CreepJS: Wie der Browser-Fingerabdrucktest Sie sieht
Öffnen Sie eine gewöhnliche Webseite, und noch bevor Sie etwas anklicken, kann Ihr Browser aus Millionen von anderen herausfiltern. Kein Login, keine Cookies, keine Berechtigungsanfrage. Löschen Sie Ihren Verlauf, wechseln Sie in den Inkognito-Modus, leiten Sie alles über ein VPN – die Seite erkennt Sie oft trotzdem. Das funktioniert nicht über Ihre Adresse, sondern über die unzähligen kleinen Details, die Ihr Browser preisgibt. CreepJS ist das Tool, das Ihnen vor Augen führt, wie angreifbar Sie sind. Und sobald Sie es einmal in Aktion gesehen haben, fühlt sich das Internet nicht mehr ganz so anonym an. Dieser Leitfaden erklärt, was CreepJS ist, wie es Sie erkennt, wie Sie sich gegen die Aushöhlung Ihrer Browser-Privatsphäre wehren können und warum es für jeden, der mehr als ein Krypto-Konto besitzt, relevant ist.
Was ist Browser-Fingerprinting?
Browser-Fingerprinting ist eine Art der Identifizierung ohne Kennzeichnung. Anstatt einen Cookie auf Ihrem Gerät zu speichern und später auszulesen, sammelt ein Skript im Hintergrund die unzähligen Details, die Ihr Browser allein beim Laden einer Seite preisgibt, und kombiniert sie zu einem einzigen Wert, der oft einzigartig für Sie ist. Ihre Bildschirmauflösung, Ihre installierten Schriftarten, Ihre Zeitzone, Ihr User-Agent -String, die genaue Art und Weise, wie Ihre Grafikkarte ein Bild darstellt – jede dieser Informationen ist für sich genommen unscheinbar, doch zusammen ergeben sie ein eindeutiges Bild Ihres Browsers.
Wie einzigartig ist diese Kombination? In einer wegweisenden Studie der EFF fand Peter Eckersley heraus, dass 83,6 % der Browser unter den Besuchern, die sie selbst testeten, einzigartig waren. Dieser Wert stieg auf 94,2 %, sobald Plugin-Details einbezogen wurden. Der sogenannte „Fingerabdruck“ enthielt dabei etwa 18,1 Bit an identifizierenden Informationen. Eine spätere Studie aus dem Jahr 2018 mit zwei Millionen Besuchern einer gängigen Website bezifferte die tatsächliche Einzigartigkeit auf etwa 33,6 %, da sich normale Nutzer auf ähnliche Konfigurationen konzentrieren. Die Wahrheit liegt irgendwo dazwischen, und in jedem Fall gilt: Je ungewöhnlicher Ihr Browser ist, desto mehr verrät Ihr einzigartiger Fingerabdruck über Sie.
Diese Technik ist weitaus verbreiteter, als die meisten Menschen annehmen. Eine Untersuchung der Princeton University unter den meistbesuchten Websites ergab, dass Canvas-Fingerprinting auf etwa 1,6 % von ihnen zum Einsatz kommt. Bei den beliebtesten Seiten liegt der Anteil sogar bei über 5 %. Spätere Messungen gehen davon aus, dass bis 2021 fast 10 % der Top-100.000 Websites betroffen sein werden. Die Auswirkungen sind zudem ungleich verteilt: Untersuchungen von AmIUnique ergaben, dass etwa 90 % der Desktop-Browser individuelle Merkmale aufweisen, im Vergleich zu etwa 81 % bei Mobilgeräten, deren Hardware tendenziell einheitlicher ist. So oder so: Fingerprinting läuft unbemerkt auf einem Großteil der Seiten, die Sie ohnehin besuchen.
Was ist CreepJS und wer hat es entwickelt?
CreepJS ist kein Tracker, der Ihre Daten verkaufen will; es ist eine Open-Source-Bibliothek und ein Spiegel für Fingerprinting, entwickelt von Abraham Juliot, um zu zeigen, wie lückenhaft die meisten Datenschutzmaßnahmen tatsächlich sind und wie Fingerprinting in der Praxis funktioniert. Sie rufen die Live-Demo mit Ihrem Browser auf, die Bibliothek führt ihre Tests durch und liefert Ihnen einen Bericht darüber, wie identifizierbar und wie ehrlich Ihr Browser erscheint.
Das Projekt ist auf GitHub unter einer freizügigen MIT-Lizenz mit rund 2.400 Sternen zu finden und bündelt über zwanzig Testkategorien auf einer einzigen Seite. Es versteht sich am besten als Forschungs-Benchmark und weniger als praxistauglicher Bot-Blocker – der Maßstab, den Datenschutzforscher und Anbieter von Anti-Erkennungs-Lösungen zur Bewertung ihrer eigenen Arbeit verwenden. Wenn Ihre Tarnung CreepJS nicht standhält, wird sie auch einem seriösen kommerziellen Fingerprinting-Dienst nicht standhalten. Genau deshalb ist dieses Tool zur inoffiziellen Prüfung geworden, auf die sich jeder vorbereitet.
Der Bericht ist für ein kostenloses Tool ungewöhnlich detailliert. Neben dem Haupt-Trust-Score werden alle gemessenen Signale aufgelistet, manipulierte Signale markiert und die Stabilität des Fingerabdrucks beim Neuladen der Seite angezeigt. Deshalb greifen Entwickler zuerst darauf zurück, wenn sie wissen wollen, ob eine Datenschutzänderung tatsächlich etwas bewirkt hat oder nur den Anschein erweckt.
Wie CreepJS im Detail funktioniert
Die meisten Fingerprinting-Prüfungen lesen lediglich Ihre Einstellungen aus. CreepJS geht einen Schritt weiter: Es veranlasst Ihren Browser, tatsächlich Aktionen auszuführen – ein Bild zu zeichnen, 3D-Grafiken zu rendern, Audio-Fingerprinting an einem generierten Ton durchzuführen, Timer auszulösen und anschließend zu analysieren, wie Ihr System die einzelnen Aufgaben bewältigt. Das „Wie“ ist deutlich schwieriger zu fälschen als das „Was“, und genau darin liegt der Ruf von CreepJS.
Die von CreepJS gesammelten Signale
Das Tool greift auf eine Vielzahl von Quellen zu, und jedes dieser Browserattribute verrät etwas anderes über Ihr Gerät. Die folgende Tabelle zeigt die wichtigsten Attribute und was sie preisgeben.
| Signal | Was es offenbart |
|---|---|
| Leinwand | Winzige Pixelunterschiede bei der Darstellung von Text und Formen durch Ihr Gerät |
| WebGL / GPU | Ihre Grafikhardware und Ihr Treiber, sichtbar gemacht durch 3D-Rendering. |
| Web-Audio | Wie Ihr Audio-Stack eine erzeugte Schallwelle verarbeitet |
| Installierte Schriftarten | Die genaue Schriftartenliste, die Ihr System enthält |
| Bildschirmauflösung | Bildschirmgröße, Farbtiefe und Pixelverhältnis |
| Benutzeragent | Browser-, Versions- und Betriebssystemangaben |
| WebRTC | Lokale Netzwerkdetails, die trotz VPN durchsickern können |
Ein Skript liest die meisten dieser Daten mithilfe von herkömmlichem JavaScript und Browser-APIs aus, einschließlich der vom Browser gemeldeten Plugins. CreepJS führt anschließend dieselben Abfragen in Web Workern und versteckten Frames aus, um die Ergebnisse zu überprüfen, da ein manipulierter Browser oft im Hauptfenster ein anderes Ergebnis liefert als an anderen Stellen.
Vertrauensbewertung, Entropie und Lügen
CreepJS fasst jedes Signal in einem Hash zusammen, einem kompakten Wert, der Ihr gesamtes Profil repräsentiert. Darauf basierend berechnet es einen Vertrauenswert, der weniger die Seltenheit Ihres Browsers widerspiegelt, sondern vielmehr dessen Konsistenz und Erwartbarkeit. Eine einfache, stimmige Konfiguration erzielt gute Ergebnisse, selbst wenn sie weit verbreitet ist.
Das Raffinierte daran ist die Lügenerkennung. CreepJS sucht nach „Lügen“, also nach kleinen Widersprüchen, die entstehen, wenn jemand seinen Browser manipuliert. Beispielsweise kann ein User-Agent macOS vortäuschen, während die installierten Schriftarten und der Grafikstack eindeutig auf Windows hinweisen. Verfälscht man einen Wert, entsteht an anderer Stelle eine Diskrepanz, die oft deutlicher wahrnehmbar ist als das ursprüngliche Signal, das man zu verbergen suchte.
CreepJS geht weit über die reine Überprüfung von Labels hinaus. Es misst auch die Dauer bestimmter Operationen und untersucht, wie Ihre JavaScript-Engine mathematische Ergebnisse rundet. Denn verschiedene Engine-Versionen runden trigonometrische Berechnungen auf subtil unterschiedliche Weise, und eine gefälschte Versionsnummer kann die tatsächliche Berechnungsmethode der Engine nicht verändern. Kombiniert man genügend dieser unauffälligen Prüfungen, wirkt eine scheinbar sichere Tarnung schnell wie ein Kostüm.
Was CreepJS über Headless-Browser offenbart
Genau das beunruhigt Web-Scraper und Bot-Entwickler. Einfache Browser-Automatisierungstools schlagen fast sofort Alarm, denn eine Standard-Selenium- oder Playwright-Sitzung liefert eindeutige Hinweise: Das Flag `navigator.webdriver` ist auf `true` gesetzt, der User-Agent ist HeadlessChrome, und es gibt Signale, die sich deutlich von denen eines echten Nutzers unterscheiden. Unauffällige Patches schwächen diese Hinweise zwar ab, eliminieren sie aber selten vollständig.
Unabhängige Tests mit CreepJS zeigen, wie groß der Unterschied zwischen einem einfachen und einem sorgfältig programmierten Bot ist. Die folgenden Zahlen stammen aus Berichten zur Bot-Erkennung, in denen jedes Tool demselben Fingerabdrucktest unterzogen wurde.
| Automatisierungseinrichtung | CreepJS-Erkennung |
|---|---|
| Vanilla Selenium / Dramatiker | Nahezu 100 % erkannt |
| Dramatiker mit Stealth-Plugin | ~40% erkannt |
| Nicht erkannter ChromeDriver | ~31% erkannt |
| Camoufox (gehärteter Firefox) | nahezu 0% kopflose Punktzahl |
Die Lehre für alle, die einen Web-Scraper entwickeln, ist eindeutig: Das Deaktivieren einer einzelnen Option reicht nicht aus, da CreepJS prüft, ob das gesamte Profil stimmig ist. Ein nur halb getarntes Automatisierungstool schneidet bei CreepJS oft schlechter ab als ein ehrliches. Ziel ist es nicht, einen Browser so weit zu reduzieren, dass er keine Daten mehr liefert, denn ein leeres Profil ist an sich schon verdächtig. Vielmehr soll eine Headless-Session sich in Rendering, Verhalten und Zeitmessung exakt wie ein echter Browser auf einem echten Bildschirm verhalten – eine deutlich größere Herausforderung, als einfach nur eine Einstellung zu deaktivieren.
CreepJS-Erkennung für Krypto-Konten umgehen
Hier ist ein Aspekt, der in CreepJS-Erklärungen selten behandelt wird. Kryptobörsen und Airdrop-Plattformen erstellen Fingerabdrücke von Besuchern aus demselben Grund, aus dem Casinos die Spieler überwachen – um eine Person zu überführen, die unbemerkt viele Konten betreibt. Ein einziger gemeinsamer Fingerabdruck kann eine ganze Reihe „separater“ Wallets mit einem einzigen Rechner in Verbindung bringen.
Warum Börsen und Airdrops Ihre Fingerabdrücke hinterlassen
Hier geht es um echtes Geld. Als das LayerZero-Protokoll im Mai 2024 gegen Airdrop-Sybil-Betrug vorging , wurden 803.093 Adressen als verdächtig für Multi-Account-Farming markiert. Am Ende wurden etwa 59 % aller Antragsteller entfernt. Geräte- und Browser-Fingerprinting ist eines der wirksamsten Mittel, mit denen Plattformen diese Konten verknüpfen. Neue Wallets lassen sich zwar in Sekundenschnelle erstellen, aber einen wirklich neuen Fingerabdruck zu erzeugen, ist deutlich schwieriger.
Was Browser mit Anti-Erkennungsfunktion tatsächlich tun
Hier kommen Browser mit Anti-Erkennungs-Funktion ins Spiel, wie beispielsweise Multilogin, GoLogin, AdsPower und Dolphin Anty . Anstatt Ihre Online-Identität zu verbergen, erstellen sie für jedes Profil ein eigenes, vollständiges und in sich konsistentes Profil. So wirkt jedes Konto wie das einer anderen, gewöhnlichen Person und nicht wie das einer ein und derselben Person in Verkleidung. Die Nachfrage ist explosionsartig gestiegen, und allein AdsPower verzeichnet ein Wachstum von etwa 100.000 Nutzern im Jahr 2020 auf rund 9 Millionen im Jahr 2025. Ihr Vorteil liegt in der Konsistenz: Ein vollständig konsistentes Profil ist einem überlegen, das an drei Stellen geschickt geflickt und an einer vierten widersprüchlich ist. Im Hintergrund liefert jedes Profil einen passenden Satz von Werten. Ein glaubwürdiger User-Agent, eine Schriftartenliste, eine GPU-Kennung, eine Bildschirmgröße und eine Zeitzone gehören alle zu demselben fiktiven Gerät. Die besseren Tools bearbeiten diese Werte als Einheit, anstatt nur ein Feld zu ändern und darauf zu hoffen, dass die anderen Werte weiterhin passen. Ein wichtiger Hinweis sei hier jedoch angebracht. Ein sauberer Fingerabdruck schützt Ihre Anmelde-Privatsphäre, er ersetzt jedoch nicht die Selbstverantwortung und eine umsichtige operative Sicherheit, und das Führen vieler Konten kann gegen die Nutzungsbedingungen einer Plattform verstoßen.
So senken Sie Ihren CreepJS-Vertrauenswert
Eine konkrete Schritt-für-Schritt-Anleitung ist seltener, als man denkt, und die kontraintuitive Regel dahinter lautet: Ein normales und konsistentes Auftreten ist besser als ein gefälschter Eindruck. Hier ist eine sinnvolle Vorgehensweise:
1. Verwenden Sie ein reales, gängiges Geräteprofil und widerstehen Sie der Versuchung, einzelne Werte nur halbherzig zu fälschen, denn jede Abweichung, die Sie erzeugen, kann von CreepJS als Lüge markiert werden.
2. Für absolute Anonymität verwenden Sie den Tor Browser , der Ihren Bildschirm durch Letterboxing in feste Größen unterteilt und dafür sorgt, dass jede Windows-Maschine dasselbe Windows und jeder Mac dasselbe macOS meldet, sodass Sie in der Masse untergehen.
3. Betrachten wir Brave, dessen Farbling den Canvas- und Audio-Lesungen eine kleine zufällige Wendung pro Sitzung hinzufügt, sodass sich die Werte zwischen den Seiten ändern, anstatt eine stabile ID zu bilden.
4. Vermeiden Sie exotische Erweiterungen und ungewöhnliche Einstellungen, da jede ungewöhnliche Wahl Ihre Entropie erhöht und Sie einzigartiger macht, nicht weniger.
5. Bei der Arbeit mit mehreren Konten sollten Sie auf einen geeigneten Anti-Erkennungs-Browser mit einem stimmigen Profil anstatt auf eine Vielzahl von Datenschutz-Add-ons setzen. Testen Sie anschließend erneut in der Live-Demo von CreepJS und achten Sie darauf, dass die Lügen zählen, nicht nur die Schlagzeilenbewertung.
Konzentriere dich zunächst auf die wirklich wichtigen Aufgaben, teste ehrlich und betrachte die Zahl als Feedback und nicht als Note, die du beim ersten Versuch perfekt erreichen musst.
Die Grenzen der Umgehung von Browser-Fingerprinting
Man kann Fingerprinting nie wirklich besiegen, man kann nur in der Masse untergehen, und CreepJS zeigt, wie durchlässig diese Unterwanderung sein kann. Anti-Fingerprinting-Tools haben sich zwar verbessert, aber auch die Erkennungsmethoden. Der allgemeine Trend ist für den Datenschutz ebenfalls besorgniserregend. Google ließ Drittanbieter-Cookies im April 2025 bestehen, nachdem es jahrelang versprochen hatte, sie abzuschaffen, und hob Anfang des Jahres stillschweigend sein eigenes Verbot von Fingerprinting für Werbetreibende auf – ein Schritt, den die britische Datenschutzbehörde als unverantwortlich bezeichnete. Fingerprinting nimmt zu, anstatt abzunehmen. Daher ist das realistische Ziel ein kohärentes Profil mit geringer Entropie, das in der Masse untergeht, nicht aber absolute Unsichtbarkeit.
Ihr Fingerabdruck, CreepJS und Datenschutz
Führen Sie CreepJS einmal selbst aus und lassen Sie sich vom Vertrauenswert aufrütteln. Es geht nicht darum, wie ein Geist zu wirken, was Sie nur verdächtiger erscheinen lässt, sondern unauffällig und konsistent aufzutreten und das richtige Werkzeug für den jeweiligen Zweck zu wählen – Tor, wenn Sie anonym bleiben möchten, und ein stimmiges Profil, wenn Sie viele Konten verwalten. Fingerprinting ist ein Spiel mit dem Feuer. Die eigentliche Frage ist also ganz einfach: Wann haben Sie zuletzt überprüft, welche Informationen Ihr Browser dem Internet übermittelt?
