Die Karriereplattform LinkedIn, ein Unternehmen von Microsoft, steht nach einem Bericht der Initiative Fairlinked e.V. im Fokus der IT-Sicherheits-Community. Demnach setzt der Dienst versteckte JavaScript-Skripte ein, um tausende Browser-Erweiterungen zu scannen und gleichzeitig einen detaillierten Browser-Fingerprint von Besuchern zu erstellen. Die Vorwürfe berühren zentrale Fragen zu Tracking ohne Cookies, Unternehmensspionage und DSGVO-Konformität.
Wie LinkedIn Browser-Fingerprinting und Erweiterungsscans technisch umsetzt
Laut Fairlinked wird in Nutzer-Sessions ein spezieller JavaScript-Code eingebettet, der systematisch die IDs zahlreicher Browser-Erweiterungen abfragt und versucht, auf deren Ressourcen zuzugreifen. Diese Technik ist in der Cybersicherheit als etablierte Methode bekannt, um installierte Add-ons zu erkennen, ohne direkten Zugriff auf deren Einstellungen zu benötigen.
Eine technische Analyse von BleepingComputer identifizierte auf LinkedIn einen JavaScript-Code mit zufällig wirkendem Dateinamen, der in Chromium-basierten Browsern 6.236 Erweiterungen prüfte. Frühere Versionen ähnlicher Skripte auf GitHub umfassten deutlich weniger Einträge, was darauf hindeutet, dass LinkedIn die Liste kontinuierlich erweitert und den Ansatz systematisch einsetzt.
Konkurrenzanalyse und Profilbildung über installierte Erweiterungen
Besonders brisant: Im Fokus des Scans stehen nicht nur LinkedIn-bezogene Tools, sondern auch mehr als 200 Erweiterungen direkter Wettbewerber wie Apollo, Lusha oder ZoomInfo. Da LinkedIn reale Namen, Arbeitgeber und Positionen seiner Nutzer kennt, ließen sich aus solchen Daten theoretisch präzise Kunden- und Nutzerkarten von Konkurrenzprodukten erstellen.
Hinzu kommen Sprach- und Grammatik-Plugins, Spezialtools für Steuerberater oder branchenspezifische Anwendungen. In der Praxis erlaubt die Kombination installierter Erweiterungen häufig Rückschlüsse auf Rolle, Branche, Qualifikationsniveau und sogar interne Prozesse eines Unternehmens – ein potenziell wertvoller Informationsschatz für Vertrieb, Marketing und strategische Konkurrenzbeobachtung.
Umfang der technischen Telemetrie: vom CPU-Kern bis zur Batterie
Der eingesetzte Code beschränkt sich laut Analyse nicht auf Erweiterungen. LinkedIn sammelt parallel eine Vielzahl technischer Parameter, um einen stabilen Browser-Fingerprint zu erzeugen, darunter:
• Anzahl der CPU-Kerne und grobe Speicherverfügbarkeit;
• Bildschirmauflösung und Skalierungsfaktor;
• Zeitzone und Spracheinstellungen;
• Ladezustand und Status der Batterie;
• Eigenschaften der Audio-Hardware;
• verfügbare Speicherkapazitäten im Browser.
Studien wie EFFs „Panopticlick“ und Nachfolgeprojekte zeigen seit Jahren, dass eine Kombination weniger solcher Merkmale genügt, um Geräte mit hoher Wahrscheinlichkeit eindeutig zu identifizieren. Im Unterschied zu Cookies ist Fingerprinting schwer zu blockieren und funktioniert auch im Privatmodus oder nach dem Löschen von Verlauf und Cache.
LinkedIns Begründung und der Konflikt um den Bericht „BrowserGate“
LinkedIn bestreitet die technischen Abläufe nicht, argumentiert jedoch, der Einsatz diene ausschließlich der Abwehr von Missbrauch – etwa Betrug, automatisiertem Scraping von Profilen und unzulässiger API-Nutzung. Das Unternehmen verweist darauf, dass Tools zur Datensammlung in der Vergangenheit wiederholt gegen die Nutzungsbedingungen verstoßen hätten und man entsprechende Angriffsvektoren erkennen müsse.
Der veröffentlichte Bericht „BrowserGate“ stammt von einem Entwickler des Browser-Add-ons Teamfluence, dessen LinkedIn-Konto zuvor wegen Scraping-Aktivitäten gesperrt worden sein soll. Nach Angaben von LinkedIn scheiterte dieser Entwickler mit einer Klage vor einem deutschen Gericht, das seine Datenverarbeitungspraktiken als rechtswidrig bewertete. LinkedIn stellt die Kritik daher als interessengeleitet dar. Unabhängig von diesem Konflikt bleibt jedoch die Frage, ob der Umfang der eingesetzten Tracking-Techniken verhältnismäßig ist.
Datenschutzrechtliche Einordnung: Browser-Fingerprinting unter der DSGVO
Aus Sicht des europäischen Datenschutzrechts ist entscheidend, dass Erweiterungslisten und Fingerprints bei LinkedIn mit Klarnamen, Arbeitgeber und Karrieredaten verknüpft sind. Damit werden sie zu personenbezogenen Daten im Sinne der DSGVO. Ihre Verarbeitung erfordert ein tragfähiges Rechtsfundament (Art. 6 DSGVO) und muss transparent, zweckgebunden und auf das notwendige Maß beschränkt sein.
Europäische Aufsichtsbehörden und der Europäische Datenschutzausschuss sehen Fingerprinting-Technologien zunehmend wie Cookies: Wird es zu Tracking- oder Profiling-Zwecken eingesetzt, ist in vielen Fällen eine vorherige, informierte Einwilligung erforderlich. Gleichzeitig wird kritisiert, dass Fingerprinting Cookie-Banner und Opt-out-Mechanismen faktisch umgehen kann.
Der Fall reiht sich in eine Serie ähnlicher Vorkommnisse ein. So wurde etwa eBay dabei ertappt, über Browser-Skripte lokale Ports nach Remote-Access-Software zu scannen; auch bei großen Banken und Auskunfteien wie Citibank, TD Bank oder Equifax wurden aggressive Client-Side-Skripte dokumentiert. Der Trend ist klar: Sicherheits- und Betrugspräventionsmaßnahmen werden technisch immer invasiver – mit entsprechenden Auswirkungen auf die Privatsphäre.
Praktische Schutzmaßnahmen für Nutzer und Unternehmen
Browser-Hygiene und Erweiterungsmanagement
Je mehr Erweiterungen installiert sind, desto leichter wird ein Browser eindeutig erkennbar. Nutzer sollten Plugins konsequent reduzieren, selten genutzte Add-ons entfernen und nur vertrauenswürdige Erweiterungen aus offiziellen Stores installieren. Sinnvoll ist zudem die Trennung von Nutzungskontexten: ein Profil oder Browser für soziale Netzwerke, ein anderer für sensible berufliche Tätigkeiten.
Datenschutzorientierte Browser wie Firefox (mit aktiviertem „Streng“-Tracking-Schutz), Brave oder das Tor-Browser-Bundle setzen bereits Maßnahmen gegen Fingerprinting ein, etwa durch Standardisierung von Bildschirmauflösungen oder Randomisierung bestimmter Parameter. Ergänzend können Content-Blocker und Anti-Tracking-Erweiterungen verdächtige Skripte und Third-Party-Requests einschränken.
Unternehmensrichtlinien und technische Kontrollen
Organisationen sollten Browser-Sicherheitsrichtlinien definieren und regelmäßig prüfen, welche Erweiterungen auf Unternehmensrechnern installiert sind. Über zentrale Verwaltungslösungen (z.B. MDM, Gruppenrichtlinien) lassen sich Whitelists für erlaubte Add-ons umsetzen. Security-Teams können darüber hinaus Frontend-Skripte auf geschäftskritischen Webseiten monitoren, etwa mit Subresource Integrity, Content Security Policy und spezialisierten Monitoring-Tools.
Die Diskussion um LinkedIn zeigt, wie fließend die Grenze zwischen legitimer Cyberabwehr, Wettbewerbsanalyse und potenziell übergriffigem Tracking geworden ist. Unternehmen und Einzelpersonen sollten daher ihre Browser-Umgebung, Erweiterungsliste und Privatsphäre-Einstellungen kritisch prüfen, Fingerprinting-Risiken in Sicherheits- und Datenschutzkonzepten explizit berücksichtigen und die weitere regulatorische Entwicklung aufmerksam verfolgen.
