über Sie als jeder Cookie

Viele Nutzer gehen noch immer von einem vertrauten Ritual aus: Cookies löschen, Inkognito-Fenster öffnen, Verlauf bereinigen, und schon sei ein guter Teil der eigenen Spur verschwunden. Diese Vorstellung passt jedoch immer weniger zur tatsächlichen Architektur des Webs. Das beharrlichste Tracking beruht heute oft nicht mehr auf lokalen Dateien, sondern auf den Eigenschaften, die Ihr Browser bei jeder Anfrage unweigerlich preisgibt.

Der Identifier liegt nicht auf Ihrem Gerät, sondern in dessen Signalen

Genau darin liegt die Besonderheit des Browser-Fingerprinting. Statt einen Cookie zu setzen, sammeln Websites eine Vielzahl technischer Merkmale: Bildschirmauflösung, Spracheinstellung, Zeitzone, Betriebssystem, Browserversion, Grafikverhalten und weitere Details, die für sich genommen harmlos wirken. In Kombination können sie jedoch ein erstaunlich unterscheidbares Profil ergeben. Laut dem Device Intelligence Report 2026 von Fingerprint.com, der auf mehr als 23 Milliarden Identifizierungsereignissen über mehr als 7 Milliarden Browser und Geräte hinweg beruht, ist diese Form der Wiedererkennung längst keine Randtechnik mehr.

Bemerkenswert ist, dass die wissenschaftliche Grundlage dafür seit Jahren bekannt ist. Frühere grundlegende Arbeiten zur Browser-Eindeutigkeit kamen auf mindestens 18,1 Bit Identifikationsentropie. In bestimmten damaligen Szenarien waren mehr als 94 Prozent der Browser eindeutig. Das bedeutet nicht, dass jede einzelne Sitzung immer mit derselben Sicherheit erkannt wird. Es bedeutet jedoch, dass die Menge der standardmäßig ausgesendeten Merkmale häufig ausreicht, um einen Browser mit hoher Wahrscheinlichkeit wiederzuerkennen, auch ohne lokal gespeicherten Marker.

Die Werbeindustrie reagiert messbar auf veränderte Fingerprints

Lange Zeit fehlte der direkte empirische Nachweis, dass diese Technik nicht nur theoretisch existiert oder für Betrugsabwehr eingesetzt wird, sondern aktiv in Werbe- und Trackingprozessen eine Rolle spielt. Genau hier setzt die Arbeit von Forschenden der Texas A&M University und der Johns Hopkins University an, die auf der ACM Web Conference 2025 vorgestellt wurde. In der Studie rund um das Messsystem FPTrace veränderten die Forschenden gezielt Browser-Fingerprints und beobachteten, wie sich Werbeauktionen und Datenaustausch verhielten.

Die Ergebnisse sind schwer als Zufall abzutun. Veränderte sich der Fingerprint, sank der Median der Werbegebote von 0,25 auf 0,19. Zugleich gingen die HTTP-Ketten, die auf Tracking- und Weiterleitungsprozesse hindeuten, massiv zurück. In einer Auswertung reduzierte sich ihre Zahl um mehr als 80 Prozent; die Zahl der Datenabgleichsereignisse zwischen Werbenetzwerken sank ungefähr um die Hälfte. Das legt nahe, dass das System eine geänderte Wiedererkennbarkeit des Nutzers registrierte und sein Profil anders bewertete.

Selbst Opt-out und Regulierung schließen Fingerprinting nicht zuverlässig aus

Besonders heikel wird es dort, wo Nutzer ausdrücklich widersprechen. In der auf arXiv verfügbaren Fassung der empirischen Untersuchung berichten die Autorinnen und Autoren, dass fingerprinting-basierte Trackingmuster auch unter GDPR- und CCPA-Bedingungen fortbestanden. Bei Consent-Management-Plattformen wie OneTrust und Quantcast zeigten sich weiterhin Hinweise auf Datensynchronisierung, obwohl Nutzer sich gegen Tracking entschieden hatten.

Aus deutscher Perspektive ist das nicht nur technisch, sondern auch regulatorisch bemerkenswert. Es berührt unmittelbar das Versprechen informierter Einwilligung. Wenn ein Tracking-Mechanismus auf Signalen basiert, die der Nutzer weder leicht sieht noch ohne Weiteres löscht, wird die Idee freiwilliger Kontrolle deutlich fragiler. Gerade deshalb sind die Hinweise auf fortbestehende Datenteilung trotz Ablehnung so relevant.

Das Problem ist größer, als viele Messwerkzeuge anzeigen

Hinzu kommt, dass herkömmliche Erhebungen Fingerprinting offenbar systematisch unterschätzen. Neuere Forschung zu realen Browsersitzungen zeigt, dass automatisierte Crawler fast 45 Prozent der Fingerprinting-Websites verpassen, denen echte Nutzer begegnen. Der Grund ist methodisch plausibel: Viele Skripte werden erst auf geschützten Seiten, nach bestimmten Interaktionen oder erst nach erfolgreicher Umgehung von Bot-Erkennung aktiv.

Damit erklärt sich auch, warum das Thema im öffentlichen Bewusstsein oft kleiner wirkt, als es technisch ist. Was schwer sichtbar ist, wird leicht für selten gehalten. Im Fall des Fingerprinting scheint eher das Gegenteil zuzutreffen: Die Intransparenz gehört zum Funktionsprinzip.

Googles Kurswechsel hat die Grauzone verkleinert

Politisch aufgeladen wurde das Thema durch Googles Richtungsänderung. 2019 hatte Google Fingerprinting noch mit der Formulierung kritisiert, es unterlaufe die Wahlfreiheit der Nutzer und sei falsch. Wie der Überblick von Bitdefender zur Richtlinienänderung zusammenfasst, dürfen Werbetreibende auf Googles Plattformen seit dem 16. Februar 2025 entsprechende Techniken verwenden. Das britische ICO nannte diesen Schritt unverantwortlich und verwies darauf, dass sich solche Signale nicht einfach wegwischen lassen.

Die Bedeutung dieses Kurswechsels liegt weniger in der einzelnen Formulierung einer Plattformrichtlinie als in ihrer Signalwirkung. Wenn die weltweit größte Werbeinfrastruktur eine Methode nicht mehr ausschließt, verlagert sich deren Status von einer umstrittenen Technik hin zu einem akzeptierten Instrument des Marktes.

Was Ihnen realistisch bleibt

Vollständigen Schutz gibt es kaum. Schon der normale Gebrauch eines Browsers erzeugt eine identifizierbare Oberfläche. Dennoch ist der Unterschied zwischen keiner Gegenmaßnahme und einer vernünftigen Reduktion der Einzigartigkeit erheblich. Firefox und Brave bieten Schutzmechanismen gegen Tracking und Fingerprinting; spezialisierte Erweiterungen können einzelne Vektoren wie Canvas-Abfragen erschweren; der Tor Browser bleibt die konsequenteste Lösung, weil er versucht, möglichst viele Nutzer technisch ähnlich erscheinen zu lassen.

Gleichzeitig liegt hier eine unangenehme Ironie. Je exotischer Ihre Konfiguration, je mehr seltene Erweiterungen und je individueller Ihr Setup, desto auffälliger kann Ihr Fingerprint werden. Die wirksamste Verteidigung besteht oft nicht darin, maximal speziell zu sein, sondern möglichst wenig hervorzustechen. Genau darin liegt die eigentliche Pointe dieser Debatte: Cookies zu löschen war einmal ein sinnvoller Reflex. Heute reicht dieser Reflex nicht mehr aus, weil die entscheidende Spur oft gar nicht im Speicher liegt, sondern in der technischen Persönlichkeit Ihres Browsers.