Device Fingerprinting: Definition und Rolle in der Betrugsprävention

Device Fingerprinting ist ein wesentliches Instrument zur Identifizierung von Endgeräten innerhalb digitaler Geschäftsprozesse. Im Bereich der Identitätsprüfung dient die Methode dazu, technische Merkmale von Hard- und Software zu analysieren, um ein Gerät eindeutig wiederzuerkennen, ohne dabei auf zustimmungspflichtige Cookies angewiesen zu sein.

Für Unternehmen stellt dieses Verfahren eine präventive Sicherheitsebene dar, die betrügerische Aktivitäten wie Multi-Accounting oder automatisierte Bot-Angriffe bereits in der Initialphase eines Registrierungsprozesses erkennt. Damit ergänzt Device Fingerprinting die biometrische Verifizierung um eine technische Risikobewertung, die die Prozesssicherheit erhöht, ohne die Abbruchraten durch zusätzliche Nutzereingaben zu steigern.

Was versteht man unter Device Fingerprinting?

Device Fingerprinting bezeichnet eine technologische Methode zur eindeutigen Identifizierung und Wiedererkennung von Endgeräten, ohne dass dabei Informationen (wie Cookies) auf dem Gerät der Nutzer:innen gespeichert werden müssen. Im Gegensatz zu herkömmlichen Tracking-Verfahren basiert Device Fingerprinting auf der passiven Abfrage technischer Merkmale, die ein Browser oder eine App während einer Sitzung ohnehin übermittelt.

Ein praktisches Beispiel hierfür ist die Kombination aus Browser-Version, installierten Plug-ins und einer spezifischen Liste lokal verfügbarer Schriftarten. Während Millionen Menschen denselben Browser nutzen, ist die Wahrscheinlichkeit, dass zwei Nutzer:innen exakt dieselbe Konfiguration aus Plug-ins und Schriftarten verwenden, extrem gering. Ein weiteres Beispiel ist das sogenannte Canvas Fingerprinting: Hierbei wird der Browser angewiesen, eine unsichtbare Grafik zu rendern. Da dieser Prozess von der Grafikkarte und den installierten Treibern abhängt, entsteht ein individueller Wert, der das Gerät eindeutig identifizierbar macht.

In der modernen digitalen Identitätsprüfung übernimmt dieses Verfahren eine zentrale Rolle: Es fungiert als erste Instanz zur Absicherung von Onboarding-Prozessen und ermöglicht die frühzeitige Erkennung von Betrugsmustern, noch bevor eine biometrische Datenerhebung oder Dokumentenprüfung eingeleitet wird.

Funktionsweise und technische Parameter

Der Prozess des Device Fingerprinting nutzt die Tatsache, dass moderne IT-Systeme hochgradig individuell konfiguriert sind. Ein Server fragt dabei eine Vielzahl von Parametern ab, die in ihrer Kombination einen nahezu einzigartigen digitalen Fingerabdruck ergeben. Die mathematische Einzigartigkeit dieses Abdrucks nennt man Entropie.

Übrigens: Je mehr unterschiedliche Merkmale kombiniert werden, desto höher ist die Wahrscheinlichkeit, dass ein Gerät weltweit nur ein einziges Mal in dieser spezifischen Konfiguration existiert.

Erhobene Datenpunkte im Detail

Die Erstellung eines “Device Fingerabdrucks” stützt sich auf eine Vielzahl von Datenpunkten, die in Echtzeit aggregiert werden:

• Browser-Konfiguration: Hierzu zählen Name und Version des Browsers, installierte Plug-ins, unterstützte MIME-Typen sowie die Spracheinstellungen und die gewählte Standard-Schriftart.
• Systeminformationen: Betriebssystem-Version, Build-Nummer, Systemzeit, Zeitzone sowie installierte Medientreiber.
• Hardware-Spezifikationen: Bildschirmauflösung, Farbtiefe, CPU-Architektur, Anzahl der Prozessorkerne, verfügbare Hardware-Schnittstellen und sogar der aktuelle Batteriestatus.
• Netzwerk-Parameter: Neben der IP-Adresse werden Informationen über den Internet-Service-Provider (ISP) und die Nutzung von Proxy-Servern, VPN-Diensten oder The Onion Router (TOR)-Exit-Nodes analysiert. Ein TOR-Exit-Node ist der letzte Knotenpunkt im Anonymisierungs-Netzwerk „The Onion Router“, an dem der verschlüsselte Datenverkehr wieder ins öffentliche Internet tritt und so die wahre IP-Adresse des Users für den Zielserver unsichtbar macht.
• Schriftarten (Font Probing): Die Liste der lokal installierten Schriftarten ist oft extrem individuell und liefert einen signifikanten Beitrag zur Entropie des Device Fingerprints.
  
  

Fortgeschrittene Methoden: Canvas und Audio Fingerprinting

Über die statische Abfrage von Browser-Daten hinaus nutzen moderne Systeme dynamische Methoden, um die Genauigkeit zu erhöhen. Beim Canvas Fingerprinting wird der Browser angewiesen, eine unsichtbare Grafik im Hintergrund zu rendern. Da die Darstellung von der Grafikkarte, den Grafiktreibern und den installierten Software-Bibliotheken abhängt, unterscheidet sich das Ergebnis auf Pixelebene minimal zwischen verschiedenen Systemen.

Ähnlich funktioniert das Audio Fingerprinting, bei dem die Art und Weise analysiert wird, wie der Browser ein Audiosignal verarbeitet, ohne dass der/die Nutzer:in davon etwas hört. Diese Verfahren sind resistent gegenüber herkömmlichen Anti-Tracking-Maßnahmen und bieten eine stabile Identifikationsgrundlage.

Abgrenzung: Device Fingerprinting vs. Cookies

Für die technische Implementierung von Sicherheitsprozessen ist der Vergleich zwischen Device Fingerprinting und klassischen Cookies entscheidend. Während Cookies darauf angewiesen sind, dass Daten aktiv auf dem Endgerät gespeichert und vom Browser nicht blockiert oder gelöscht werden, arbeitet Device Fingerprinting unabhängig von clientseitigen Speichern. Das macht die Methode deutlich resistenter gegenüber Manipulationsversuchen. Die folgende Tabelle verdeutlicht die technischen und prozessualen Unterschiede:

Regulatorische Einordnung und DSGVO-Konformität

Die Nutzung von Device Fingerprinting bewegt sich in einem eng definierten rechtlichen Rahmen. Da ein digitaler Fingerabdruck ein Endgerät und damit indirekt eine Person identifizierbar macht, fallen diese Informationen unter den Schutz der DSGVO sowie der europäischen ePrivacy-Richtlinie. Letztere wurde in Deutschland durch das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) in nationales Recht umgesetzt.

Ein entscheidender Faktor für die Rechtskonformität ist der Einsatzzweck. Die Rechtsprechung, insbesondere das EuGH-Urteil C-673/17 „Planet49“ aus dem Jahr 2019, fordert für das Auslesen von Geräteinformationen und das Setzen von Cookies grundsätzlich eine aktive Einwilligung (Opt-in). Allerdings sieht die ePrivacy-Richtlinie eine wichtige Ausnahme vor: Maßnahmen, die „unbedingt erforderlich“ sind, um einen von dem/der Nutzer:in gewünschten Dienst sicher bereitzustellen, benötigen keine Vorab-Zustimmung.

Im Bereich der Betrugsprävention können Unternehmen die Datenverarbeitung daher auf das berechtigte Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO stützen. Der Schutz vor Identitätsdiebstahl und die Einhaltung gesetzlicher Compliance-Vorgaben – etwa im Rahmen der GwG-Prüfung – werden hierbei höher gewichtet als der Eingriff in die Privatsphäre.

Kurz gesagt: Während für Marketing-Tracking eine Erlaubnis gefragt werden muss, ist die technische Absicherung des Onboarding-Prozesses zur Abwehr krimineller Aktivitäten rechtlich privilegiert, sofern die Daten ausschließlich diesem Sicherheitszweck dienen.

Relevanz für Unternehmen und Betrugsprävention

In hochgradig automatisierten Geschäftsprozessen ist Device Fingerprinting ein unverzichtbarer Bestandteil der Risikominimierung. Es fungiert als erste Verteidigungslinie (First Line of Defense) im digitalen Onboarding. Unternehmen nutzen die Technologie, um komplexe Betrugsszenarien zu identifizieren, die durch herkömmliche Identifikationsmerkmale allein nicht abgedeckt werden:

• Multi-Accounting-Erkennung: Identifikation von Akteur:innen, die versuchen, unter verschiedenen Identitäten zahlreiche Konten von demselben Gerät aus zu eröffnen.
• Bot-Detektion: Automatisierte Skripte weisen oft Inkonsistenzen in ihrem technischen Profil auf, wie etwa Diskrepanzen zwischen dem User-Agent und dem tatsächlichen Rendering-Verhalten der Engine.
• Geofencing & Proxy-Check: Abgleich des physischen Standorts mit den Angaben im Ausweisdokument. Die Nutzung von VPN-Diensten zur Verschleierung des Standorts erhöht den Risikoscore im Onboarding-Vorgang sofort.
• Velocity Checks: Überwachung der Frequenz von Registrierungsversuchen pro Gerät, um großflächige Angriffe (Mass Registrations oder DDoS) effektiv zu unterbinden.
  
  

Die Zukunft der Betrugsprävention: PXL Vision & Device Signale

Die Identifizierung von Endgeräten ist eine technologisch hochkomplexe Disziplin, die durch die Zunahme von synthetischem Identitätsbetrug und hochentwickelten Deepfakes massiv an Bedeutung gewinnt. Während biometrische Verfahren die Echtheit der Person prüfen, liefert Device Fingerprinting den notwendigen technischen Kontext, um Manipulationen bereits auf Hardware-Ebene zu entlarven.

Bei PXL Vision liegt der aktuelle Fokus auf der KI-gestützten Verifizierung von Dokumenten und Biometrie. Wir erkennen jedoch zunehmend das enorme Potenzial, das in der Kombination dieser Kernkompetenzen mit Geräte-Metadaten liegt. Deshalb evaluieren wir derzeit erste Möglichkeiten, wie wir Device-Signale in unsere Plattform integrieren können. Wir empfehlen unseren Kunden zudem, ihre End-to-End-User-Journeys regelmäßig ganzheitlich zu überprüfen und bei Bedarf durch zusätzliche Sicherheitsmechanismen wie das Device-Fingerprinting gezielt zu erweitern.
Ziel ist es, unseren bereits mehrschichtigen Ansatz zu erweitern. Dadurch wird die Identitätsprüfung noch resistenter gegen hochgradig automatisierte Betrugsversuche und Unternehmen können eine vollumfängliche Betrugspräventionsstrategie umsetzen.

FAQ: Häufig gestellte Fragen zu Device Fingerprinting