Font-Fingerprinting: Warum installierte Schriften dich verraten
Dieser Artikel kann Affiliate-Links enthalten. Wenn du über diese Links einkaufst, erhalten wir möglicherweise eine kleine Provision — ohne Mehrkosten für dich. Das hilft uns, weiterhin kostenlose Inhalte zu erstellen.
Auf einem frischen Windows-Rechner sind andere Schriften installiert als auf einem Mac, und beide unterscheiden sich von einem Linux-System mit nachinstalliertem Office-Paket. Genau diese Liste der vorhandenen Schriften nutzen Tracking-Skripte, um dich wiederzuerkennen. Das nennt man Font-Fingerprinting.
Die installierten Schriften wirken harmlos, sind aber ein erstaunlich aussagekräftiges Merkmal. Wer ein Grafikprogramm, eine bestimmte Office-Version oder Entwickler-Tools installiert hat, schleppt damit oft Dutzende zusätzliche Schriften ein. Diese Mischung ist über viele Geräte hinweg selten exakt gleich.
Wichtig ist dabei der Unterschied zwischen System-Schriften und Web-Schriften. Web-Schriften lädt eine Seite selbst nach, sie sind für alle Besucher gleich und verraten nichts über dich. System-Schriften dagegen liegen lokal auf deinem Gerät, und genau ihre individuelle Zusammensetzung ist das, was Font-Fingerprinting ausnutzt. Wenn im Folgenden von Schriften die Rede ist, sind immer diese lokal installierten gemeint.
Die Methode reiht sich in eine ganze Familie von Erkennungsverfahren ein. Neben den Schriften messen Tracking-Skripte unter anderem, wie deine Grafikkarte Bilder zeichnet oder wie dein Browser Audio berechnet. Schriften sind dabei besonders beliebt, weil sie auch ohne Spezial-Hardware eine hohe Streuung liefern und sich auf nahezu jedem System auslesen lassen.
Schriften als Teil des Geräte-Profils
Ein Fingerprint entsteht nie aus einem einzigen Merkmal, sondern aus der Kombination vieler kleiner Datenpunkte. Die Schriftenliste ist einer der wirkungsvollsten davon, weil sie eine hohe Streuung hat. Manche Nutzer haben nur die Systemstandards, andere mehrere Hundert Schriften aus Design- und Büroprogrammen.
Tracking-Anbieter müssen die Schriften nicht direkt auslesen, denn moderne Browser geben diese Liste aus Datenschutzgründen nicht mehr einfach preis. Stattdessen testen sie indirekt, ob eine bestimmte Schrift vorhanden ist, indem sie ihre Darstellung messen.
Die Mess-Trickserei hinter der Erkennung
Der gängigste Ansatz arbeitet mit den Maßen von Textbausteinen. Ein Skript schreibt denselben Text einmal in einer garantiert vorhandenen Standardschrift und einmal mit der Anweisung, eine bestimmte Zielschrift zu verwenden, mit der Standardschrift als Rückfallebene.
- Ein unsichtbares Textelement wird mit einer Basisschrift gerendert, und Breite sowie Höhe werden gemessen.
- Dasselbe Element wird mit der Zielschrift gerendert. Ist die Schrift vorhanden, ändern sich die Maße.
- Bleiben die Maße gleich, fehlt die Zielschrift, weil der Browser auf die Basisschrift zurückgefallen ist.
- Das Skript wiederholt das für eine lange Liste von Schriften und notiert für jede, ob sie vorhanden ist.
Eine modernere Variante nutzt Canvas-Rendering: Ein Text wird in einem nicht angezeigten Zeichenbereich dargestellt, und die exakten Pixel werden ausgewertet. Auch hier verraten Unterschiede in der Darstellung, welche Schriften aktiv sind und wie der Browser sie zeichnet.
Warum Schriften so trennscharf sind
Schriften gelangen auf vielen Wegen aufs System, und jeder Weg hinterlässt Spuren. Betriebssysteme bringen je nach Sprachpaket andere Schriften mit. Office-Suiten, Adobe-Programme und sogar manche Spiele installieren eigene Schriftpakete. Wer beruflich mit Layout arbeitet, hat oft Schriftbibliotheken mit Hunderten Einträgen. Hinzu kommen Schriften, die manche Programme still im Hintergrund mitinstallieren, ohne dass du es bemerkst. Über die Jahre wächst diese Sammlung, und kaum jemand räumt sie wieder auf. Genau diese gewachsene, ungeplante Mischung macht jedes System ein Stück unterscheidbarer.
| Quelle der Schriften | Beitrag zur Eindeutigkeit |
|---|---|
| Reine Systemstandards | Gering, viele Nutzer teilen dieselbe Liste |
| Office-Pakete | Mittel, je nach Version unterschiedlich |
| Design- und Layout-Software | Hoch, oft viele Spezialschriften |
| Manuell nachinstallierte Schriften | Sehr hoch, individuelle Auswahl |
Damit zeigt sich dasselbe Prinzip wie bei anderen Fingerprinting-Methoden: Je weiter dein Setup vom Durchschnitt abweicht, desto leichter wirst du wiedererkannt. Ironischerweise schadet hier ein hochindividuelles, liebevoll eingerichtetes System der Anonymität.
Warum normale Browser die Schriftenliste verstecken
Vor einigen Jahren konnten Webseiten über Plugin-Schnittstellen die komplette Schriftenliste eines Systems direkt abfragen. Das war für Tracking-Anbieter bequem und für Nutzer ein offenes Datenleck. Mit dem Ende der alten Plugin-Technik fiel diese direkte Abfrage weg, und die Browser-Hersteller schlossen die Lücke bewusst.
Seitdem geben moderne Browser die installierten Schriften nicht mehr einfach heraus. Tracking-Skripte müssen den Umweg über die beschriebenen Mess-Tricks gehen, der langsamer und fehleranfälliger ist. Das ist ein gutes Beispiel dafür, wie sich der Schutz über die Jahre verbessert hat, ohne dass das Tracking ganz verschwunden wäre.
Dieser Wettlauf prägt das ganze Feld. Sobald ein Datenleck geschlossen wird, suchen Tracking-Anbieter den nächsten indirekten Weg. Für dich bedeutet das, dass ein aktueller Browser deutlich besser schützt als eine veraltete Version, weil neue Schutzmechanismen oft erst mit Updates ankommen.
Schriften und Sprache verraten oft die Region
Ein unterschätzter Nebeneffekt: Welche Schriften installiert sind, hängt häufig mit der Systemsprache und der Region zusammen. Wer ein System mit asiatischen Sprachpaketen nutzt, hat andere Schriften als jemand mit rein westeuropäischer Einrichtung. Diese Schriften-Sets verraten damit indirekt etwas über deinen sprachlichen Hintergrund.
Tracking-Anbieter kombinieren das gern mit der ebenfalls auslesbaren Spracheinstellung des Browsers und der Zeitzone. So entsteht ein grobes geografisches und kulturelles Bild, das die reine Wiedererkennung um eine inhaltliche Dimension ergänzt. Für zielgerichtete Werbung ist das wertvoll, für deine Privatsphäre ist es ein zusätzliches Leck.
Hier zeigt sich, warum Datenschutz selten an einer einzelnen Stelle gewonnen wird. Schriften, Sprache und Zeitzone wirken zusammen, und ein Schutz, der nur einen dieser Punkte abdeckt, lässt die anderen offen. Der wirksamste Ansatz reduziert die Auffälligkeit auf mehreren Ebenen gleichzeitig.
Grenzen der Schriften-Erkennung
Font-Fingerprinting ist nicht allmächtig. Die indirekte Mess-Methode ist langsamer als ein einfaches Cookie und liefert nicht immer reproduzierbare Ergebnisse, etwa wenn der Browser Schriften aus Datenschutzgründen vereinheitlicht darstellt. Mehrere moderne Browser haben den Trick erkannt und begrenzen die Menge der abfragbaren Schriften aktiv.
Außerdem ändert sich deine Schriftenliste mit jeder Software-Installation. Wer ein neues Office-Paket einrichtet oder ein Designprogramm entfernt, verschiebt seinen Schriften-Fingerabdruck. Diese Volatilität macht das Merkmal über lange Zeiträume weniger verlässlich als etwa die Grafik-Renderung, die stärker an die feste Hardware gebunden ist.
Für deine Schutzstrategie ist das eine gute Nachricht: Font-Fingerprinting lässt sich mit überschaubarem Aufwand wirksam erschweren, weil schon die Vereinheitlichung der verfügbaren Schriften den Großteil der Trennschärfe nimmt.
So schützt du dich vor Font-Fingerprinting
Den vollständigen Schutz liefert die Vereinheitlichung. Der Tor Browser etwa stellt allen Nutzern eine begrenzte, identische Schriftenmenge zur Verfügung und blockiert die Abfrage zusätzlicher Schriften. Dadurch verschwindet das Schriften-Merkmal als Unterscheidungskriterium nahezu vollständig.
Für den Alltag im normalen Browser zählen drei Hebel. Erstens ein guter Content-Blocker, der Tracking-Skripte gar nicht erst lädt. Zweitens ein Browser mit eingebautem Fingerprinting-Schutz wie Firefox mit aktivierter Resist-Fingerprinting-Funktion. Drittens Zurückhaltung beim Installieren unnötiger Schriftpakete.
Was dagegen kaum hilft, ist der private Modus allein. Er löscht gespeicherte Daten am Ende der Sitzung, ändert aber während des Surfens nichts an deiner Schriftenliste. Auch ein VPN bringt hier nichts, weil es nur deine IP-Adresse verbirgt und nicht beeinflusst, welche Schriften dein Browser preisgibt. Font-Fingerprinting ist ein Browser-Problem und braucht eine Browser-Lösung.
Wie viel dein Browser über die Schriften und andere Merkmale verrät, prüfst du am schnellsten mit dem Fingerprint-Test. Eine Schritt-für-Schritt-Härtung deines Browsers findest du im Tool Browser härten. Wie Schriften ins größere Bild des Fingerprintings passen, vertieft der Artikel zum Audio-Fingerprinting.
Schutzmaßnahmen im direkten Vergleich
Nicht jede Maßnahme passt zu jedem Nutzer. Wer beruflich auf viele Schriften angewiesen ist, kann sie nicht einfach entfernen. Wer maximale Anonymität sucht, nimmt dafür Komforteinbußen in Kauf. Die folgende Übersicht ordnet die Optionen nach Aufwand und Wirkung.
| Maßnahme | Aufwand | Wirkung gegen Font-Fingerprinting |
|---|---|---|
| Content-Blocker einsetzen | Gering | Mittel, blockt viele Tracking-Skripte |
| Firefox Resist-Fingerprinting | Mittel | Hoch, vereinheitlicht die Schriften |
| Tor Browser nutzen | Hoch | Sehr hoch, feste Schriftenmenge für alle |
| Unnötige Schriften vermeiden | Gering | Niedrig bis mittel, senkt nur die Auffälligkeit |
Eine pragmatische Wahl für die meisten Nutzer ist die Kombination aus Content-Blocker und der Resist-Fingerprinting-Funktion von Firefox. Sie deckt Font-Fingerprinting und viele weitere Merkmale ab, ohne dass du auf einen Spezial-Browser umsteigen musst. Den Tor Browser hältst du für besonders sensible Recherchen bereit.
Häufige Fragen zum Font-Fingerprinting
Sehen Webseiten meine komplette Schriftenliste? Moderne Browser geben die Liste nicht mehr direkt heraus. Tracking-Skripte ermitteln sie indirekt über Mess-Tricks, was langsamer und ungenauer ist, aber funktioniert.
Hilft es, Schriften zu deinstallieren? Eine kleinere, standardnahe Schriftenmenge macht dich unauffälliger. Den größten Effekt erzielst du aber mit einem Browser, der die Abfrage vereinheitlicht oder blockiert.
Ist der private Modus ausreichend? Nein. Der private Modus löscht gespeicherte Daten, ändert aber nicht, welche Schriften installiert sind. Font-Fingerprinting wirkt dort unverändert.
Erkennt mich Font-Fingerprinting auch auf dem Smartphone? Ja, das Prinzip gilt für mobile Browser ebenso. Mobile Systeme haben allerdings oft eine einheitlichere Schriftenausstattung als Desktop-Rechner, weshalb das Merkmal dort meist etwas weniger trennscharf ausfällt.
Als konkrete Handlungsempfehlung gilt: Aktiviere einen Content-Blocker und schalte in Firefox die Resist-Fingerprinting-Funktion ein, dann ist der Großteil des Risikos abgedeckt. Installiere zusätzliche Schriften nur, wenn du sie wirklich brauchst, und prüfe deinen Stand regelmäßig mit dem Fingerprint-Test.
Veröffentlicht durch die CheckPrivacy-Redaktion. Veröffentlicht am 27. Mai 2026. Aktualisiert am 8. Juni 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@checkprivacy.de
Privacy-Updates ohne Tracking
Neue Tools, Browser-Tests und Schutz-Anleitungen — kostenlos, kein Tracking, jederzeit abbestellbar.
🎁 Gratis dazu: Privacy-Checkliste 2026 (PDF)
Mehr aus dem Tracking verständlich erklärt
Alle ansehen →Das könnte dich auch interessieren
Cookies, Supercookies und Fingerprints: Der komplette Tracking-Atlas
Ein systematischer Atlas der Speicher- und Erkennungsverfahren im Browser, von gewöhnlichen Cookies über Supercookies bis zu reinem Fingerprinting.
Online-Tracking 2026: Alle Methoden im großen Überblick
Von Cookies über Fingerprinting bis Server-seitiges Tracking: So funktionieren die Verfahren, die dich im Netz wiedererkennen, und wo du wirksam ansetzen kannst.
Was ist ein Browser-Fingerprint und wie eindeutig bin ich?
Ein Browser-Fingerprint kombiniert Dutzende technische Merkmale zu einem oft einmaligen Muster. So schätzt du deine eigene Eindeutigkeit ein.