20 Minuten für Digitales-Fingerprinting zur Betrugsprävention

Inhalt

1 Vorwort
Was ist ein Digitaler-Fingerprint?
Möglichkeiten des Digitalen-Fingerprintings
Datenschutzrechtliche Probleme

2 Fallbeispiel
Digitales-Fingerprinting zur Betrugsprävention
Mögliche Umsetzung & Anwendbarkeit
Beispielhafter PHP-Code

3 Datenschutzkonformität & Fazit

1 Vorwort

In diesem kurzen Buch wird ein schneller Einstieg zum Thema Digitales-Fingerprinting ermöglicht. Dieses Buch kann innerhalb von ca. 20 Minuten gelesen werden. Aus diesem Grund sind die Themenfelder stark gekürzt.

Im nachfolgenden wird aufgezeigt was mit einem Digitalen Fingerabdruck gemeint ist und welche Datenschutzrechtlichen Probleme damit einhergehen. Anhand eines Fallbeispiels wird ein möglicher Einsatzzweck des Digitalen-Fingerprintings behandelt.

In diesem Fallbeispiel werden auch die Datenschutzrechtlichen Probleme wieder aufgegriffen und eine Datenschutzkonforme-Nutzungsmöglichkeit aufgezeigt.

Wichtiger Hinweis:

Dieses Buch ist für reine Informationszwecke geschrieben. Sollten Sie Rechtliche Fragen, zu einem der Themen, die in diesem Buch aufgegriffen werden haben, kontaktieren Sie bitte einen zugelassenen Rechtsanwalt Ihrer Wahl. Die in diesem Buch enthaltenen Informationen stellen keine rechtliche Beratung dar. Für Irrtümer, Fehler und Druckfehler übernimmt der Autor keine Gewähr sowie auch keine Haftung. Schadensersatzansprüche aus jedwedem Grund sind ausgeschlossen. Sollten einzelne Bestimmungen ungültig sein, bleiben die verbleibenden Bestimmungen hiervon unberührt und für die unwirksamen Bestimmungen tritt Ersatzweise eine wirksame Bestimmung mit den gleichen Wirtschaftlichen Zielen wie der der unwirksamen Bestimmung in Kraft.

Verwendete Produktnamen, Warenzeichen und geschützte Warenzeichen sind im Besitz ihrer jeweiligen Eigentümer und wurden in der Regel nicht als solche kenntlich gemacht. Die Verwendung dient nur der Information. Das Fehlen einer solchen Kennzeichnung bedeutet nicht, dass es sich um einen freien Namen im Sinne des Waren- und Markenzeichenrechts handelt. Der Autor erkennt alle Produktnamen und Warenzeichen an. Alle Rechte vorbehalten. Kein Teil dieser Publikation darf in jedweder Form ohne schriftliche Genehmigung des Autors reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.

Was ist ein Digitaler-Fingerprint?

"Ein digitaler Fingerabdruck eines elektronischen Dokuments ist die Ausgabe einer Einweg-Hashfunktion, die als Eingabe das Dokument erhalten hat. Der digitale Fingerabdruck ist in der Regel kürzer, als das Dokument selbst. Er sollte weiterhin eindeutig sein, d.h. es sollte kein zweites, sinnvolles Dokument mit gleichem digitalen Fingerabdruck existieren. Dieser Idealfall ist nur schwer sicherzustellen."¹

Ein etwas anderes Beispiel für einen digitalen Fingerabdruck wäre etwa die IP-Adresse, die jedem Nutzer im Internet für eine bestimmte Zeit, eine eindeutige Adresse aus Zahlen zu weißt (z.B. 123.123.123.123). Diese Adresse wird von dem Telekommunikationsanbieter des jeweiligen Nutzers automatisch bei der Einwahl in das Internet an diesen vergeben. Die meist begrenzte Gültigkeit von heute 24 Stunden lässt allerdings keine eindeutige Identifikation eines Nutzers über einen längeren Zeitraum zu.

"Eine IP-Adresse kennzeichnet eindeutig ein Gerät, das in einem TCP/IP basierten Netzwerk vorhanden ist. Die bekannteste Notation der heute geläufigen IPv4-Adressen besteht aus vier Zahlen, die jeweils zwischen 0 und 255 liegen und mit einem Punkt getrennt werden, beispielsweise 127.0.0.1. Technisch gesehen ist die Adresse eine 32-stellige (IPv4) oder 128-stellige (IPv6) Binärzahl."²

Ein Digitaler-Fingerprint bietet allerdings die Möglichkeit einen Nutzer über einen längeren Zeitraum im Internet zu verfolgen bzw. zu identifizieren, selbst wenn sich die IP-Adresse des Nutzers ändert.

Die Möglichkeiten eines digitalen Fingerabdruckes bieten auf vielen Gebieten ungeahnte Einsatzmöglichkeiten und Verwendungszwecke. Er lässt sich einfach über eine Einweg-Hashfunktion auch Checksumme genannt aus beliebigen Daten generieren.

"Eine Einweg-Hashfunktion ist eine spezielle Hashfunktion. Einweg-Hashfunktionen sind Hashfunktionen, die folgende Kriterien erfüllen:

Eingaben beliebiger Größe werden Ausgaben bestimmter Größe zugeordnet (Kompression).

Aus der Ausgabe kann nicht auf die Eingabe geschlossen werden (Unumkehrbarkeit).

Die Funktion arbeitet kollisionsfrei, d.h. zu jeder möglichen, sinnvollen Eingabe generiert die Einweg-Hashfunktion genau eine Ausgabe. Anders gesagt: Es ist nicht möglich zu einem Hashwert zwei sinnvolle Eingaben zu konstruieren.

Wenn man diese Definition betrachtet, lassen sich die Hashwerte, die von Einweg-Hashfunktionen zu Eingaben generiert werden, als Aussagen über die Eingaben auffassen. Jede Eingabe läßt sich mit genau einer Aussage beschreiben.

Diese Eigenschaft von Einweg-Hashfunktionen wird ausgenutzt, um sogenannte `digitale Fingerabdrücke' von Daten zu erstellen. Die Metapher paßt zwar nicht so recht, hat sich aber durchgesetzt."³

Möglichkeiten des Digitalen-Fingerprintings

Ein digitaler Fingerabdruck kann eingesetzt werden um Menschen im Internet über einen längeren Zeitraum zu verfolgen und zu identifizieren. So könnte im Rahmen einer Werbekampagne stets ein digitaler Fingerabdruck gespeichert werden und wichtige Kennzahlen bieten:

Hat der Nutzer durch die Werbekampagne-A, dass entsprechende Produkt gekauft bzw. die gewünschte Aktion ausgeführt?

Hat er dies sofort getan?

Hat er dies erst einige Tage später getan?

Wurde der Nutzer durch Werbekampagne-B ebenfalls aufmerksam?

Zu welcher Tageszeit besucht ein Nutzer meine Website?

Ist es ein wiederkehrender Nutzer?

Ein digitaler Fingerabdruck lässt sich relativ leicht generieren. Ein Nutzer übermittelt stets eine große Anzahl von Daten wie z.B.:

verwendetes Betriebssystem

verwendete Sprache

verwendeter Internetbrowser und dessen Version

installierte Erweiterungen und dessen Version

IP-Adresse

Hostname bzw. genutzter Telekommunikationsanbieter

etc.

Werden diese Daten nun zusammengefasst zu einer großen Zeichenkette könnte sich z.B. folgendes ergeben:

"Hostname-Second-Level: t-ipconnect.de Sprache:de,en-US;q=0.7,en;q=0.3 Browser: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0JavaScript: zugelassen Bildschirmauflösung: 1680 x 1050Farbtiefe: 24 BitGröße des Browserfensters: 1663 x 939Mozilla/ Firefox Plugin 1: Google UpdateMozilla/ Firefox Plugin 2: Shockwave FlashMozilla/ Firefox Plugin 3: Java(TM) Platform SE 7 U25Mozilla/ Firefox Plugin 4: Java Deployment Toolkit 7.0.250.17Mozilla/ Firefox Plugin 5: VLC Web PluginMozilla/ Firefox Plugin 6: Shockwave for DirectorMozilla/ Firefox Plugin 7: AmazonMP3DownloaderPluginMozilla/ Firefox Plugin 8: Adobe AcrobatMozilla/ Firefox Plugin 9: Adobe Acrobat"

Werden diese Daten nun weiter verarbeitet könnte z.B. folgende Checksumme aus diesen Daten berechnet werden:

SHA1: 209DAD76F0F042DD61BD63BDB79E65073B238045

Im obigen Beispiel wäre also die SHA1-Checksumme dieses Textes ein digitaler Fingerabdruck. Dieser Fingerabdruck würde sich z.B. erst ändern wenn ein anderer Telekommunikationsanbieter oder Browser genutzt werden würde oder der Browser bzw. eine Erweiterung dessen ein Softwareupdate bezieht.

"Der Secure Hash Algorithm, wurde von der NSA als Teil des „Secure Hash Standards“ entwickelt. SHA1 ist eine Weiterentwicklung von SHA und funktioniert ähnlich MD4. SHA1 liefert ein 160 bit Extrakt."⁴

Die IP-Adresse kann sich hierbei beliebig oft verändern und der Nutzer bleibt dennoch identifizierbar. Desto mehr Daten des Nutzers ausgelesen werden, desto höher ist die Wahrscheinlichkeit einen Nutzer eindeutig identifizieren zu können. Mit zunehmender Menge an Daten steigt die Unterscheidbarkeit von anderen Nutzern. Der Fingerprint (hier eine SHA1-Checksumme) wird hierdurch aber nicht größer.

Werden nun doppelt so viele Daten wie im ersten Beispiel zugrunde gelegt, so ändert sich zwar die SHA1-Checksumme und damit der Fingerabdruck, aber nicht die Länge bzw. Größe des Fingerabdruckes:

Alter SHA1-Fingerabdruck: 209DAD76F0F042DD61BD63BDB79E65073B238045

Neuer SHA1 Fingerabdruck: FD9C87C7DE67387EF6E569DF8025E3F8EF3D4F70

Dies bedeutet wiederrum, dass der Speicher der für die Speicherung solcher Fingerabdrücke verwendet werden müsste, nicht sehr groß sein muss. Ein Abgleich mit einer Datenbank von bereits gespeicherten Fingerabdrücken könnte sehr schnell erfolgen.

[...]

¹ TU Berlin (ohne Angabe) , Glossar der technischen Universität Berlin, Stichwort: digitaler Fingerabdruck

² Universität Konstanz (ohne Angabe) , Glossar der Universität Konstanz, Stichwort: IP-Adresse

³ TU Berlin (ohne Angabe) , Glossar der technischen Universität Berlin, Stichwort: Einweg-Hashfunktion

⁴ Hekerens, C. (2001), VPN-Virtual Private Networks, K. 12, Glossar, Stichwort: SHA1