Matthias Schüsslers Artikelarchiv

Die gesammelten journalistischen Werke seit 1981

Wie Sie sich vor Tracking schützen

Matthias Schüssler

Wer im Web surft, bleibt nicht unentdeckt. Die Frage ist, wie viel Nachverfolgung man als Webnutzer goutieren soll.

Kauft man eine Zeitung am Kiosk oder ein Buch in der Buchhandlung, bleibt man als Mediennutzer unerkannt. Die Verlage müssen sich mit quantitativen Absatzzahlen begnügen. Beim Radio über UKW müssen Einschaltquoten aufwendig erhoben werden – denn wer seinen Empfänger eingeschaltet hat, können die Veranstalter nicht feststellen.

Bei den digitalen Medien sieht die Sache anders aus. Smart-TVs sind teilweise erstaunlich auskunftsfreudig, was die Nutzungsgewohnheiten ihrer Besitzer angeht. Der HBB-TV-Standard, der als Nachfolger des Videotexts entwickelt wurde, führt zu Datenabrufen, die eine Identifizierung der Zuschauer ermöglichen können. Und Streamingdienste wie Zattoo oder Wilmaa wissen natürlich, an welche User ein Programm ausgeliefert wird.

Auch beim Surfen hinterlässt man als Nutzer bei jedem Seitenaufruf eine Datenspur. Das ist technisch unvermeidlich. Jeder Seitenaufruf generiert einen Dialog zwischen dem Browser als Client und dem Server, der die Informationen ausliefert. Beteiligt ist auch das Domain Name System (DNS). Es gibt zu der angefragten Adresse, also beispielsweise Wikipedia.org, die passende IP-Adresse zurück. Über die greift der Browser dann effektiv auf die Website zu. Bei der Standardkonfiguration nutzt man den DNS-Server des Internetproviders, der seinerseits genau aufzeichnen kann, welche Adressen ein Kunde aufruft. Er kann auch Adressen blockieren oder filtern oder Daten verlangsamen. Die Debatte um die Netzneutralität beschäftigt sich mit Providern, die Kommunikationsdienste wie Skype oder Whats­app blockieren, um die eigenen kostenpflichtigen Dienste nicht zu gefährden, oder datenintensive Streamingangebote wie Youtube oder Netflix bremsen – angeblich, um das Netz zu entlasten.

Es gibt auch alternative DNS-Dienste von Google oder OpenDNS.com, bei denen die Betreiber theoretisch jede einzelne Abfrage protokollieren könnten. Das ergäbe eine lückenlose Übersicht aller verwendeten Internet-Domains. Ob ein DNS-Dienst die Daten protokolliert und auswertet, ist für den Nutzer nicht einsehbar, sodass man sich diesbezüglich auf die Nutzungsbestimmungen des Dienstes verlassen muss. Google beispielsweise gibt zu seinem Dienst an, dass Daten permanent gespeichert werden. Die IP-Adresse des Nutzers wird temporär für 24 bis 48 Stunden aufbewahrt. Es gebe aber keine Querverbindungen zu anderen Google-Diensten, bekräftigt Google in der Datenschutzerklärung.

Die Datenspur ist unvermeidlich

Der Server, von dem man als Surfer seine Daten abruft, erfährt die IP-Adresse und eine ganze Reihe von technischen Hinweisen zum Browser und zum benutzten Computer. Was der Server damit tut, ist allein seine Sache. Die meisten Server loggen die Daten, um sie in einer Zugriffsstatistik auszuwerten. Eine Identifizierung ist anhand der IP-Adresse nicht möglich: Die Adresse wird vom Provider zugewiesen und ist in aller Regel nicht permanent. Da die IP-Adressen knapp sind, wird oft eine Technik namens NAT verwendet. Mit ihr fasst ein Router mehrere lokale IP-Adressen zusammen, die per Internet unter einer einzigen öffentlichen IP-Adresse gebündelt werden. Die Technik führt dazu, dass unter einer IP-Adresse mehrere Benutzer zu finden sind, die sich ein Firmen- oder Heimnetzwerk teilen. Umgekehrt verwenden die meisten Leute unterschiedliche IP-Adressen, wenn sie über den heimischen Internetzugang, per Firmennetz und über Mobilfunk surfen. Im Rahmen der Vorratsdatenspeicherung müssen die Internetprovider sechs Monate lang speichern, wann welche IP-Adresse einem Internetnutzer zugewiesen war. Diese Informationen sind nicht öffentlich, können aber bei Ermittlungsverfahren offengelegt werden.

Da es keine eindeutige Zuordnung zwischen IP-Adresse und Anwender gibt, kommen oft Cookies zum Einsatz. Das sind kleine Dateneinheiten, die vom Browser gespeichert werden. Sie haben den Zweck, einen wiederkehrenden Nutzer zu erkennen. Das hat für den Betreiber einer Website den Vorteil, dass er zwischen der Gesamtzahl der Seitenaufrufe und der Zahl der Besucher unterscheiden kann. Auch für den Surfer haben Cookies einen Nutzen. Sie ermöglichen automatische Logins und individuell angepasste Webangebote.

Cookies sind weniger schlimm als ihr Ruf

Cookies sind, trotz ihres schlechten Rufs, an sich unproblematisch: Der Anwender kann konfigurieren, wie der Browser mit Cookies umgehen soll. Die Cookies können – normalerweise – nur von der Site ausgelesen werden, die sie auch gesetzt hat. Eine Verfolgung eines Surfers über mehrere Sites hinweg ist dadurch eigentlich ausgeschlossen.

So zumindest die Theorie. In der Praxis wird diese Einschränkung unterlaufen, indem viele Websites Codes von Dritten eingebunden haben. Dabei kann es sich um sichtbare Elemente wie Werbebanner oder Social-Media-Komponenten handeln, die die Anzahl Likes oder Tweets anzeigen. Es gibt auch unsichtbare Elemente wie die Scripts von Google Analytics oder anderen Statistikdiensten. Diese Code-Schnipsel können ebenfalls Cookies setzen und sind im Internet so weit verbreitet, dass ein eigentliches Tracking möglich wird – und durch die Verbindung mit Google-, Facebook- oder anderen Konten auch eine persönliche Identifikation.

Die Fingerabdrücke des Browsers

Nebst den Cookies gibt es auch weitere Mechanismen zur Identifikation der Benutzer. Einer ist das sogenannte Device Fingerprinting. Diese Technik basiert auf den vom Browser zur Verfügung gestellten Informationen. Diese umfassen unter anderem Angaben zu den installierten Plug-ins (Erweiterungen), Schriften, zur Bildschirmauflösung und zum Browserhersteller und der -version. Daraus lässt sich ein Profil oder eine Art Browser-Fingerabdruck erstellen, der in der Kombination einmalig ist und eine Verfolgung zulässt, selbst wenn der Browser keine Cookies akzeptieren sollte. Ausprobieren lässt sich das beispielsweise auf Panopticlick.eff.org oder über Henning-tillmann.de.

Wie schlimm ist dieses Tracking? Grundsätzlich ist das Internet kein anonymes Medium – beim Datenaustausch zwischen zwei Rechnern fallen von Haus aus Informationen an, die ein Webseitenbetreiber natürlich auswerten kann und darf. Jemand, der ein Angebot ins Internet stellt, will natürlich wissen, wie intensiv es genutzt wird. Kenntnisse über die Interessen des Publikums helfen, das Angebot zu verbessern. Andererseits sind die Grenzen zur Schnüffelei fliessend – das Site-übergreifende Tracking ist aus Sicht der Privatsphäre fragwürdig.

Immerhin – richtig konfiguriert, sind die Browser deutlich weniger auskunftsfreudig:

  • Konfigurieren Sie den Browser so, dass er nur Cookies von der ursprünglichen Website entgegennimmt, nicht aber von Dritt-Sites. (Siehe Kasten)
  • Schalten Sie den Tracking-Schutz des Browsers ein.
  • Installieren Sie eine Browsererweiterung wie Ghostery. Sie zeigt auf, welche Drittmodule auf einer Site eingebunden sind und erlaubt es, unerwünschte Module zu blockieren. Ausführliche Beschreibung im Beitrag Guck mal, wer da Daten sammelt.
  • Die Erweiterung von Disconnect.me «klemmt» die Verbindungen zu sozialen Medien, zum Beispiel Facebook, ab.

Wem diese einfachen und relativ pflegeleichten Schutzmethoden nicht ausreichen, der hat weiter gehende Möglichkeiten, die allerdings mit einer Einbusse an Surfkomfort und -geschwindigkeit einhergehen und/oder relativ aufwendig zu konfigurieren sind. Die Erweiterungen No Script für Firefox beziehungsweise Script Safe für Chrome deaktivieren Scripts und machen die eingebetteten Trackingmodule unwirksam. Das erhöht nicht nur den Privatsphärenschutz, sondern auch die Sicherheit generell, ist aber mit einem relativ hohen Preis in Form von Funktionseinbussen bei den Websites verbunden. Komplexe Sites können gänzlich unbrauchbar werden. Es ist möglich, vertrauenswürdige Sites als Ausnahmen zu definieren.

Versteck meinen Hintern

Eine weitere Methode ist, die Herkunft einer Webanfrage zu verschleiern. Auf diese Weise lassen sich geografische Sperren aushebeln. Beim sogenannten Geofencing wird eine grobe Lokalisierung des Nutzers durchgeführt und der Zugang zu Inhalten, die nicht für die entsprechende Region freigegeben sind, wird verweigert. Um diese Sperre zu umgehen, wird der Datenverkehr über eine zwischengeschaltete Relaisstation geleitet. Es kann sich um einen Proxyserver oder um einen VPN-Tunnel handeln. VPNs werden normalerweise dazu benutzt, Anwender über eine gesicherte Verbindung via Internet ans Firmennetz anzubinden, sodass diese Ressourcen nutzen können, wie wenn sie vor Ort arbeiten würden. Im Beitrag Wie man seinen Hintern versteckt wird mit Hide My Ass ein solcher Dienst beschrieben.

Bekannt wurde zuletzt auch The Onion Router alias Tor. Diese Software nutzt eine Anonymisierungstechnik, bei der die Daten in verschlüsselter Form über stets wechselnde Router geleitet werden. Dadurch lässt sich die wahre Herkunft aufseiten des Servers nicht mehr erkennen. Die Methode ist effektiv, hat allerdings auch einige Nachteile: Sie verringert die Surfgeschwindigkeit, und sie muss, wie hier beschrieben, mit viel Selbstbeschränkung benutzt werden, da aktive Inhalte im Browser die Ursprungsadresse ermitteln und enttarnen können. Ausserdem ziehen Tor-Nutzer auch die Aufmerksamkeit der Geheimdienste auf sich.

Fazit: Mit der sicheren Browserkonfiguration ist schon viel gewonnen. Darüber hinaus hilft wie immer der gesunde Menschenverstand: Üben Sie Zurückhaltung mit persönlichen Daten im Netz – dann ist es für die Datensammler schwieriger, diese mit anderweitig erhobenen Daten zu verknüpfen.

Sichere Browser-Konfiguration

Folgende Einstellungen erschweren beim Surfen die Nachverfolgung

  • Firefox: In den Einstellungen in der Rubrik Datenschutz wählt man die Chronik-Option Firefox wird eine Chronik nach benutzerdefinierten Einstellungen anlegen und setzt unter der Option Cookies akzeptieren entweder Nur von besuchten Drittanbietern oder Nie. Wirkungsvoll ist für Firefox auch die Option Behalten, bis Firefox geschlossen wird. Das kann die Nutzung von Websites mit Login beeinträchtigen, aber es erhöht den Schutz der Privatsphäre markant. Im Abschnitt Verfolgung von Nutzeraktivitäten empfehle ich die Option Websites mitteilen, meine Aktivitäten nicht zu verfolgen. (Siehe Die Nicht-Verfolgen-Funktion einschalten)
  • Google Chrome: In den Einstellungen auf Erweiterte Einstellungen anzeigen klicken, dann im Abschnitt Datenschutz die Schaltfläche Inhaltseinstellungen betätigen und im Abschnitt Cookies die Option Drittanbieter-Cookies und Websitedaten blockieren anklicken. Im Abschnitt Datenschutz sollte man ausserdem die Option Mit Browserzugriffen eine «Do Not Track»-Anforderung senden einschalten. (Siehe Datenschutzeinstellungen auswählen)
  • Apple Safari: Via Safari > Einstellungen die Rubrik Datenschutz öffnen und dort bei Cookies und Website-Daten die Option Nur von Websites erlauben, die ich besuche setzen. An der gleichen Stelle gibt es die unbedingt einzuschaltende Option Tracking durch Websites ablehnen. (Siehe Safari 7 (Mavericks): Verwenden des Bereichs «Datenschutz» der Safari-Einstellungen)
  • Internet Explorer: In den Internetoptionen im Reiter Datenschutz auf Erweitert klicken, die Option Automatische Cookieverarbeitung ausser Kraft setzen anklicken und die Option Cookies von Drittanbietern auf Blockieren setzen. Die Abwehr der Nachverfolgung wird beim Internet Explorer über die Zahnrad-Schaltfläche und Sicherheit > Tracking-Schutz aktivieren eingeschaltet. (Siehe Verwenden des Tracking-Schutzes in Internet Explorer)

(Quelle: Die lästigen Cookie-Warnungen)

Schutz vor Nachverfolgung

Im Internet ist man nicht anonym unterwegs. Es gibt aber Methoden, die Schnüffler in die Schranken zu weisen.

Cookies Im richtigen Leben wegen ihrer Kalorien umstritten, beim Computer für viele wegen Privatsphärenbedenken ein rotes Tuch. Bild: Kimberly Vardeman/Wikipedia.org

Ghostery Die Erweiterung informiert über die eingebundenen Webkomponenten. Diese müssen nicht zwingend eine Gefahr für die Privatsphäre darstellen.

Wozu dient es? Ghostery erklärt zu den einzelnen Diensten, wozu sie dienen und was für einen Umgang sie mit den Nutzerdaten pflegen.

Drittmodule blockieren Die eingebundenen Module lassen sich über Ghostery deaktivieren.

Lightbeam Die Erweiterung für Firefox visualisiert die eingebundenen Dritt-Sites und zeigt an, welche Sites die gleichen Dienste nutzen. Im Fall der Schweizer Mediensites ist es das Mess-Skript der Wemf zur Erhebung der Leserzahlen.

No Script Diese Browsererweiterung blockiert alle Scripts. Das bringt in Youtube die Videos zum Verschwinden, sodass Scripts hier selektiv freigeschaltet werden müssen.

Panopticlick Der «Fingerabdruck» eines Browsers ermöglicht eine Identifizierung auch ohne Cookies.

Tor Anonymisierung nach dem Prinzip des «Onion Routers».

Tor Browser Bundle Das Tor Browser Bundle enthält einen entsprechend konfigurierten Browser für den Zugriff auf das Anonymisierungsnetzwerk.

Quelle: Newsnetz, Dienstag, 24. März 2015

Rubrik und Tags:

Metadaten
Thema: Newsnetz
Nr: 13063
Ausgabe:
Anzahl Subthemen: 1

Obsolete Datenfelder
Bilder:
Textlänge:
Ort:
Tabb: FALSCH