Cookies, Supercookies und Fingerprints: Der komplette Tracking-Atlas

Im Browser gibt es mehr als ein Dutzend Orte, an denen sich eine Kennung ablegen oder berechnen lässt. Manche sind harmlos und für Funktionen nötig, andere existieren fast ausschließlich, um dich wiederzuerkennen. Dieser Atlas ordnet die wichtigsten Verfahren nach der zugrunde liegenden Mechanik und macht so klar, welcher Schutz an welcher Stelle ansetzt. Statt einer Liste von Schreckensbegriffen bekommst du eine Karte, auf der du jedes Verfahren einordnen und gezielt darauf reagieren kannst.

Die entscheidende Trennlinie verläuft zwischen Verfahren, die etwas auf deinem Gerät speichern, und Verfahren, die ausschließlich vorhandene Eigenschaften auslesen. Speicherverfahren lassen sich grundsätzlich löschen oder blockieren. Auslese-Verfahren wie das Fingerprinting hinterlassen nichts und lassen sich deshalb nur abschwächen, nicht einfach entfernen. Diese eine Unterscheidung erklärt, warum manche Schutzmaßnahmen sofort wirken und andere ins Leere laufen, und sie zieht sich als roter Faden durch diesen gesamten Atlas.

First-Party-Cookies: notwendige Basis

First-Party-Cookies setzt die Seite, die du gerade besuchst. Sie merken sich deine Sitzung nach dem Login, den Inhalt deines Warenkorbs oder deine Spracheinstellung. Ohne sie würdest du auf vielen Seiten bei jedem Klick erneut ausgeloggt. Diese Cookies pauschal zu blockieren bricht zahlreiche Dienste und ist selten sinnvoll.

Auch First-Party-Cookies können theoretisch für Analyse genutzt werden, etwa um Besuche auf derselben Seite zu zählen. Der Schaden für deine Privatsphäre ist hier jedoch begrenzt, weil sie nicht seitenübergreifend funktionieren. Die Seite weiß lediglich etwas über dein Verhalten auf ihren eigenen Unterseiten, nicht aber über deine Aktivität im übrigen Netz, weshalb das pauschale Blockieren dieser Cookies meist mehr Schaden als Nutzen bringt.

Third-Party-Cookies: das klassische Cross-Site-Tracking

Third-Party-Cookies stammen von eingebetteten Drittanbietern. Ist dasselbe Werbenetzwerk auf vielen Seiten präsent, kann es dich über diese Seiten hinweg verfolgen. Aus den einzelnen Besuchen entsteht ein Verlaufsprofil, das für gezielte Werbung verwendet wird. Genau dieses Verfahren stand am Anfang der Debatte über Online-Tracking.

Safari und Firefox blockieren Third-Party-Cookies inzwischen standardmäßig, Chrome hat entsprechende Pläne mehrfach angepasst. Diese Entwicklung hat das klassische Cross-Site-Tracking zwar geschwächt, gleichzeitig aber den Anreiz erhöht, auf schwerer blockierbare Verfahren auszuweichen. Wer den Überblick über alle Methoden sucht, findet ihn im Beitrag Online-Tracking 2026.

Supercookies und Evercookies

Als Supercookie bezeichnet man eine Kennung, die so abgelegt wird, dass sie ein normales Cookie-Löschen übersteht. Der historische Evercookie war ein Programmierprojekt, das eine ID parallel an vielen Orten speicherte: in klassischen Cookies, im Local Storage, in IndexedDB und im Cache. Löschte man eine Kopie, stellten die übrigen sie wieder her.

Solche Mehrfach-Speicherung ist genau deshalb tückisch, weil ein oberflächliches Aufräumen sie nicht erwischt. Browser haben darauf reagiert, indem sie ihre Speicher pro Seite trennen und das gleichzeitige Löschen aller Ablagen erleichtern. Vollständig verschwunden ist das Prinzip aber nicht, sondern lebt in abgewandelter Form weiter und mahnt dazu, beim Aufräumen wirklich alle Ablagen einzubeziehen.

Local Storage, IndexedDB und Cache

Local Storage und IndexedDB sind moderne Speicher, die Web-Anwendungen für legitime Zwecke nutzen, etwa um eine Offline-Version vorzuhalten. Dieselben Speicher eignen sich aber auch, um eine eindeutige ID abzulegen, die viele Nutzer beim Cookie-Löschen übersehen, weil sie an anderer Stelle in den Browser-Einstellungen liegt.

Der HTTP-Cache lässt sich ähnlich missbrauchen. Über sogenannte ETag-Kennungen kann eine zwischengespeicherte Ressource markiert werden, sodass der Browser beim nächsten Abruf die Markierung unbeabsichtigt zurückmeldet. Die Partitionierung des Caches pro Seite, die moderne Browser eingeführt haben, hat diesen Weg jedoch deutlich erschwert.

Fingerprints: Wiedererkennung ohne jeden Speicher

Fingerprinting verlässt die Welt des Speicherns vollständig. Statt etwas abzulegen, fragt die Seite Eigenschaften ab, die dein Browser ohnehin mitteilt, und verdichtet sie zu einem Erkennungswert. Dazu gehören Schriftarten, Auflösung, Zeitzone, Spracheinstellungen, die genaue Versionskombination und das Renderverhalten von Grafik und Audio.

Die zwei prominentesten Spielarten sind das Canvas- und das WebGL-Fingerprinting. Beim Canvas-Fingerprinting zeichnet der Browser unsichtbar Text oder Formen und meldet das Ergebnis zurück, dessen winzige Abweichungen je nach Hardware und Software variieren. Das WebGL-Verfahren tut dasselbe über die Grafikeinheit. Details findest du in den Beiträgen Canvas-Fingerprinting und WebGL-Fingerprinting.

Audio- und Hardware-Merkmale im Fingerprint

Der Fingerabdruck speist sich nicht nur aus Grafik. Auch die Audio-Verarbeitung liefert ein Merkmal: Der Browser erzeugt ein unhörbares Tonsignal und misst dessen Verarbeitung, die je nach Hardware leicht abweicht. Hinzu kommen die Anzahl der Prozessorkerne, der verfügbare Arbeitsspeicher in groben Stufen und auf manchen Geräten die Akku-Information.

Diese Werte sind einzeln unauffällig, ergänzen aber die Gesamtsignatur. Entscheidend ist das Zusammenspiel: Erst die Kombination aus Grafik, Audio, Schriften, Zeitzone und Versionsangaben macht einen Browser selten. Wer das verstanden hat, sieht auch ein, warum das gezielte Verändern eines einzelnen Wertes wenig bringt und manchmal sogar schadet, weil es eine ungewöhnliche Kombination erzeugt.

Aktive und passive Merkmale unterscheiden

Innerhalb des Fingerprintings lohnt eine weitere Unterscheidung. Passive Merkmale überträgt dein Browser bei jeder Anfrage automatisch, etwa die Sprachangabe und die Versionskennung im sogenannten User-Agent. Aktive Merkmale muss die Seite gezielt abfragen oder berechnen lassen, wie das Canvas- oder Audio-Verfahren.

Diese Trennung ist praktisch relevant. Passive Merkmale lassen sich kaum verhindern, ohne dass Seiten kaputtgehen, weil sie zum normalen Funktionieren des Webs gehören. Aktive Merkmale dagegen kann ein Browser mit Fingerprinting-Schutz einschränken oder mit Rückfragen versehen, weil sie über das normale Laden hinausgehen. Genau dort setzt wirksamer Schutz an.

Schutz nach Verfahren ausrichten

Aus dem Atlas folgt eine klare Logik: Speicherverfahren bekämpfst du durch Blockieren und gründliches Löschen, Auslese-Verfahren durch Vereinheitlichen und Einschränken. Diese Reihenfolge hat sich bewährt:

1. Third-Party-Cookies und Tracker blockieren mit einem Browser, der das standardmäßig tut, plus uBlock Origin.
2. Alle Ablagen gemeinsam löschen, nicht nur die Cookies. Nutze dafür die Option, sämtliche Seitendaten zu entfernen.
3. Fingerprint testen und abschwächen, indem du einen Browser mit Anti-Fingerprinting nutzt statt einer Sammlung kleiner Add-ons.

Wie eindeutig dein Browser aktuell ist, zeigt dir der Fingerprint-Test. Wer in fremden Netzen zusätzlich seine IP-Adresse schützen möchte, vergleicht die Optionen im VPN-Vergleich.

Wie Browser ihre Speicher heute trennen

Ein wichtiger Fortschritt der vergangenen Jahre ist die Speicher-Partitionierung. Früher teilten sich Drittanbieter ihren Speicher über alle Seiten hinweg, auf denen sie eingebettet waren. Ein Werbenetzwerk konnte so eine Kennung auf Seite A ablegen und auf Seite B wieder auslesen. Moderne Browser trennen diesen Speicher nach der besuchten Hauptseite, sodass dieselbe eingebettete Ressource auf Seite A und Seite B getrennte Ablagen erhält.

Diese Trennung gilt nicht nur für Cookies, sondern auch für Local Storage, IndexedDB und den Cache. Sie hat das klassische Cross-Site-Tracking über gespeicherte Kennungen erheblich erschwert. Für dich bedeutet das, dass ein aktueller Browser bereits ab Werk einen Teil der Arbeit übernimmt, sofern du ihn nicht durch ungewöhnliche Einstellungen aushebelst.

Die Partitionierung ist allerdings kein Allheilmittel. Fingerprinting umgeht sie vollständig, weil es gar nichts speichert. Auch Server-seitiges Tracking bleibt unberührt. Die Speicher-Trennung schließt also eine wichtige Tür, lässt aber andere offen, was erneut zeigt, dass mehrere Schutzschichten zusammenwirken müssen.

Die IP-Adresse als zusätzliches Merkmal

Unabhängig von Speicher und Fingerprint überträgt jede Verbindung deine IP-Adresse. Sie verrät deinen ungefähren Standort und deinen Internetanbieter und dient als grobes Wiedererkennungsmerkmal, solange sie sich nicht ändert. Bei vielen Heimanschlüssen bleibt die IP über Stunden oder Tage gleich, was sie für kurzfristiges Tracking nutzbar macht.

Hier setzt ein VPN an. Es ersetzt deine sichtbare IP-Adresse durch die eines Servers des Anbieters, sodass die besuchte Seite nur diese fremde Adresse sieht. Ein VPN schützt damit gegen das IP-Merkmal und gegen das Mitlesen im lokalen Netzwerk, ändert aber nichts an Cookies oder Fingerprint. Es ist ein Baustein, kein Rundum-Schutz. Eine nüchterne Gegenüberstellung der Anbieter bietet der VPN-Vergleich, ein bewährter Anbieter ohne Werbe-Tracking ist etwa Mullvad (Anzeige).

So räumst du gründlich auf

Wer Speicherverfahren ernsthaft zurücksetzen will, darf sich nicht auf die Cookie-Schaltfläche verlassen. Die folgende Reihenfolge erfasst auch die übersehenen Ablagen:

1. Browser-Einstellungen öffnen und unter Datenschutz die Option suchen, sämtliche Webseiten-Daten zu löschen, nicht nur Cookies.
2. Local Storage, IndexedDB und Cache mit auswählen, falls dein Browser sie getrennt auflistet.
3. Automatisches Löschen beim Schließen aktivieren, damit Kennungen erst gar nicht über Sitzungen hinweg bestehen bleiben.
4. Ausnahmen pflegen für Seiten, bei denen du eingeloggt bleiben willst, statt alles blind zu blockieren.

Cookie-Banner und Einwilligung richtig lesen

Die Banner, die dich nach Cookies fragen, betreffen rechtlich die Einwilligung in nicht notwendige Verfahren. Technisch notwendige Cookies, etwa für den Warenkorb, sind davon ausgenommen. Wenn du in einem solchen Banner alles ablehnst, deaktivierst du im Idealfall die Werbe- und Analyse-Cookies, nicht aber die Funktionen, die du für die Nutzung der Seite brauchst.

Zwei Einschränkungen sind wichtig. Erstens hängt es vom Seitenbetreiber ab, ob das Ablehnen technisch sauber umgesetzt ist, was nicht immer der Fall ist. Zweitens decken die Banner nur das ab, was als zustimmungspflichtig behandelt wird. Fingerprinting und manche Server-seitigen Verfahren tauchen dort oft gar nicht auf. Das Banner ist also ein nützliches, aber unvollständiges Werkzeug.

Praktisch heißt das, dass du dich nicht allein auf das Ablehnen im Banner verlassen solltest. Ein technischer Schutz durch Browser-Einstellungen und Inhalts-Blocker greift unabhängig davon, ob eine Seite ihr Banner korrekt umsetzt, und deckt auch Verfahren ab, die im Banner nicht erscheinen. Beide Ebenen ergänzen sich, ersetzen einander aber nicht. Das Banner regelt die rechtliche Einwilligung, der Browser-Schutz regelt die technische Wirklichkeit, und erst zusammen ergeben sie ein verlässliches Bild deiner tatsächlichen Trackbarkeit.

Welche Verfahren in Zukunft wichtiger werden

Mit dem Rückzug der Third-Party-Cookies verschiebt sich das Gewicht. Server-seitiges Tracking und Fingerprinting gewinnen an Bedeutung, weil sie schwerer zu blockieren sind. Gleichzeitig versuchen Werbenetzwerke, Tracking auf Login-Daten zu stützen: Wer sich überall mit derselben E-Mail-Adresse anmeldet, liefert ein stabiles, geräteübergreifendes Merkmal frei Haus.

Daraus folgt eine praktische Konsequenz. Neben technischen Schutzmaßnahmen wirkt deine Datensparsamkeit beim Anmelden: getrennte oder maskierte E-Mail-Adressen erschweren das Zusammenführen von Profilen über Logins hinweg. Dieser organisatorische Hebel ergänzt die technischen und gewinnt mit jedem Jahr an Bedeutung, in dem klassische Cookies an Wirkung verlieren.

Ein praktischer Schutz-Stack nach Aufwand

Wer den Atlas in Handlungen übersetzen will, kann sich an einer Staffelung nach Aufwand orientieren. Mit wenigen Minuten Aufwand wechselst du zu einem Browser mit standardmäßigem Tracking-Schutz und installierst einen Inhalts-Blocker. Das deckt den Großteil des cookie- und pixelbasierten Trackings ab und erfordert kaum technisches Wissen.

Mit etwas mehr Aufwand richtest du das automatische Löschen aller Seitendaten beim Schließen ein und ergänzt einen filternden DNS, der auch in Apps wirkt. Wer noch konsequenter sein will, nutzt für sensible Recherchen den Tor Browser, der Fingerprinting am weitesten vereinheitlicht. Diese oberste Stufe ist nicht für jeden nötig, aber gut zu wissen, falls dein Schutzbedarf einmal steigt.

Die Kernregel

Trenne in deinem Kopf zwischen Speichern und Auslesen. Alles, was gespeichert wird, kannst du blockieren und löschen, und genau das solltest du regelmäßig und vollständig tun. Alles, was ausgelesen wird, lässt sich nur durch Vereinheitlichung deiner Merkmale abschwächen, weshalb ein darauf spezialisierter Browser hier mehr bringt als jede Cookie-Einstellung. Ergänze beide Hebel durch Datensparsamkeit bei deinen Logins.