Spuren im Netz

Dass man beim Browsen Spuren im Netz hinterlässt, ist kaum zu verhindern. Man kann sie aber beeinflussen und minimieren. Ganz kurz die Grundlagen: Fast alle Webserver speichern Logdateien, in denen eine ganze Menge steht. Üblicherweise werden bei jedem Zugriff folgende Daten gespeichert: IP-Adresse, Datum und Uhrzeit, HTTP-Anfrage, HTTP-Statuscode, Größe der Antwort, Referer (URL der Seite, von der verlinkt wird), User-Agent (Browser mit Versionsnummer).

Radikales Spurenverwischen mit Tor

Digitalcourage wirkt. Wirken Sie mit!

Besonders IP-Adresse und User-Agent lassen Rückschlüsse auf Ihre Identität zu. Um beides zu verschleiern, könnten Sie den Tor-Browser benutzen, z.B. mit unserem PrivacyDongle. Aber im folgenden Artikel gehen wir davon aus, dass Sie den Betreibern der Websites, die Sie ansteuern, vertrauen.

So funktioniert Tracking

Leider sind aber die meisten Websites heute mit Trackern verseucht. Das sind winzige, transparente Bildchen (Zählpixel, Beacons, Webbugs) oder JavaScript-Schnipsel. Zählpixel sorgen dafür, dass ein Webserver-Logeintrag auf einem weiteren Server anfällt, z.B. bei der VG Wort. Ungleich neugieriger sind JavaScript-Tracker: Die im Browser eingebaute Programmiersprache kann noch viel mehr Informationen ermitteln – so viele, dass Sie damit oft eindeutig identifiziert werden können. Webstatistik-Dienste wie das allgegenwärtige Google Analytics sammeln Daten mittels solcher Tracker.

Tracking: Sie werden verfolgt

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Richtig problematisch wird es, wenn derselbe Datensammeldienst von vielen Websites eingebunden wird, denn dann werden Sie wirklich auf Schritt und Tritt verfolgt. Neben Google Analytics setzen auch die Werbeeinblender Tracker ein. Um Sie auch ganz sicher wiederzuerkennen, legen diese zusätzlich Cookies auf Ihrem Rechner ab. Den Online-Werbemarkt teilen sich zur Zeit vor allem DoubleClick (gehört Google) und Facebook Exchange (FBX), die untereinander schon mal Daten austauschen. Twitter hat auf diesem Markt steigende Bedeutung.

Facebook? Google? Twitter? Ausgerechnet die Betreiber der größten „sozialen Netzwerke“ sind auch die größten Werbefirmen, Datensammler und -händler. Selbst wenn Sie „Social Media“-Schaltflächen nicht aktiv benutzen, werden Daten an Facebook, Google, Twitter und andere versendet, die Ihre Surfgewohnheiten zu einem Profil verknüpfen können. Und falls Sie bei diesen Firmen selbst ein Social-Media-Profil pflegen, wird das natürlich alles zusammengeführt.

Analysetools sind nicht prinzipiell schlecht

Nicht alle Analysetools sind prinzipiell schlecht. Wir halten es aber für zumutbar, dass Websitebetreiber die Daten auswerten, die sie ohnehin in ihren – hoffentlich anonymisierten – Logfiles haben. Vielleicht möchten Sie aber einzelne Tracker zulassen, etwa das dezentral installierbare Open-Source-Analysetool Piwik oder die VG Wort. Die vorgestellten Add-Ons bieten die Möglichkeit, einzelne Inhalte und Analysetools freizuschalten – welche, das entscheiden Sie!

Unterbinden Sie Tracking!

  • Schritt 1: Installieren Sie einen Werbeblocker (wir empfehlen uBlock Origin) und aktivieren Sie darin auch Anti-Tracking-Filterlisten (z.B. EasyPrivacy), wie wir es im Artikel zu Werbeblockern beschrieben haben.
  • Schritt 2: Schalten Sie im Firefox den Tracking-Schutz ein, indem Sie auf about:config den Wert privacy.trackingprotection.enabled auf true schalten. Hier eine ausführliche Anleitung. Dadurch werden bekannte Tracker blockiert. Die Liste von Trackern stammt aus dem Disconnect.me-Projekt.
  • Schritt 3: Installieren Sie eine Anti-Tracking-Erweiterung in Ihrem Browser. Dabei gilt es eine Abwägung zwischen Nutzungskomfort und der Funktionsweise zu finden. Je nach eigenem Kenntnisstand und Ansprüchen an den Nutzungskomfort empfehlen wir für Einsteiger.innen den PrivacyBadger, für Fortgeschrittene NoScript und für Expert.innen zusätzlich zu einem der beiden RequestPolicy.

PrivacyBadgerMedium

PrivacyBadger: Anti-Tracking nebenher

Das Add-On PrivacyBadger, wird von der amerikanische Bürgerrechtsorganisation EFF entwickelt und bietet Einsteiger.innen einen guten Kompromiss zwischen Tracking-Vermeidung und Nutzungskomfort. Es erkennt Tracker daran, dass sie als Drittanbieter auf mehreren Websites geladen werden und hindert den Browser daran sie nachzuladen - ganz nebenher, ohne dass Sie aktiv werden müssen, werden diese in rot markiert. Damit werden Tracker erst blockiert, sobald sie zum ersten Mal in Aktion getreten sind.

Die Erweiterung versucht dabei Inhalte, die für die Funktion einer Seite wichtig sind, auszunehmen, blockiert in diesem Fall lediglich Cookies von diesem Anbieter und markiert die Inhalte in orange. Auch wenn beispielsweise OpenStreetMap auf vielen Seiten als Kartenmaterial eingebunden ist, werden Sie also keine Einschränkung merken.

Sollte doch einmal Inhalt blockiert werden, der für die Funktion einer Seite wichtig ist, können Sie einzelne Inhalte auch von der Blockade ausnehmen. Das geht ganz einfach per Schieber, den Sie dann von rot (komplett blockieren) auf orange (Inhalte laden, Cookies trotzdem blocken) oder grün (Inhalte und Cookies erlauben) ziehen können.

NoScriptMedium

NoScript: Aber ich will die volle Kontrolle!

Das Add-On NoScript kontrolliert das Ausführen von JavaScript, Java, Flash und anderen Inhalten auf Webseiten – insbesondere dann, wenn diese Ressourcen von einem Drittanbieter eingebunden werden sollen. Dadurch wird unter anderem das Auslesen der auf Ihrem Rechner installierten Schriftarten unterbunden, die eine wichtige Rolle für den Browserfingerabdruck spielen.

Nach dem Installieren von NoScript werden diese Inhalte grundsätzlich blockiert, können aber mit einem Klick für einzelne Webauftritte, denen Sie vertrauen (z.B. beim Onlinebanking), wieder zugelassen werden. Sie können entscheiden, ob die Inhalte lediglich einmalig erlaubt werden, oder ob Sie die Seite zu einer sogenannten Whitelist hinzufügen; das bedeutet, dass Inhalte dauerhaft angezeigt werden, ohne dass Sie es bei jedem Besuch bestätigen müssen.

RequestPolicy: Umleitungen verhindern

RequestPolicy ist eine Erweiterung, die sich gegen Umleitungen auf andere Webseiten und damit verbundene Angriffe richtet und diese unterbindet.

RequestPolicyFlagge

Wenn eine Webseite versucht, eine Umleitung auf eine andere Seite vorzunehmen, kann dies durchaus berechtigt sein: Wenn Sie beispielsweise versuchen den FoeBuD zu erreichen, wird RequestPolicy Ihnen anzeigen, dass versucht wird, auf Digitalcourage umzuleiten. Wir kriegen davon natürlich nichts mit, doch Werbefirmen verwenden diese Umleitungen häufig, um damit das Surfverhalten zu analysieren und zu ermitteln, welche Seiten besucht wurden. Hier greift RequestPolicy ein und ermöglicht die Auswahl, welche Weiterleitungen tatsächlich durchgeführt werden sollen.

Durch das Unterbinden der automatischen Weiterleitung werden außerdem sogenannte Cross-Site-Request-Angriffe verhindert. Ist man bei einem Webdienst angemeldet, kann eine präparierte Seite durch eine Umleitung im Namen des Nutzers dort eine Aktion ausführen. Auch hier hilft RequestPolicy Schaden abzuwenden.

Die Entscheidung zu Freiheit nervt nur anfangs

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Mit der Installation der vorgestellten Add-Ons gehen zunächst einige Einschränkungen einher. Bei Seiten, auf denen zuvor alles „reibungslos“ funktionierte, müssen Sie nach und nach die einzelnen Inhalte freigeben. Das kann manchmal nerven. Wenn Sie einmal nicht wissen, welche Inhalte wirklich notwendig sind: Probieren Sie es aus! Sie können Freigaben jederzeit zurücksetzen. Schon nach kurzer Zeit werden Sie besser einschätzen können, welche Inhalte wirklich gebraucht werden und welche sie getrost unterdrücken können.

Auch wenn dies zu Beginn sehr anstrengend und manchmal auch nervenaufreibend sein kann, erlaubt es einen weiteren Blick hinter die Kulissen. Sie werden erstaunt sein, wie viele Inhalte im Hintergrund einer Webseite laufen, und wie wenige davon für die eigentliche Funktion der Seite nötig sind. So wird die Entscheidung zu mehr digitaler Freiheit von Tag zu Tag leichter.

Aber mein Browser hat schon einen privaten Modus!

Der private Modus von Firefox und der Inkognito-Modus von Chromium/Chrome sind in erster Linie dafür gedacht, auf Ihrem eigenen Computer so wenige Spuren wie möglich zu hinterlassen. Diese Funktion zu nutzen, ist also vor allem dann sinnvoll, wenn auch andere Personen Ihren Computer benutzen. Im Netz hinterlassen Sie auch in diesem Modus reichlich Spuren. Aber wer weiß – vielleicht wird das ja irgendwann besser.

Aber ich benutze bereits Add-On XYZ, warum ist es nicht aufgeführt?

Über unsere Empfehlungen hinaus gibt es natürlich weitere Add-Ons, die sich mit verschiedenen Maßnahmen gegen Tracking richten. Es kann verschiedene Gründe haben, warum Ihre Lieblings-Browsererweiterung nicht aufgeführt ist.

Einige Ansätze überschneiden sich mit der Funktionsweise der von uns vorgeschlagenen Add-Ons. Andere Add-ons, wie Ghostery sind nicht quelloffen. Wir haben Ghostery in der Vergangenheit zwar mit Bauchschmerzen empfohlen, halten die quelloffenen Alternativen aber mittlerweile für mindestens gleichwertig und verzichten im Zweifelsfall lieber auf nicht-quelloffene Software.

Nur weil eine Erweiterung nicht aufgeführt ist, muss sie deshalb schlecht sein. Sollten Sie sich mit weiteren Alternativen beschäftigen wollen, finden Sie Anregungen z.B. im Arch Linux Wiki, oder bei der Sammlung Prism Break.

Seien Sie bei der Installation von Add-ons aber immer wachsam und kritisch: Das abschreckende Beispiel ist die Erweiterung WOT, die selber Daten sammelte.

Anti-Tracking und der Browser-Fingerabdruck

Die individualiesierte Verwendung eines Anti-Tracking Add-Ons kann unter Umständen Ihren Browser-Fingerabdruck beeinflussen. Der PrivacyBadger lernt die blockierten Seiten aus den eigenen Surfgewohnheiten und auch bei NoScript und RequestPolicy können manuell Seiten von der Blockade ausgenommen werden. Diese Filter können sehr individuell sein und damit Rückschlüsse auf einzelne Menschen zu lassen.

Die Blockade-Filter-Listen sind zwar nur auf Ihrem eigenen Rechner gespeichert. Dennoch gibt es theoretisch eine Möglichkeit herauszufinden, welche Seiten sie blockieren: Man baut in eine Seite ein Stück Javascript-Code ein, das systematisch sehr viele Websites anspricht. Aus der Information, welche davon geblockt sind, ließe sich die Person identifizieren. Auch wenn es sich um ein sehr unwahrscheinliches Szenario handelt, verwendet der Tor-Browser, der auf Anonymität ausgerichtet ist, deshalb den PrivacyBadger nicht (Tor-Browser) und empfiehlt möglichst wenige Änderungen an der Standard-Konfiguration vorzunehmen.

Änderungen:

  • 26.11.2016: Überarbeitung des Absatzes "Unterbinden Sie Tracking!", genauere Beschreibung des PrivacyBadger. Absatz zu nicht aufgeführten Add-Ons hinzugefügt, Absatz zu Anti-Tracking und Browser-Fingerabdruck hinzugefügt.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 25.11.2017. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Bilder
Spuren im Schnee: Daniel Timm auf Flickr (CC BY 2.0)
Dachs: EFF CC BY 3.0 US
Flagge: RequestPolicy CC BY-SA 4.0
NoScript Logo: AThing

Veröffentlicht am 01.01.2016

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld