CPU-Fingerprinting liest die Anzahl Ihrer logischen Prozessorkerne übernavigator.hardwareConcurrency aus — ein stilles, cookie-freies Signal, das in Millisekunden verfügbar ist. Fortgeschrittene Timing-Angriffe können darüber hinaus die CPU-Architektur (Intel, AMD, Apple Silicon) mit bis zu 97,5 % Genauigkeit ermitteln. Im Sinne der DSGVO gehört auch dieses Merkmal zu den Daten, die zur Identifikation Ihres Geräts beitragen können.
navigator.hardwareConcurrency
Diese Web-API gibt die Anzahl der logischen CPU-Kerne zurück, die dem Browser zur Verfügung stehen:
console.log(navigator.hardwareConcurrency);
// Beispiele:
// 4 → Dual-Core mit Hyper-Threading (älterer Laptop)
// 8 → Quad-Core mit Hyper-Threading (moderner Desktop/Laptop)
// 10 → Apple M1 (4 Performance + 6 Effizienz-Kerne)
// 16 → High-End-Desktop oder Apple M2 Pro
// 24 → Workstation oder Apple M3 MaxDer Wert ist persistent, ändert sich nicht zwischen Sitzungen und überlebt Cookie-Löschung und Inkognito-Modus.
Timing-basierte CPU-Identifikation
Forscher des CISPA Helmholtz-Zentrum für Informationssicherheit entwickelten einen Angriff, der über Timing-Messungen die CPU-Architektur bestimmt. Die Methode:
- JavaScript-Berechnungen werden in einem Web Worker durchgeführt.
- Die Ausführungszeit wird mit
performance.now()präzise gemessen. - CPU-spezifische Mikroarchitektur-Eigenschaften (Cache-Größen, Branch-Prediction, SIMD-Einheiten) erzeugen messbare Timing-Unterschiede.
- Ein Klassifikator ordnet das Timing-Profil einem CPU-Hersteller zu.
Ergebnis: Intel, AMD und Apple Silicon lassen sich mit ~97,5 % Genauigkeit unterscheiden — ohne API-Zugriff auf die CPU-Identität.
Effektivität und Grenzen
| Merkmal | Wert |
|---|---|
| API-Entropie (hardwareConcurrency) | ~2–3 Bit |
| Timing-Angriff: CPU-Hersteller-Genauigkeit | ~97,5 % |
| Überlebt Cookie-Löschung | Ja |
| Ändert sich nach CPU-Wechsel | Ja |
Browser-Schutzmaßnahmen
Verschiedene Browser haben die Entropie dieses Signals reduziert:
- Firefox: Klemmt
hardwareConcurrencybei aktiviertem Fingerprinting-Schutz auf maximal 2 — unabhängig von der tatsächlichen Kernanzahl. - Brave Browser: Randomisiert den Wert pro Sitzung auf einen Wert zwischen 2 und
min(tatsächlicheKerne, 8). - Chrome/Edge/Safari: Geben den echten Wert zurück — kein Schutz.
DSGVO und CPU-Fingerprinting
navigator.hardwareConcurrency allein identifiziert selten eine Person. In Kombination mit GPU-Renderer-Strings, Bildschirmauflösung und Betriebssystem entsteht jedoch ein Geräteprofil, das unter DSGVO-Erwägungsgrund 30 als Online-Kennung gilt. Das BSI empfiehlt in seinen Grundschutz-Katalogen für Hochsicherheitsanwendungen den Einsatz gehärteter Browser-Konfigurationen, die solche API-Werte anonymisieren.
Zusammenhang mit anderen Signalen
CPU-Fingerprinting wird selten isoliert eingesetzt. Es ergänzt Gerätespeicher-Fingerprinting (RAM-Tier) und WebGL-Fingerprinting (GPU-Typ) zu einem umfassenden Hardware-Profil. Testen Sie Ihre aktuelle Exposition mit unserem Fingerprint-Tool.
