Kann ich meinen User Agent verbergen?

Erweiterungen und Entwicklertools können den User Agent fälschen (spoofen), aber Websites führen oft Abgleiche mit Client Hints, JavaScript-APIs oder dem Nutzerverhalten durch. Ein konsistentes Spoofing ist schwieriger als nur das Ändern eines einzelnen Headers.

Warum führen fehlerhafte UA-Strings zu Problemen auf Websites?

Älterer Code führt Verzweigungen basierend auf Substrings wie 'MSIE' oder bestimmten WebKit-Tokens aus. Zu allgemeine, eingefrorene UA-Strings können in die falsche Verzweigung leiten, es sei denn, Entwickler modernisieren die Feature-Erkennung.

Sind User Agents personenbezogene Daten?

Für sich genommen sind sie meist sehr ungenau (Browserfamilie + Betriebssystem). Zusammen mit anderen Signalen tragen sie zum Fingerprinting bei; Aufsichtsbehörden behandeln Fingerprinting unter Umständen ähnlich wie ePrivacy-Regeln.

16. April 2026 · 13 Min. Lesezeit

Was verrät Ihr User Agent über Sie? Eine vollständige Analyse für 2026

Wie User-Agent-Strings aufgebaut sind, warum Server sie auslesen und wie Client Hints sowie die UA-Reduzierung den Datenschutz verändern.

Jede HTTP-Anfrage Ihres Browsers kann einen User-Agent-Header enthalten – ein strukturierter Textblock, der historisch gesehen den Browsernamen, die Rendering-Engine, das Betriebssystem und manchmal die Geräteklasse übermittelte. Server nutzen ihn für Analysen, Kompatibilitätsanpassungen (Shims) und gelegentlich zum Blockieren. Er war nie als Datenschutz-Kontrollmechanismus gedacht, und die Industrie ist dabei, den Detailgrad der UA-Strings schrittweise zu reduzieren.

Anatomie eines klassischen UA-Strings

Ein Chromium-Desktop-Beispiel könnte Folgendes enthalten:

Mozilla/5.0 – ein veraltetes Token, das viele Engines aus Gründen der historischen Kompatibilität beibehalten.
Plattform – Windows NT 10.0; Win64; x64 oder Macintosh; Intel Mac OS X 10_15_7.
AppleWebKit/537.36 (KHTML, like Gecko) – Verweis auf die WebKit-Abstammung, der aus Kompatibilitätsgründen mitgeführt wird.
Chrome/124.0.0.0 – die Hauptmarke des Browsers und die Version.
Safari/537.36 – ein weiteres Kompatibilitäts-Echo.

Die genaue Reihenfolge und die einzelnen Token variieren zwischen Chrome, Firefox und Safari, aber das Prinzip ist dasselbe: Selbstidentifikation zur Weichenstellung auf der Serverseite.

Warum Websites immer noch UA-Strings parsen

Feature-Steuerung – Ausliefern vereinfachter Seiten an sehr alte Rendering-Engines (rückläufig).
Bot-Management – Unterscheidung zwischen Webcrawlern, Headless-Automatisierung und veralteten Software-Bibliotheken.
Analysen – Dashboards zum Marktanteil (die zunehmend durch First-Party-Metriken ergänzt werden).
A/B-Layouttests – grobe Hinweise zur Geräteklasse.

Moderne Best Practices setzen auf Feature-Erkennung (wie matchMedia, CSS-Support-Abfragen, Progressive Enhancement) anstelle von UA-Sniffing – große Web-Plattformen betreiben jedoch aus betrieblichen Gründen weiterhin Pipelines zur Analyse von UA-Strings.

User-Agent Client Hints (UA-CH)

Browser der Chromium-Familie können basierend auf Berechtigungen und Richtlinien Client Hints (Sec-CH-UA-*) senden. Diese übermitteln strukturierte Marken- und Versionsinformationen und bieten mehr Kontrolle als ein einzelner, eingefrorener String. Server müssen diese Hinweise aktiv anfordern (Accept-CH, Critical-CH) und Datenschutzmodi berücksichtigen. Dies ist wichtig, da ein wirksamer Schutz vor Fingerprinting erfordert, sowohl die Entropie des UA-Strings als auch die der Client Hints zu begrenzen.

„UA-Reduzierung“ und eingefrorene Hauptversionen

Browser sind dazu übergegangen, in nicht privilegierten Kontexten feste oder vereinfachte UA-Strings zu verwenden (z. B. durch Einfrieren der Hauptversion oder generische Plattform-Token), um passives Fingerprinting zu reduzieren. Dies verbessert den Schutz der Privatsphäre für Durchschnittsnutzer, erschwert jedoch die Arbeit von Support-Teams, die auf detaillierte Versionsnummern in Logfiles angewiesen sind.

Bezug zum Fingerprinting

Ein roher UA-String ist nur ein einzelnes Signal. Tracking-Skripte können diesen kombinieren mit:

Bildschirmgröße und Farbtiefe
Installierten Schriftarten (sofern erkennbar)
Render-Abweichungen bei Canvas / WebGL
Latenz-Messungen der Audio-Schnittstelle
Zeitzone und Sprache

Der UA-String liefert bereits zu Beginn der Verbindung (HTTP-Ebene) und noch vor der Ausführung von JavaScript kostengünstige Entropie – daher rührt das Bestreben, ihn zu minimieren.

Praktisches Fazit

Wenn Sie überprüfen möchten, was Ihr Browser übermittelt, nutzen Sie unsere User Agent-Seite, um den genauen String Ihrer Sitzung einzusehen, und vergleichen Sie ihn mit den Anfrage-Headern im Netzwerk-Tab der DevTools. Wenn Sie eine Website entwickeln, bevorzugen Sie Client Hints, vermeiden Sie fehleranfällige Substring-Prüfungen und dokumentieren Sie Ihre Bot-Allowlists explizit.

Für die meisten Leser gilt: Behandeln Sie den User Agent als betriebliche Metadaten, nicht als Geheimnis. Kombinieren Sie netzwerkseitige Tools mit vernünftigen Cookie-Bannern und minimieren Sie Skripte von Drittanbietern, wenn Sie das Risiko von Tracking einschränken möchten.