10 Browser-Add-ons für mehr Sicherheit und Datenschutz

10 Browser-Add-ons für mehr Sicherheit und Datenschutz

Erweitere deinen Cliqz Browser um nützliche Zusatzfunktionen! Die vorgestellten Add-ons erleichtern unter anderem die Verwaltung von Zugangsdaten, Online-Identitäten, Proxy-Einstellungen und Berechtigungen.

Björn Greif
Redakteur

Cliqz für Windows und Mac erlaubt seit Anfang des Jahres die Installation von Firefox-Erweiterungen. Wir stellen zehn beliebte Sicherheits- und Datenschutz-Add-ons vor, die den Cliqz Browser um einige nützliche Funktionen erweitern.

Mit HTTPS Everywhere und Eigenentwicklungen wie Video Downloader, re:consent, Werbeblocker sowie intelligentem Anti-Tracking hat Cliqz bereits von Haus aus viele Funktionen an Bord, die bei anderen Browsern per Erweiterung nachgerüstet werden müssen.

Ergänzend empfehlen können wir den datenschutzorientierten Werbeblocker Ghostery sowie die Passwortmanager LastPass und Bitwarden, deren Quellcode wir gründlich geprüft haben.

Letztlich haben wir aber keine Kontrolle darüber, auf welche Daten Drittanbieter-Erweiterungen zugreifen. Sie können immer gewisse Risiken bergen und deinen Browser eventuell verlangsamen.

Diese Add-ons machen Cliqz noch besser

(Hinweis: Blättere durch die Add-on-Galerie, indem du zur Seite wischst oder die Punkte unterhalb des Bildtextes anklickst.)

Um eine Erweiterung im Cliqz Browser zu installieren, musst du sie lediglich im Firefox Add-ons Store auswählen und die Schaltfläche „Zu Firefox hinzufügen“ anklicken.

Hier noch ein paar grundlegende Tipps zur Verwendung von Add-ons:

  1. Halte die Liste installierter Add-ons so kurz wie möglich.
  2. Füge keine Erweiterung hinzu, die du nicht unbedingt benötigst oder deren Entwickler du nicht vertraust.
  3. Achte immer auf die angeforderten Berechtigungen, und verzichte im Zweifel lieber auf ein Programm.
  4. Entferne regelmäßig Add-ons, die du nicht mehr verwendest.

Durch Beachten dieser Tipps minimierst du das Risiko, dass Add-ons Schaden anrichten oder deinen Browser langsamer machen.


CLIQZ FÜR MOBILE

Turn all evil

Interview: „Wir sind für den Fall gewappnet, dass wir alle böse werden“

Interview: „Wir sind für den Fall gewappnet, dass wir alle böse werden“

Im Gespräch mit Sifted erklärt Cliqz-Geschäftsführer Marc Al-Hames, wie Cliqz Datenschutzprobleme durch konsequente Datenvermeidung umgeht.

Turn all evil

Björn Greif
Redakteur

Googles Slogan war lange Zeit „don’t be evil“ („sei nicht böse“), ehe es ihn im Mai 2018 still und heimlich aus seinem Verhaltenskodex strich. Die Einstellung von Cliqz lautet eher „nimm an, dass wir alle böse werden“. Cliqz-Geschäftsführer Marc Al-Hames hält es für wichtig, immer auf das Schlimmste vorbereitet zu sein.

Daher erhebt und speichert Cliqz auf seinen Servern keinerlei Daten von Nutzern, anhand derer sie eindeutig identifiziert werden könnten. Deshalb muss das Unternehmen seine Nutzer auch gar nicht erst darum bitten, ihm ihre Daten anzuvertrauen. „Falls sich eine Regierung oder ein Hacker Zugang zu unseren Servern verschaffen, wenn ein Mitarbeiter böse Absichten verfolgen oder Cliqz als Unternehmen plötzlich böse werden sollte, wären die Daten, die auf unseren Servern liegen, niemals ausreichend, um einen Nutzer zu identifizieren oder dessen Verhalten nachzuverfolgen“, erklärt Al-Hames im Interview mit Sifted.

Hier das vollständige Interview in deutscher Übersetzung:

Cliqz ist eine Anti-Tracking-Suchmaschine. Wie schaffen Sie es, Nutzern relevante Ergebnisse zu liefern, und wie trainieren Sie die Algorithmen, wenn Sie keine Nutzerdaten sammeln?

Ich glaube, die Frage ist nicht, ob man Daten sammelt, sondern welche Art von Daten man sammelt. Was wir wissen müssen, ist: Wo gehen die Menschen im Internet hin? Wir müssen also Statistiken über die Art der Websites kennen, die von Menschen besucht werden, und wie lange sie auf diesen Websites bleiben. Denn das sagt uns etwas über die Relevanz und darüber, wie wir unseren Suchmaschinenalgorithmus trainieren können.

Bis vor ein paar Jahren war der grundlegende Ansatz jedes Internetunternehmens “lass mich einfach alles sammeln”. Sie würden ein Profil namens Marc Al-Hames erstellen, das alles aufzeichnet, was Marc Al-Hames tut, und dann vielleicht Geld mit den Daten verdienen, sowie die Daten zum Trainieren von Algorithmen sammeln. Wir gehen einen anderen Weg: Erstens sammeln wir nur das, was wir wirklich brauchen, folgen also dem Prinzip der Datenminimierung. Zweitens sammeln wir nichts, was mit einer Person in Verbindung gebracht werden könnte.

Welche Art von Informationen sammeln Sie also genau? Erheben Sie Daten zu Standort, Website-Besuchen oder Online-Einkäufen?

Wir sammeln all das, aber nie im Zusammenhang mit anderen Daten. Wir können z.B. einen Standort niemals mit einer konkreten Person in Verbindung bringen. Und der Standort würde auf Stadtebene ermittelt und nicht auf Basis der exakten Position. Wir teilen Daten in atomare Einheiten auf: Eine Person aus München (1) hat nach Marc Al-Hames gesucht (2) und auf Marc Al-Hames‘ LinkedIn-Profil geklickt (3). Wir würden keine Verbindung zwischen diesen drei Datenpunkten herstellen, weil dies allein ausreichen könnte, jemanden zu identifizieren.

Beeinträchtigt eine derartige Entkopplung von Daten nicht die Qualität der Suchergebnisse?

Dr. Marc Al-Hames, Geschäftsführer Cliqz GmbH
Dr. Marc Al-Hames, Geschäftsführer Cliqz GmbH

Nein, wir erfahren alles, was wir für den Betrieb der Suchmaschine benötigen. Fast so, als ob wir personenbezogene Daten verwenden würden – es ist nur etwas komplizierter und erfordert etwas mehr Aufwand. Übrigens hat Google anfangs auch nicht so viele Daten gesammelt – sie haben erst später damit angefangen. Für die Personalisierung befindet sich auf Ihrem Gerät ein Benutzerprofil, auf das wir aber keinen Zugriff haben, sondern nur Sie. Wenn sie beispielsweise nach einem Hotel in München suchen, senden wir Ihnen einige Ergebnisse zurück und Ihr Gerät filtert sie entsprechend Ihrer Informationen.

Beschränkt der Verzicht auf die Erhebung personenbezogener Daten nicht ihre Möglichkeiten, Gewinne zu erzielen?

Jein. Natürlich wäre es nett, mehr Daten zu haben, um ein Monopol aufzubauen. Aber keine personenbezogene Daten zu haben, hält einen nicht davon ab, ein Geschäftsmodell zu entwickeln. So verdient Cliqz zum Beispiel Geld mit „MyOffrz“, einem Werbemodell, das Targeting mit konsequentem Datenschutz in Einklang bringt. Auf Ihrem Gerät haben Sie ein Profil und wir senden bestimmte Angebote, die wir haben, an Ihr Gerät. Nehmen wir an, Amazon bietet ein iPhone X mit einem Vodafone-Vertrag an und es ist im Moment sehr günstig. Wir senden dieses Angebot an alle unsere Nutzer und sobald Sie mit der Suche nach einem iPhone beginnen, wird Ihr Gerät das erkennen und Ihnen unser Angebot zeigen. So können wir Nutzer gezielt mit einer Anzeige ansprechen, ohne je erfahren zu haben, dass Sie die Person sind, die nach einem iPhone gesucht hat.

Wir machen es genau anders herum als Google und Facebook. Sie erledigen das alles von ihren Servern aus: Sie sammeln Ihre Profildaten und da Sie sich für ein iPhone interessieren, schicken sie Ihnen die Anzeige. Wir senden die Anzeige an jeden unserer Nutzer und dann werden die Angebote auf Ihrem Gerät gefiltert. Es ist derselbe Effekt, aber die Art wie wir es im Hintergrund machen, ist völlig privat.

Greift ihr Ad-Targeting-Tool auf Daten von anderen Anwendungen auf dem Gerät zu?

Nein, das tut es selbstverständlich nicht. Das ist der typische Ansatz von Google und Facebook, so viele Daten wie möglich zu sammeln. Apps von Drittanbietern enthalten fast immer das Google-Analytics-Pixel oder das Facebook-Framework, um Informationen zu sammeln, Profile zu erstellen und sie bestmöglich für Werbezwecke zu nutzen. Sicher, wenn Sie den Werbemarkt betrachten, erlaubt dieser Ansatz Google und Facebook, mehr Anzeigen auszuspielen als wir, weil sie diese Art Daten haben. Wir haben sie nicht. Wenn Sie über die Amazon-App Schuhe kaufen, werden wir diese Information nicht bekommen. Ich kann nur sagen, dass dies auch nicht zwingend erforderlich ist, um ein profitables Geschäft aufzubauen. Es dient hauptsächlich der Gewinnmaximierung.

Wie stellen sie sicher, dass Ihr Datenschutzmechanismus fehlerfrei funktioniert?

Es besteht natürlich immer ein Risiko, dass wir einen Fehler machen, und Fehler geschehen. Also, was machen wir? Wir folgen ein paar Prinzipien. Erstens ist unser gesamter Code, der auf den Computern der Nutzer läuft, quelloffen, so dass jeder überprüfen kann, was wir tatsächlich tun, und uns auf mögliche Fehler hinweisen kann. Zweitens sind auch die Daten offen, die vom Benutzer zu uns fließen. So können die Menschen ihren Datenstrom überwachen und genau sehen, was wir tun. Selbstverständlich führen wir auch regelmäßig Überprüfungen unserer Datenbestände durch. Alle drei Monate laden wir Sicherheitsexperten zu Cliqz ein und fordern sie auf, einen Benutzer anhand unserer Daten zu identifizieren. All dies soll uns helfen, anständig zu bleiben und festzustellen, ob wir einen Fehler gemacht haben – schließlich sind wir auch nur Menschen. Wenn wir einen Fehler gemacht haben, beheben wir ihn sofort, weil wir nicht die Absicht haben, solche Daten zu sammeln. Es ist eine große Herausforderung – es ist nicht so, dass man einmalig Privacy by Design implementiert und dann hat es sich damit. Wir beschäftigen ein großes Team von Ingenieuren, das sich nur darum kümmert, dass bei allem, was wir tun, die Privatsphäre unserer Nutzer gewahrt bleibt.

Ich bin immer ein wenig besorgt, wenn etwas nur vorschriftsmäßig ist. Wenn Sie die Datenschutz-Grundverordnung (DSGVO) nehmen, ist Google das konformste Unternehmen der Welt. Das bedeutet aber nicht, dass es auch das Unternehmen mit den höchsten Privatsphärestandards ist. Google weiß einfach nur genau, was sie tun müssen, um DSGVO-konform zu sein. (Warum sich Benutzer nicht einfach auf Gesetze und Richtlinien wie die DSGVO verlassen sollten, um ihre Privatsphäre zu schützen, erläutert der Artikel „Google ist der Nutznießer der DSGVO“.)

Cliqz wurde 2008 gegründet und ist 2013 ins Suchmaschinengeschäft eingestiegen. Das war also fünf Jahre vor der Einführung der DSGVO. Interessieren sich seit Inkrafttreten der Verordnung mehr Nutzer für Cliqz?

Vor fünf Jahren haben viele Menschen Datenschutz belächelt, und selbst heute ist das teilweise noch so, aber generell wird er jetzt sehr viel ernster genommen. Das lässt sich praktisch überall beobachten. Die ganzen Diskussionen – die vor allem innerhalb des letzten Jahres geführt wurden – haben mehr Bewusstsein für das Thema geschaffen. Das können wir sowohl an den Zugriffen auf unsere Website als auch an unseren Nutzerzahlen ablesen. Ich kann keine konkreten Zahlen nennen, aber der Anstieg ist beträchtlich. Wann immer ein Artikel über Datenschutz oder über einen Datenschutz-Skandal wie Cambridge Analytica erscheint, beobachten wir für diese Tage einen Anstieg von 20-30% bei Website-Aufrufen und Nutzern. Das Thema Datenschutz ist wichtig. Es ist dem Nischendasein entkommen, aber immer noch keins für den Massenmarkt.

Ihr Heimatmarkt Deutschland gilt als sehr datenschutzorientiert in Bezug auf die Regulierungskultur. Glauben Sie, dass deutsche Nutzer mehr Wert auf Datenschutz legen?

In der deutschen Geschichte gab es zwei Diktaturen, das Nazi-Regime und die DDR. In beiden wurden die Bürger systematisch überwacht, weshalb die Privatsphäre in Deutschland vielleicht einen höheren Stellenwert genießt. Jedenfalls einen höheren als in Großbritannien, würde ich sagen. Wenn man sich etwa das Thema Videoüberwachung ansieht, wäre das in Deutschland einfach nicht möglich, ohne dass es einen öffentlichen Aufschrei gibt. Aber auch wenn Deutschland diesen besonders datenschutzorientierten Ruf hat, nehmen die meisten intelligenten Nutzer auf der ganzen Welt den Datenschutz ernst. Wenn man die Nutzerzahlen unserer Datenschutz-Browsererweiterung Ghostery betrachtet, gibt es in den USA, Großbritannien und Frankreich genauso großes Interesse am Datenschutz wie in Deutschland.

Dieses Interview erschien zuerst in englischer Sprache bei Sifted.


CLIQZ FÜR MOBILE

(Source: iStock / Cheremuha)

Die größten Datenschutz-Aufreger des Jahres 2018

Die größten Datenschutz-Aufreger des Jahres 2018

Vom Cambridge-Analytica-Skandal bei Facebook bis hin zu Datenlecks bei Google+, leider gab es auch in diesem Jahr wieder reichlich Anlass, sich um den Datenschutz zu sorgen. Wir blicken zurück auf die größten Aufregerthemen.

(Source: iStock / Cheremuha)

Björn Greif
Redakteur

Zum Jahresende werfen wir einen Blick zurück auf die schwerwiegendsten Sicherheitslücken und Datenschutzvergehen, welche die Privatsphäre der Internetnutzer gefährdet haben oder noch bedrohen. In den Artikeln findest du auch Tipps, wie du dich vor den jeweiligen Gefahren schützen kannst. Eine einfache und effektive Maßnahme ist etwa der Einsatz eines Anti-Tracking-Tools wie Ghostery oder Cliqz.

Trackers who steal

Tracking-Skripte stehlen Kreditkartendaten: So kannst du dich schützen


Hacker manipulieren Tracking-Skripte von Drittanbietern, um auf zahlreichen Websites Kreditkartendaten abzugreifen. Cliqz und Ghostery blockieren diese Skripte.

Government websites leak data to trackers

Regierungswebsites übermitteln Daten an Google und Co


Viele europäische und US-Regierungswebsites enthalten Drittanbieter-Tracker, die Metadaten sammeln. Das belegen aktuelle Daten von WhoTracks.me.

Datenleck bei Google+: nur die Spitze des Eisbergs?


Auf Googles Servern liegen höchst intime Daten über dich. Wie der jüngste Skandal zeigt, gibt es auch bei Google keine 100-prozentige Sicherheit.

Local Sheriff Logo

Lufthansa-Datenleck: Was eine einzige URL alles über dich verraten kann


Wer nur die URL einer Lufthansa-Buchungsdetailseite kennt, kann alle dort aufgeführten Daten auslesen oder ändern, einschließlich persönlicher Daten bis hin zu Ausweisnummern.

Wie leicht du anhand frei zugänglicher Twitter-Metadaten identifizierbar bist


Britische Forscher konnten allein durch die Analyse von Metadaten jeden von 10.000 Twitter-Nutzern mit einer Genauigkeit von 96,7 Prozent identifizieren.

Nach Gmail-Kontroverse: So entziehst du Apps den Zugriff auf dein Google-Konto


Wer einer Drittanbieter-App Zugriff auf Gmail gewährt, muss damit rechnen, dass Mitarbeiter des Entwicklers private Nachrichten lesen. Prüfe jetzt die Zugriffsrechte!

(Icons by DinosoftLabs www.flaticons.com)

Tracker missbrauchen Facebook Login zum Abschöpfen von Nutzerdaten


Princeton-Forscher haben mehrere Tracking-Skripte von Drittanbietern identifiziert, die das Anmeldeverfahren ausnutzen, um an Profilinformationen von Facebook-Nutzern zu kommen.

Icons by Freepik, Vectors Market www.flaticon.com

Datenskandal um Cambridge Analytica: So löschst du dein Facebook-Konto


Du willst aus Facebook aussteigen? Wir erklären Schritt für Schritt, wie du dein Konto vorübergehend deaktivierst oder dauerhaft löschst.

(Bild: iStock / iNueng)

Wie sorglos Fluggesellschaften mit deiner Privatsphäre umgehen


Fluggesellschaften wie Emirates geben private Nutzerdaten an Drittanbieter-Tracker weiter – ohne explizite Zustimmung des Users oder eine Möglichkeit zum Opt-out.

Cliqz deckt Datenschutzproblem bei bing.com und anderen Microsoft-Seiten auf


Websites wie bing.com und office365.com erlaubten das Auslesen einer Benutzerkennung und damit eine Deanonymisierung. Nutzer von Cliqz und Ghostery waren von dem Problem nicht betroffen.

Meltdown Spectre

Meltdown und Spectre: Prozessor-Lücken bedrohen Milliarden Geräte


“Meltdown” betrifft nahezu alle Intel-Chips der letzten Dekade. Für “Spectre” sind fast alle Computer, Cloud-Server und Smartphones mit modernen Prozessoren anfällig.

Tracking-Skripte schöpfen Daten aus Passwortmanagern ab


Laut Forschern der Princeton University nutzen sie eine Schwachstelle im Zusammenhang mit der Autofill-Funktion aus, um User quer durchs Netz zu verfolgen.


CLIQZ FÜR MOBILE

In fünf Schritten zum optimalen Schutz deiner persönlichen Daten

In fünf Schritten zum optimalen Schutz deiner persönlichen Daten

Mit wenigen Schritten kannst du sicherstellen, dass deine persönlichen Daten privat bleiben, und Unternehmen daran hindern, zu Werbezwecken ein detailliertes Profil von dir zu erstellen.

Björn Greif
Redakteur

In diesen Tagen nimmt das Weihnachtsgeschäft richtig Fahrt auf. Im Internet kursieren verstärkt Werbenachrichten mit verlockenden Angeboten, mit denen Onlineshops etwa in sozialen Netzen oder per E-Mail um die Gunst der Käufer buhlen. Sie setzen häufig Tracker ein, welche die persönlichen Daten von Nutzern sammeln und ihr Surfverhalten protokollieren, um sie zu identifizieren und gezielt anzusprechen. Unter Beachtung der folgenden Schritte kannst du deine persönlichen Daten optimal schützen und dich sicherer durchs Netz bewegen:

1. Verwende ein Anti-Tracking-Tool

Anti-Tracking-Tools wie Ghostery oder Cliqz identifizieren Tracker von Drittanbietern und ermöglichen es dir, genau festzulegen, welche Tracker du auf Websites zulassen willst und welche nicht. Sie stellen auch sicher, dass personenbezogene Daten nicht an Dritte weitergegeben werden, die du gesperrt hast. Anti-Tracking-Tools sind meist kostenlos als Desktop-Erweiterung für alle gängigen Browser und als mobile Apps (Mobilbrowser) erhältlich.

2. Nutze einen Werbeblocker

Anzeigen stören dein Surferlebnis und sind oft unerwünscht und aufdringlich. Darüber hinaus sind einige Werbepraktiken, die als „Malvertising“ bekannt sind, für den Nutzer geradezu gefährlich: Böswillige Werbetreibende kaufen Anzeigenplätze auf Websites und schalten dort Werbung, die mit Viren, Spyware oder Malware infiziert ist. Die Ghostery-Desktop-Erweiterung und der Ghostery Privacy Browser für Mobilgeräte sowie der Cliqz Browser für Windows, Mac, Android und iOS bieten einen Werbeblocker und Anti-Tracking.

3. Ändere die Cookie-Einstellungen und passe deine Datenschutzeinstellungen an

Lösche und blockiere in deinen Browsereinstellungen Cookies von Drittanbietern. Achte bei der Einrichtung von Software, Konten und Online-Diensten auf deine Datenschutzeinstellungen und beschränke gegebenenfalls den Datenzugriff. Das Open-Source-Tool re:consent erlaubt dir, deine Zustimmung zur Datenerhebung auf Websites schnell und einfach zu prüfen bzw. zu ändern. In Betriebssystemen wie Windows 10 kannst du bestimmte Schnüffelfunktionen abschalten oder in sozialen Netzen wie Facebook festlegen, wer auf die von dir eingestellten Inhalte zugreifen darf. Erfahre dazu mehr in unseren Ratgebern für Facebook, Twitter und Instagram.

4. Setze ein VPN ein

VPNs (Virtual Private Networks) sorgen für Datenschutz und Anonymität, indem sie dir den Zugriff auf ein sicheres privates Netzwerk ermöglichen, während du Daten über ein öffentliches Netzwerk überträgst. Sie verschlüsseln alle übertragenen Daten und verschleiern die deinem Gerät zugewiesene IP-Adresse. Letztere wird zum Erstellen deines digitalen Fingerabdrucks verwendet und gibt etwa Aufschluss über deinen Standort.

5. Nimm dich vor Betrugsversuchen (Phishing) in Acht

Öffne keine E-Mails, die dir verdächtig erscheinen, und klicke nie auf Links in sozialen Netzen, Chats oder E-Mails, wenn du den Absender nicht kennst oder ihm nicht vertraust. Markiere solche Nachrichten als Spam und blockiere den Absender. Es gibt Browser, die dich vor Phishing schützen. Beispielsweise bietet der Cliqz Browser einen integrierten Phishing-Schutz. Er warnt dich vor betrügerischen Websites, die versuchen, deine Passwörter oder persönlichen Daten abzugreifen. Die Anti-Phishing-Funktion von Cliqz erkennt bis zu viermal mehr Phishing-Versuche als Google Safe Browsing und arbeitet wesentlich schneller, indem sie bisher unbekannte Phishing-Seiten innerhalb einer Stunde identifiziert. Weitere Tipps zum Schutz vor Phishing findest du hier.

Über diese Tipps hinaus ist es generell empfehlenswert, Betriebssystem und Anwendungen stets auf dem neuesten Stand zu halten und eine aktuelle Sicherheitssoftware einzusetzen. Zudem solltest du möglichst sichere Passwörter verwenden und – falls verfügbar – Zwei-Faktor-Authentifizierung für den Anmeldeprozess bei Webdiensten aktivieren.


CLIQZ FÜR MOBILE

Weihnachtsgeschenke / Christmas Gifts

Spione unterm Weihnachtsbaum: Augen auf beim Geschenkekauf

Spione unterm Weihnachtsbaum: Augen auf beim Geschenkekauf

Internetfähige Geräte und Smart-Home-Produkte stehen als Weihnachtsgeschenke hoch im Kurs. Sie stellen jedoch häufig eine Gefahr für die Privatsphäre dar.

Weihnachtsgeschenke / Christmas Gifts

Björn Greif
Redakteur

Die Zeit der Weihnachtseinkäufe geht langsam in die heiße Phase. Auf dem Wunschzettel stehen immer öfter auch mit dem Internet verbundene Geräte abseits von Computer, Smartphone oder Tablet. Hier solltest du vor dem Kauf aber genau prüfen, ob das gut gemeinte Geschenk am Ende nicht deine Liebsten ausspioniert. Denn viele internetfähige Geräte greifen direkt oder über eine Smartphone-App auf eine Kamera bzw. ein Mikrofon zu oder orten den aktuellen Standort. Was genau mit den Daten geschieht, wo und wie lange sie gespeichert werden und wer darauf Zugriff erhält, bleibt oft unklar.

Um für mehr Transparenz zu sorgen und dir somit die Kaufentscheidung zu erleichtern, hat Mozilla einen Einkaufsführer für internetfähige Geräte erstellt. Er umfasst die Kategorien Spielzeug & Games, Smart Home, Unterhaltung, Wearables, Gesundheit & Fitness sowie Haustier-Gadgets.

Der englischsprachige Einkaufsführer mit dem Titel *privacy not included (*Privatsphäre nicht inbegriffen) geht unter anderem den Fragen nach, ob und wie die untersuchten Produkte den Nutzer ausspionieren können, was sie über ihn wissen und was im schlimmsten Fall passieren kann. Außerdem informiert er darüber, ob der Anbieter Daten unerwartet an Dritte weitergibt und ob er Nutzerdaten auf Anfrage löscht. Ein Link zur Datenschutzerklärung des jeweiligen Anbieters findet sich meist ebenfalls auf der Infoseite jedes Produkts.

Kameras außer Kontrolle

Eins der internetfähigen Geräte, das in Mozillas Untersuchung schlecht abgeschnitten und nicht einmal die Mindestanforderungen erfüllt hat, ist der FREDI Baby Monitor. Die als Babyphone konzipierte IP-Kamera ist Mozilla zufolge nur unzureichend gegen Hackerangriffe abgesichert: Sie verwendet keine Verschlüsselung und als Standardpasswort „123“. Dadurch könnten Dritte leicht auf die Videoübertragung zugreifen und die Familie ausspähen. Zudem gibt es keine Datenschutzerklärung für dieses Produkt.

Der FREDI Baby Monitor fällt in Sachen Sicherheit durch (Bild: FREDI).
Der FREDI Baby Monitor fällt in Sachen Sicherheit durch (Bild: FREDI).

Nicht viel besser sieht es bei der Kamera-Drohne Parrot Bebop 2 aus. Auch sie verzichtet auf Verschlüsselung und ist dadurch leicht angreifbar. Im Netz kursiert sogar schon ein kostenloses Tool, das selbständig nach Parrot-Drohnen in WLAN-Reichweite sucht, sie hackt und übernimmt. Das Tool kann jeder herunterladen, um damit eine eigene Zombie-Drohnen-Armee aufzubauen. Gruselig!

Lauschangriff im Wohnzimmer

Auch digitale Assistenten mit Sprachsteuerung wie Amazon Echo (Dot, Plus, Show, Spot) und Google Home sind mit Vorsicht zu genießen. Vollständig aktiviert werden sie durch Signalwörter wie „Alexa“ oder „Ok Google“. Um diese erkennen zu können, müssen sie aber ständig in den Raum hinein lauschen. Ob und was dabei möglicherweise per Mikrofon oder Kamera (im Fall von Amazon Echo Show und Spot) aufgezeichnet und gespeichert wird, lässt sich in der Regel nicht sicher sagen. Zudem ist unklar, in welchem Umfang Amazon und Google die gesammelten Informationen zu Werbezwecken an Dritte weitergeben.

Der digitale Sprachassistent Google Home lauscht ständig ins Wohnzimmer hinein (Bild: Google)
Der digitale Sprachassistent Google Home lauscht ständig ins Wohnzimmer hinein (Bild: Google)

Spielkonsolen wie Microsoft Xbox, Sony Playstation oder Nintendo Switch sieht Mozilla ebenfalls kritisch. Zwar erfüllen sie die minimalen Sicherheitsstandards, da sie ab Werk nicht mittels Kamera und Mikrofon spionieren können, erlauben dafür aber, Rückschlüsse auf den Nutzer zu ziehen, basierend auf den von ihm ausgewählten Spielen, Fernsehsendungen und Anwendungen. Außerdem werden eventuell Daten an Dritte weitergegeben, die sich für Marketing- oder Werbezwecke verwenden lassen. Gleiches gilt übrigens für Streaming-Geräte wie Amazon Fire TV, Google Chromecast und Apple TV.

Neugierige Smart-Home- und Fitness-Produkte

Smart-Home-Geräte wie das intelligente Beleuchtungssystem Philips Hue oder der WLAN-Lautsprecher Sonos One mit Amazon Alexa geben ebenfalls mehr über den Nutzer preis, als viele zunächst annehmen würden. Die Hersteller können laut Mozilla zum Beispiel Rückschlüsse auf heimische Aktivitäten ziehen oder anhand der Musikauswahl auf den aktuellen Gemütszustand des Nutzers schließen. Diese Daten werden wiederum oft dazu genutzt, personalisierte Werbung auszuliefern.

Ähnlich verhält es sich bei Fitness- und Gesundheitsprodukten wie den Fitness-Trackern Garmin Vivosport und Fitbit Charge 3 oder der Smartwatch Samsung Gear Sport. Sie sammeln über eine via Bluetooth verbundene Smartphone-App Daten, die auch hier teilweise zu Werbezwecken weitergegeben werden.

Fitness-Tracker wie Garmins Vivosport sammeln häufig Daten zu Werbezwecken (Bild: Garmin).
Fitness-Tracker wie Garmins Vivosport sammeln häufig Daten zu Werbezwecken (Bild: Garmin).

Wie der Einkaufsführer von Mozilla zeigt, solltest du dir vor dem Verschenken oder beim Einsatz internetfähiger Geräte stets im Klaren darüber sein, dass Dritte eventuell mitlesen beziehungsweise mithören. Wie immer gilt es, zwischen den Vorteilen technischer Neuerungen und dem Schutz der Privatsphäre abzuwägen. Denn letztlich entscheidest du als Verbraucher mit deinem Nutzungs- und Kaufverhalten, welche Technik – mit allen ihren Vor- und Nachteilen – sich durchsetzt und welche nicht.

Bei diesem Blogbeitrag handelt es sich um eine aktualisierte Version eines Artikels vom 07.12.2017.


Burda-Podcast Fast Forward

Podcast „Fast Forward“: Wie sieht das Internet der Zukunft aus?

Podcast „Fast Forward“: Wie sieht das Internet der Zukunft aus?

Im neuen Podcast von Hubert Burda Media kommen Experten und Ingenieure zu Wort, die den Bauplan für die Zukunft in der Hand halten. In der Pilotfolge spricht Cliqz-Geschäftsführer Marc Al-Hames über Datenschutz.

Burda-Podcast Fast Forward

Björn Greif
Redakteur

Hubert Burda Media hat mit „Fast Forward“ einen neuen Podcast gestartet. Er beschäftigt sich mit den Fragen, wie die Welt von morgen aussieht und wie sie sich gestalten lässt. Die erste Staffel umfasst sechs Folgen, in denen Experten und Ingenieure über Medien, Technologien und Tools für das Internet der Zukunft diskutieren.

Der Zukunftspodcast Fast Forward befasst sich mit Themen wie der Blockchain-Technologie, Künstlicher Intelligenz sowie E-Health und stellt Fragen wie: Muss das Internet lokaler werden? Wie werden wir in Zukunft arbeiten? Wie wird die Gesundheitsversorgung aussehen?

Zukunftsthema Datenschutz

In der Pilotfolge geht es um Datenschutz, der nicht zuletzt seit dem Cambridge-Analytica-Skandal sowie dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) stark in den Fokus der Medien und Menschen gerückt ist.

Cliqz-Geschäftsführer Marc Al-Hames, Burda-CEO Paul-Bernhard Kallen und Anne Riechert, Professorin für Datenschutzrecht, liefern Antworten auf die Frage, warum Datenschutz ein Zukunftsthema ist. Mit Moderator Christian Alt sprechen sie unter anderem darüber, warum Nutzer ihre Daten unbedingt schützen sollten, und warum wir ein besseres Internet brauchen?

Hör doch einfach mal rein:

Die komplette erste Staffel von Fast Forward steht auf iTunes, SoundCloud, Spotify und Podigee zum kostenlosen Download bereit.

Hier die sechs Folgen im Überblick:

  1. Warum Datenschutz ein Zukunftsthema ist
    Mit Paul-Bernhard Kallen, CEO Burda, Marc Al-Hames, Geschäftsführer Cliqz, und Anne Riechert, Professorin für Datenschutzrecht.
  2. Muss das Netz lokaler werden?
    Mit Ina Remmers, Mitgründerin von Nebenan.de, und Psychologin Sarah Diefenbach, die das Phänomen Social Media erforscht.
  3. Wie kann man mit Technik den Journalismus neu erfinden?
    Mit Oliver Eckert, CEO BurdaForward, und Wiebke Loosen, Professorin für Datenjournalismus.
  4. Ist die Blockchain nur ein leerer Hype oder wirklich Zukunftstechnologie?
    Mit Ingo Rübe von Botlabs und Friederike Ernst vom Blockchain Bundesverband.
  5. Wie werden wir in Zukunft arbeiten?
    Mit Marc-Sven Kopka von Xing sowie Jana Tepe und Anna Kaiser, den Gründerinnen von Tandemploy, die New Work in große Unternehmen bringen wollen.
  6. Wie sieht die Gesundheitsversorgung der Zukunft aus?
    Mit Florian Weiß, Geschäftsführer Jameda, und Markus Müschenich vom Medizin-Inkubator Flying Health.


CLIQZ FÜR MOBILE

Trackers who steal

Tracking-Skripte stehlen Kreditkartendaten: So kannst du dich schützen

Tracking-Skripte stehlen Kreditkartendaten: So kannst du dich schützen

Hacker manipulieren Tracking-Skripte von Drittanbietern, um auf zahlreichen Websites Kreditkartendaten abzugreifen. Cliqz und Ghostery blockieren diese Skripte.

Trackers who steal

Björn Greif
Redakteur

Auf nahezu allen Websites finden sich heutzutage Tracker, die Daten über dich sammeln und dein Surfverhalten überwachen. Meist geschieht das zu Analyse-, Marketing- oder Werbezwecken. Tracker stellen aber nicht nur eine Gefahr für deine Privatsphäre dar, sondern teilweise auch ein ernsthaftes Sicherheitsrisiko. Daher solltest du sie in jedem Fall blockieren – selbst, wenn du meinst, dass du nichts zu verbergen hast.

Im Lauf dieses Jahres wurde unter dem Namen „Magecart“ eine Reihe von Angriffen bekannt, bei denen Hacker bösartige Skripte auf E-Commerce-Websites platziert haben, um Kreditkartendaten zu stehlen. Davon betroffen waren unter anderem Seiten von British Airways, Ticketmaster, NewEgg, VisionDirect und Southeby’s. Insgesamt sind es einige Hundert. Angreifer erbeuteten auf diese Weise Zahlungsinformationen von Millionen Verbrauchern.

Vorsicht bei Tracking-Skripten auf Bezahlseiten!

Allen Angriffen gemein ist, dass ein bösartiges Skript als Einstiegspunkt dient. Wenn solch ein Skript auf einer Bezahlseite platziert wird, kann der Angreifer alle eingegebenen Daten auslesen, einschließlich Kreditkartennummer und Prüfziffer (CVC/CVV).

Um möglichst schnell möglichst viele Websites zu infizieren, fügen Hacker bevorzugt Schadcode in Skripte von Drittanbietern ein, die auf vielen verschiedenen Websites eingebunden werden. Daher stellt jedes Skript, das auf einer Bezahlseite geladen wird, ein potenzielles Sicherheitsrisiko dar. Entsprechend kritisch ist der inflationäre Gebrauch von Drittanbieter-Skripten zu betrachten, die von Seitenbetreibern oft zu unbedacht und leichtfertig in ihre Websites eingebunden werden.

Mit Cliqz und Ghostery bist du geschützt

Bei allen Angriffen dieser Art werden die gestohlenen Daten an einen Server gesendet und dort gesammelt. Kennt man die Serveradresse, kann man sie auf eine Blockliste setzen und so verhindern, dass der Browser Daten an diesen Server sendet. Selbst wenn Websites mit bösartigem Code infiziert wurden, kann dieser den Server des Hackers daher nicht kontaktieren.

Cliqz und Ghostery setzen in ihren Browsern und Anti-Tracking-Tools bereits eine solche Blockliste ein, um entsprechende Serveradressen zu sperren. Nutzer sind somit vor dem Diebstahl ihrer Kreditkartendaten durch Magecart-Angriffe geschützt.

Eine Analyse der Angriffsmethoden sowie eine Liste von Websites, die im November 2018 von solchen Angriffen betroffen waren, findest du im Artikel „The Trackers Who Steal“ auf WhoTracks.me.


CLIQZ FÜR MOBILE

Internet safety tips

10 Tipps für mehr Online-Sicherheit

10 Tipps für mehr Online-Sicherheit

Mit wenigen Schritten kannst du deine persönlichen Daten im Netz besser schützen. Wir erklären, worauf es ankommt.

Internet safety tips

Björn Greif
Redakteur

Am 29. Oktober 1969 wurde die erste Nachricht über das Internet (bzw. dessen Vorläufer ARPANET) übertragen, woran der heutige „Internet Day“ erinnert. Sie bestand lediglich aus den Buchstaben „L“ und „O“. Eigentlich sollte sie „login“ lauten, doch nach den ersten beiden Buchstaben stürzte das System ab. Erst nach etwa einer Stunde gelang es, die komplette Textnachricht zwischen Computern der US-Universitäten UCLA und Stanford zu übermittelt.

Ein halbes Jahrhundert später nutzen die Menschen das Internet für fast alles: Sie informieren sich, knüpfen Kontakte, kommunizieren, kaufen ein, tätigen Bankgeschäfte, spielen oder arbeiten online. Aber im Web lauern auch viele Gefahren wie Hacks, Betrugsversuche, Malware und mehr. Daher solltest du einige grundlegende Verhaltensregeln beachten.

Hier sind 10 Tipps, wie du dich sicher durchs Netz bewegst und deine privaten Daten schützt:

Du solltest dir immer gut überlegen, wem du deine persönlichen Daten anvertraust. Denn sie sind sowohl für Cyberkriminelle als auch für Werbetreibende sehr wertvoll. Achte daher darauf, wo du welche Daten eingibst. Setze zusätzlich Anti-Tracking-Tools wie Ghostery oder Cliqz ein, um sicherzustellen, dass beim Surfen keine personenbezogenen Daten von Dritten gesammelt werden.

Icon by Roundicons www.flaticon.comAchte immer darauf, nur sehr schwer zu knackende Passörter zu verwenden und niemals dasselbe Kennwort für mehrere Accounts zu nutzen. Außerdem empfiehlt sich der Einsatz eines Passwortmanagers sowie von Zwei-Faktor-Authentifizierung, um deine Online-Konten abzusichern.

Sichere dein WLAN durch WPA2-Verschlüsselung ab. Verwende E-Mail- und Messaging-Dienste, die Ende-zu-Ende-Verschlüsselung einsetzen. Achte beim Surfen und vor allem beim Shoppen im Netz auf eine gesicherte Verbindung, ehe du vertrauliche Daten eingibst. Diese kannst du an dem der Webadresse vorangestellten https:// erkennen sowie an dem grünen Schlosssymbol in der Adressleiste deines Browsers. Das vom Cliqz Browser unterstützte HTTPS Everywhere sorgt automatisch dafür, dass verschlüsselte Verbindungen zu Websites aufgebaut werden.

In unverschlüsselten WLAN-Netzen, etwa am Flughafen, im Café oder im Hotel, können Kriminelle Zugangsdaten ausspähen oder Schadsoftware auf dein Gerät installieren. Um dies auszuschließen, empfiehlt sich der Einsatz einer VPN-Lösung. Diese baut einen Tunnel auf, durch den die Daten verschlüsselt übertragen werden.

Bei der Einrichtung einer Software oder eines Online-Dienstes, solltest du zunächst einen Blick auf die Privatsphäre-Optionen werfen und bei Bedarf den Datenzugriff beschränken. Das gilt sowohl für Betriebssysteme wie Windows 10 als auch für Services wie Facebook. Hier kannst du etwa bestimmte Schnüffelfunktionen abschalten oder festlegen, dass nur ein gewisser Nutzerkreis Zugriff auf von dir eingestellte Inhalte erhält.

Klicke nie auf Links in sozialen Netzen, Chats oder E-Mails, wenn dir der Absender nicht bekannt ist oder irgendwie komisch vorkommt. Ebenso solltest du keine Anhänge von Nachrichten aus unbekannter Quelle öffnen. So vermeidest du, dass du zu Webseiten weitergeleitet wirst oder sich Schadprogramme auf deinem Rechner installieren, mit denen Betrüger vertrauliche Informationen wie deine Zugangsdaten abgreifen wollen.

Nahezu alle heutigen Browser verfügen über einen integrierten Phishing-Schutz, der Nutzer vor möglichen Betrugsversuchen warnt. Die Anti-Phishing-Funktion des Cliqz Browser und des Ghostery Privacy Browser schützt dich vor bösartigen und betrügerischen Websites. Sie erkennt bis zu viermal mehr Phishing-Versuche als Google Safe Browsing und arbeitet wesentlich schneller, indem sie bisher unbekannte Phishing-Seiten innerhalb einer Stunde identifiziert. Weitere Tipps zum Schutz vor Phishing findest du hier.

Zu kontroversen Personen oder Themen kursieren immer wieder Falschmeldungen im Netz, die teils aus Naivität, teils aber auch ganz bewusst tausendfach weiterverbreitet werden. Meist spielen sie mit den Ängsten und Befürchtungen der Menschen oder bestätigen ein bestimmtes Weltbild, um Stimmungsmache zu betreiben. Mit einer gesunden Portion Misstrauen und etwas Rechercheaufwand kannst du Fake News relativ leicht enttarnen. Wie das geht, erklären wir hier.

Sei online genauso misstrauisch wie offline in der realen Welt. Beispielsweise können sich Teilnehmer von Chats oder Mitglieder sozialer Netze leicht als jemand anderes ausgeben, indem sie ihr Profil samt Foto fälschen. Daher solltest du nicht leichtfertig private Informationen, Fotos oder Videos teilen.

Installiere regelmäßig Updates und Patches für dein Betriebssystem, deine Anwendungen und deine Antivirenlösung. Dadurch minimierst du das Risiko, dass Angreifer bekannte Sicherheitslücken ausnutzen.

Viele der hier angesprochenen Probleme sind auf einen zu sorglosen und unachtsamen Umgang mit dem Internet zurückzuführen. Die meisten ließen sich schon dadurch vermeiden oder zumindest abschwächen, wenn Nutzer noch einmal in Ruhe nachdächten, bevor sie handeln. Denn letztlich ist jeder selbst für den Schutz seiner Daten verantwortlich.

Eltern sollten diese Sicherheitstipps und Verhaltensregeln auch ihren Kindern vermitteln beziehungsweise darauf achten, dass sie sie einhalten. So können sie das Risiko minimieren, dass ihr Kind zu persönliche Inhalte von sich ins Netz stellt oder an Personen gerät, die ihm Schaden wollen.


CLIQZ FÜR MOBILE

Government websites leak data to trackers

Regierungswebsites übermitteln Daten an Google und Co

Regierungswebsites übermitteln Daten an Google und Co

Viele europäische und US-Regierungswebsites enthalten mindestens einen Drittanbieter-Tracker, der Metadaten über Bürger sammelt. Das belegen aktuelle Daten von WhoTracks.me.

Government websites leak data to trackers

Sam Macbeth
Software Engineer

Dass Tracker praktisch jeden unserer Schritte im Netz verfolgen, dürfte inzwischen bekannt sein. Aber wusstest du, dass sie sogar auf vielen Regierungswebsites zu finden sind? US-Regierungsseiten mit der Domainendung .gov enthalten im Schnitt mehr als 2,4 Tracker. Ähnlich sieht es auf französischen, britischen und EU-Seiten aus. Fast überall vertreten ist Google Analytics. Das geht aus den neuesten Daten von WhoTracks.me hervor.

Auf deutschen Regierungswebsites konnte WhoTracks.me etwas überraschend keine Drittanbieter-Tracker feststellen. Eine kurze Überprüfung einiger Seiten wie bundestag.de und bzst.de (Bundeszentralamt für Steuern) zeigt, dass diese bevorzugt selbstgehostete Analytics-Lösungen wie Matomo (ehemals Piwik) einsetzen statt Drittanbieter-Tools wie Google Analytics.

Durchschnittliche Anzahl der Tracker, die WhoTracks.me im September auf ausgewählten Regierungswebsites verschiedener Länder entdeckt hat.
Durchschnittliche Anzahl der Tracker, die WhoTracks.me im September auf ausgewählten Regierungswebsites verschiedener Länder entdeckt hat.

Regierungswebsites fungieren als Informationsportale, die es den Bürgern ermöglichen, auf Informationen oder Dienstleistungen von Behörden zuzugreifen. In einigen Fällen ist die Nutzung von Regierungsseiten unumgänglich, z.B. bei Dienstleistungen zur Übermittlung von Steuer- oder Visadaten. Daher ist es bedenklich, dass auf diesen Behördenseiten Drittanbieter-Tracking stattfindet. Schließlich haben die Nutzer keine andere Wahl als auf diese Dienste zuzugreifen und übermitteln somit gezwungenermaßen Daten an Drittanbieter.

Nachfolgende Liste führt einige internationale Regierungswebsites auf, auf denen WhoTracks.me Drittanbieter-Tracker gefunden hat:

Land Website Tracker
Australien bom.gov.au Google Analytics, Doubleclick
EU europa.eu Google Analytics, Google, Twitter
Frankreich ants.gouv.fr Google Analytics, Doubleclick
Frankreich legifrance.gouv.fr AT Internet
Frankreich impots.gouv.fr AT Internet
Russland zakupki.gov.ru Yandex
Großbritannien tax.service.gov.uk Google Analytics, Optimizely
USA ca.gov Google Analytics, Google, AddThis
USA dhs.gov Google Analytics, Doubleclick
USA irs.gov Google Analytics, New Relic, AddToAny, Youtube, Foresee
USA nih.gov Google Analytics, Doubleclick, Google
USA noaa.gov Google Analytics
USA state.gov Google Analytics, Google, Youtube, Qualtrics
USA weather.gov Google Analytics, AddThis

Metadaten über Bürger gehen an Drittanbieter

Zu beachten ist in diesem Zusammenhang, dass WhoTracks.me keine Daten über Seiten ohne Drittanbieter-Tracker erfasst. Daher können die Daten für Websites, auf denen abgesicherte Bereiche kein Tracking aufweisen, leicht verfälscht sein. Weitere Untersuchungen wären nötig, um festzustellen, ob bei dem hier beschriebenen Tracking vertrauliche Informationen übermittelt werden, wenn man auf die öffentlichen Dienste zugreift.

Fest steht jedoch, dass Drittanbieter mithilfe der Tracker auf diesen Regierungsseiten zumindest wertvolle Metadaten über Bürger erhalten. Wir sollten daher fragen, ob es für unsere Regierungen akzeptabel ist, uns diesem Risiko auszusetzen. Denn wenn Metadaten mit anderen Informationen gekoppelt werden, lassen sich Personen sehr leicht identifizieren.

Mit Anti-Tracking-Tools wie Cliqz oder Ghostery kannst du deine persönlichen Daten schützen. Sie verhindern zuverlässig das Ausspähen deines Surfverhaltens und stellen sicher, dass deine Privatsphäre beim Surfen gewahrt bleibt.


CLIQZ FÜR MOBILE

Instagram Privacy Settings

Instagram: die wichtigsten Privatsphäre-Einstellungen

Instagram: die wichtigsten Privatsphäre-Einstellungen

Auch wenn es bei Instagram ums Teilen von Fotos und Videos geht, solltest du deine Datenschutzeinstellungen prüfen, um möglichst wenige persönliche Informationen preiszugeben.

Instagram Privacy Settings

Björn Greif
Redakteur

Wie der Mutterkonzern Facebook, auf dessen wichtigste Privatsphäre-Einstellungen wir schon in einem früheren Blogbeitrag eingegangen sind, sammelt auch Instagram zahlreiche Daten über seine Nutzer. Es verwendet die Informationen über deine Aktivitäten auf seiner Plattform sowie auf Websites und in Apps von Drittanbietern unter anderem für personalisierte Werbung. Natürlich teilen beide Unternehmen auch Daten. Künftig könnte Instagram sogar deinen kompletten Standortverlauf erfassen und an Facebook übermitteln, wie TechCrunch berichtet.

Um den Datenaustausch mit Facebook einzuschränken und den Zugriff Dritter auf deine Beiträge sowie private Daten zu begrenzen, solltest du die Privatsphäre-Einstellungen von Instagram anpassen. Die wichtigsten Optionen findest du in den Einstellungen unter „Privatsphäre und Sicherheit“. Um dorthin zu gelangen, gehst du in der Instagram-App zunächst zu deinem Profil. Unter Android tippst du dann oben rechts auf die drei waagerechten Striche und wählst ganz unten im Menü „Einstellungen“. Unter iOS tippst du einfach auf das Zahnradsymbol.

Standardmäßig ist dein Instagram-Konto öffentlich, so dass jeder deine Fotos, Videos und Stories sehen und kommentieren kann. Wenn du willst, dass nur von dir bestätigte Abonnenten deine Beiträge sehen können, musst du die Option „privates Konto“ aktivieren. Lege dazu einfach den entsprechenden Schalter im Einstellungsmenü bzw. im Untermenü „Konto-Privatsphäre“ um.

Instagram: privates KontoBeachte jedoch, dass dies keine Auswirkungen auf deine bestehenden Abonnenten hat. Wenn dir eine Person bereits gefolgt ist, bevor du deine Beiträge auf „privat“ umgestellt hast, und du nicht möchtest, dass diese Person deine Beiträge sieht, kannst du diese Person blockieren.

Wenn du ein „privates Konto“ nutzt, muss jeder neue Follower, der deine Beiträge, Abonnenten oder Abonnements sehen möchte, dir eine Anfrage zum Abonnieren senden.

Instagram: AktivitätsstatusKonten, denen du folgst, und Personen, denen du Nachrichten schreibst, können standardmäßig sehen, wann du zuletzt auf Instagram aktiv warst. In den Direktnachrichten wird neben dem Profilfoto entweder die Zeit seit der letzten Aktivität oder ein grüner Punkt als Indikator dafür angezeigt, dass die Person gerade online ist.

Willst du deinen Aktivitätsstatus verbergen, musst du unter „Privatsphäre und Sicherheit“ im Einstellungsmenü den Punkt „Aktivitätsstatus“ auswählen und anschließend den Schalter umlegen. Wenn du die Option deaktivierst, kannst du aber auch den Aktivitätsstatus anderer Personen nicht mehr sehen.

Instagram: Abonnent entfernenDu kannst bestehende Abonnenten von deiner Follower-Liste löschen, wenn du nicht mehr willst, dass sie neue Beiträge von dir sehen. Das funktioniert sowohl bei öffentlichen als auch privaten Konten.

Rufe dazu zunächst deine Profilseite auf und tippe dann auf „Abonnenten“. Tippe hinter dem Follower-Profil, das du entfernen willst, auf die drei Punkte und bestätige die Aktion nochmals mit „Entfernen“.

Alternativ kannst du eine Person auch blockieren, damit sie dir nicht mehr folgen kann. Betroffene Follower werden nicht darüber informiert, dass du sie als Abonnenten entfernt oder blockiert hast.

Instagram: Story-EinstellungenDu hast die Möglichkeit, Stories und Live-Videos vor bestimmten Personen zu verbergen. Das ist beispielsweise praktisch, wenn du Inhalte nicht mit der ganzen Familie teilen willst.

Die Option „Story verbergen vor“ findet sich in den „Story-Einstellungen“ unter „Privatsphäre und Sicherheit“ im Einstellungsmenü. Tippst du sie an, öffnet sich deine Follower-Liste, auf der du die Abonnenten auswählen kannst, vor denen du deine Story verbergen möchtest. Deine Auswahl bestätigst du durch Antippen des Häkchens oben rechts.

In den Story-Einstellungen lässt sich auch festlegen, welche Personen per Direktnachricht auf deine Story antworten können. Unter dem Punkt „Antworten zulassen“ hast du die Auswahl zwischen „Deine Abonnenten“, „Abonnenten, denen du auch folgst“ und „Aus“.

Wenn du nicht willst, dass deine Abonnenten Fotos und Videos aus deiner Story in Nachrichten teilen, kannst du das unter dem Punkt „Teilen gestatten“ unterbinden. Mit dem Schalter bei „Teile deine Story auf Facebook“ stellst du ein, ob Fotos und Videos aus deiner Story automatisch auf Facebook veröffentlicht werden oder nicht.

Instagram: KommentareinstellungenEine Person nervt dich regelmäßig mit Kommentaren zu deinen Beiträgen? Dann kannst du ihr das Wort entziehen, indem du sie blockierst. Öffne dazu im Einstellungsmenü unter „Privatsphäre und Sicherheit“ die „Kommentareinstellungen“ und tippe auf „Kommentare blockieren von“. Suche dann nach der Person, deren Kommentare du blockieren willst, und bestätige mit „Blockieren“.

Anschließend werden neue Kommentare dieser Person nur noch ihr selbst angezeigt. Sie erfährt aber nicht, dass sie von dir blockiert wurde.

Zusätzlich hast du in den Kommentareinstellungen die Möglichkeit, Filter zu setzen, um automatisch beleidigende Kommentare oder Kommentare mit von dir definierten Begriffen bzw. Sätzen in deinen Beiträgen zu verbergen.

Instagram: Fotos und Videos von dirWenn dich jemand in einem Foto oder Video markiert, wird dieses standardmäßig automatisch deinem Instagram-Profil hinzugefügt. Um dies zu verhindern, musst du im Bereich „Privatsphäre und Sicherheit“ des Einstellungsmenüs unter dem Punkt „Fotos und Videos von dir“ die Option „Automatisch hinzufügen“ durch Umlegen des Schalters deaktivieren. Dann werden markierte Fotos und Videos erst in deinem Profil angezeigt, wenn du sie genehmigt hast.

Instagram: Markierung entfernenWenn du dich dazu entscheidest, Fotos und Videos manuell zu deinem Profil hinzuzufügen, wirst du trotzdem benachrichtigt, wenn dich jemand in einem Foto oder Video markiert. Um ein solches Foto oder Video zu deinem Profil hinzuzufügen, tippe zunächst auf das Foto oder Video, dann auf deinen Benutzernamen und wähle „In meinem Profil anzeigen“ aus.

Du kannst auch im Nachhinein Fotos und Videos verbergen, in denen du markiert wurdest. Tippe dazu auf die entsprechende Option unter „Fotos und Videos von dir“, wähle die Fotos oder Videos aus, die du in deinem Profil verbergen möchtest, und bestätige abschließend mit „Verbergen“. Beachte jedoch, dass die Markierung dadurch nicht aus dem Foto oder Video selbst entfernt wird.

Um dich aus einem Foto oder Video zu entfernen, in dem dich jemand markiert hat, tippe das Foto oder Video und dann deinen Benutzernamen an. Anschließend wählst du „Markierung entfernen“ (Android) bzw. „Mich aus dem Beitrag entfernen“ unter Weitere Optionen (iOS) und bestätigst mit „Entfernen“.

Wenn du Instagram den Standortzugriff erlaubst, kann es deine genaue Position (z.B. in Form von GPS-Koordinaten) erfassen, speichern und etwa für lokale Werbung verwenden. Zudem wäre es in der Lage, genaue Bewegungsprofile von dir anzulegen und die Daten mit Facebook zu teilen. Standardmäßig ist der Standortzugriff durch die Instagram-App auf Geräteebene deaktiviert. Sicherheitshalber solltest du aber prüfen, ob das auch bei dir der Fall ist.

Unter Android rufst du dazu in den Einstellungen für Apps die „App-Berechtigungen“ auf und tippst auf „Standort“. Dann musst du nur noch zur Instagram-App scrollen und gegebenenfalls den Schalter umlegen. Unter iOS gehst du zu „Einstellungen“ > „Datenschutz“ > „Ortungsdienste“ und stellst dort die Zugriffsberechtigung der Instagram-App ein.

Weitere Informationen zu den Privatsphäre-Einstellungen findest du im Hilfebereich von Instagram. Dort erfährst du auch, wie du deine Instagram-Daten einsehen und als Kopie herunterladen kannst oder dein Konto vorläufig deaktivierst bzw. dauerhaft löschst.

Sei dir bewusst, dass selbst die striktesten Privatsphäre-Einstellungen nicht verhindern, dass Instagram, Facebook, Google, Twitter und Co zahlreiche Daten über dich sammeln. Mittels auf zahlreichen Websites platzierter Tracking-Skripte sehen sie auch dann noch einen Großteil von dem, was du online tust, wenn du keinen ihrer Dienste nutzt. Schütze dich daher zusätzlich mit Anti-Tracking-Tools wie Ghostery oder Cliqz, die für Desktop- und Mobilgeräte zum kostenlosen Download bereitstehen.


CLIQZ FÜR MOBILE

Datenleck bei Google+: nur die Spitze des Eisbergs?

Datenleck bei Google+: nur die Spitze des Eisbergs?

Auf Googles Servern liegen höchst intime Daten über dich. Wie der jüngste Skandal zeigt, gibt es auch bei Google keine 100-prozentige Sicherheit. Willst du also dem Konzern dein komplettes digitales Leben anvertrauen?

Björn Greif
Redakteur

Durch eine Datenlücke bei Google+ hatten Dritte theoretisch Zugang zu privaten Informationen von bis zu einer halben Million Mitgliedern des sozialen Netzes. Einsehbar waren unter anderem Namen, E-Mail-Adresse, Beschäftigung, Geburtsdatum und Geschlecht.

Obwohl der Internetkonzern die Datenlücke nach eigenen Angaben schon im März 2018 entdeckt und geschlossen hatte, informierte er seine Nutzer erst Anfang dieser Woche. Laut Wall Street Journal fürchtete die Konzernführung, dass die US-Regierung Parallelen zum Facebook-Datenskandal um Cambrigde Analytica ziehen und auf eine stärkere Regulierung drängen könnte. Aus diesem Grund habe Google die Lücke verschwiegen.

Google weiß praktisch alles über dich

Angesichts eines solchen Verhaltens stellt sich die Frage nach der Vertrauenswürdigkeit. Zumal Google auf seinen Servern noch erheblich mehr persönliche Daten hortet als nur die der Google+-Mitglieder. Der Konzern weiß praktisch alles über dein digitales (und somit auch reales) Leben. Denn er sammelt über seine Suche, Produkte wie YouTube und Android sowie seine Tracker massenhaft Nutzerdaten.

Willst du einem Unternehmen, das die Daten seiner Nutzer offensichtlich nicht ausreichend schützen kann und es nicht einmal für nötig hält, Betroffene über ein Datenleck zu informieren, wirklich dein komplettes digitales Leben anvertrauen?

Googles Tracker überwachen 78 Prozent des gesamten Internetverkehrs und erfassen alle möglichen Daten, von simplen Seitenaufrufen bis hin zu höchst vertraulichen Informationen. Dabei spielt es keine Rolle, ob der Seitenbesucher jemals ein Google-Produkt genutzt hat oder nicht. Anhand der Daten könnte Google jeden Internetnutzer sehr leicht deanonymisieren, wodurch zwangsläufig Schattenprofile entstehen.

Daten erlauben tiefe Einblicke in dein Leben

Die Auswertung von „nur“ einem Drittel deines Internetverlaufs reicht bereits aus, um detaillierte Einblicke in deine Lebensweise zu erhalten. Wer im Besitz dieser Daten ist, erfährt zum Beispiel nicht nur etwas über deine Kaufinteressen und Reisepläne, sondern auch, welche politische Einstellung und sexuelle Vorlieben du hast, ob du krank oder überschuldet bist.

Mit Anti-Tracking-Tools wie Cliqz oder Ghostery kannst du deine persönlichen Daten vor dem Zugriff durch Google und andere Datenkraken schützen. Sie verhindern zuverlässig das Ausspähen deines Surfverhaltens und stellen sicher, dass deine Privatsphäre beim Surfen gewahrt bleibt.


CLIQZ FÜR MOBILE

Studie: Google ist der Nutznießer der DSGVO

Studie: Google ist der Nutznießer der DSGVO

Der Branchenprimus profitiert dank seiner dominanten Stellung von einer stärkeren Konzentration auf wenige große Anbieter im Online-Werbemarkt. Nutzer werden zwar insgesamt von weniger Trackern verfolgt, große Tracking-Betreiber wie Google erhalten aber noch mehr Daten.

Björn Greif
Redakteur

Die Datenschutz-Grundverordnung (DSGVO), die innerhalb der EU vor allem den Schutz personenbezogener Daten sicherstellen soll, ist nun seit gut vier Monaten in Kraft. Doch was hat sich seit dem 25. Mai konkret geändert? Welche Auswirkungen hat die DSGVO auf die Tracker-Landschaft und den Markt für Online-Werbung in Europa? Diese Fragen beantwortet eine Untersuchung von Cliqz und Ghostery, die anhand der Daten von WhoTracks.me die Verbreitung von Trackern einen Monat vor und nach Inkrafttreten der DSGVO vergleicht.

WhoTracks.me ist eine gemeinsame Initiative von Cliqz und Ghostery. Sie stellt strukturierte Informationen zu Tracking-Techniken, Marktstrukturen sowie dem Datenaustausch im Web bereit und schafft somit mehr Transparenz. Auf der WhoTracks.me-Website finden Interessierte monatlich aktualisierte, ansprechend visualisierte Statistiken zu Trackern. Sie basieren auf der Auswertung von rund 300 Millionen Seitenaufrufen und mehr als einer halben Million Websites.

Kleinere Werbe-Tracker verlieren – Google gewinnt

Die meisten Tracker sammeln Daten zu Werbezwecken. Sie möchten möglichst viel über einen Nutzer erfahren, um ihm personalisierte Werbung anzuzeigen. Denn je genauer die Anzeigen auf den jeweiligen Nutzer zugeschnitten sind, desto erfolgsversprechender sind sie und desto mehr Geld lässt sich verdienen. Der weltweite Online-Werbemarkt hat 2018 ein geschätztes Volumen von 270 Milliarden Dollar und soll in den nächsten zwei Jahren nochmals um über 20 Prozent wachsen. Entsprechend besorgt zeigte sich die Branche vor Einführung der DSGVO, welche Auswirkungen diese auf den Werbemarkt und den Wettbewerb haben werde.

Vergleicht man die Tracker-Verbreitung im April gegenüber Juli, ergibt sich ein eindeutiges Bild: Insbesondere kleinere Werbe-Tracker haben deutlich Reichweite eingebüßt (die als Indikator für Marktanteile dienen kann). Sie verloren zwischen 18 und 31 Prozent. Facebook musste einen Rückgang von knapp 7 Prozent hinnehmen. Im Gegensatz dazu konnte Marktführer Google seine Reichweite sogar noch leicht erhöhen (plus 1 Prozent).

Dafür gibt es mehrere mögliche Erklärungen:

  • Google und andere große AdTech-Firmen verfügen über umfangreiche Ressourcen, um die Einhaltung aller Vorschriften sicherzustellen.
  • Berichte deuten darauf hin, dass Google seine marktbeherrschende Stellung ausgenutzt haben könnte, um Verlage dazu zu drängen, die Zahl ihrer Adtech-Partner und damit der Werbe-Tracker auf ihren Seiten zu reduzieren.
  • Um keine Strafen zu riskieren, gehen Website-Betreiber lieber auf Nummer sicher und trennen sich von kleineren Werbepartnern, die eventuell Schwierigkeiten haben, die Einhaltung aller Vorschriften nachzuweisen.

Fest steht: Google profitiert indirekt von den Auswirkungen der DSGVO auf den Online-Werbemarkt in Europa, die sich in einer stärkeren Konzentration auf wenige große Anbieter äußern. Es konnte die allgemeine Unsicherheit rund um die DSGVO zu seinem Vorteil nutzen und seine Spitzenposition weiter ausbauen. Viele kleinere Wettbewerber verlieren hingegen seit Inkrafttreten der Datenschutz-Grundverordnung stetig Marktanteile.

Weniger Tracker pro Website

Eine ähnliche Entwicklung zeigt sich bei Betrachtung der gesamten Tracker-Landschaft in der EU: Die durchschnittliche Zahl der Tracker pro Website ging von April bis Juli um 3,4 Prozent zurück. In den USA ist der Trend gegenläufig: Dort stieg die Durchschnittsanzahl der Tracker pro Website im selben Zeitraum um gut 8 Prozent.

Die Auswirkungen der DSGVO auf die Tracker-Landschaft in der EU sind über alle Website-Kategorien hinweg zu beobachten. Kategorien mit vielen Trackern pro Site haben deren Anzahl besonders stark reduziert. Die meisten Tracker finden sich weiterhin auf News-Websites: Sie binden im Schnitt 12,4 Tracker ein. Im Vergleich zum April entspricht dies jedoch einem Rückgang um 7,5 Prozent.

Auf E-Commerce-Sites ist die durchschnittliche Zahl der Tracker um 6,9 Prozent auf 9,5 gesunken. Bei Reiseportalen beträgt das Minus 6,7 Prozent, was 10,7 Trackern pro Website entspricht. Ähnlich verhält es sich bei fast allen anderen Website-Kategorien. Einziger Ausreißer sind Banking-Sites, auf denen im Juli 7,4 Prozent mehr Tracker aktiv waren als im April. Allerdings liegt der Durchschnittswert hier bei nur 2,6 Trackern pro Website.

Unterm Strich werden Nutzer innerhalb der EU tendenziell von weniger Trackern verfolgt als vor Inkrafttreten der DSGVO. Allerdings erhalten einige wenige Tracker-Betreiber wie Google noch mehr Daten über sie. Das liegt nicht zuletzt daran, dass viele Systeme zum Einholen der Einverständniserklärung zur Cookie-Nutzung versuchen, Anwender durch manipulatives Benutzeroberflächen-Design (sogenannte Dark Patterns) dazu zu bringen, die auf nahezu jeder Website angezeigten Cookie-Hinweise möglichst schnell wegzuklicken und damit jeglicher Datensammlung „zuzustimmen“.

Was die ePrivacy-Verordnung besser machen muss

Derlei Manipulationsversuche könnten durch künftige Regelungen unterbunden werden, die maschinenlesbare Standards durchsetzen. Die nächste Gelegenheit dazu bestünde mit der ePrivacy-Verordnung, welche die DSGVO ergänzen und konkretisieren wird. Wünschenswert wäre etwa, wenn sie vorschriebe, dass die Datenschutzerklärungen von Websites, Informationen über Art sowie Umfang der Datenerfassung durch Dritte, Details zum Datenschutzbeauftragten und Berichte über Datenpannen automatisch auslesbar sein müssen. Dies würde für mehr Transparenz sorgen und einen Markt für Datenschutz und Compliance schaffen, in dem sich die Marktteilnehmer gegenseitig kontrollieren und in Schach halten.

Letztlich sollten sich Nutzer niemals allein auf Gesetze und Verordnungen wie die DSGVO verlassen, um ihre Privatsphäre zu schützen. Stattdessen sollten sie selbst aktiv werden und bewusst darauf achten, wem sie ihre Daten zur Verfügung stellen. Technische Lösungen in Form von Anti-Tracking-Tools wie Ghostery oder Cliqz können dabei helfen. Sie verhindern unabhängig von Cookie-Einstellungen, dass personenbezogene Daten an Dritte übermittelt werden.

Zur Methodik:
Für die Untersuchung der Tracker-Entwicklung in der EU wurden die 2000 von Europäern am häufigsten besuchten Websites analysiert. Um die Reichweite bzw. den relativen Marktanteil der Werbe-Tracker zu ermitteln, wurde über mehrere Monate untersucht, auf wie vielen Websites sie jeweils eingebunden waren. Dazu wurden rund 300 Millionen Seitenaufrufe und mehr als eine halbe Million Websites analysiert.


CLIQZ FÜR MOBILE

Wie sich das Drittanbieter-Cookie-Dilemma lösen lässt

Wie sich das Drittanbieter-Cookie-Dilemma lösen lässt

Der letzte Teil unserer Blogserie erklärt, wie Cliqz und Ghostery durch Drittanbieter-Cookies verursachte Datenschutzprobleme entschärfen, indem sie Cookies blockieren, ohne Website-Funktionen einzuschränken.

Sam Macbeth
Software Engineer

Im ersten Teil unserer Blogserie haben wir erläutert, wie “alle Cookies zulassen” trotz erheblicher Datenschutz- und Sicherheitsbedenken in den meisten Browsern zum Standard wurde. Im zweiten Teil demonstrierten wir anhand einiger Beispiele, welche negativen Auswirkungen es aufgrund des heutigen Web-Ökosystems haben kann, Drittanbieter-Cookies generell zu blockieren. Im dritten und letzten Teil zeigen wir nun eine Lösung für dieses Drittanbieter-Cookie-Dilemma auf.

Im Jahr 2015 hat Cliqz eine Anti-Tracking-Technologie eingeführt, die Drittanbieter-Cookies aggressiv blockiert, es sei denn, es gelten bestimmte Ausnahmebedingungen. Diese liegen vor, wenn das Blockieren von Cookies Webseitenfunktionen beeinträchtigt und eine Benutzeraktion erforderlich ist. Beispielsweise kann ein Facebook-Button zunächst ohne Cookies geladen werden. Aber wenn der Nutzer ihn anklickt, stimmt er implizit zu, Cookies in diesem Fall zuzulassen. Diese Anti-Tracking-Methode blockiert 97% aller Drittanbieter-Cookies und hat nur minimale Auswirkungen auf das Seitenverhalten.

Browser Cookie-Voreinstellung
Google Chrome Alle erlauben.
Mozilla Firefox Alle erlauben.
Apple Safari Besuchte Drittanbieter zulassen; Tracking-Cookies eingeschränkt.
Cliqz Browser / Ghostery-Erweiterung Alle Drittanbieter blockieren, falls keine Benutzerinteraktion erfolgt oder Kompatibilitätsausnahme vorliegt.

Anfang Dezember 2017 erschien Ghostery 8, das auf dieser Technologie basiert. Mit der steigenden Zahl an Nutzern, die Cookies auf diese aggressive Weise blockieren, wurden auch mehr Fälle sichtbar, in denen das Blockieren von Cookies Website-Probleme verursachen. Grundsätzlich ist es nicht verwunderlich, dass die meisten Website-Entwickler nicht berücksichtigen oder testen, was passiert, wenn Drittanbieter-Cookies blockiert werden. Was uns jedoch überrascht hat, ist, dass selbst Branchengrößen wie Google und Microsoft offensichtlich nicht richtig mit blockierten Cookies umgehen, was teilweise zu schwerwiegenden Fehlern wie den Logout-Problemen auf office.com führt.

Abkehr von Drittanbieter-Cookies

Unserer Ansicht nach wäre die Rückkehr zu einem Web wünschenswert, in dem Drittanbieter-Cookies standardmäßig blockiert werden. Für Nutzer der Anti-Tracking-Technologien von Cliqz und Ghostery ist dies bereits heute möglich. Allerdings wird dies durch die verbreitete Annahme erschwert, dass Cookies praktisch uneingeschränkt eingesetzt werden können, wodurch viele Seiten im derzeitigen Web-Ökosystem nicht mehr richtig funktionieren, wenn Cookies blockiert werden. Um Probleme mit Seitenfunktionen zu verhindern, arbeiten wir kontinuierlich daran, die Heuristiken zu verbessern.

Wir haben gezeigt, dass Nutzer, die Drittanbieter-Cookies blockieren, mit teils harmlosen und teils schwerwiegenden Problemen zu kämpfen haben. In einigen Fällen ist auch der Zahlungsverkehr betroffen. Vielleicht muss sich das Blockieren von Cookies erst weiter verbreiten und letztlich negativ auf die Bilanzen auswirken, damit Unternehmen endlich handeln. Es ist jedoch ein klassisches Henne-Ei-Problem: Solange Webseitenfunktionen beeinträchtigt werden, wenn Nutzer Cookies blockieren, wird vielleicht nie die kritische Masse erreicht, die erforderlich ist, damit Seitenbetreiber das Problem erkennen und lösen.

Was Nutzer und Entwickler tun können

Für Nutzer, die ihre Privatsphäre im Netz schützen wollen, ist es von entscheidender Bedeutung, die Kontrolle darüber zu erlangen, welche Cookie-Daten ihr Browser an wen sendet. Allerdings leisten dies längst nicht alle Datenschutz-Tools. Zum Beispiel können die meisten Adblocker nur gegen Drittanbieter-Cookies vorgehen, die in ihren Blocklisten enthalten sind. Je mehr Nutzer Cookie-Blockiermethoden wie die von Cliqz und Ghostery einsetzen, desto eher dürften Website-Betreiber sicherstellen, dass ihre Seiten auch dann noch korrekt funktionieren, wenn Nutzer striktere Privatsphäre-Einstellungen in ihrem Browser gewählt haben.

Entwicklern fällt ebenfalls eine wichtige Rolle zu. Sie können zu einem datenschutzfreundlicheren Web beitragen, indem sie Seiten erstellen, die keine Drittanbieter-Cookies voraussetzen oder zumindest weiterhin funktionieren, wenn Cookies blockiert werden. Dies würde es Nutzern erleichtern, Drittanbieter-Cookies zu deaktivieren. Wie diese Blogserie gezeigt hat, scheitern derzeit selbst die größten Technikfirmen daran. Das scheint aber mehr auf mangelndes Problembewusstsein zurückzuführen zu sein als auf Schwierigkeiten bei der Umsetzung.

Dieser Artikel erschien zuerst in einer ungekürzten englischen Fassung auf WhoTracks.me.


CLIQZ FÜR MOBILE

Datenschutzprobleme auf Office.com durch deaktivierte Drittanbieter-Cookies

Datenschutzprobleme auf Office.com durch deaktivierte Drittanbieter-Cookies

Fast alle Browser lassen standardmäßig alle Cookies zu. Werden Drittanbieter-Cookies blockiert, funktionieren viele Websites und Dienste, einschließlich der von Microsoft und Google, nicht mehr richtig und können sogar private Daten preisgeben.

Sam Macbeth
Software Engineer

Im ersten Teil unserer Blogserie „Das Drittanbieter-Cookie-Dilemma“ haben wir erläutert, welche Datenschutz- und Sicherheitsprobleme von Drittanbieter-Cookies ausgehen und wie „alle Cookies zulassen“ dennoch zur Voreinstellung der meisten Browser wurde. In diesem Beitrag erklären wir, was geschehen kann, wenn man von dieser Voreinstellung abweicht.

Wenn du derzeit mit deaktivierten Drittanbieter-Cookies durchs Internet surfst, stößt du früher oder später wahrscheinlich auf Probleme beim Einloggen oder Bezahlen. Wir stellen hier einige Fälle vor, die wir auf den Seiten großer Tech-Unternehmen entdeckt haben (die eigentlich in der Lage sein sollten, diese Probleme zu lösen). Die Probleme selbst reichen von einer fehlgeschlagenen Anmeldung oder Bezahlung bis hin zum potenziellen Verlust vertraulicher Unternehmensdaten mit einem Microsoft-Office-Konto.

Wenn Drittanbieter-Cookies deaktiviert sind, schlägt die Abmeldung bei Office.com fehl, obwohl angezeigt wird, dass das Logout erfolgreich war. Zudem bleibt die Authentifizierung erhalten, wenn man office.com erneut aufruft, so dass sich Daten über die SharePoint-Schnittstelle (API) auslesen lassen. Das haben wir bei einer Untersuchung festgestellt und anschließend an Microsoft gemeldet. Der Softwarekonzern wiegelte jedoch mit der Begründung ab, dass diese Fehler nicht aus der Ferne ausgenutzt werden könnten. Aus unserer Sicht besteht jedoch auf jedem gemeinsam genutzten Rechner (etwa im Internetcafé) die Gefahr, dass ein nachfolgender Benutzer Metadaten von Firmendokumenten einsehen und eventuell auch Daten mithilfe der SharePoint-API modifizieren kann (für technische Details siehe: https://whotracks.me/blog/block-third-party-cookies.html).

Die fehlgeschlagene Abmeldung lässt sich ganz einfach reproduzieren: Deaktiviere Drittanbieter-Cookies in deinem Browser, melde dich bei office.com an und dann wieder ab.

Sieht so aus, als ob ich abgemeldet bin…
Sieht so aus, als ob ich abgemeldet bin…

Kehrst du nach der Bestätigung des (angeblich) erfolgreichen Logout zu www.office.com zurück, siehst du ohne erneute Anmeldung wieder die Übersichtsseite, einschließlich aller zuletzt geänderten Dokumente.

Änderungen an Dokumenten werden auch nach dem Abmelden weiter angezeigt.
Änderungen an Dokumenten werden auch nach dem Abmelden weiter angezeigt.

Das Problem der fehlgeschlagenen Abmeldung lässt sich nur durch manuelles Löschen der office.com-Cookies beheben. Wir haben auch festgestellt, dass die Sitzung eventuell abläuft, was aber erst nach mehreren Stunden geschieht. Daher werden betroffene Nutzer 1.) wahrscheinlich nicht wissen, dass sie nicht richtig abgemeldet sind, weil der Abmeldevorgang erfolgreich zu sein scheint, und 2.) sich ohnehin nicht abmelden können, selbst wenn sie das Problem bemerken.

Weitere Probleme mit Microsoft Office gibt es, wenn man versucht, eine Office-365-Testversion auf products.office.com/try zu kaufen. Diesmal wird die Ursache des Problems erkannt, aber der Nutzer hat keine Möglichkeit, den Vorgang fortzusetzen – außer er lässt Cookies zu und gefährdet so seine Sicherheit und Privatsphäre. Ironischerweise verspricht der Hinweistext sogar „mehr Sicherheit” durch Drittanbieter-Cookies.

Es ist nicht möglich, eine Microsoft-Office-Version zu kaufen, wenn man Drittanbieter-Cookies blockiert.
Es ist nicht möglich, eine Microsoft-Office-Version zu kaufen, wenn man Drittanbieter-Cookies blockiert.

Es ist gängige Praxis, dass E-Commerce-Seiten Zahlungssysteme von Drittanbietern wie Paypal in ihre Checkout-Seiten einbinden. Solche Widgets sollten keine Drittanbieter-Cookies erfordern – in der Regel kann der Benutzer direkt auf die Website des Zahlungsanbieters weitergeleitet werden, um dort zu bezahlen. Diese Methode ist vorzuziehen, da sie die Wahrscheinlichkeit von Phishing-Versuchen reduziert. Zudem hat sich bewährt, dass Nutzer ihre Zahlungsinformationen immer nur auf der Erstanbieter-Website eingeben.

Dennoch haben wir Beispiele entdeckt, bei denen der Bezahlvorgang abbricht, wenn Drittanbieter-Cookies deaktiviert sind. Ein solches Beispiel findet sich im Onlineshop des Musikhauses Thomann.de. Beim Versuch, mit Amazon Pay zu bezahlen, erscheint dort folgende Fehlermeldung:

Tripadvisor signup buttons.
Tripadvisor signup buttons.

Viele Websites verwenden Googles Connect-SDK, damit sich Nutzer mit ihrem Google-Konto anmelden können. Bei Tests mit deaktivierten Drittanbieter-Cookies stellten wir jedoch fest, dass z.B. auf www.tripadvisor.com und www.stumbleupon.com die Schaltfläche „Mit Google anmelden“ nach Anklicken nicht funktioniert. Beide Websites bieten auch Facebook-Login an, das trotz deaktivierter Cookies korrekt arbeitet. Es ist nicht nachvollziehbar, warum die Google-Implementierung verlangt, dass Drittanbieter-Cookies zugelassen sind.

Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Websites, auf denen Drittanbieter-Services Nutzerdaten sammeln, dafür das Einverständnis jedes Users einholen und außerdem eine angemessene Möglichkeit bieten, der Datenerhebung und -verarbeitung zu widersprechen. Während viele Verlage sich auf eine Lösung geeinigt haben, die die Zustimmung zentral als Erstanbieter-Cookie sammelt, das dann an Dritte weitergegeben werden kann, verlassen sich andere noch auf ein älteres System zum Setzen von Opt-out-Cookies für jeden Anbieter. Wenn Drittanbieter-Cookies blockiert werden, funktioniert letzteres Verfahren natürlich nicht. Die Folge sind solche Hinweise wie auf der Website des Telegraph:

"Ihr Browser blockiert derzeit Drittanbieter-Cookies... Sie müssen Drittanbieter-Cookies zulassen, wenn Sie möchten, dass alle Opt-outs auf dieser Seite funktionieren."

In diesem Fall wird Nutzern, die Drittanbieter-Cookies deaktiviert haben, ihr Opt-out-Recht verweigert. (Jedoch verhindert das Blockieren dieser Cookies das Tracking größtenteils.)

Drittanbieter argumentieren gerne, dass dieses Verfahren nötig ist, damit sich die Website an die Einwilligungseinstellungen des Nutzers erinnern kann. Allerdings wurden frühere Versuche, Tracking-Einstellungen mittels des „Do Not Track“-Standards automatisch an Websites zu übermitteln, von denselben Anbietern zunichte gemacht, indem sie geschlossen erklärten, das „Do Not Track“-Signal zu ignorieren.

Alle diese Fälle zeigen, wie das derzeitige Web-Ökosystem verhindert, dass Nutzer das Drittanbieter-Cookie-Dilemma auflösen können. Aber keine Sorge! Es ist dennoch möglich, Drittanbieter-Cookies zu blockieren, ohne Webseitenfunktionen zu beeinträchtigen. Wie das geht, erklären wir im dritten Teil unserer Blog-Reihe.

Dieser Artikel erschien zuerst in einer ungekürzten englischen Fassung auf WhoTracks.me.


CLIQZ FÜR MOBILE

Consentric

re:consent gibt dir mehr Datenschutzkontrolle im Web

re:consent gibt dir mehr Datenschutzkontrolle im Web

Das Open-Source-Tool zeigt dir, welchen Zwecken der Datenerhebung du auf Webseiten wie Google oder Facebook – eventuell unbewusst – zugestimmt hast. Anschließend kannst du die Einstellungen schnell und einfach ändern.

Consentric

Björn Greif
Redakteur

Bist du dir immer bewusst, welche Daten du mit Websites und Online-Plattformen teilst? Nein? Dann geht es dir wie den meisten anderen Internetnutzern, die ihr Einverständnis (Consent) für die Erhebung personenbezogener Daten oft unbewusst geben und gar nicht genau wissen, welche weitreichenden Zugriffsrechte sie Datensammlern eingeräumt haben.

Mit re:consent kannst du das ganz leicht ändern. Das Open-Source-Tool zeigt dir, welche Daten du von dir preisgibst und schafft somit Transparenz. Es leitet dich direkt zu den oftmals gut versteckten bzw. bewusst unübersichtlichen oder unnötig komplex gestalteten Privatsphäre-Einstellungen. So kannst du schnell und einfach deine Zustimmung zur Datenerhebung, z.B. mittels Standortzugriff, Gesichtserkennung oder Cookie-Tracking, prüfen und ändern.

re:consent funktioniert bei Webseiten von Google, Facebook und solchen, die das “Transparency & Consent Framework” des Werbewirtschaftsverbands Interactive Advertising Bureau (IAB) verwenden. Das kostenlose Tool ist in den Cliqz Browser für Windows und Mac integriert und steht als Erweiterung für Chrome sowie Firefox zur Verfügung.

So funktioniert’s

Den aktuellen Status der Datenerhebung auf der gerade geöffneten Website kannst du am re:consent-Icon neben der URL-Leiste ablesen. Ein blauer Haken symbolisiert, dass du auf dieser Seite die Datenerhebung für alle Zwecke abgelehnt (IAB) bzw. die Datenerhebung für alle Funktionen deaktiviert hast (Google und Facebook). Mit diesen Einstellungen gibst du möglichst wenig von dir preis.

Ein roter Bleistift weist darauf hin, dass du deine Datenschutz- und Zustimmungseinstellungen überprüfen solltest, um deine Privatsphäre besser zu schützen. Je nach Website können sich die verfügbaren Optionen unterscheiden.

Klickst du das re:consent-Icon an, öffnet sich ein Einstellungsfenster, in dem du sehen kannst, für welche Zwecke du die Datenerhebung erlaubt oder nicht erlaubt hast. Per Schalter kannst du für jeden Zweck einzeln deine Erlaubnis erteilen oder widerrufen. Mit einem Klick auf „Alle ablehnen“ untersagst du der Seite jegliche Datenerhebung, etwa zu Werbezwecken.

re:consent: Websites mit IAB Framework

Auf einer Google-Seite listet re:consent alle Datenschutzeinstellungen von Google und YouTube auf, etwa zu Web- und App-Aktivitäten, Standortverlauf, Sprach- und Audioaktivtäten sowie Geräteinformationen. Bist du an deinem Google-Konto angemeldet, siehst du gleich, welche Optionen aktiv oder inaktiv sind. Aufgrund technischer Beschränkungen lassen sich die jeweiligen Einstellungen nicht direkt innerhalb von re:consent ändern. Aber mit nur einem Klick gelangst du zu Googles Aktivitätseinstellungen, wo du die jeweiligen Datenschutzoptionen anpassen kannst.

re:consent: google.de

Auf einer Facebook-Seite zeigt re:consent Facebook-Einstellungen zum Datenschutz und zur Weitergabe deiner Daten an, wenn du angemeldet bist. So kannst du mit einem Blick prüfen, ob beispielsweise Gesichtserkennung und Standortverlauf aktiviert sind. Wie bei Google ist es aus technischen Gründen nicht möglich, die Einstellungen direkt zu ändern. Aber auch hier kommst du mit einem Klick zu den jeweiligen Optionen in den Facebook-Einstellungen, wo du etwa den Datenzugriff durch Drittanbieter anpassen kannst.

re:consent: facebook.com

Auf Webseiten, die nicht zu Google oder Facebook gehören und nicht das IAB Framework verwenden, funktioniert re:consent bisher nicht. In diesem Fall wird das re:consent-Icon in Cliqz und Firefox nicht angezeigt. In Chrome ist es ausgegraut und inaktiv. Außerdem erscheint beim Anklicken die Nachricht: „re:consent kann auf dieser Seite nicht auf die Datenschutzeinstellungen zugreifen.“

re:consent: andere Websites spiegel.de

re:consent gibt dir mehr Datenschutzkontrolle im direkten Umgang mit Websites, die dich häufig mittels manipulativem Oberflächendesign – sogenannten Dark Patterns – dazu bringen wollen, mehr von dir preiszugeben als du eigentlich willst. Damit ist re:consent eine sinnvolle Ergänzung zum bewährten Tracking-Schutz von Cliqz und Ghostery.


CLIQZ FÜR MOBILE

Wie „alle Cookies zulassen“ zum Standard wurde

Wie „alle Cookies zulassen“ zum Standard wurde

Der erste Artikel unserer dreiteiligen Blogserie “Das Drittanbieter-Cookie-Dilemma” erläutert, warum die meisten Browser alle Cookies zulassen, obwohl Drittanbieter-Cookies die Ursache für zahlreiche Datenschutz- und Sicherheitsprobleme sind.

Sam Macbeth
Software Engineer

Cookies ermöglichen es Websites, sich bei deinem nächsten Besuch an deinen Anmeldestatus und den Inhalt deines Warenkorbs zu erinnern oder Sprach- und Währungspräferenzen zu speichern. Anhand dieser Funktionen können von dir besuchte Seiten („Erstanbieter”) das Benutzererlebnis verbessern und bestimmte Inhalte nach Anmeldung bereitzustellen, die nur für dich zugänglich sind.

Allerdings senden Browser standardmäßig auch Cookie-Informationen an alle Drittanbieter, die von Seitenbetreibern eingebettet wurden. In einigen Fällen werden diese lediglich verwendet, um es Drittanbieter-Widgets (wie Disqus) zu ermöglichen, dich automatisch bei Diensten anzumelden, deren Inhalte in die Seite eingebettet sind. Jedoch können diese Drittanbieter auch dein gesamtes Surfverhalten verfolgen.

Gäste, die nicht gehen wollen

Drittanbieter-Cookies zuzulassen, öffnet eine Datenschutzlücke in deinem Browser. Auf vielen Websites führt der bloße Besuch einer Seite dazu, dass Cookies von mehr als 50 verschiedenen Drittanbieter-Domains gespeichert werden. Jede von ihnen setzt Cookies, damit sie Anfragen, die über Tage, Monate oder sogar Jahre von deinem Browser kommen, zusammenführen kann. Wenn du beispielsweise eine Seite mit einem eingebetteten Facebook-Widget besuchst (oder Facebook direkt), wird ein Cookie gesetzt, der erst in zwei Jahren abläuft. Einige Google-Cookies haben sogar ein Verfallsdatum von 20 Jahren!

Googles Einverständnis-Cookies laufen erst nach 20 Jahren ab (links); Ein Tracking-Cookie auf der Economist-Website mit 68 Jahren Gültigkeit (rechts).
Googles Einverständnis-Cookies laufen erst nach 20 Jahren ab (links); Ein Tracking-Cookie auf der Economist-Website mit 68 Jahren Gültigkeit (rechts).

Die (Tracking-)Domains facebook.com und google.com finden sich als Drittanbieter bei 24 % respektive 30 % aller Webseitenaufrufe, wodurch Facebook und Google den Surfverlauf eines durchschnittlichen Internetnutzers entsprechend umfangreich verfolgen können.

Drittanbieter-Cookies sind ein unnötiges Sicherheitsrisiko

Drittanbieter-Cookies bedrohen nicht nur deine Privatsphäre, sondern stellen auch ein Sicherheitsrisiko dar. Cross-Site Request-Forgery-Angriffe (CSRF) nutzen die Tatsache aus, dass man eine Drittanbieteranfrage an eine Website richten kann, an der sich der Browsernutzer zuvor angemeldet hat. Der Browser sendet dann die Anmeldeinformationen mit der Anfrage, so dass der Angreifer letztlich beliebige Aktionen auf der Seite ausführen kann. Würden Browser keine Drittanbieter-Cookies zulassen, wären CSRF-Angriffe viel schwieriger durchzuführen als sie es derzeit sind. Diese Art Angriffe gibt es seit über 15 Jahren, und es werden immer noch neue Methoden entwickelt, sie zu entschärfen. Browserseitige Schutzmaßnahmen wie Erstanbieter-Isolation sind hingegen nur sehr wenig verbreitet.

Für Anwendungsfälle mit berechtigtem Einsatz von Drittanbieter-Cookies, wie Single-Sign-on-Portale oder Drittanbieter-Authentifizierungssysteme, gibt es ebenfalls Alternativen, die ganz ohne Cookies auskommen. Websites, die eine zentralisierte Authentifizierungsdomäne verwenden, können Authentifizierungstoken per Umleitung zum Erstanbieter erhalten. Und zur Anmeldung an Seiten mittels Drittanbieter-Zugangsdaten kann beispielsweise OAuth verwendet werden. Beide Verfahren haben den zusätzlichen Vorteil, dass sie transparent sind und die Zustimmung des Nutzers implizieren: Wenn sich ein Nutzer per Facebook auf einer Website anmeldet, lässt er diese Verbindung zwischen der Seite und Facebook aktiv zu. (Allerdings sind auch bei diesen beiden Verfahren Datenschutzprobleme bekannt, die etwa Nutzer-Tracking oder Berechtigungsausweitung ermöglichen.)

Die Anfänge des Drittanbieter-Cookie-Dilemmas

Also warum gibt es dann überhaupt Drittanbieter-Cookies? Die Cookie-Idee wurde erstmals in der RFC-2109-Spezifikation von 1997 formuliert. Die Autoren äußerten sich schon damals besorgt über mögliche Auswirkungen auf die Privatsphäre, wenn Drittanbieter-Cookies grundsätzlich zugelassen würden. Daher empfahlen sie, dass Browseranbieter diese standardmäßig deaktivieren sollten. Diese Empfehlung ignorierten die Browserentwickler damals jedoch und machten „alle Cookies zulassen“ zur Voreinstellung. Das hat sich bis heute nicht geändert.

Fast alle derzeit gängigen Browser lassen standardmäßig alle Cookies zu. Weil dies schon seit gut 20 Jahren die übliche Voreinstellung ist, gehen Entwickler heute davon aus, dass Cookies in jeglichen Kontexten erlaubt sind. Dies ist auch ein Grund dafür, dass häufig Seitenfunktionen beeinträchtigt sind, wenn einmal nicht alle Cookies zugelassen werden. Und dadurch sind Versuche, Drittanbieter-Cookies einzuschränken, oft von vornherein zum Scheitern verurteilt.

Selbst bei Websites und Diensten führender Anbieter, einschließlich Microsoft und Google, kommt es teilweise zu massiven Störungen, wenn Drittanbieter-Cookies blockiert wurden. Darauf werden wir im zweiten Teil unserer Blogserie mit einigen konkreten Beispielen näher eingehen.

Dieser Artikel erschien zuerst in einer ungekürzten englischen Fassung auf WhoTracks.me.


CLIQZ FÜR MOBILE

Porno im Netz: Vergnügen für die einen, Arbeit für die anderen

Porno im Netz: Vergnügen für die einen, Arbeit für die anderen

Wir erklären, welchen Aufwand Cliqz als Suchmaschine betreibt, um einerseits relevante Ergebnisse für einschlägige Suchanfragen zu liefern und andererseits effektiven Jugendschutz anzubieten. Erfahre außerdem, was es mit dem “Porn Mode” im Cliqz Browser auf sich hat.

Björn Greif
Redakteur

(Fast) alle tun es, aber niemand gibt es offen zu: Pornos schauen im Netz. Manche Menschen machen das sogar beruflich. Cliqz beschäftigt ein Team zur Qualitätssicherung, zu dessen zahlreichen Aufgaben auch die Überprüfung von Webseiten auf pornografische Inhalte gehört. Seine Mitglieder sehen sich am Arbeitsplatz ganz offiziell Pornoseiten an!

Was für manchen vielleicht nach Traumjob klingt, ist in Wirklichkeit harte Arbeit und mit viel Aufwand verbunden. Das Team wertet monatlich tausende URLs und Websites aus, um unter anderem jene mit nicht-jugendfreien Inhalten zu identifizieren. Das ist für eine Suchmaschine zum einen wichtig, um die Suchqualität zu verbessern und Nutzern immer die relevantesten Ergebnisse zu liefern. Zum anderen ist es erforderlich, damit (minderjährige) Nutzer nicht versehentlich auf Seiten mit Ab-18-Inhalten landen.

Mit aktiviertem Jugendschutzfilter zeigt Cliqz bei der Suche nach Pornoseiten diesen Hinweis an.
Mit aktiviertem Jugendschutzfilter zeigt Cliqz bei der Suche nach Pornoseiten diesen Hinweis an.

Qualitätskontrolle für Pornoseiten

Solche Seiten werden unter anderem regelmäßig von Usern gemeldet. Das Qualitätssicherungsteam überprüft dann, ob es sich tatsächlich um Pornoseiten handelt. Ist dies der Fall, fügt es die URLs zu einer Filterliste hinzu. Oft lassen sich Websites schon anhand der URL als Pornoseiten identifizieren, aber längst nicht immer. Häufig hilft nur ein Blick auf den tatsächlichen Inhalt.

Wer würde zum Beispiel vermuten, dass sich hinter der nicht gerade sexy klingenden URL tsjahn.info eine Sexbörse verbirgt? Ursprünglich gehörte die Webadresse der Turnerschaft Jahn München, die darunter ihr Sportangebot präsentierte. Später zog die Turnerschaft ihre Website jedoch zur Adresse tsjahn.de um und gab die alte URL auf. Der neue Besitzer von tsjahn.info wandelte den Inhalt dann kurzerhand in ein etwas anderes „Sportangebot“ um. So landen Nutzer, die nach der alten Seite suchen, unversehens bei der Sexbörse. Das ist ein gutes Beispiel dafür, vor welchen Herausforderungen Suchmaschinen bei der Bewertung von Webseiten stehen.

Höhepunkte in der Nacht

Viele Nutzer suchen aber natürlich ganz gezielt nach Pornoseiten, sogar häufiger als nach Wetterseiten wie wetter.com. Zu den beliebtesten Pornoseiten in Deutschland zählen laut den streng anonymen Statistiken der Cliqz-Suchmaschine xhamster.com, xnxx.com und youporn.com. Viele Suchanfragen drehen sich beispielsweise um Liebesschaukeln, Tantra-Massagen und Sport-Pornos.

Im Schnitt beträgt der Anteil der Suchanfragen und Seitenaufrufe mit nicht-jugendfreien Inhalten rund 3,5 Prozent. In der Nacht liegt der Anteil regelmäßig im zweistelligen Prozentbereich, teilweise steigt er auf mehr als 20 Prozent. Das hängt natürlich auch damit zusammen, dass nachts insgesamt deutlich weniger Suchanfragen gestellt und Seiten geöffnet werden als tagsüber.

Prozentualer Anteil der Suchanfragen und Seitenaufrufe mit nicht-jugendfreien Inhalten, die Cliqz in der Woche vom 16.7.-22.7.2018 automatisch im Vergessen-Modus geöffnet hat.
Prozentualer Anteil der Suchanfragen und Seitenaufrufe mit nicht-jugendfreien Inhalten, die Cliqz in der Woche vom 16.7.-22.7.2018 automatisch im Vergessen-Modus geöffnet hat.

Ab 23 Uhr geht’s langsam zur Sache – wenn Kinder und/oder Partner/in im Bett sind: Ab diesem Zeitpunkt nimmt der Anteil der Suchanfragen und Seitenaufrufe mit pornografischen Inhalten täglich zu. Der Höhepunkt wird dann zwischen 3 und 5 Uhr morgens erreicht. Gegen 12 Uhr mittags beträgt der Anteil am Gesamt-Traffic meist nur 1 bis 2 Prozent. Offenbar gehen zu dieser Zeit andere Bedürfnisse vor – Mahlzeit!

Der “Porn Mode”

Online Porno schauen ist nichts, wofür man sich schämen muss. Aber dennoch tun es die meisten lieber heimlich, bevorzugt im sogenannten Inkognitomodus. Dieser sorgt aber keinesfalls dafür, dass man als Nutzer vollkommen anonym im Netz unterwegs ist. Er verbirgt nämlich nicht die Identität vor dem Rest der Welt, sondern nur die Online-Aktivitäten vor anderen Nutzern desselben Endgeräts. Website-Betreiber, Internetanbieter oder Arbeitgeber können weiterhin nachvollziehen, welche Seiten der Nutzer besucht hat. Unerkannt Porno schauen ist damit also nicht möglich.

Vergessen Tab in Cliqz für Android
Vergessen Tab in Cliqz für Android

Grundsätzlich ist ein privater Modus aber praktisch, wenn man sich mit jemandem ein Gerät teilt und seine Surfaktivitäten vor ihm oder ihr verbergen will. Der Cliqz Browser vereinfacht dies, indem er z.B. Webseiten mit nicht-jugendfreien Inhalten automatisch in einem „Vergessen-Tab“ öffnet, sobald der Nutzer eine entsprechende URL aufruft – intern nennen wir die Funktion „Porn Mode“. Dafür kommt die stetig erweiterte und aktualisierte Filterliste zum Einsatz. URLs von der Filterliste werden – je nach Jugendschutzfilter-Einstellung im Cliqz Browser – auch nicht in den Ergebnissen der Cliqz-Schnellsuche angezeigt. Der „automatische Vergessen-Modus“ stellt sicher, dass Besuche solcher Seiten nicht im Browserverlauf gespeichert werden.

Cliqz sorgt für Privatsphäre im Netz

Zusätzlich bietet der Cliqz Browser von Haus aus Schutz vor Aktivitätenverfolgung (Tracking), der mittels Künstlicher Intelligenz eine Identifizierung via Cookies oder Fingerprinting zuverlässig unterbindet. Dadurch bleibt die Identität des Nutzers für Tracker-Betreiber verborgen und seine Privatsphäre im Netz geschützt.

Der Cliqz Browser steht für Windows und macOS zum kostenlosen Download bereit. Eine Mobilversion ist für Android und iOS verfügbar.


CLIQZ FÜR MOBILE

Local Sheriff Logo

Lufthansa-Datenleck: Was eine einzige URL alles über dich verraten kann

Lufthansa-Datenleck: Was eine einzige URL alles über dich verraten kann

Wer nur die URL einer Lufthansa-Buchungsdetailseite kennt, kann alle dort aufgeführten Daten auslesen oder ändern, einschließlich persönlicher Daten bis hin zu Ausweisnummern. Ähnliche Datenlecks gibt es bei Emirates, Foodora und Flixbus.

Local Sheriff Logo

Björn Greif
Redakteur

Sie sind ein wenig bekanntes, aber weit verbreitetes Datenschutz- und Sicherheitsproblem: verräterische URLs. Sie erlauben Dritten den Zugang zu Informationen, die Kunden bei Online-Transaktionen an den jeweiligen Anbieter übermitteln. Dazu zählen oft auch vertrauliche persönliche Daten wie Name, Adresse, Telefonnummer, E-Mail-Adresse, Kreditkartendaten, Reisepläne oder sogar Ausweisnummer.

Wenn du online Essen bestellst, Konzertkarten kaufst oder einen Flug buchst, erhältst du meist eine Bestätigungsmail mit einem Link. Dieser bringt dich direkt zur Bestell- oder Buchungsübersicht, ohne dass du dich erneut bei der Seite anmelden musst. Dort kannst du dann deine Bestellung noch einmal prüfen, sie eventuell ändern oder stornieren. Das ist zwar bequem, birgt aber Risiken.

Wie hier bei Lufthansa führen Links in Bestätigungsmails häufig ohne erneute Anmeldung direkt zu einer Übersichtsseite mit allen Buchungsdetails.
Wie hier bei Lufthansa führen Links in Bestätigungsmails häufig ohne erneute Anmeldung direkt zu einer Übersichtsseite mit allen Buchungsdetails.

So kommen Dritte an vertrauliche Bestelldaten

Natürlich geht man davon aus, dass die Informationen auf der Bestellübersichtsseite nur von einem selbst abgerufen werden können. Tatsächlich sind sie jedoch für jeden einsehbar, der Zugriff auf die verlinkte URL, d.h. die Webadresse der persönlichen Bestellübersicht hat. Entweder enthält die URL selbst persönliche Daten wie Name und Adresse oder sie erlaubt dank einer eindeutigen Kennung ohne erneute Anmeldung den Zugang zu der zugehörigen Seite mit allen Informationen. Dadurch kann jeder, der Zugriff auf die URL hat, die Seite einfach öffnen – sei es manuell oder automatisiert – und alle im Rahmen der Online-Transaktion übermittelten persönlichen Daten auslesen, ändern oder löschen.

Die Lufthansa-Buchungsdetailseite verrät Kontaktdaten wie Name, E-Mail-Adresse und Telefonnummer.
Die Lufthansa-Buchungsdetailseite verrät Kontaktdaten wie Name, E-Mail-Adresse und Telefonnummer.

Wahrscheinlich fragst du dich jetzt: „Aber diese Transaktionen erfolgen zwischen mir und der Website bzw. App des Anbieters. Wie erhalten Dritte Zugriff auf diese URLs?“ Hier kommen die Tracking-Skripte von Drittanbietern ins Spiel. E-Commerce-Unternehmen betten solche Skripte etwa zu Analyse- oder Werbezwecken in ihre Websites oder Apps ein. Wenn sie nicht sorgfältig implementiert sind, besteht die Gefahr, dass mehr Daten an Drittanbieter übermittelt werden als nötig. Auf diese Weise kommen Dritte unter anderem an URLs, die zu Buchungsbestätigungen führen, und letztlich an alle darin enthaltenen persönlichen Daten.

Kunden von Lufthansa, Emirates, Foodora und Flixbus betroffen

Wie sorglos manche Unternehmen mit deinen Daten und deiner Privatsphäre umgehen, zeigt sich etwa bei Fluggesellschaften wie Lufthansa. Der Link in der üblichen Buchungsbestätigungsmail führt zu einer Übersichtsseite, über die sich unter anderem die Passagierdaten samt Visa-Informationen und Ausweisnummern ändern lassen, die allesamt unverschlüsselt im Klartext vorliegen. Zusätzlich kann der im Rahmen der Buchung erfolgte Zahlungsverkehr eingesehen und ein Rechnungsbeleg heruntergeladen werden. Auch das Ausdrucken des Reiseplans ist möglich. Wie schon erwähnt, funktioniert all dies, ohne sich zuvor erneut mit Benutzername und Passwort an der Lufthansa-Website anmelden zu müssen – ein Klick auf die URL genügt.

Selbst Ausweisdaten lassen sich auf der Lufthansa-Buchungsdetailseite ohne Authentifizierung einsehen oder sogar ändern.
Selbst Ausweisdaten lassen sich auf der Lufthansa-Buchungsdetailseite ohne Authentifizierung einsehen oder sogar ändern.

Bei der Buchung eines Fluges über Lufthansa fallen zahlreiche Datenpunkte an, die sich auf die Buchung beziehen. Sobald der Nutzer auf „Buchung anzeigen / bearbeiten“ klickt, um einen Sitzplatz für seinen Flug auszuwählen oder online einzuchecken, werden Details seiner Buchung an verschiedene Drittanbieter-Tracker wie Exactag, Webtrends und Google weitergeleitet. Theoretisch können diese Informationen später dazu verwendet werden, um ein detailliertes Profil darüber zu erstellen, welche Websites der Nutzer besucht hat, und diese Person zu identifizieren.

Und Lufthansa ist beileibe kein Einzelfall. Dieses Problem findet sich fast überall, es ist eher die Regel als die Ausnahme. Ähnliches ist beim Lufthansa-Konkurrenten Emirates, dem Essenslieferdienst Foodora und dem Fernbusanbieter Flixbus zu beobachten. Selbst Gesundheits- und Medizinwebsites sind betroffen.

Local Sheriff wacht über deine Daten

Meist sind sich weder die E-Commerce-Unternehmen noch ihre Kunden der potenziellen Datenschutzrisiken bewusst, die von verräterischen URLs ausgehen. Um über das Ausmaß der daraus resultierenden Datenschutzverletzungen aufzuklären, hat Cliqz die Browsererweiterung Local Sheriff entwickelt, die kürzlich auf der Hackerkonferenz Defcon in Las Vegas vorgestellt wurde. Sie analysiert im Hintergrund, welche Websites welche vertraulichen Daten an welche Drittanbieter übermitteln. Das hilft dir, zu verstehen, was Tracking-Unternehmen alles über dich wissen.

Local Sheriff deckt auf, welche Websites welche Daten an welche Dritte in Form von verräterischen URLs übermitteln.
Local Sheriff deckt auf, welche Websites welche Daten an welche Dritte in Form von verräterischen URLs übermitteln.

Local Sheriff überträgt zur Analyse keinerlei Daten über das Internet, sondern arbeitet ausschließlich lokal auf deinem Endgerät – daher der Name. Das Aufklärungstool steht als experimentelle Erweiterung für Chrome zum kostenlosen Download bereit. Der Quellcode ist auf GitHub einsehbar. Ein Demovideo findet sich hier.

Anmerkung: In einer früheren Fassung dieses Blogposts wurde BuySellAds als Drittanbieter-Tracker auf der Lufthansa-Seite aufgeführt. Diese Angabe ist nicht korrekt und basiert auf einem Datenbankfehler, für den wir uns entschuldigen. 


CLIQZ FÜR MOBILE

Dark Patterns

Dark Patterns: Wie Unternehmen dich dazu bringen, deine Privatsphäre aufzugeben

Dark Patterns: Wie Unternehmen dich dazu bringen, deine Privatsphäre aufzugeben

Manipulatives Benutzeroberflächen-Design soll dich dazu verleiten, etwas zu tun, was du eigentlich nicht willst. Wir erklären, wie Dark Patterns funktionieren und wie du sie erkennst.

Dark Patterns

Tina Kuo
UX Research
Working Student

User Experience Designer nutzen ihr Wissen über kognitive Psychologie und Usability meist dazu, das bestmögliche Nutzererlebnis zu gestalten. Manchmal setzen sie ihre psychologischen Kenntnisse aber auch dazu ein, eine Benutzeroberfläche zu schaffen, die dich gezielt dazu verleiten soll, einem bestimmten Weg zu folgen oder eine Entscheidung zu treffen, dem du eigentlich nicht folgen oder die du nicht treffen willst. Diese manipulativen Methoden werden als Dark Patterns bezeichnet. Statt die Interessen des Nutzers stehen hier Geschäftsziele im Vordergrund, etwa mehr Verkäufe zu generieren, mehr Daten zu sammeln oder mehr Abonnenten zu gewinnen.

Dark Patterns sind ethisch problematisch, da sie dich zu bestimmten Entscheidungen und Handlungen drängen, die meist deinen Interessen entgegenlaufen. Sie berauben dich deiner Handlungsfähigkeit, ohne dass es dir bewusst ist. Am häufigsten finden sich solche manipulativen Benutzeroberflächen auf E-Commerce-Seiten wie Onlineshops oder Reiseportalen. Insbesondere seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) Ende Mai kommen sie aber auch vermehrt bei Einverständniserklärungen zur Cookie-Nutzung zum Einsatz, mit denen heute nahezu alle Websites ihre Besucher empfangen.

Die Methode, Nutzer mittels Dark Patterns dazu zu bringen, mehr Informationen über sich preiszugeben, als sie wollen, ist mittlerweile so verbreitet, dass sie einen eigenen Namen hat: Privacy Zuckering, benannt nach Facebook-Gründer Mark Zuckerberg. Der Ausdruck wurde von der Electronic Frontier Foundation (EFF) geprägt und bezieht sich auf die für viele Nutzer verwirrenden Privatsphäre-Einstellungen von Facebook.

Im Folgenden stellen wir einige Dark Patterns vor, auf die du achten solltest, wenn du das nächste Mal durchs Web surfst.

Die Bedeutung von visuellem Design und visueller Kommunikation ist für die Effektivität und Funktionalität jeder Benutzeroberfläche entscheidend. Durch die Formatierung von Text, Schaltflächen und Farbblöcken können Designer die gewünschte Aktion des Nutzers direkt oder durch erlernte Assoziationen auslösen. Die richtigen visuellen Hinweise können sich bei Unternehmen, für die mehr Klicks mehr Geld bedeuten, direkt auf den Geschäftserfolg auswirken.

Aus diesem Grund hat Google sage und schreibe 41 verschiedene Blauabstufungen für die farbigen Werbelinks auf seiner Suchergebnisseite getestet. Dabei fand es heraus, dass ein violetter Blauton mehr Klicks generiert als ein grüner Blauton. Die daraus resultierende Designentscheidung bescherte dem Konzern zusätzliche 200 Millionen Dollar Werbeeinnahmen pro Jahr. Dieses Beispiel zeigt, wie stark die Wirkung und wie groß die Bedeutung von visuellem Design sein kann.

Bei Dark Patterns spielen vor allem Farb- und Designtheorien eine wichtige Rolle, um Nutzer zu konditionieren und letztlich in die Irre zu führen. Nachfolgend ein Beispiel von der Website des US-Wirtschaftsmagazins Inc.:

Dieses Cookie-Einverständnis-Pop-up erscheint beim ersten Besuch von inc.com. Darin ist der Text „Vertrauen und Transparenz sind uns wichtig“ in Fettschrift hervorgehoben und einige verlinkte Schlüsselwörter sind durch blaue Schrift gekennzeichnet. Wer nicht den gesamten Textblock aufmerksam liest, übersieht so schnell den entscheidenden Satz: „Durch die weitere Nutzung dieser Website, einschließlich Klicken oder Schließen dieses Banners, stimmen Sie der Verwendung von Werbe- und Analysetechnologien (einschließlich Cookies) auf dieser Website und anderen Websites zu.“

Diese im Text versteckten und harmlos klingenden Informationen zur Standard-Privatsphäre-Einstellung, welche die Sammlung, Auswertung und Weitergabe von Daten erlaubt, sind ein typisches Beispiel für ein Dark Pattern, das sich einer manipulativen Textformatierung und Layout-Gestaltung bedient. Auffällig ist auch, dass sich die Option zum Ablehnen des Cookie-Tracking hinter dem unscheinbaren Link „Weitere Informationen“ verbirgt, der zudem weniger eindeutig als klickbare Schaltfläche zu erkennen ist als der nebenstehende Button „Weiter zur Seite“.

Durch die Text- und Farbgestaltung der Einverständniserklärung soll der Nutzer dazu gebracht werden, den deutlich auffälligeren, blau unterlegten Button anzuklicken, um schnell zur eigentlichen Website zu gelangen, die das Pop-up blockiert. Das Ungleichgewicht zwischen der visuellen Darstellung der verschiedenen Optionen ist ein Dark Pattern, das Nutzer davon abhalten soll, den „Weitere Informationen“-Link zu bemerken. Wer den Link dennoch anklickt, muss feststellen, dass die Privatsphäre-Einstellung auf die am wenigsten datenschutzfreundliche Option voreingestellt ist.

Ein weiteres Beispiel für den Einsatz von Formatierung als Dark Pattern ist die auf den ersten Blick “unsichtbare” Abmeldeoption. Unternehmen verstecken die Opt-out-Option gerne in einem Textwust am Ende der Seite oder formatieren sie so, dass sie nicht wie ein Link aussieht.

Durch das Entfernen aller unnötigen Elemente, die deine Aufmerksamkeit vom Abschließen eines Prozesses ablenken könnten, versuchen Benutzeroberflächen-Designer, dir es so einfach wie möglich zu machen, eine Entscheidung zu treffen und das zu erreichen, was du tun willst. Dieses als Tunneling bezeichnetes Designmuster soll den Nutzer schnellstmöglich durch einen Prozess führen, indem es Umwege ausschließt oder unattraktiv macht. Wird diese Methode eingesetzt, um dem Nutzer das Gefühl der Kontrolle zu nehmen und ihn gezielt in die Irre zu führen, wandelt sie sich zu einem Dark Pattern.

Solch ein Dark Pattern findet sich häufig in der Entscheidungsarchitektur von Einwilligungsformularen zur Cookie-Nutzung. Google und Facebook verwenden standardmäßig die am wenigsten datenschutzfreundlichen Privatsphäre-Einstellungen. Dadurch sind Nutzer einem Risiko ausgesetzt, die die Einwilligungsformulare nur überfliegen und den Standardeinstellungen vorschnell zustimmen.

Im Rahmen der Studie “Deceived by Design” (“Getäuscht vom Design”) hat der Norwegische Verbraucherverband Forbrukerrådet untersucht und anhand von Klick-Flussdiagrammen veranschaulicht, wie viele Schritte erforderlich sind, um die datenschutzfreundlichsten Einstellungen von Websites wie Facebook und Google einzurichten. Bei fast allen Sites dauert es demnach wesentlich länger, sich in den verworrenen Datenschutzhinweisen zu den striktesten Einstellungen durchzuklicken als den Standardeinstellungen zuzustimmen: Bei Facebook sind dazu 13 statt 5 Klicks nötig, bei Google 9 statt 2 Klicks.

Klick-Flussdiagramm zu Facebooks Einwilligungserklärung zur Cookie-Nutzung (Grafik: Forbrukerrådet)

Durch verschiedenartige Darstellungen einer Sachlage – bei gleichbleibender inhaltlicher Aussage – lassen sich unterschiedliche Entscheidungen hervorrufen. Denn unsere Wahrnehmung bezüglich einer Situation ändert sich je nach Blickwinkel (Ist das Glas halb leer oder halb voll?). Dies wird auch als Framing-Effekt bezeichnet. Die unterschiedliche „Einrahmung“ möglicher Entscheidungen, Gewinne und Verluste kann deine Wahl beeinflussen. Unternehmen versuchen dies auszunutzen, indem sie in ihrer Kommunikation den positiven Nutzen hervorheben und zugleich die negativen Auswirkungen herunterspielen oder gleich ganz auslassen.

Manchmal nutzen sie auch den Effekt der Verlustaversion, der in der Psychologie die Tendenz bezeichnet, Verluste höher zu gewichten als Gewinne. Die Angst, etwas zu verlieren, motiviert uns mehr als die Aussicht auf einen gleichwertigen Gewinn. Wir unternehmen größere Anstrengungen, einen Verlust zu vermeiden, als Risiken einzugehen, um gleiche Gewinne zu erzielen. Durch geschickte Formulierungen nutzen Unternehmen diesen Effekt aus, um die Wahrscheinlichkeit gezielt zu erhöhen, dass ein Nutzer ein Risiko eingeht oder es vermeidet.

Facebook Gesichtserkennung Datenschutzhinweis

Ein Beispiel dafür findet sich in Facebooks mehrseitigen Hinweis zur Aktivierung der Gesichtserkennung. Zunächst werden die positiven Aspekte hervorgehoben, etwa um Nutzer davor zu schützen, dass ein Fremder ihr Foto verwendet, um sich für sie auszugeben. Anschließend folgt die Information, „wenn du die Gesichtserkennung deaktiviert lässt, können wir diese Technologie nicht Nutzen, wenn ein Fremder dein Foto verwendet und sich damit für dich ausgibt“. Dadurch erscheint eine deaktivierte Gesichtserkennung als Sicherheitsrisiko und Kontrollverlust über persönliche Daten.

Generell hebt Facebook nur die Vorteile der Gesichtserkennung hervor. Etwaige negative Aspekte, wie z.B. die Verfolgung des aktuellen emotionalen Zustands, um darauf abgestimmte Werbung anzuzeigen, bleiben unerwähnt.

Fazit

Dark Patterns sind im Web so weit verbreitet, dass es für sie sogar eine eigene Hall of Shame gibt, in der die dreistesten Manipulationsversuche aufgeführt sind. Geschaffen hat diese virtuelle Halle der Schande der User-Experience-Berater Harry Brignull, der auch den Begriff „Dark Pattern“ geprägt hat.

Wenn du das nächste Mal im Web surfst, solltest du dich nicht von visuellen Hinweisen dazu verleiten lassen, dich einfach schnell durch ein Formular zu klicken. Auch bei verdächtig langen Textblöcken oder mit vagen Formulierungen beschrifteten Schaltflächen solltest du wachsam bleiben. Nimm dir lieber einen Moment mehr Zeit, um das Gesehene zu verarbeiten, bevor du eine dieser lästigen Einverständniserklärungen einfach wegklickst und damit einen Teil deiner Privatsphäre aufgibst.


CLIQZ FÜR MOBILE

Wie lösche ich Daten sicher von Smartphone oder Laptop?

Wie lösche ich Daten sicher von Smartphone oder Laptop?

Eine Schnellformatierung der Festplatte oder ein Zurücksetzen auf die Werkseinstellungen reicht oftmals nicht aus, weil sich die Daten dann relativ einfach wiederherstellen lassen. Wir erklären, wie du richtig vorgehst.

Björn Greif
Redakteur

Du hast ein neues Smartphone, Tablet oder Notebook und willst dein bisheriges Gerät im Familien- bzw. Bekanntenkreis weitergeben oder verkaufen? Damit der neue Besitzer keine privaten Daten wie Fotos und Videos oder vertrauliche Dokumente zu sehen bekommt, solltest du diese in jedem Fall löschen – und zwar so, dass sie sich nicht einfach wiederherstellen lassen.

Unter Windows und Mac werden gelöschte Dateien standardmäßig zunächst in den Papierkorb verschoben, um sie bei Bedarf schnell wiederherstellen zu können. Doch auch wenn du den Papierkorb mit den gelöschten Dateien leerst, sind diese weiterhin auf der Festplatte vorhanden. Um die Zeit für den Löschvorgang möglichst kurz zu halten, entfernt das Betriebssystem lediglich den Pfad zur Datei, so dass diese nicht mehr im Explorer bzw. Finder angezeigt wird, und gibt den Speicherbereich zum Überschreiben frei. So lange dieser Bereich keiner anderen Datei zugewiesen und überschrieben wird, lassen sich die darin gespeicherten Daten mit einer Rettungssoftware sehr leicht rekonstruieren. Um dies zu erschweren, müssen die Sektoren, in denen die gelöschten Dateien lagen, mit neuen Daten überschrieben werden.

Die Methoden zur sicheren Datenlöschung unterscheiden sich je nach Betriebssystem. So gehst du am besten vor:

Alle Windows-Versionen ab Windows 7 bringen zur rückstandslosen Datenlöschung das Tool Cipher mit, das sich über die Eingabeaufforderung ausführen lässt. Die Tastenkombination Windows-Taste + R mit anschließender Eingabe von cmd öffnet die Kommandozeile, in die dann der Befehl cipher /w:[Ordner- oder Dateiname] eingegeben werden muss. Damit löscht das Tool den entsprechenden Ordner oder die jeweilige Datei und überschreibt mehrfach den freigegebenen Speicherplatz. Auch einzelne Partitionen lassen sich auf diese Weise bereinigen (durch Angabe des Laufwerksbuchstabens, also etwa C:).

Zum zuverlässigen Löschen ganzer Festplatten ist Cipher jedoch nur bedingt geeignet. Hier empfehlen sich für Privatanwender kostenlose Tools wie CCleaner, DBAN (Darik’s Boot and Nuke), Parted Magic, Secure Eraser oder Sicher Löschen, die dank einer grafischen Benutzeroberfläche einfacher zu bedienen sind (Eine detaillierte Anleitung für DBAN findet sich auf der Website des BSI). Sie löschen ebenfalls ausgewählte oder alle Dateien auf der Festplatte und überschreiben die dadurch frei gewordenen Speicherbereiche, was eine Wiederherstellung nahezu unmöglich macht.

Einige der Werkzeuge laufen ohne Installation direkt von CD/DVD oder einem bootfähigen USB-Stick und unterstützen auch das vollständige Löschen von Solid State Disks (SSDs) mit der Funktion Secure Erase. Letztere sorgt dafür, dass der Controller alle Flashzellenblöcke der SSD bereinigt und beim Formatieren oder Löschen zurückgebliebene Daten restlos entfernt.

Programme wie Secure Eraser erlauben das sichere Löschen von einzelnen Dateien, Ordnern, Partitionen oder ganzen Festplatten (Bild: Ascomp).
Programme wie Secure Eraser erlauben das sichere Löschen von einzelnen Dateien, Ordnern, Partitionen oder ganzen Festplatten (Bild: Ascomp).

Viele Laptops bieten eine Option, das Gerät wieder in den Auslieferungszustand zu versetzen. Dabei wird das aktuelle System durch ein meist auf einer gesonderten Recovery-Partition abgelegtes Werksabbild ersetzt. Allerdings ist nicht garantiert, dass bei diesem Vorgang alle vorhandenen Daten rückstandslos gelöscht werden. Wer vor dem Verkauf oder der Weitergabe auf Nummer sicher gehen will, sollte daher seine persönlichen Dateien manuell löschen.

Unter macOS kannst du Daten per Terminal-Befehl so löschen, dass sie nicht mehr rekonstruierbar sind. Bis OS X 10.11 El Capitan funktionierte das sichere Löschen mit dem Befehl srm, der aber mit macOS 10.12 Sierra verschwand. Seine Funktion hat seit dieser Version der Standardbefehl rm übernommen.

Einzelne Dateien lassen sich mit der Option -P löschen. Der Befehl rm -P Desktop/Test.txt sorgt beispielsweise dafür, dass die Textdatei „Test.txt“ vom Schreibtisch entfernt und die zugehörigen Speicherbereiche vor der erneuten Freigabe überschrieben werden. Die zusätzliche Option -R dient zum Löschen von Ordnern und Unterordnern (samt Inhalt). Der komplette Befehl sieht dann so aus: rm -RP Desktop/[Ordnername]

Aber Achtung: Der Terminalbefehl löscht Dateien und Ordner ohne erneute Nachfrage. Du solltest ihn also mit Vorsicht einsetzen. Um Datenverluste durch Tippfehler zu vermeiden, empfiehlt es sich im Terminal zunächst rm -RP (mit Leerzeichen am Ende) einzugeben, dann in den Finder zu wechseln und den zu löschenden Ordner in das Terminal zu ziehen. Dadurch wird der Befehl automatisch um Pfad und Ordnername ergänzt. Abschließend solltest du die Eingaben nochmal überprüfen und dann mit Enter bestätigen.

Welche Vorkehrungen du generell treffen solltest, bevor du deinen Mac verkaufst oder weitergibst, erklärt Apple in einem Support-Artikel.

Bei Smartphones und Tablets mit Android-Betriebssystem gilt: Ein Zurücksetzen auf die Werkseinstellungen allein sorgt nicht dafür, dass Daten unwiderruflich verschwinden. Unter Android werden bei einem sogenannten Factory Reset oder Wipe zwar die Verweise auf die Dateien – also das Inhaltsverzeichnis des internen Speichers – entfernt, deren Speicherbereiche aber nicht zwingend überschrieben, so dass sie sich mit etwas Aufwand und einem Recovery-Tool wiederherstellen lassen.

Daher sollten Anwender ihre Daten auf dem Gerät zunächst verschlüsseln, bevor sie es zurücksetzen. Der Verschlüsselungsvorgang wird in der Regel unter dem Einstellungspunkt „Sicherheit“ angestoßen und kann einige Zeit in Anspruch nehmen, weshalb das Mobilgerät vollständig geladen oder mit dem Stromnetz verbunden sein sollte. Nach dem anschließenden Factory Reset, bei dem alle Einstellungen, Downloads, Mediendateien, System-, App- und Benutzerdaten gelöscht werden, empfiehlt sich der Einsatz einer App zum Überschreiben des freien Speichers. Alternativ kannst du dies auch manuell durchführen, indem du so lange ein Video aufnimmst oder unkritische Daten auf dein Mobilgerät kopierst, bis dessen Speicher voll ist.

Factory Reset unter AndroidZum Abschluss empfiehlt sich ein weiteres Factory Reset über den Einstellungspunkt „Sichern & zurücksetzen“. Hundertprozentige Sicherheit, dass wirklich alle Datenfragmente entfernt wurden, gibt es jedoch nie. Aber zumindest dürften nach Anwendung der beschriebenen Schritte selbst technisch versierte Nutzer nicht mehr in der Lage sein, die gelöschten Daten mit Standardwerkzeugen wiederherzustellen.

Um mögliche Probleme mit der eventuell auf Smartphones und Tablets ab Android 5.1 eingeschalteten Reaktivierungssperre zu vermeiden, ist darüber hinaus das damit verknüpfte Google-Konto zu entfernen. Dadurch wird die Sperre deaktiviert und der neue Besitzer kann das Gerät ohne Angaben deiner Anmeldedaten nutzen. Verwendest du eine externe Speicherkarte, solltest du diese am besten nicht zusammen mit dem alten Smartphone oder Tablet verkaufen oder verschenken. Falls du die Speicherkarte dennoch mit abgeben willst, kannst du sie per Kartenleser an den PC anschließen und wie eine Festplatte sicher löschen. Natürlich solltest du auch daran denken, die SIM-Karte aus dem Gerät zu entfernen, bevor du es weitergibst.

Anders als bei Android-Geräten reicht bei iPhone- und iPad-Modellen normalerweise ein Zurücksetzen auf die Werkseinstellungen aus, um alle Nutzerdaten sicher zu löschen. Dazu musst du zu Einstellungen > Allgemein > Zurücksetzen gehen und Alle Inhalte & Einstellungen löschen auswählen und den Vorgang anschließend bestätigen.

Alternativ ist (auch nachträglich) eine Fernlöschung über die iCloud-Oberfläche am Computer möglich. Bei Apples Mobilgeräten verschlüsselt ein Sicherheitschip automatisch alle gespeicherten Daten. Beim Zurücksetzen vernichtet das System den Sicherheitsschlüssel und macht sie somit für Dritte unbrauchbar. Apple erklärt die erforderlichen Schritte in einem Support-Artikel.

Bei iPhone und iPad lassen sich Nutzerdaten durch das Zurücksetzen auf die Werkseinstellungen sicher löschen (Bild: Apple).

Wenn du deine privaten Daten von deinem Gerät unwiederbringlich gelöscht hast, kannst du es beruhigt weitergeben oder verkaufen.


CLIQZ FÜR MOBILE