Wie Geräte-Fingerabdrücke zum Spion im Unternehmen werden
Unternehmen laufen Gefahr, durch Geräte-Fingerprinting Firmengeheimnisse zu verlieren. Was klingt wie ein Science-Fiction-Szenario, wird durch moderne Tracking-Methoden bedenkliche Realität.
Der technische Fingerabdruck eines Smartphones oder Tablets eröffnet Möglichkeiten, die so manche Sicherheitsbedenken hervorrufen. Dieser Fingerprint setzt sich aus zahlreichen Informationen des Geräts zusammen, wie Betriebssystem-Version, Gerätename und -typ. Jedes dieser Daten für sich genommen scheint harmlos, doch zusammengesetzt entsteht eine klare Identifikation. Da mobile Geräte in der Regel von einer einzelnen Person genutzt werden, lassen sich mit diesem digitalen Fingerabdruck persönliche Daten sammeln und sogar Nutzer identifizieren.
Wie funktioniert das Geräte-Fingerprinting?
Die Technik des Fingerprintings ist ein Mittel zur Identifikation mobiler Geräte über Apps hinweg. Anders als bei Cookies im Web, die die Zustimmung der Nutzer erfordern, ermöglicht Fingerprinting das Verfolgen ohne direkte Erlaubnis. Diese Technik umgehen die regulären Cookie-Banner und erschweren Nutzern die Kontrolle ihrer Daten. Die Kombination verschiedenster Geräteinformationen ermöglicht eine hohe Präzision in der Zuordnung, was Werbe- und Analysefirmen bereits seit längerem zur Nachverfolgung des Nutzerverhaltens einsetzen.
Die Zahlen sprechen Bände: 64 Prozent der Android-Apps nutzen Fingerprinting
Forscher des Fraunhofer SIT haben sich die beliebtesten 1.000 Android-Apps angesehen und dabei festgestellt, dass 64 Prozent auf Geräte-Fingerprinting setzen. Weitere Analysen ergaben, dass über 30.000 Domains aus den meistverwendeten 2.000 iOS- und Android-Apps Daten über dieselben Fingerprinting-URLs austauschen. Über das gezielte Blocken dieser URLs ließe sich in rund 80 Prozent der Fälle das Tracking durch Fingerprinting unterbinden – eine praktikable, aber im Unternehmenskontext anspruchsvolle Aufgabe.
Gefahr für Unternehmensgeheimnisse
In Zeiten, in denen Unternehmen auf mobile Geräte setzen, wird die Bedrohung durch Fingerprinting zur direkten Gefahr. Mitarbeitende installieren oft Apps auf ihren Arbeitsgeräten – häufig ohne zu wissen, dass durch diese Apps Fingerprinting-Techniken aktiviert werden. Angreifer können durch Kauf dieser gesammelten Daten den Fingerabdruck eines Unternehmensgeräts entschlüsseln und so eventuell auf sensible Geschäftsgeheimnisse und Kundeninformationen zugreifen. Ein bekanntes Beispiel ist der Fall Cambridge Analytica, der zeigt, wie ausreichend aggregierte Daten für gezielte Manipulation genutzt werden können.
Fraunhofer SIT zeigt Schutzlösungen auf der it-sa 2024
Auf der Nürnberger Sicherheitsmesse it-sa stellt das Fraunhofer SIT seine aktuellen Forschungsergebnisse vor. In Halle 6, Stand 6-314, können sich Interessierte informieren, wie sich die Bedrohungen durch Geräte-Fingerprinting gezielt abwehren lassen. Mit der Lösung „Appicaptor“ hat das Fraunhofer SIT ein Tool entwickelt, das Apps scannt und auf ihre Konformität mit unternehmenseigenen Sicherheitsrichtlinien prüft. Die Messebesucher erwartet zudem ein interaktives Smartphone-Spiel, das zeigt, wie trickreiche Cookie-Banner aussehen können. Der Clou: Wer die wenigsten digitalen Cookies einsammelt, gewinnt einen echten, analogen Keks.
Für Unternehmen, die ihre mobilen Geräte gegen Tracking absichern wollen, bietet die Plattform von Appicaptor weiterführende Informationen und eine umfassende Prüfung der installierten Apps an.
