Schriften-Fingerprinting erkennt mithilfe von JavaScript, welche Schriftarten auf Ihrem System installiert sind — ohne Plugins, ohne Gerätespeicherung, ohne Ihre Zustimmung. Die Kombination installierter Schriften erzeugt 10–15 Bit Entropie und wird von etwa 38 % der Top-10.000-Websites eingesetzt. Nach der DSGVO ist dies eine Form der Verarbeitung personenbezogener Daten, die einer Rechtsgrundlage bedarf.
Wie Schriften-Fingerprinting funktioniert
Browser stellen keine direkte API bereit, um installierte Schriften aufzulisten. Stattdessen nutzen Tracker eine Umgehungsmethode über die Canvas-API oder CSS:
Methode 1: Canvas-Messung
Mit ctx.measureText() wird die Breite eines Test-Strings in einer bestimmten Schrift gemessen. Ist die Schrift installiert, weicht die Breite vom Fallback-Wert ab:
const canvas = document.createElement('canvas');
const ctx = canvas.getContext('2d');
function isFontAvailable(fontName) {
const baseline = ctx.measureText('mmmmmmmmlli').width;
ctx.font = `16px '${fontName}', monospace`;
const testWidth = ctx.measureText('mmmmmmmmlli').width;
return testWidth !== baseline;
}
// 300–700 Schriften werden sequenziell getestet
const fonts = ['Arial', 'Helvetica', 'Times New Roman', 'Palatino', ...];
const installed = fonts.filter(isFontAvailable);Methode 2: CSS-Fallback-Erkennung
Ein Element erhält eine bestimmte Schriftart per CSS. Über offsetWidth /offsetHeight wird geprüft, ob die echte Schrift oder der Fallback gerendert wird — auf Basis der unterschiedlichen Zeichenbreiten.
Warum verrät die Schriftliste so viel?
Schriften werden durch eine Vielzahl von Faktoren beeinflusst:
- Betriebssystem: macOS, Windows und Linux liefern unterschiedliche Standardschriften.
- Installierte Software: Adobe Creative Cloud, Microsoft Office, LibreOffice — jede App bringt eigene Schriften mit.
- Sprache und Region: CJK-Schriftsysteme, Arabisch, Devanagari — sprachspezifische Schriften verraten die bevorzugte Sprache.
- Benutzerinstallationen: Schriften für persönliche Projekte, Spiele oder Design-Tools sind hochgradig individuell.
Wie effektiv ist Font-Fingerprinting?
| Merkmal | Wert |
|---|---|
| Entropie | 10–15 Bit |
| Verbreitung (Top-10k-Websites) | ~38 % |
| Überlebt Cookie-Löschung | Ja |
| Änderung durch Software-Installation | Ja |
DSGVO und Schriften-Fingerprinting
Font-Fingerprinting läuft ohne jede sichtbare Interaktion und hinterlässt keine Cookies. Dennoch erzeugt es ein persistentes, individuelles Merkmal. Laut DSGVO-Erwägungsgrund 30 können Online-Kennzeichen wie Browser-Fingerprints als personenbezogene Daten gelten. Der Datenschutz-Ausschuss (EDPB) hat in seinen Leitlinien zum Tracking klargestellt, dass Fingerprinting einer ausdrücklichen Einwilligung bedarf, wenn es zur Nutzerverfolgung eingesetzt wird.
Schutzmaßnahmen
- Firefox
privacy.resistFingerprinting: Gibt für alle Schriften einheitliche Messwerte zurück — Schriften-Fingerprinting wird damit wirkungslos. - Brave Browser: Randomisiert Canvas-Messwerte pro Sitzung und verhindert so konsistente Schriften-Profilierung.
- Tor Browser: Beschränkt sichtbare Schriften auf ein Minimum — nur Standardschriften des Tor-Pakets sind verfügbar.
- Weniger Schriften installieren: Reduziert die Entropie des Font-Fingerprints, ist aber im Alltag kaum praktikabel.
Zusammenhang mit anderen Fingerprinting-Methoden
Font-Fingerprinting ergänzt Canvas-Fingerprinting — beide nutzen die Canvas-API, messen aber unterschiedliche Aspekte der Renderumgebung. Gemeinsam mit Screen-Fingerprinting und WebGL entsteht ein umfassendes Geräteprofil. Prüfen Sie Ihren aktuellen Fingerabdruck mit unserem Fingerprint-Tool.
