Google Fonts und die IP Adresse - Mythen und Fakten

Ein Anwalt hat es geschafft, Interesse für die technischen Hintergründe von Webseiten Anfragen in der breiten Bevölkerung zu wecken.

Da ich mich selbst in allerlei Foren herumtreibe ist mir aufgefallen, dass hier ein erheblicher Klärungsbedarf besteht. Daher, ohne lange Umschweife, hinein ins Vergnügen.

Was ist eigentlich diese ominöse IP Adresse und wozu brauche ich eine? Eine IP-Adresse wird einem Gerät in einem Computernetzwerk zugewiesen, wenn es das Internet Protokoll - daher IP - verwendet.

 Eigentlich ist es nicht das Gerät, sondern die Netzwerkschnittstelle, die die IP Adresse erhält. Ein Gerät hat meist mehrere IP-Adressen.

Das ist wie die Telefonnummer eines Computers. Möchte man eine Verbindung mit einem entfernten Rechner aufbauen, benötigt man diese Nummer, um ihn zu erreichen. Ohne IP Adresse keine Internetverbindung, wie jeder mit einem widerspenstigen WLAN Router weiß.

In grauer Computer Vorzeit hatte jedes netzwerkfähige Gerät eine IP Adresse und war damit eindeutig identifizierbar. Das ist jetzt nicht mehr so, könnte aber wieder so werden, mehr dazu später.

Angeblich wird eine IP-Adresse von einer Webseite an Google übermittelt, wenn Google Fonts integriert wurden. Das stimmt nur so ungefähr. Es ist der Browser (Firefox, Chrome, Edge, …) der die Anfrage absetzt. Der Code der Webseite fordert diesen aber dazu auf. Diese Anfrage könnte daher jederzeit durch den Benutzer geblockt werden, das machen aber die wenigsten und es ist auch absurd die Verantwortung dafür dem Benutzer der die Webseite aufruft aufzubürden.

Was kann nun Google mit der IP Adresse anfangen und warum ist diese möglicherweise schützenswert? Mit der IP Adresse alleine kann ich zum Beispiel herausfinden, wo sich das mit dem Internet verbundene Gerät ungefähr befindet. Sie können das ganz einfach mit der eigenen IP Adresse ausprobieren. 

Das ist schon mal was, allerdings noch nicht viel. Interessant wird es, wenn mitgeschickt wird, welche Webseite gerne den Google Font eingebettet haben möchte: der sogenannte “Referer”. Mit dieser Information kann Google zB feststellen, wie viele Geräte aus dem Raum Linz auf eine bestimmte Webseite zugreifen. Verknüpft mit den bestehenden enormen Datenbanken könnte damit die Auslieferung von Werbung in dieser Region optimiert werden.

Im Falle von Google ist es aber noch viel interessanter. Haben Sie mit dieser IP Adresse eine Google Seite direkt aufgerufen, oder der Verwendung von Google Analytics auf irgendeiner anderen Webseite zugestimmt - und wer hat das nicht - weiß nun Google, dass Sie auch die Seite mit den Google Fonts aufgerufen haben, allerdings kann sich da Google nicht ganz sicher sein.

 Sollten Sie ein Android Telefon verwenden und nicht wollen, dass Google alles über Sie weiß, sind die Google Fonts für Sie das geringste Problem.

Der Vergleich einer IP-Adresse mit einer Telefonnummer hinkt, wie jeder Vergleich, wenn man genauer hinsieht. Wären Telefonnummern wie IP Adressen, würden sich diese in unregelmäßigen Abständen ändern und jemand anderem zugewiesen werden (dynamische IP Adressen), oder auch nicht (statische IP Adressen). Mit den meisten Nummern könnte man zwar jemanden anrufen, aber keine Anrufe empfangen. Bei manchen würde die Durchwahl nicht mitgeschickt, d.h. man wüsste zwar anhand der Rufnummer, dass jemand von einer bestimmten Firma angerufen hat, aber nicht wer.

Das ist nun auch das Problem bei einer Auskunftserteilung nach DSGVO über die IP Adresse. Es ist für einen Provider nahezu unmöglich, nur aufgrund der IP Adresse sicherzustellen, dass tatsächlich eine bestimmte Person zu einem bestimmten Zeitpunkt eindeutig einer IP Adresse zugewiesen werden kann. Stellen Sie sich vor, Sie erhalten aus der BMW Zentrale ein DSGVO Anfrage zu einer bestimmten IP-Adresse, die Herrn Müller zugeschrieben wird. Sie liefern diese Daten. Herr Mayer, der neben Herrn Müller im Büro sitzt, hat heimlich in Ihrem Shop ein Trikot des Hamburger SV bestellt. Da diese hinter derselben Firewall sitzen, haben beide nach außen dieselbe IP Adresse. Der Hochverrat ist demnach in der Auskunft ersichtlich. Herr Mayer ist geständig und wird gekündigt … oder Schlimmeres.

Neben dem Referer Feld gibt es noch einige andere, der prominenteste davon ist der sogenannte “User Agent String”, der Auskunft über den verwendeten Browser gibt. Meiner lautet zum Beispiel

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.101 Safari/537.36

Damit hat man schon wieder einiges an Informationen gewonnen. Zum Beispiel sieht man, welchen Browser ich verwende (Chrome), welche Version (104.0.51112.101) und welches Betriebssystem (Linux). Für sich alleine genommen ist das wiederum nur marginal interessant. Eine Auswertung kann aber darüber Aufschluss geben, auf welche Endgeräte ein Webseitenbetreiber besonderes Augenmerk lenken soll.

Mit den vielen anderen Informationshappen die man erhält, kann man einen digitalen Fingerabdruck erstellen, der mit einer bestimmten Wahrscheinlichkeit ein Endgerät eindeutig identifizieren kann. Das Maß dafür ist die Entropie. Wer es ganz genau wissen will: hier ist ein Paper dazu. Seinen eigenen Browser kann man hier testen. Meiner ist aus 166.745 einzigartig. Das ist nicht so gut.

Ein bisschen Entwarnung kann man aber geben: das Referer Feld sollte bei derzeitigem Stand der Technik nicht mitgeschickt werden, wenn Ressourcen einer anderen Domain aufgerufen werden. Die meisten Benutzer verwenden gleichartige Betriebssysteme und Browser und sind sehr, sehr viel schwerer identifizierbar als ich und mein Computer. 

Auch hier kann man sich wieder davor schützen, z.B. kann der User Agent String in den meisten Browsern frei vergeben werden, das machen aber nur die wenigsten.

Google verspricht nun, keine IP-Adressen der Clients zu speichern, die auf die Google Fonts zugreifen. Ich bin geneigt, diesen Aussagen zu glauben. Denn Google muss gar nicht die IP-Adressen speichern, um zu wissen, wer Sie sind. Wahrscheinlich wurde Ihnen bereits eine eindeutige Google Advertising ID zugewiesen, für Google ist es ausreichend, diese ID zu speichern. Natürlich kann man nicht wissen, ob Google das im Fall der Google Fonts macht oder nicht, die Möglichkeit besteht jedenfalls.

Wie man sieht ist das Thema durchaus relevant, wenn man Datenschutz ernst nimmt. Das hat natürlich Auswirkungen auf alle Ressourcen, die von Dritten eingebunden werden, für die keine explizite Zustimmung durch den Benutzer vorliegt. Dazu zählen auch Youtube, Google Maps, alle sozialen Netzwerke und Content Delivery Networks, die bisher verschont geblieben sind, falls Sie keine Cookies setzen.

 Apropos Cookies: Ich bin überzeugt, dass die Mehrzahl der derzeit eingesetzten externen Cookie Consent Controller nicht den Bestimmungen der DSGVO entsprechen. Es dürfen vor der Einwilligung zu den Cookies keine Cookies gesetzt werden. Viele Tools löschen einfach die Cookies, nachdem sie gesetzt wurden. Ein kleiner, jedoch feiner Unterschied. Außerdem wurde da schon eine Verbindung zu den Diensten aufgebaut und allerlei Information übermittelt.

Egal, ob man nun der Meinung ist, dass die Aufregung um Google Fonts und die IP Adressen gerechtfertigt ist oder nicht: die Vorgehensweise von Herrn Hohenecker ist auf jeden Fall zu verurteilen.

Wenn Sie bisher gelesen haben, wollen Sie es wirklich wissen. Die Version 6 des IP Protokolls (IPv6) soll die bisher gängige Version 4 (IPv4) ablösen. Das dauert nun schon mehrere Jahre, wenn nicht Jahrzehnte und wird immer dringender, da die IPv4 Adressen ausgehen. IPv6 bietet einen Adressraum von 3.4 x 10³⁸ Adressen. In Worten ausgedrückt sind das 340 Billionen Billionen Billionen. Das sollte eine Zeit lang reichen.

Als Nebeneffekt können dann jedem Endgerät fixe eindeutige Adressen zugeordnet werden, der Vergleich mit den Telefonnummern hinkt nun schon deutlich weniger. Die IP-Adresse wird dann, so wie jetzt ein Cookie zur eindeutigen Identifizierung eines Benutzers, sehr viel schützenswerter.