Mit Cliqz anonym via Proxy-Netzwerk suchen
Mit Cliqz anonym via Proxy-Netzwerk suchen
Mit der Funktion „Suche über Proxy“ kannst du deine IP-Adresse verschleiern. Dazu musst du nur die entsprechende Option in den Einstellungen von Cliqz aktivieren. Allerdings verlangsamt sich der Suchprozess durch die Umleitung über Proxy-Server.
Wer im Internet gezielt nach etwas sucht, möchte möglichst schnell zu den relevantesten Ergebnissen gelangen. Viele Anwender legen zusätzlich Wert darauf, dass ihre Suchanfragen anonym bleiben. Dabei helfen sogenannte Proxy-Server. Diese einzurichten, ist jedoch relativ aufwendig und setzt einiges technisches Wissen voraus. Bei Cliqz ist die Proxy-Suche bereits eingebaut und lässt sich auf Wunsch ohne großen Konfigurationsaufwand nutzen.
Die innovative Schnellsuche von Cliqz bringt dich auf direktem Weg zum Ziel deiner Suche. Sie basiert auf einer von der Cliqz GmbH selbst entwickelten Technik mit eigenständigem Web-Index, arbeitet also völlig unabhängig von anderen Suchanbietern. Insbesondere bei Suchanfragen zur Navigation gelangst du mit Cliqz schneller zum gewünschten Ergebnis als mit Suchmaschinen wie Google oder Bing. Die Schnellsuche liefert immer die drei relevantesten Ergebnisse und Website-Vorschläge. Schon ab der Eingabe des ersten Buchstabens einer Suchanfrage in die URL-Leiste zeigt sie direkt darunter passende Resultate und Vorschläge als Auswahlmenü an. Ein einziger Klick bringt dich sofort zur gewünschten Seite, ohne Umwege über lange, unübersichtliche Ergebnislisten mit Werbelinks.
Cliqz speichert keine IP-Adressen
Damit die Schnellsuche in Echtzeit auf Suchanfragen antworten kann, benötigt sie eine Empfängerinformation in Form einer IP-Adresse. Diese IP-Adresse deines Computers ist wie eine Art Anschrift mit Straße und Hausnummer, macht dich als Nutzer also eindeutig identifizierbar. Unsere Schnellsuche speichert aber keinerlei persönliche Daten auf unseren Servern, sondern weiß nur für den Moment und die einzelne Suchanfrage, wohin sie die Antwort zurücksenden muss. Sobald sie die jeweiligen Suchergebnisse zurückgespielt hat, wird die IP-Adresse umgehend gelöscht. Sie bleibt also nur kurzzeitig im flüchtigen Speicher und wird nie dauerhaft auf unseren Servern gesichert. Das garantiert eine hohe Suchgeschwindigkeit unter Einhaltung der Privatsphäre des Nutzers.
Wer seine IP-Adresse dennoch lieber vollständig verbergen möchte, kann alle Suchanfragen über ein Netzwerk aus Proxy-Servern laufen lassen. Solche Proxy-Server sind eine gängige Methode, seine Identität im Internet zu verschleiern. Das englische Wort „Proxy“ bedeutet übersetzt „Stellvertreter“, was genau der Funktion eines Proxy-Servers entspricht: Er ruft stellvertretend für deinen Computer eine Website auf, die du besuchen möchtest, und verwendet dafür seine eigene IP-Adresse. Die gewünschte Website wird anschließend auf deinem Bildschirm ausgegeben. Mit einem Proxy-Server kannst du also verhindern, dass beim Surfen Informationen über deinen Rechner, Standort oder Internetanbieter weitergegeben werden.
„Suche über Proxy“ mit wenigen Klicks einschalten
Dies lässt sich auch ganz einfach für die Suche im Cliqz-Browser einrichten. Rufe dazu das Control Center auf (Q-Symbol rechts neben der URL-Leiste). Klicke dann unter „Andere Einstellungen“ auf „Sichere Schnell-Suche“. Anschließend musst du unter dem Punkt „Suche über Proxy“ nur noch den Schalter auf „AN“ stellen, indem du einmal darauf klickst.
Diese Einstellung sorgt dafür, dass eingetippte Suchbegriffe von deinem Computer zunächst zu einem Proxy-Server gesendet werden. Dort wird die zugehörige Absenderinformation vor der Weiterleitung an unsere Server verschlüsselt. Cliqz sendet die Website-Vorschläge für die eingehenden Suchanfragen dann wieder an den Proxy-Server zurück, der sie wiederum an deinen Rechner weiterleitet. Auf diese Weise bleibt deine IP-Adresse den Cliqz-Servern unbekannt. So ist sichergestellt, dass wir nichts über dich wissen, wenn die Daten uns erreichen. Wir erhalten lediglich die IP-Adresse des Proxy-Netzwerks und können keine Nutzer daraus ableiten. Der Proxy selbst kann die verschlüsselten Informationen nicht lesen oder etwas darüber erfahren. Dadurch sind Absender und Inhalt vollständig voneinander getrennt, was es allen Beteiligten unmöglich macht, Nutzer und Nutzungsdaten je miteinander in Verbindung zu bringen.
Einen Nachteil für den Anwender hat dieses Verfahren jedoch: Weil die Umleitung der Daten über das Proxy-Netzwerk quasi den Weg verlängert, verlangsamt sich der Suchprozess. Diese Geschwindigkeitseinbußen gegenüber der Direktverbindung sind technisch nicht zu vermeiden. Nutzer müssen nach der Aktivierung der „Suche über Proxy“ also mit längeren Antwortzeiten rechnen.
Nothing found.
So sicherst du deine Konten mit Zwei-Faktor-Authentifizierung ab
So sicherst du deine Konten mit Zwei-Faktor-Authentifizierung ab
Die Anmeldung in zwei Schritten ist deutlich sicherer als die ausschließliche Nutzung von Passwörtern. Wir zeigen dir anhand einiger konkreter Beispiele, wie die Einrichtung funktioniert.
Wer seine Online-Konten möglichst gut schützen möchte, sollte neben schwer zu knackenden Passwörtern auch Zwei-Faktor-Authentifizierung verwenden. Viele Dienste bieten diese zusätzliche Sicherheitsschicht für den Anmeldeprozess inzwischen an. Zuletzt hat sie auch Amazon in Deutschland als „Zwei-Schritt-Verifizierung“ offiziell eingeführt. Bei Google heißt das Verfahren „Bestätigung in zwei Schritten“, Facebook nennt es einfach „Anmeldebestätigungen“ und Microsoft spricht von „Überprüfung in zwei Schritten“. Gemeint ist aber immer das gleiche: Die Zwei-Faktor-Authentifizierung (kurz 2FA) dient dazu, die Identität eines Nutzers mittels der Kombination zweier unabhängiger Komponenten zweifelsfrei nachzuweisen. Das kann laut Definition etwas sein, das der Nutzer weiß, besitzt oder das untrennbar zu ihm gehört. Konkrete Beispiele für diese Merkmale sind ein Passwort, ein Hardware-Token in Form eines USB-Sticks oder Smartphones sowie die Stimme oder der Fingerabdruck. Nur wenn der Anwender Merkmale aus zwei verschiedenen Gruppen bei der Anmeldung nachweisen kann, erhält er Zugang zu seinem Account.
Der Vorteil dieser Methode liegt darin, dass das Konto auch dann abgesichert bleibt, wenn Zugangsdaten wie Benutzername und Passwort in die falschen Hände geraten. Viele Kennwörter sind relativ leicht zu knacken. Doch selbst wenn eine sehr komplexe Passphrase verwendet wird, könnten sich Hacker diese direkt aus einer unzureichend abgesicherten Anbieter-Datenbank beschaffen. Angriffe dieser Art gibt es immer wieder. Für Aufsehen sorgte im November beispielsweise der Hack des Betreibers der Sexkontaktbörse Adult Friend Finder, bei dem insgesamt über 410 Millionen Konten und Passwörter kompromittiert wurden. Bei aktivierter Zwei-Faktor-Authentifizierung kann ein Hacker mit den Zugangsdaten allein nichts anfangen, weil ihm der zweite zum Identitätsnachweis benötigte Faktor fehlt. Allerdings ist 2FA in der Regel nicht standardmäßig eingeschaltet, sondern muss in den Kontoeinstellungen manuell eingerichtet werden.
Amazon: Zwei-Schritt-Verifizierung
Bei Amazon war die „Zwei-Schritt-Verifizierung“ bis vor Kurzem nur über Umwege nutzbar. Jetzt findet sich die für die Aktivierung benötigte Option auch in den Kontoeinstellungen der deutschen Website, inklusive Hilfeartikel. Zunächst musst du dich an deinem Amazon-Konto anmelden und unter Einstellungen den Punkt „Anmelde- und Sicherheitseinstellungen“ auswählen. Im folgenden Bildschirm findet sich die Option „Erweiterte Sicherheitseinstellungen“, ein Klick auf „Bearbeiten“ und dann auf „Erste Schritte“ startet den Einrichtungsassistenten für die Zwei-Schritt-Verifizierung. Nun musst du zunächst festlegen, ob du den Authentifizierungscode per SMS auf dein Handy geschickt bekommen möchtest oder lieber eine Authentifizierungs-App verwenden willst. Ersteres setzt die Angabe einer gültigen Telefonnummer voraus, Letzteres eine auf dem Smartphone installierte Anwendung wie Google Authenticator oder Authy, die den nur für begrenzte Zeit gültigen Code lokal generiert. Abgeschlossen wird der erste Einrichtungsschritt durch die Eingabe des via SMS oder App erhaltenen Codes und einen Klick auf „Code verifizieren und fortfahren“. Im nächsten Schritt musst du zur Sicherheit eine alternative Übermittlungsmethode definieren, falls die bevorzugte Variante nicht funktioniert.
Hast du die Einrichtung der Zwei-Schritt-Verifizierung erfolgreich abgeschlossen, musst du bei der Anmeldung an dein Amazon-Konto zusätzlich zu Benutzername und Passwort den für jede Sitzung neu generierten Sicherheitscode angeben. Auf Computern, die du häufig verwendest, kannst du optional einstellen, dass du keinen Code eingeben musst. Außerdem weist Amazon darauf hin, dass manche Geräte keine zweite Anzeige öffnen können, die zur Eingabe des Sicherheitscodes auffordert, die Zwei-Schritt-Verifizierung aber trotzdem erforderlich ist. In diesem Fall musst du dich zuerst mit deinem Passwort anmelden, worauf eine Fehlermeldung erscheint. Parallel erhältst du einen Code, den du dann am Ende des Passworts einfügst und durch erneuten Klick auf „Anmelden“ bestätigst.
Google: Bestätigung in zwei Schritten
Google bietet ebenfalls eine zweistufige Authentifizierung an, um Accounts durch eine zusätzliche Sicherheitsebene zu schützen. Zunächst meldest du dich an deinem Google-Konto an und wählst dann „Anmeldung & Sicherheit“. Unter „Anmeldung bei Google“ und dem Punkt „Passwort & Anmeldeverfahren“ findest du die Option „Bestätigung in zwei Schritten“, über die sich der Einrichtungsassistent starten lässt. Du hast die Wahl, ob du Sicherheitscodes per SMS, Sprachanruf oder Authentifizierungs-App erhalten möchtest. Alternativ ist auch die Nutzung eines Sicherheitsschlüssels möglich, der den offenen Standard FIDO Universal 2nd Factor (U2F) unterstützt (z.B. YubiKey). Ebenfalls kannst du festlegen, ob der Code immer abgefragt wird, oder nur dann, wenn du dich von einem Google bisher nicht bekannten Browser oder Gerät anmeldest.
Facebook: Anmeldebestätigungen
Um die Zwei-Faktor-Authentifizierung bei Facebook einzurichten, musst du dich zuerst an deinem Konto einloggen. Anschließend öffnest du über das Menü oben rechts die Einstellungen und wählst dort den Bereich „Sicherheit“ aus. Dort findest du den Unterpunkt „Anmeldebestätigungen“ über den du die Abfrage eines Sicherheitscodes aktivieren kannst. Der Code muss immer dann eingegeben werden, wenn du dich von einem zuvor noch nicht genutzten Browser oder Gerät bei Facebook anmeldest. Klickst du das Kästchen bei „Anmeldecode für den Zugriff auf mein Konto über einen unbekannten Browser anfordern“ an, öffnet sich zum Start der Einrichtung ein Pop-up-Fenster. Nach einem Klick auf „Los geht’s“ folgt eine Abfrage des Handytyps. Verwendest du ein Android- oder iOS-Gerät, solltest du sicherstellen, dass du darauf die aktuelle Version der Facebook-App installiert hast. Anschließend musst du in der Mobilanwendung über das Menü den Codegenerator aktivieren. Den generierten Testcode gibst du dann auf der Einrichtungsseite ein und bestätigst ihn. Neben dem Codegenerator lässt sich auf Wunsch auch eine andere App zur Generierung von Anmeldecodes einrichten.
Nutzt du kein Android- oder iOS-Gerät, kannst du alternativ eine Telefonnummer hinterlegen, an die der Anmeldecode per SMS verschickt werden soll. Wenn du diese Methode wählst, solltest du aber beachten, dass auch Fremde standardmäßig durch eine Suche nach der Telefonnummer das zugehörige Facebook-Konto ausfindig machen können. Um dies zu verhindern, musst du in den Privatsphäre-Einstellungen unter „Wer kann nach mir suchen“ den Punkt „Wer kann mithilfe der von dir zur Verfügung gestellten Telefonnummer nach dir suchen“ bearbeiten. Die maximal verfügbare Einschränkung „Freunde“ sorgt dafür, dass Fremde dein Konto nicht mehr auf Basis der Telefonnummer finden können.
Microsoft: Überprüfung in zwei Schritten
Microsoft-Konten lassen sich ebenfalls per Zwei-Faktor-Authentifizierung absichern. Die Überprüfung in zwei Schritten setzt eine alternative E-Mail-Adresse, eine Telefonnummer oder eine Authentifikator-App voraus. Wenn du dich von einem nicht vertrauenswürdigen Gerät oder von einem neuen Standort aus einloggst, übermittelt Microsoft einen Sicherheitscode, den du auf der Anmeldeseite zusätzlich zu Benutzername und Passwort eingeben musst.
Nach der Anmeldung an dein Microsoft-Konto kannst du die Überprüfung in zwei Schritten im Einstellungsbereich „Sicherheit und Datenschutz“ ein- und wieder ausschalten. Wähle dazu unter „Prüfung in zwei Schritten“ die entsprechende Option. Auch hier führt ein Assistent durch den Einrichtungsprozess. Neben der Übermittlungsmethode für die Sicherheitscodes kannst du auch gesonderte App-Kennwörter für Anwendungen und Geräte (etwa Xbox 360 oder ältere Windows Phones) festlegen, die keine Codes für die Überprüfung in zwei Schritten unterstützen. Außerdem wird ein 20-stelliger Wiederherstellungscode angezeigt, den du unbedingt notieren oder ausdrucken und an einem sicheren Ort aufbewahren solltest. Er ist die einzige Möglichkeit, bei Problemen mit der Authentifikator-App oder Verlust des Smartphones weiterhin Zugang zu deinem Konto zu erhalten.
Zahlreiche weitere Dienste bieten 2FA an
Neben den genannten unterstützen auch viele andere Anbieter und Dienste Zwei-Faktor-Authentifizierung, darunter Apple, Blizzard, Dropbox, LastPass, LinkedIn, Office 365, Twitter, WhatsApp, WordPress und Yahoo. Eine hilfreiche Übersicht bietet die Website twofactorauth.org. Die Option zur Aktivierung der Zwei-Faktor-Authentifizierung findet sich in der Regel im Sicherheitsbereich der Kontoeinstellungen. Die Einrichtungsschritte bei den verschiedenen Diensten ähneln meist den hier beschriebenen.
Der einmalige Aufwand zur Einrichtung sowie der geringfügig längere Anmeldeprozess lohnen sich, da ein Konto mit Zwei-Faktor-Authentifizierung wesentlich besser abgesichert ist als beim ausschließlichen Einsatz eines Passworts. Es gibt aber einige Dinge zu beachten: Zum einen musst du dein Smartphone stets griffbereit haben, um den per SMS oder App übermittelten Code zu erhalten. Generell gilt, dass die Nutzung einer Authentifikator-App sicherer ist als der SMS-Empfang. Denn per Kurznachricht gesendete Codes können theoretisch abgefangen oder umgeleitet werden. Für den Fall, dass das Smartphone einmal ausfällt (Funkloch) oder verloren geht, solltest du bei der Einrichtung mindestens eine alternative Übermittlungsmethode (E-Mail, zweite Telefonnummer) angeben. Zum anderen empfiehlt es sich, immer eine Liste in Papierform mit Notfall- beziehungsweise Wiederherstellungscodes dabei zu haben.
Nothing found.
AV-Test: Werbeindustrie späht Nutzer mit Spionage-Apps aus
AV-Test: Werbeindustrie späht Nutzer mit Spionage-Apps aus
Ähnlich wie Malware schleichen sich „potenziell unerwünschte Anwendungen“ häufig im Paket mit regulären Freeware-Apps auf Rechner oder Smartphone. Laut dem jüngsten Jahresbericht des unabhängigen Sicherheitsinstituts AV-Test zeichneten die sogenannten PUA für knapp ein Drittel der 2015 erfassten Online-Bedrohungen verantwortlich. Sie agieren meist heimlich und ohne Zustimmung des Nutzers.
„Beim Download nützlicher Programme und Apps wird PUA sozusagen im ‚Huckepack‘ mit ausgeliefert, um dann das Nutzungsverhalten auszuwerten und ungewollte, personalisierte Werbung einzublenden“, erläutert Maik Morgenstern, Geschäftsführer und Technischer Leiter von AV-Test. Eingesetzt werden solche Schnüffelanwendungen von der Werbeindustrie, die laut dem Marburger Sicherheitsinstitut verstärkt Android-Nutzer ins Visier nimmt: Im ersten Quartal dieses Jahres sei die Zahl der PUA-Angriffe auf Googles Mobilbetriebssystem um mehr als 13 Prozent gegenüber dem Vorjahr gestiegen. In den Erkennungssystemen von AV-Test machten PUA 2015 knapp ein Drittel (31 Prozent) der Online-Bedrohungen aus. 2016 ging ihr Gesamtanteil im Untersuchungszeitraum auf 20 Prozent zurück, wobei es sich den Sicherheitsforschern zufolge jedoch nur um einen vorübergehenden Trend handeln könnte.
Alle Plattformen betroffen
Generell bedrohen potenziell unerwünschte Anwendungen die Privatsphäre der Nutzer aller gängigen Plattformen. Am häufigsten betroffen waren 2015 mit mehr als 37 von über 40 Millionen PUA-Erkennungen (94 Prozent) Windows-Nutzer. Doch auch auf allen anderen Desktop- und Mobilplattformen zielten Spionageprogramme auf Surfdaten und andere private Informationen von Internetnutzern: Für Mac wurden über 76.000 Samples erfasst, und selbst für Linux waren es noch 412.
In der von AV-Test für 2015 aufgestellten Top Ten der am weitesten verbreiteten Spionage-Software auf Windows-Rechnern belegt „Multiplug“ den ersten Platz. Das Programm protokolliert das Surfverhalten von infizierten PCs und verschickt daraus erstellte Profile heimlich via Internet an Werbefirmen. Diese sind anschließend in der Lage, anhand der Daten Werbung auf Webseiten gezielt anzupassen. Multiplug installiert sich meist zusammen mit Gratisanwendungen von Freeware-Plattformen auf dem Rechner. Gleiches gilt für das zweitplatzierte „Browsefox“. Die Adware installiert Add-ons für Browser wie Internet Explorer, Firefox oder Chrome und verändert die Startseite sowie die Suchmaschinenanbindung. Zusätzlich zeigt sie personalisierte Werbung auf besuchten Webseiten an und öffnet Pop-ups mit Anzeigen. Alle übrigen Vertreter der PUA-Rangliste für Windows arbeiten nach ähnlichen Mustern.
Die Top Ten für Mac wird von der Adware „VSearch“ angeführt. Sie gelangt ebenfalls im Paket mit Freeware-Programmen auf den Rechner und nistet sich wie ein Trojaner per Shell-Skript im Speicher ein. Anschließend versendet sie heimlich System- und Nutzerdaten oder modifiziert auch hier Browser-Einstellungen. Auf Platz zwei liegt „Macnist“, das sich als Browser-Erweiterung für Safari, Chrome und Firefox für Mac tarnt – vermeintlich um Medien wiederzugeben oder Downloads zu beschleunigen. Tatsächlich blendet es eigene Werbeanzeigen auf besuchten Websites ein und protokolliert das Surfverhalten des Anwenders.
Werbeindustrie bewegt sich in einer Grauzone
PUA-Versionen für Android und andere Mobilplattformen zeigen Werbung innerhalb vordefinierter Bereiche einer App oder kurzzeitig bildschirmfüllende Anzeigen beim Start oder Beenden einer Anwendung an. Zudem können sie Push-Benachrichtigungen sowie den Homescreen als Werbefläche zweckentfremden. Auf Mobilgeräten besonders pikant: Über solche Spionageprogramme lassen sich auch Bewegungsmuster auslesen, um darauf basierend ortsgebundene Werbung zu erstellen.
Eine Grenze zwischen klassischer Malware und PUA zu ziehen, ist laut AV-Test nicht so einfach. Zum einen, weil einige aggressive PUA-Versionen hinsichtlich des Ausspähens von Nutzerdaten ähnliche Mechanismen verwenden wie Trojaner und sich auch die Verbreitungswege häufig kaum unterscheiden. Zum anderen bewegten sich Werbefirmen mit PUA noch in einer rechtlichen Grauzone. Zwar seien die meisten Anbieter von Schutzlösungen technisch in der Lage, solche Angriffe auf die Privatsphäre auf allen gängigen Plattformen zu erkennen, doch scheuten viele rechtliche Auseinandersetzungen mit der Werbeindustrie. Erschwerend hinzu komme, dass sich praktisch auch jede gutartige Gratis-App durch Werbung finanziere.
HTTP-Seiten sind Einfallstor für Malware
Auch die Verbreitung herkömmlicher Malware hat 2015 und im ersten Halbjahr 2016 laut dem Jahresbericht von AV-Test zugenommen. Im vergangenen Jahr kamen bis zu fünf neue Schadprogramme pro Sekunde hinzu. Häufiges Einfallstor sind manipulierte Websites. Schon der bloße Aufruf einer verseuchten Seite kann ausreichen, um den Rechner eines Besuchers mit Schadprogrammen zu infizieren oder ihn durch Ausnutzen von Schwachstellen zu kapern. Gefahr geht von speziell zu diesem Zweck erstellten Webseiten aus, aber auch von regulären Sites, die gehackt und mit Malware verseucht wurden. Nach den Daten von AV-Test nutzten Angreifer 2015 fast ausschließlich Websites auf Basis des ungeschützten Übertragungsprotokolls HTTP, um Schadsoftware zu verbreiten (97,88 Prozent). Lediglich 2,12 Prozent der Attacken erfolgten über verschlüsselte HTTPS-Seiten. Der Cliqz-Browser unterstützt die Funktion HTTPS Everywhere, die automatisch für eine verschlüsselte Verbindung sorgt – falls der Seitenbetreiber eine solche anbietet. Das erschwert Angreifern, den Datenverkehr zu manipulieren oder abzuhören.
Zu den weiteren zentralen Ergebnissen des Security Report 2015/16 von AV-Test zählt, dass Cyberkriminelle bei der Verbreitung von Malware ökonomischen Grundsätzen folgen. Sie setzen verstärkt auf Masse und lenken ihre Aktivitäten zunehmend in Richtung Android. AV-Test verzeichnete fast 17 Millionen Schadprogramme für das quelloffene Google-Betriebssystem. Apples iOS ist wegen der geschlossenen App-Infrastruktur und Windows Mobile aufgrund der zu geringen Marktbedeutung für Malware-Autoren weit weniger attraktiv. Analog dazu bleibt Windows das bevorzugte Angriffsziel auf dem Desktop (fast 600 Millionen Schädlinge), weil das weltweit meistgenutzte OS für Kriminelle besonders ertragreich ist. Hier beobachtete AV-Test in der ersten Jahreshälfte 2016 eine steigende Verbreitung von Viren und Trojaner, während der Anteil von Würmern gegenüber dem Vorjahr deutlich zurückging.
Für Apples Desktop-Betriebssystem macOS gab es im Vergleich zu Windows nur eine verschwindend geringe Zahl Malware (819), aber Mac-Nutzer sollten sich dennoch nicht in Sicherheit wiegen. Denn AV-Test zufolge sagen die quantitativen Messwerte nicht über die Angriffsqualität der eingesetzten Schädlinge aus. Im Gegenteil lasse sich die These aufstellen, dass Angreifer keine Vielzahl Malware programmieren müssen, um an wichtige Daten von Mac-Nutzern zu kommen, da diese ihre Rechner ohnehin so gut wie nie mit Antivirenprodukten schützen.
AV-Test untersucht regelmäßig aktuelle Sicherheitslösungen auf ihre Schutzwirkung. Die Ergebnisse der Tests sind kostenlos auf der Website des Sicherheitsinstituts einsehbar. Zuletzt hat es im September und Oktober 22 Privatanwender-Schutzlösungen unter Windows 10 getestet. Jedes Produkt musste sich dabei gegen mehr als 13.000 Malware-Angriffe behaupten.
Nothing found.
Facebook geht aggressiv gegen Anti-Tracking vor
Facebook geht aggressiv gegen Anti-Tracking vor
Das Social Network unternimmt alles, um die Aktivitäten von Nutzern im Web zu verfolgen. Anti-Tracking-Techniken versucht es durch den mehrfachen Versand von Cookies zu umgehen. Mit der jüngsten Version des Cliqz-Browsers bist du dennoch geschützt.
Wer kennt das nicht? Du hast dir gerade bei einem Onlinehändler einige Produkte angesehen, gehst dann auf eine andere Website und bekommst dort Werbung zu genau diesen Produkten angezeigt. Möglich machen dies sogenannte Tracker. Diese laufen als Skripts im Hintergrund innerhalb einer Website und überwachen dein Surfverhalten. Sie messen beispielsweise, welchen Browser du benutzt, welche Auflösung dein Bildschirm hat oder von welcher Website und – falls möglich – mit welchem Suchbegriff du gerade auf die aktuelle Webseite gekommen bist.
Wie Facebook Anti-Tracking umgeht
Die in den Cliqz-Browser integrierte Anti-Tracking-Technik verhindert, dass Tracker Informationen über dich erhalten, anhand derer du persönlich identifizierbar bist. Unser Anti-Tracking erkennt solche unsicheren Daten, überschreibt sie mit zufälligen Informationen und sendet diese zurück an die Tracker. Es geht also über das bloße Blockieren von Cookies hinaus. Somit sind die Tracker-Betreiber nicht mehr in der Lage, den jeweiligen Seitenbesucher zu identifizieren.
Bei Facebook funktionierte dies bis vor Kurzem jedoch nur bedingt. So bekamen einige Nutzer trotz aktivierter Anti-Tracking-Funktion auf Facebook Werbung zu zuvor von ihnen im Cliqz-Browser betrachteten Produkten angezeigt. Dieses Problem beruhte auf der extrem aggressiven Anti-Tracking-Abwehr des Social Network. Facebook kann offenbar feststellen, dass Cookie-Informationen in dem zurückgesendeten Datenpaket fehlen beziehungsweise verändert wurden. Daraufhin sendet es sofort einen neuen Cookie dorthin, von wo es die anonymisierten Daten erhalten hat. Dieser Cookie heftet sich dann an den Nutzer, dessen Identität zu diesem Zeitpunkt eigentlich unbekannt ist. Bei der nächsten Anmeldung bei Facebook kann er anhand des neuen Cookies aber wieder identifiziert werden und bekommt dadurch auf ihn zugeschnittene Werbung zu sehen.
Unsere Techniker haben das beschriebene Problem eingehend untersucht und in der jüngsten Browserversion behoben. Wir blockieren nun den von Facebook gesendeten Befehl, einen neuen Cookie zu setzen. Da der Browser dadurch erst gar keinen neuen Cookie speichert, kann der Nutzer auch nicht später von Facebook wieder identifiziert werden. Im Grunde handelt es sich um ein Katz-und-Maus-Spiel: Während Anti-Tracking-Anbieter ihre Techniken ständig verfeinern, um Tracking zu verhindern, arbeiten Tracking-Betreiber stets an wirksamen Gegenmaßnahmen, um doch an die gewünschten Nutzerdaten zu kommen.
Immer von Facebook- und Google-Konto abmelden
Generell sollten sich Anwender immer auf allen Geräten von Facebook abmelden, bevor sie andere Websites besuchen. Gleiches gilt übrigens auch für Nutzer von Google-Konten. Dadurch erschweren sie es den Internetkonzernen, ihre Aktivitäten im Netz – auch geräte- und seitenübergreifend – nachzuverfolgen. Doch auch dies macht ein Tracking durch Facebook und Co nicht völlig unmöglich. Technikinteressierte, die mehr über die Tricks der Tracker-Betreiber erfahren möchten, finden zusätzliche Informationen in unserem Techblog „Woher Facebook genau weiß, was dir gefällt“.
Mit der deutschlandweit umfassendsten Studie „Tracking the Trackers“ (mit Daten vom September 2015) hat Cliqz das Ausmaß der Verfolgung von Internetnutzern aufgezeigt. Demnach erheben Tracker – beabsichtigt oder nicht – bei über drei Vierteln der Webseitenaufrufe unsichere Daten, anhand derer sich einzelne Anwender identifizieren lassen. Eine Wiederholung der Untersuchung im September 2016 ergab, dass die zwei größten Tracking-Betreiber ihre Präsenz noch weiter ausgebaut haben: Google erhöhte seinen Anteil an der Gesamtheit aller Website-Aufrufe von 62,4 auf 68,6 Prozent. Facebook legte noch stärker zu, von 23,1 auf 37,2 Prozent. Dabei fragen beide Unternehmen oft auch unsichere Daten ab (50,27 beziehungsweise 31,51 Prozent).
Nothing found.
TiSA - eine Gefahr für den Datenschutz?
Das geplante Abkommen TiSA, das den internationalen Handel mit Dienstleistungen regeln soll, könnte aus Sicht der Verbraucher zahlreiche negative Auswirkungen auf den Datenschutz im Internet mit sich bringen. Das lassen zumindest vertrauliche Dokumente aus der 20. TiSA-Verhandlungsrunde vom September vermuten, die Greenpeace Ende vergangener Woche über die Website ttip-leaks.org öffentlich gemacht hat.
Wie das umstrittene Transatlantische Freihandelsabkommen (TTIP) wird auch TiSA (kurz für Trade in Services Agreement) hinter verschlossenen Türen ausgehandelt. Beteiligt sind 23 Mitglieder der Welthandelsorganisation (WTO), darunter Kanada, Japan, die 28 EU-Mitgliedsstaaten sowie die USA. Gemeinsam sind die insgesamt 50 Länder für 70 Prozent des weltweiten Handels mit Dienstleistungen verantwortlich. Offiziell sollen mit TiSA „Märkte geöffnet und die Regelungen in Bereichen wie Lizensierung, Finanzdienstleistungen, Telekommunikation, elektronischer Handel, Seeverkehr und grenzüberschreitende Arbeitnehmermobilität im Dienstleistungssektor verbessert werden“. Im Kern geht es also darum, den internationalen Handel mit Dienstleistungen zu vereinfachen. Befürworter heben insbesondere die wirtschaftlichen Entwicklungsmöglichkeiten hervor, wenn Unternehmen ihre Services einfacher im Ausland anbieten könnten. Gegner kritisieren hingegen, dass TiSA den Datenschutz aufweichen, kritische Infrastrukturen unsicherer machen und Konzerne mehr Einfluss auf geplante Gesetze geben könnte.
USA für Deregulierung und laxeren Datenschutz
Bei den jetzt ans Licht gekommenen Verhandlungsdokumenten handelt es sich um Anhänge zu zentralen Kapiteln wie Onlinehandel, Transparenz und Telekommunikationsdiensten. Aus den enthaltenen Formulierungsvorschlägen der beteiligten Staaten geht hervor, dass vor allem die USA auf eine Deregulierung vieler Branchen und einen weniger strengen Datenschutz drängen. Somit dürften die deutlich höheren Datenschutzstandards der EU ernsthaft gefährdet sein.
Laut den TiSA-Entwürfen wird jedes Teilnehmerland zwar eigene Datenschutzvorschriften erlassen können, diese dürfen aber keine Handelshemmnisse für andere Staaten darstellen. Konkret ist von einer „nicht zu rechtfertigenden Diskriminierung“ die Rede, also einer Benachteiligung anderer Staaten durch eine Beschränkung des Datenverkehrs. Um eine solche auszuschließen, dürften folglich immer die Bedingungen des Landes mit den schwächeren Regelungen gelten – sozusagen der kleinste gemeinsame Nenner. Einschränkend heißt es in einem Absatz dazu, dass Beschränkungen erlaubt blieben, wenn sie für die Sicherheit und Vertraulichkeit personenbezogener Daten notwendig seien. Wie diese vage Formulierung letztendlich auszulegen ist, bleibt aber offen. Kritiker fürchten gar das Aus für die hohen EU-Datenschutzstandards, die deutlich strenger sind als etwa die US-Standards.
Mehr unternehmerische Freiheit, weniger Kontrolle
TiSA sieht den durchgesickerten Dokumenten zufolge vor, dass Diensteanbieter künftig nicht mehr daran gehindert werden dürfen, auch auf Daten außerhalb ihres Staatsgebietes zuzugreifen sowie sie zu übertragen, zu verarbeiten oder zu speichern. Entsprechend müssten Unternehmen, die Dienstleistungen in der EU anbieten wollen, auch nicht mehr zwingend einen Firmenstandort auf dem Territorium der EU haben und dort Daten von EU-Bürgern speichern. Dadurch könnte künftig praktisch nicht mehr kontrolliert werden, welche Informationen Anbieter an wen (Werbepartner, Behörden) weitergeben. Internetkonzerne, deren Geschäftsmodell auf der Verarbeitung und dem Verkauf von Daten beruht, hätten somit nahezu freie Hand. Auf der anderen Seite hätten Verbraucher und Datenschützer fast keine Möglichkeit mehr, gegen Anbieter außerhalb des eigenen Staatsgebiets vorzugehen. Beispiele wie die zuletzt von europäischen Datenschützern gestoppte Weitergabe von WhatsApp-Nutzerdaten an Facebook wären damit passé.
Wenig überraschend machen sich insbesondere die USA für einen freien Datenfluss stark. Denn spätestens seit den Snowden-Enthüllungen stehen viele den Vereinigten Staaten hinsichtlich des Datenschutzes skeptisch gegenüber. So werben europäische Unternehmen inzwischen häufig damit, dass alle Kundendaten auf Servern innerhalb der EU vorgehalten und somit dem Zugriff von US-Behörden wie dem Geheimdienst NSA entzogen werden. Die EU hat ihre Position zum Datenschutz in TiSA noch nicht formuliert, weil sich die Mitgliedsstaaten bisher offenbar nicht auf eine gemeinsame Haltung verständigen konnten. Die Schweiz plädiert dafür, dass alle Teilnehmer sich an hohen Datenschutzstandards orientieren und ihre jeweiligen Regelungen daran anpassen.
Netzneutralität steht ebenfalls zur Diskussion
Weitere strittige Punkte in TiSA sind Regelungen zu Netzneutralität, Spam-Vermeidung und der Offenlegung von Quellcode. In Sachen Netzneutralität spricht sich die EU für ein „nicht diskriminierendes“ und „begründetes“ Netzwerkmanagement aus. Die USA sprechen hingegen allgemeiner von einem „angemessenen“ bzw. „verhältnismäßigen“ Traffic-Management, das bezahlte Überholspuren im Internet für sogenannte Spezialdienste ermöglichen würde. Anbieter könnten Datenpakete für bestimmte Services gegen Aufpreis schneller ausliefern, was den Grundsätzen der Netzneutralität widerspricht. Auch beim Kampf gegen Spam vertreten EU und USA verschiedene Positionen: Die EU favorisiert weiterhin Opt-in- respektive Opt-out-Verfahren, bei denen der Nutzer dem Empfang von Werbemails ausdrücklich zustimmen muss beziehungsweise sich aus einem Werbeverteiler austragen kann. Die USA wollen den Versand unaufgeforderter Werbung hingegen nur minimieren, was reichlich Interpretationsspielraum lässt.
Der aktuelle TiSA-Entwurf sieht außerdem vor, dass Anbietern von staatlicher Seite nicht auferlegt werden kann, den Quellcode ihrer Software offenzulegen. Das gilt auch für kritische Infrastrukturen, beispielsweise Wasser- und Energieversorger. Somit ließe sich nicht mehr unabhängig überprüfen, ob die eingesetzten Programme alle Sicherheitsrichtlinien erfüllten, kritisiert Greenpeace.
„Datenschutz darf nicht verhandelbar sein“
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, erklärte zu den jetzt veröffentlichten TiSA-Dokumenten: „Das Grundrecht auf Datenschutz darf nicht verhandelbar sein! Politik und Wirtschaft sollten den Datenschutz zum Qualitätsmerkmal entwickeln und nicht als Handelshemmnis abstempeln.“ Kritik am geplanten Abkommen kommt auch seitens der Grünen. In einer Stellungnahme der Grünen-Abgeordneten Konstantin von Notz und Katharina Dröge heißt es: „Datenschutz, Open Source und Netzneutralität als Wettbewerbshindernisse zu betrachten ist gestrig und grundfalsch. Diese sind ganz im Gegenteil die Grundvoraussetzung für Gemeinwohl, Verbrauchervertrauen und fairen Wettbewerb im digitalen Zeitalter. Hohe Standards für alle – das würde Handelsabkommen nicht hemmen, sondern vielmehr legitimieren.“
Ganz anders sieht es hingegen die Union. Joachim Pfeiffer, wirtschaftspolitischer Sprecher der CDU/CSU im Bundestag, sagte gegenüber Netzpolitik.org: „Deutschland als Exportnation braucht den freien Austausch. Man sägt nicht an dem Ast, auf dem man sitzt. Bereits jetzt beträgt das Handelsvolumen bei Dienstleistungen mehr als eine halbe Milliarde Euro pro Jahr. Beim Datenschutz gelten die EU-Regelungen, es gibt keine Absenkung oder Aushöhlung. Hier wird eine Skandalisierung betrieben, wo es nichts zu skandalisieren gibt.“
Ursprünglich sollten die Verhandlungen über TiSA bis Ende des Jahres abgeschlossen werden. Aktuell sind sie nach der Wahl von Donald Trump zum künftigen US-Präsidenten offiziell ausgesetzt, damit die Vereinigten Staaten ihre Position überdenken können. Laut Greenpeace werden sich die Verhandlungsführer aber in der zweiten Dezemberwoche erneut zusammensetzen.
Messenger: datenschutzfreund-liche Alternativen zu WhatsApp
Wer nicht möchte, dass Dritte den meist sehr persönlichen Chatverlauf mitlesen können, sollte einen Messenger mit integrierter Ende-zu-Ende-Verschlüsselung einsetzen. Wichtig ist aber auch, wie Anbieter mit den anfallenden Metadaten umgehen. Cliqz stellt drei besonders privatsphärefreundliche Messenger-Apps vor.
Die Anbieter der Krypto-Messenger Signal, Wire und Threema haben sich weitestgehend denselben Werten verschrieben wie Cliqz. Es geht vor allem darum, die Privatsphäre der Anwender zu schützen, sowie um Sicherheit und Transparenz. Personenbezogene Daten zu sammeln und sie an die Werbeindustrie zu verkaufen, wie es die großen Internetkonzerne praktizieren, ist tabu. Anstatt auf Servern sollen alle privaten Informationen auf dem Endgerät des Nutzers verbleiben, so dass er die vollständige Kontrolle über seine Daten behält. Von großer Bedeutung ist auch, wie der jeweilige Anbieter mit den bei der Kommunikation anfallenden Metadaten umgeht. Sie umfassen alle Informationen außer dem Nachrichteninhalt, beispielsweise wer mit wem, wann und wie häufig kommuniziert. Mit ihrer Hilfe lässt sich ein Nutzer unter Umständen eindeutig identifizieren sowie sein Kommunikationsverhalten analysieren und überwachen. Deshalb solltest du dich immer fragen, wem du diese Daten am ehesten anvertrauen willst.
Signal
Das von Open Whisper Systems entwickelte Signal wird von vielen Sicherheitsexperten als einer der datschenschutzfreundlichsten und sichersten Messenger angesehen. Es ging aus den Einzelanwendungen TextSecure und RedPhone für verschlüsselte SMS und Telefonie hervor. Mit der einfach zu nutzenden Open-Source-App lässt sich plattformübergreifend sicher kommunizieren. Sämtliche Übertragungen sind Ende zu Ende verschlüsselt, einschließlich Fotos, Videos, Einzel- und Gruppenchats.
Dazu kommt ein eigenständig entwickeltes Verschlüsselungsprotokoll zum Einsatz. Es soll garantieren, dass selbst die Dienstbetreiber die Kommunikationsinhalte nicht mitlesen und somit auch nicht auf Anfrage oder Gerichtsbeschluss an Behörden weitergeben können. Eine unabhängige Analyse des Signal Messaging Protocol hat kürzlich bestätigt, dass die Entwickler ihre Versprechen halten. Unterm Strich weist das Signal-Protokoll laut dem Forscherteam der Universität von Oxford, der Queensland University of Technology und der McMaster University keine großen Schwächen auf.
Zur Authentifizierung nutzt Signal die vorhandene Telefonnummer. Anwender müssen also keine separaten Log-ins, Nutzernamen, Passwörter oder PINs verwalten, die eventuell verloren gehen können. Die Daten zur Identifizierung werden laut Signals Datenschutzerklärung nur so lange wie nötig gespeichert, also bis ein Anruf vermittelt oder eine Nachricht übertragen wurde, und werden für keine anderen Zwecke verwendet. Signal speichert jedoch den Zeitpunkt, wann sich der Nutzer zuletzt mit dem Server verbunden hat – allerdings nicht auf die Sekunde, sondern nur auf den Tag genau. Kontakte lassen sich aus dem bestehenden Adressbuch importieren. Der Signal Messenger erlaubt zudem kostenlose, verschlüsselte Telefonate. Seit Oktober unterstützt er ebenfalls Nachrichten, die sich nach einer definierten Zeitspanne selbst löschen.
Wie bei Cliqz ist der Code von Signal Open Source und auf GitHub einsehbar. Somit können Interessierte die eingesetzten Protokolle und Implementierungen unabhängig überprüfen. Signal kostet nichts, verzichtet auf Werbung und liegt für Android, iOS sowie als Browser-Plug-in vor. Die Entwicklung wird durch Fördergelder sowie Spenden finanziert.
Wire
Das Ende 2014 gestartete Wire bietet nach eigenen Angaben ab Werk vollständige Ende-zu-Ende-Verschlüsselung. Das gilt für Text, Sprach- und Videochats sowie übertragene Mediendateien. Der kostenlose Krypto-Messenger ermöglicht sichere Einzel- und Gruppenunterhalten in Form von Text oder Sprache. Seit März 2016 unterstützt er zusätzlich Videotelefonie.
Alle Kommunikationsinhalte werden auf dem Gerät des Absenders verschlüsselt und erst auf dem Gerät des Empfängers wieder dechiffriert. Dadurch hat der Anbieter selbst keinen Zugriff auf die übermittelten Daten, was eine Ende-zu-Ende-Verschlüsselung ausmacht. Zur Verschlüsselung von Textnachrichten und Bildern verwendet Wire Off-the-Record (OTR), bei dem sich nach dem Ende einer Unterhaltung nicht mehr feststellen lässt, ob ein bestimmter Schlüssel von einer bestimmten Person genutzt wurde. Zusätzlich kommt auch hier das für mobiles Messaging optimierte Signal-Protokoll zum Einsatz. Anrufe sind nach den Protokollen DTLS und SRTP abgesichert, die sich um Schlüsselaustausch und Authentifizierung sowie Transportverschlüsselung kümmern. Wie bei Signal kannst du auf Wunsch die Identität anderer Nutzer durch Abgleich ihres digitalen Fingerabdrucks verifizieren.
Ein Vorteil von Wire gegenüber Signal: Außer einer Android- und iOS-App gibt es ebenfalls eine eigenständige Desktop-Anwendung für Windows und Mac sowie eine Webversion. Letztere läuft auch direkt im Cliqz-Browser. Dank Unterstützung des offenen Standards WebRTC sind Audiogespräche zu und von kompatiblen Browsern möglich. Für die Registrierung wird lediglich eine E-Mail-Adresse benötigt, eine Telefonnummer ist nicht erforderlich. Unterhaltungen lassen sich automatisch über verschiedene Geräte hinweg synchronisieren, so dass du einen Chat zum Beispiel auf dem Desktop beginnen und auf deinem Mobilgerät fortsetzen kannst.
Der Firmensitz von Wire liegt in der Schweiz, die technische Entwicklung sitzt in Berlin. Die Server befinden sich dem Unternehmen zufolge innerhalb der Europäischen Union. Der Open-Source-Code der Client-Anwendungen kann auf GitHub eingesehen werden. Die Entwickler versprechen, Nutzerdaten weder zur Erstellung von Profilen oder zielgerichteter Werbung zu verwenden, noch Informationen an Dritte weiterzugeben.
Threema
Threema hat seinen Firmensitz ebenfalls in der Schweiz und wirbt mit Ende-zu-Ende-Verschlüsselung für sämtliche Nachrichten, einschließlich Gruppenchats, Medien und Statusmeldungen. Im Gegensatz zu Signal und Wire ist es aber nicht kostenlos und auch nicht vollständig Open Source. Für Threema spricht hingegen die relativ große Nutzerschaft von über 3,7 Millionen (Stand: Dezember 2015), die vor allem nach Bekanntwerden der WhatsApp-Übernahme durch Facebook im Februar 2014 sprunghaft angestiegen ist. Ein weiterer Vorteil ist, dass sich Threema auf Wunsch ohne Angabe einer Telefonnummer oder E-Mail-Adresse nutzen lässt. Zur Identifikation dient dann eine beim ersten Start der App zufällig generierte ID.
Mit Threema können Textnachrichten, Bilder, Videos, der eigene Standort und Sprachnachrichten versendet werden. Unter Android und iOS lassen sich zudem Dateien beliebiger Art mit einer Größe von bis zu 20 MByte übertragen. Eine Umfragefunktion erlaubt innerhalb der App Abstimmungen in einer Chatgruppe. Die generelle Handhabung ist recht unkompliziert. Jedoch müssen Nutzer auf Funktionen wie Audio- oder Videogespräche verzichten.
Zur Kommunikation und Verschlüsselung setzt Threema auf die quelloffene Kryptobibliothek NaCl. Verschlüsselung wie auch die Verwaltung von Gruppen und Kontakten erfolgen auf dem jeweiligen Endgerät der Nutzer. Die Identität eines Kontakts lässt sich durch das Scannen eines QR-Codes bestätigen. Die Threema-Server leiten die chiffrierten Nachrichten weiter und halten sie nur so lange vor, bis der Empfänger wieder online ist und sie abruft. Eine zusätzliche Transportverschlüsselung soll verhindern, dass Metadaten bei der Übertragung zwischen Endgerät und Server abgegriffen werden. Zudem sammelt Threema von Haus aus möglichst wenig Metadaten und kann sie dank der anonymen Anmeldung mittels ID theoretisch verschleiern.
Die Threema GmbH ist ein selbstfinanziertes Unternehmen. Es verspricht, keine Daten zu sammeln, auszuwerten oder zu verkaufen. Seine Messaging-App ist ausschließlich für Mobilgeräte erhältlich. Sie kostet einmalig 2,99 Euro (Android, iOS) respektive 1,99 Euro (Windows Phone).
Was ist mit WhatsApp?
Im Vergleich zum Marktführer WhatsApp mit über einer Milliarde Nutzer weltweit sind die genannten Alternativen nur sehr wenig verbreitet. Das ist auch ihr größter Nachteile. Schließlich nutzt einem der sicherste Messenger nichts, wenn man niemanden findet, der mit einem darüber kommuniziert. Dennoch lohnt es sich, Freunde oder Familienmitglieder zum Umstieg zu bewegen, wenn du Wert auf Datenschutz und Privatsphäre legst. Denn die Facebook-Tochter gerät immer wieder ins Visier von Datenschützern. Zuletzt musste Facebook auf Druck verschiedener europäischer Datenschutzbehörden seine Ende August angekündigten Pläne vorerst auf Eis legen, mit WhatsApp personenbezogene Daten wie Telefonnummern auszutauschen, um unter anderem passendere Werbung anzuzeigen. Das letzte Wort in dieser Sache ist allerdings noch nicht gesprochen.
Immerhin bietet WhatsApp seit April dieses Jahres allen Nutzern durchgehende Ende-zu-Ende-Verschlüsselung. Es verwendet dazu eine angepasste Version des Signal-Protokolls. Dies verhindert zumindest, dass WhatsApp, Facebook oder Dritte Nachrichteninhalte mitlesen können. Unklar ist hingegen, was genau mit den zugehörigen Metadaten geschieht – auch, weil der WhatsApp-Programmcode nicht Open Source ist. Diese Metadaten sind für die Werbeindustrie sowie für Strafverfolgungsbehörden oder Geheimdienste aber oft noch interessanter als die eigentlichen Nachrichten.
Schütze deine Privatsphäre im Netz - bevor es zu spät ist
Kritiker des neu gewählten US-Präsidenten Donald Trump fürchten eine weitere Zunahme der Online-Überwachung. Wer sich schützen will, sollte unter anderem seine Kommunikation verschlüsseln und Zwei-Faktor-Authentifizierung nutzen.
Der designierte US-Präsident Donald Trump ist bekanntlich kein Befürworter von Verschlüsselung und zugleich ein Verfechter der Massenüberwachung. Kritiker fürchten nach seiner Amtseinführung im Januar 2017 noch umfassendere Überwachungsmaßnahmen, welche die Privatsphäre im Netz weiter gefährden. „In gut zwei Monaten wird Donald Trump einen unvorstellbar gewaltigen und weltweit einzigartigen Sicherheits- und Militärapparat kontrollieren“, erklärte etwa Trevor Timm, Executive Director der Freedom of the Press Foundation, im Guardian. „Der Albtraum, vor dem Bürgerrechtler schon seit Jahren gewarnt haben, ist nun auf tragische Weise wahr geworden: Statt den Überwachungsstaat und die Kriegsmaschinerie zu demontieren, haben die Regierung Obama und die Demokraten sie institutionalisiert – und sie werden bald in den Händen eines Irren sein.“
Whistleblowser Edward Snowden warnte Ende vergangener Woche per Videoschalte aber davor, den neu gewählten US-Präsidenten als alleinige Bedrohung für die Privatsphäre zu sehen. Staatliche Überwachung sei eine globale Gefahr. In Bezug auf Obama und seinen Nachfolger Trump fügte er hinzu, dass man nicht zu viel Hoffnung oder Furcht in einen gewählten Politiker setzen sollte. „Wenn wir eine bessere Welt wollen, können wir nicht auf einen Obama hoffen oder einen Trump fürchten. Wie sollten sie selbst aufbauen.“ Mit anderen Worten sollten Bürger sich also eigenständig Gedanken um ihre Sicherheit und Privatsphäre machen, statt sich auf die Politik zu verlassen.
Hilfreiche Schutzmaßnahmen
Um dich und deine Daten im Internet möglichst gut zu schützen, solltest du unter anderem Verschlüsselung einsetzen. Das gilt etwa für die Kommunikation via E-Mail und Messenger. Empfehlenswert sind Dienste mit Ende-zu-Ende-Verschlüsselung. Da dabei die zu übertragenden Daten auf Seiten des Absenders verschlüsselt und erst beim Empfänger wieder entschlüsselt werden, haben die Anbieter selbst keinen Zugriff auf die Kommunikationsinhalte und können diese somit auch nicht auf Anfrage oder Gerichtsbeschluss herausgeben. Beispiele für derartige Kommunikationsdienste sind der Schweizer E-Mail-Service ProtonMail und der freie Krypto-Messenger Signal.
Als weitere Schutzmaßnahme solltest du immer Zwei-Faktor-Authentifizierung verwenden, um dich bei einem Service anzumelden. Die meisten Dienste bieten inzwischen den Identitätsnachweis mittels der Kombination zweier unabhängiger Komponenten an. In der Regel wird neben einem Passwort ein zusätzlicher Code abgefragt, der während der Anmeldung beispielsweise per Textnachricht ans Smartphone gesendet wird. Diese Methode ist deutlich sicherer als der ausschließliche Einsatz von Passwörtern. Letztere können oft relativ leicht geknackt werden. Oder Hacker verschaffen sich Passwörter direkt aus einer unzureichend abgesicherten Anbieter-Datenbank. Jüngstes Beispiel dafür ist der Hack des Betreibers der Sexkontaktbörse Adult Friend Finder, bei dem insgesamt über 410 Millionen Konten und Passwörter kompromittiert wurden. Generell sollte man dasselbe Passwort niemals für mehrere Dienste verwenden. Hilfreich ist auch, alle genutzten Apps und Dienste stets auf dem neuesten Stand zu halten, damit immer die jüngsten Sicherheitsupdates installiert sind.
Datensammelei einschränken
Zum Schutz der Privatsphäre ist es Edward Snowden zufolge vor allem wichtig, nach Firmen Ausschau zu halten, „die Dich als primären Kunden sehen“. Damit meint er sicher nicht Facebook oder Google. „Alles, was Du bei Google eingibst, wird für immer gespeichert“, betonte der Whistleblower. Im Gegensatz dazu sammle zum Beispiel Signal so gut wie keine Daten. Aufgrund seiner Ende-zu-Ende-Verschlüsselung konnte der Signal-Entwickler Open Whisper Systems in einem konkreten Fall auf Regierungsanfrage lediglich Telefonnummer, Datum der Kontoerstellung und den letzten Anmeldezeitpunkt herausgeben. „Die bestmögliche Art, sich [vor dem Überwachungsapparat] zu schützen, besteht darin, keine Daten als Unternehmen zu sammeln, die nicht benötigt werden“, so Snowden. Damit reiht er sich in einen Chor ein, der Internetfirmen zur Einschränkung ihrer Datensammelei auffordert, ehe die Regierung staatliche Maßnahmen zur Strafverfolgung und Überwachung eventuell ausweitet.
Am besten ist es natürlich, von vornherein zu verhindern, dass überhaupt personenbezogene Daten gesammelt und auf einem Server gespeichert werden. Dabei hilft die von Cliqz entwickelte Anti-Tracking-Technologie. Sie verhindert, dass Tracker auch seitenübergreifend alle deine Aktivitäten im Web aufzeichnen. Unser Anti-Tracking unterbindet die Übertragung unsicherer Daten, anhand derer einzelne Nutzer identifizierbar sind, und schützt so deine Privatsphäre. Cliqz speichert zudem grundsätzlich keinerlei persönliche Daten auf seinen Servern. Mithilfe des in unseren Desktop-Browser integrierten Transparenz-Cockpits kannst du jederzeit überprüfen, welche Daten dein Browser an uns sendet und was mit ihnen geschieht. Gebe dazu einfach „about:transparency“ in die Browserzeile ein. Die ebenfalls eingebaute Unterstützung für HTTPS Everywhere sorgt dafür, dass standardmäßig verschlüsselte Verbindungen zu Websites aufgebaut werden. Das erschwert das Abhören des Netzwerkverkehrs. Darüber hinaus sind der Cliqz Browser und alle integrierten Funktionen Open Source: Der Softwarecode ist für jedermann auf GitHub einsehbar.
Wie lösche ich meine Daten aus dem Netz?
Im Internet sammeln sich im Lauf der Zeit zahlreiche Daten über dich – und es vergisst nicht! Du kannst aber mit einigen Tricks vertrauliche oder unerwünschte Informationen entfernen bzw. löschen lassen. Das können etwa personenbezogene Daten, peinliche Fotos, Forenbeiträge oder komplette Social-Media-Profile sein. Jedoch gestaltet sich das Löschen teilweise schwierig. Wir sagen dir, wie du deine Spuren im Netz verwischen kannst.
Rechtliche Grundlage für das Berichtigen, Löschen oder Sperren von Nutzerdaten bildet Paragraf 35 des Bundesdatenschutzgesetzes. Dieser besagt unter anderem, dass Daten zu löschen sind, wenn sie für den Seitenbetreiber nicht mehr erforderlich sind. Das ist beispielsweise der Fall, wenn sich ein Nutzer von kostenlosen Diensten wie Foren oder sozialen Netzen abmeldet. Gelten hingegen gesetzliche Aufbewahrungsfristen, was etwa bei kostenpflichtigen Services oder Onlineshops zutrifft, muss der Seitenbetreiber die Daten nicht löschen, aber sperren. Das im Mai 2014 vom Europäischen Gerichtshofs gefällte Urteil zum „Recht auf Vergessenwerden“ verpflichtet darüber hinaus Suchmaschinenbetreiber, unter bestimmten Voraussetzungen Links auf Antrag aus ihren Ergebnislisten zu streichen, die bei der Suche nach einer Person erscheinen. Wichtigstes Kriterium ist, dass die zu löschenden Einträge die Persönlichkeitsrechte des Antragsstellers verletzen.
Facebook ade
Willst du ein komplettes Profil oder Konto löschen, solltest du zunächst in den jeweiligen Kontoeinstellungen nach einer entsprechenden Option suchen. Sie findet sich meist unter Punkten wie Datenschutz oder Sicherheit. Beispielsweise haben Nutzer bei Facebook zwei Auswahlmöglichkeiten: ihr Konto zu deaktivieren oder zu löschen. Erstere Option erlaubt eine spätere Wiederherstellung, bei Letzterer werden das Profil und alle zugehörigen Daten dauerhaft entfernt. Um deinen Account vorübergehend stillzulegen, musst du dich zunächst bei Facebook anmelden und anschließend in den Einstellungen unter „Sicherheit“ den Punkt „Deaktiviere dein Konto“ bearbeiten. Nach einer Bestätigung wird dein Profil bis zur nächsten Anmeldung mit den üblichen Log-in-Daten gesperrt. Dein Name und deine Fotos werden dann laut Facebook „von einem Großteil deiner geteilten Inhalte entfernt“. Somit ist das eigene Facebook-Profil für andere Mitglieder und auch Suchmaschinen nicht mehr auffindbar. Einige Informationen können aber weiterhin für andere Mitglieder sichtbar sein, etwa dein Name in der Freundesliste einer anderen Person und Nachrichten, die du mit deinen Freunden ausgetauscht hast. Zudem bleiben alle Daten auf Facebooks Servern gespeichert.
Wer das verhindern will, muss sein Facebook-Konto dauerhaft löschen. Dafür bietet das Social Network jeoch keinen eigenen Menüpunkt in den Einstellungen an. Stattdessen musst du nach der Anmeldung an deinem Konto den Link www.facebook.com/help/delete_account aufrufen und auf der angezeigten Seite auf „Mein Konto löschen“ klicken. Es folgt die Aufforderung, das Passwort und ein Captcha einzugeben. Eine erneute Bestätigung schließt den Löschauftrag formell ab. Allerdings beginnt Facebook mit der eigentlichen Löschung deiner hinterlegten Daten von seinen Servern erst nach einer zweiwöchigen Frist. Der tatsächliche Löschvorgang kann bis zu 90 Tage dauern und umfasst alle veröffentlichten Beiträge, Fotos, Statusmeldungen oder andere in den Sicherungssystemen gespeicherten Daten. Meldest du dich in dieser Zeit erneut an deinem Konto an, wird der Löschauftrag widerrufen. Außerdem gilt auch hier, dass nicht direkt in deinem Konto gespeicherte Informationen wie Nachrichten an Freunde erhalten bleiben.
Google-Konto oder -Dienste löschen
Wie Facebook speichert auch Google massenhaft Daten über seine Nutzer. Das Google-Konto ist in der Regel gleich mit mehreren Diensten des Internetkonzerns verknüpft, darunter das soziale Netzwerk Google+, die Videoplattform YouTube oder der E-Mail-Dienst Gmail. Diese Dienste kannst du auf Wunsch einzeln aus deinem Google-Konto entfernen. Öffne dazu erst die Seite „Mein Konto“ und melde dich an. Auf der angezeigten Seite findest du unten den Punkt „Konto oder Dienste löschen“. Ein Klick darauf öffnet die Auswahl zwischen „Produkte löschen“ und „Google-Konto und -Daten löschen“. Der Punkt „Produkte löschen“ bringt dich nochmals zum Anmeldefenster, in das du erneut dein Passwort eingeben musst. Anschließend erscheint eine Liste mit den aktiv von dir genutzten Google-Diensten. Ein Klick auf das entsprechende Mülleimersymbol öffnet einen Bestätigungsdialog samt einer ausführlichen Erklärung. Beispielsweise musst du beim Löschen deines Google+-Profils durch Setzen eines Häkchens bestätigen, dass der Vorgang „nicht rückgängig gemacht werden kann“ und die „gelöschten Daten nicht wiederhergestellt werden können“. Ein Klick auf „Google+ löschen“ schließt den Vorgang ab.
Ebenso ist es möglich, ein Google-Konto vollständig zu entfernen. Dadurch werden dem Internetkonzern zufolge auch alle Daten damit verknüpfter Google-Dienste gelöscht. Wähle hierzu in den „Mein Konto“-Einstellungen unter „Konto oder Dienste löschen“ die Option „Google-Konto und -Daten löschen“ aus. Es folgt eine Liste der Inhalte, die gelöscht werden. Ganz unten musst du noch ein Häkchen bei „Ja, ich möchte dieses Google-Konto und alle zugehörigen Daten endgültig löschen“ setzen, ehe du mit einem Klick auf „Konto löschen“ den Vorgang abschließen kannst.
Ähnlich funktioniert die Kontolöschung auch bei Diensten wie Twitter, Instagram, Spotify, Paypal, Skype, Xing oder LinkedIn. Häufig wird der Account zunächst nur deaktiviert, ehe die Daten nach Ablauf einer Frist endgültig gelöscht werden.
Einträge aus Suchergebnissen und Cache entfernen
Um einen alten Forenbeitrag oder einen Blogpost nachträglich entfernen zu lassen, musst du dich direkt an den jeweiligen Website-Betreiber wenden. Die benötigten Kontaktinformationen findest du meist direkt auf der Website unter „Impressum“, „Über uns“ oder „Kontakt“. Alternativ kannst du auch bei who.is oder Denic nach Kontaktdaten für eine Domain suchen. In einer höflich formulierten Anfrage solltest du schlüssig begründen, warum du einen Eintrag entfernt haben möchtest. Private Seitenbetreiber sind nämlich nicht verpflichtet, derlei Inhalte zu löschen. Viele sperren sich daher gegen eine Löschung, bieten aber häufig immerhin eine Anonymisierung an, so dass dein Name nicht mehr in dem Beitrag auftaucht.
Etwas anders verhält es sich bei vertraulichen persönlichen Daten wie Bankkontoinformationen oder Bildern von Unterschriften. In diesem Fall musst du zunächst wieder den jeweiligen Seitenbetreiber bitten, die Daten zu löschen. Kommt er dem nicht nach, hast du zusätzlich die Möglichkeit, bei Google das Entfernen dieser Informationen aus den Suchergebnissen per Formular zu beantragen, damit sie weniger leicht auffindbar sind. Laut Googles Richtlinien zum Löschen von Inhalten kann es den Antrag aber auch ablehnen. In der Regel nicht gelöscht werden Informationen wie Geburtsdatum, Adressen oder Telefonnummern. Microsoft bietet für seine Suchmaschine Bing ebenfalls ein Antragsformular zur Sperrung von Suchergebnissen an. Leider gilt auch hier, dass die Bearbeitung einige Zeit dauern kann und der Erfolg nicht garantiert ist.
Wie du vielleicht weißt, ist in den Cliqz-Browser eine Schnellsuchmaschine integriert, für die die Cliqz GmbH einen eigenen Web-Index betreibt. Um Einträge aus dem Web-Index von Cliqz löschen zu lassen, wende dich bitte an unseren Support. Dieser informiert dich dann über das weitere Vorgehen.
Außer aus dem Suchmaschinenindex kannst du Daten auch aus dem Cache von Google und Bing entfernen lassen. So verhinderst du, dass persönliche Informationen weiterhin auffindbar sind, obwohl sie bereits von den Quellseiten gelöscht wurden. Sowohl bei Google als auch bei Bing stehen dazu eigene Tools bereit. Selbst wenn der Löschantrag aus verschiedenen Gründen scheitern kann, ist es den Versuch auf jeden Fall wert.
Datenlöschung als Dienstleistung
Wer nicht die Zeit hat oder den Aufwand scheut, alle Website-Betreiber selbst zu kontaktieren, um sie zur Löschung seiner Daten aufzufordern, kann auch die Hilfe darauf spezialisierter Agenturen in Anspruch nehmen. Sie übernehmen gegen Bezahlung die Recherche sowie die Kommunikation mit den Seitenbetreibern und veranlassen im Namen ihres Auftraggebers die Löschung der fraglichen Inhalte. Zudem prüfen sie auf Wunsch regelmäßig, ob zuvor gelöschte Daten erneut im Netz aufgetaucht sind. Dazu stehen ihnen aber keine schlagkräftigeren Mittel zur Verfügung als einem Privatmann, weshalb ein Erfolg auch hier nicht garantiert ist.
Letztlich musst du dir bewusst sein, dass sich die eigenen Spuren im Netz meist nicht vollständig tilgen lassen. Daher solltest du dir am besten schon im Voraus gut überlegen, welche Informationen du im Internet öffentlich verfügbar machen willst und welche nicht.
Browser Fingerprinting: Wie schütze ich mich?
Unser Cliqz Browser verfolgt einen neuartigen Ansatz. Er blockiert Javascript oder Erweiterungen, die zum Datensammeln eingesetzt werden, nicht direkt, sondern verhindert generell die Übertragung eindeutiger Daten an die Tracker. Damit bist du auch vor neuen Tracking-Methoden auf Basis von Fingerprinting sicher.
Wer sich vor Tracking im Web schützen will, sollte Cookies deaktivieren. Diese Empfehlung war lange Zeit gültig, reicht heute aber nicht mehr aus. Denn unter dem Sammelbegriff Fingerprinting existieren inzwischen eine Reihe von Tracking-Techniken, mit denen sich Nutzer ohne Einsatz von Cookies eindeutig identifizieren lassen. Ist dies geschehen, können Tracker-Betreiber das Nutzungsverhalten nachverfolgen und analysieren.
Browser Fingerprinting steht für das Prinzip, sich verfügbare Web-Schnittstellen (APIs) zunutze zu machen, um eine für einen bestimmten Browser einmalige Kennnummer zu erstellen, die sich zuverlässig wiederholt berechnen lässt. Diese Nummer kann dann dazu verwendet werden, den Browser eines bestimmten Nutzers zu identifizieren. Auf diese Weise lässt sich feststellen, welche verschiedenen Webseiten der Nutzer mit diesem Browser besucht hat. Die einzelnen Besuche können dann miteinander in Verbindung gebracht werden. Dieses Verfahren hat einige Aufmerksamkeit erregt, weil es ein zuverlässiges Tracken des Browsers ermöglicht – selbst wenn der Nutzer diesen neu installiert und Cache sowie Profil löscht.
Ständiges Wettrüsten
Die Generierung dieser Fingerabdrücke beruht auf APIs, die durch Code aufrufbar sind, der beim Öffnen einer Webseite ausgeführt wird. Übliche Verfahren setzen Javascript sowie Browser-Erweiterungen ein, um zahlreiche Merkmale zu sammeln, darunter Bildschirmauflösung, Größe des Browserfensters und installierte Schriftarten. Diese können sich von Browser zu Browser leicht unterscheiden. Kombiniert können diese Unterschiede ausreichenden Informationsgehalt liefern, um einen sogenannten Unique Identifier (also einen digitalen Fingerabdruck) für deine Browserkonfiguration zu erstellen. Es gibt frei verfügbare Bibliotheken, die sich eine lange Liste verschiedener APIs zunutze machen, um stabile Unique Identifier zu generieren.
Ein Lösungsansatz, um diese Fingerprinting-Methoden zu unterbinden, besteht in dem Versuch, die Fingerprinting-Algorithmen zu stören, indem man entweder Javascript und Erweiterungen komplett blockiert (NoScript) oder die APIs verändert, sodass sie weniger einzigartig sind. Der Tor-Browser unternimmt große Anstrengungen, viele verschiedene Arten von Fingerprinting direkt zu blockieren. Jedoch werden mit der Zeit immer mehr Vektoren entdeckt, die sich zur eindeutigen Identifikation eignen. Es erfordert also stetige Wachsamkeit, um Schutz vor neuen Fingerprinting-Verfahren zu bieten – ein ständiges Wettrüsten. Die Schöpfer von Web-Standards sind sich des Risikos inzwischen bewusst, dass neu erstellte APIs eventuell Fingerprinting ermöglichen.
Der neuartige Ansatz von Cliqz
Es gibt zahlreiche Websites, die Fingerprinting demonstrieren und bewerten, wie erfolgreich der verwendete Browser Fingerprinting-Techniken entschärft. In diesen Tests schneidet Cliqz schlecht ab, und sie legen nahe, dass wir Fingerprinting nicht blockieren. Woran liegt das, wird der eine oder andere Nutzer fragen. Sollte Cliqz nicht vor Tracking-Verfahren schützen?
Die Antwort darauf lautet, dass der Cliqz Browser keinerlei direkte Anti-Fingerprinting-Maßnahmen einsetzt. Der Grund dafür ist, dass man nicht das jeweilige Fingerprinting blockieren muss, um Tracking zu verhindern. Wie wir in unserer Web-Tracking-Einführung erläutern, ist die Erstellung eines Unique Identifier für den Nutzer nur der erste Schritt im Tracking-Prozess. Um Daten zu sammeln, muss der Tracker diesen Identifier vom Browser zurückerhalten. Cliqz’ Anti-Tracking-Technologie setzt an diesem Punkt an und ist in der Lage, eindeutige Datenwerte in Anfragen zu erkennen und zu entfernen. Ein eventuell im Browser erstellter Fingerabdruck wird beim Senden blockiert, so dass Tracking-Betreiber diese Daten nicht erhalten. Der Vorteil dieser Methode besteht darin, dass sie unabhängig von dem eingesetzten Fingerprinting-Verfahren funktioniert. Dadurch müssen wir uns nicht am Fingerprinting-Wettrüsten beteiligen. Und Cliqz-Nutzer sind auf diese Weise immer vor Tracking geschützt.
Windows 10: Schnüffel-funktionen abschalten
Wie Google und Facebook sammelt auch Microsoft massenhaft Nutzerdaten. Das Unternehmen aus Redmond nutzt dazu nicht nur seine Online-Dienste, sondern ebenfalls sein Windows-Betriebssystem. Vor allem die jüngste Version Windows 10 steht aufgrund zahlreicher Spionagefunktionen in der Kritik. Wir verraten dir, wie du der Schnüffelei Einhalt gebieten kannst.
Immerhin kommuniziert Microsoft in seinen Datenschutzbestimmungen relativ offen, welche Informationen es zu welchen Zwecken sammelt. Dort ist gleich mehrfach von einer „Verwendung der Daten für eine Verbesserung und Personalisierung Ihrer Erfahrungen“ sowie von „interessenbezogener Werbung“ die Rede. Die Absichten scheinen also klar, nicht aber, was tatsächlich mit den auf Microsofts Servern gespeicherten Informationen geschieht. Als US-Unternehmen kann der Softwarekonzern aus Redmond per Gerichtsbeschluss beispielsweise verpflichtet werden, Behörden wie dem Geheimdienst NSA Einblick in die Daten zu geben.
Wer verhindern möchte, dass Microsoft sich weitreichende Rechte zur Datenübertragung einräumt, sollte schon bei der Installation von Windows 10 einige Änderungen vornehmen und nicht einfach die Standardeinstellungen übernehmen. Hast du dich bei der Einrichtung des Systems für die „Express-Einstellungen“ entschieden, kannst du die Optionen aber im Nachhinein noch ändern.
Dabei ist jedoch stets zu beachten, dass einige Komfortfunktionen nicht zur Verfügung stehen, wenn Microsoft keine Daten sammeln darf. Beispielsweise empfiehlt es sich aus Datenschutzgründen, auf die Windows-Anmeldung mit einem Microsoft-Konto zu verzichten und stattdessen ein lokales Konto zu verwenden. Allerdings kannst du dann weder die automatische Synchronisation von Einstellungen, Kennwörtern und anderer Daten zwischen mehreren Geräten nutzen noch Apps im Microsoft Store kaufen. Bei Bedarf lässt sich auch später zu einem lokalen Konto für die Windows-Anmeldung wechseln, indem die Verbindung zum Microsoft-Konto gekappt wird. Dies ist über den Punkt „Konten“ im Einstellungsmenü möglich (Reiter „Ihr Konto“ > „Stattdessen mit einem lokalen Konto anmelden“). Dort findest du auch den Reiter „Einstellungen synchronisieren“, unter dem du die Synchronisierung komplett oder für einzelne Bereiche ausschalten kannst.
Datenschutzoptionen anpassen
Die meisten Datenschutzoptionen sind in den Einstellungen unter dem Punkt „Datenschutz“ konfigurierbar. Im Reiter „Allgemein“ kannst du etwa Apps die Nutzung einer eindeutigen Werbungs-ID untersagen, den SmartScreen-Filter deaktivieren und den in Windows 10 enthaltenen Keylogger, der Tasteneingaben aufzeichnet, ausschalten. Dazu musst du die entsprechenden Schalter auf „Aus“ stellen, für den Keylogger zum Beispiel unter „Informationen zu meinem Schreibverhalten an Microsoft senden, um die Eingabe- und Schreibfunktionen in Zukunft zu verbessern“. Die Werbungs-ID dient der Einblendung personalisierter Anzeigen im Browser. Dafür werden unter anderem Standort, aufgerufene Inhalte und Suchanfragen an Microsoft übermittelt und verarbeitet. Der SmartScreen-Filter sendet ebenfalls Daten über verwendete Webinhalte. Sie werden mit einer Datenbank zum Schutz vor Phishing und Malware abgeglichen. Da eine solche Sicherheitsfunktion in den meisten Antivirenlösungen bereits enthalten ist, können Windows-10-Nutzer sie meist bedenkenlos deaktivieren.
Durch Auswahl des Links „Microsoft-Werbung und andere Personalisierungsinfos verwalten“ unter Datenschutz > Allgemein wirst du auf eine Website geleitet. Dort kannst du festlegen, ob du personalisierte Werbung von Microsoft und Drittanbietern blockieren möchtest.
In den Datenschutzeinstellungen lässt sich darüber hinaus der Zugriff von Apps auf Standort, Kamera, Mikrofon, Kontakte, Kalender, etc. unterbinden – entweder komplett oder nur für einzelne Anwendungen. Hinter dem Reiter „Feedback und Diagnose“ im Datenschutzmenü verbergen sich die Einstellungen zur Übermittlung von Telemetriedaten an Microsoft, darunter die verwendete Windows-Version, die Maschinenkennung und die Geräteklasse. Die Diagnose- und Nutzungsdaten können auch private Dateien enthalten, wenn die Option „Vollständig“ ausgewählt ist. Setzt du sie auf „Einfach“ wird die Übermittlung zumindest eingeschränkt. Komplett verhindern lässt sie sich nicht.
Cortana und Websuche deaktivieren
Der in Windows 10 integrierte digitale Assistent Cortana bietet einige nützliche Komfortfunktionen, benötigt dafür aber möglichst viele Informationen über den Nutzer. Er wertet in der Microsoft-Cloud unter anderem Kontakte, Browserverlauf, Spracheingaben, Standort oder Kalendereinträge aus. Zudem lauscht er je nach Einstellung dauerhaft nach einem Aktivierungswort. Wer auf Nummer sicher gehen möchte, sollte Cortana daher deaktivieren. Dazu musst du in den Datenschutzeinstellungen unter dem Punkt „Spracherkennung, Freihand und Eingabe“ auf „Kennenlernen beenden“ klicken und den anschließenden Hinweis bestätigen. Die Option, Cortana vollständig über das Suchfeld abzuschalten, hat Microsoft mit dem Anfang August ausgelieferten “Anniversary Update” entfernt. Jetzt ist dazu ein manueller Eingriff in die Windows Registry nötig: in den Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search muss ein DWORD-Wert mit dem Namen “AllowCortana” und dem Wert “0” eingetragen werden. Dann ist der digitale Assistent für alle Benutzer deaktiviert. Zusätzlich solltest du noch alle persönlichen Daten in den Sucheinstellungen auf der Bing-Website löschen. Dazu wählst du unter „Spracherkennung, Freihand und Eingabe“ den Link „Rufen Sie Bing auf, und verwalten Sie persönliche Infos für alle Ihre Geräte“.
Auch wenn Cortana abgeschaltet ist, kann das Suchfeld von Windows 10 weiterhin verwendet werden, um den lokalen Rechner oder das Web zu durchsuchen. Die Websuche nutzt aber standardmäßig Microsoft Bing, was sich nicht ändern lässt. Um auszuschließen, dass deine Suchverläufe auf diesem Weg an Microsoft übermittelt werden, solltest du die Websuche besser ausschalten. Dies ist über den Schalter “Online suchen und Webergebnisse einbeziehen” im Einstellungsmenü des Suchfelds möglich.
Weitere Windows-10-Funktionen, die Nutzerdaten analysieren sind die App-Vorschläge und der Cloudspeicherdienst OneDrive. Die an deine Vorlieben angepassten Vorschläge für Startmenü und Sperrbildschirm, etwa auf Basis installierter Anwendungen, kannst du in den Einstellungen unter „Personalisierung“ ausschalten. OneDrive scannt alle deine hochgeladenen Mediendateien, in erster Linie um illegale Inhalte wie Kinderpornografie aufzuspüren. Die Daten werden weltweit in Microsofts Rechenzentren gehostet, für die dann nicht das deutsche Datenschutzrecht gilt. Eine Wahlmöglichkeit für den Speicherort bietet Microsoft für Privatnutzer nicht an.
Edge übermittelt Browser- und Suchverlauf
Der in Windows 10 als Standardbrowser vorkonfigurierte Edge sammelt ebenfalls massenhaft Daten über den Nutzer – vor allem, wenn man die Voreinstellungen beibehält. Natürlich verwendet Edge von Haus aus Microsofts Suchmaschine Bing, eine Alternative lässt sich nur relativ umständlich hinzufügen. Ist in der Einstellungsoption „Neue Tabs öffnen mit“ die Auswahlmöglichkeit „Beste Websites und empfohlener Inhalt“ aktiv, blendet Edge in einem neuen Browser-Tab Icons von häufig besuchten Websites sowie ausgewählte Inhalte von Microsofts Nachrichtenportal MSN ein. Um diese an die Interessen des Anwenders anzupassen, wird sein Nutzungsverhalten analysiert. Beispielsweise wertet Microsoft den gesamten Browserverlauf aus. Immerhin lassen sich in den Einstellungen von Edge Browserdaten wie Cookies, Cache, Browser- und Downloadverlauf, Kennwörter sowie Formulardaten lokal löschen. Ob sie damit aber auch von Microsofts Servern verschwinden, ist fraglich.
In den erweiterten Einstellungen von Edge sollte unbedingt die Seitenvorhersage deaktiviert werden. Laut Microsoft beschleunigt sie den Browser und verbessert das Lesen sowie die gesamte Nutzung. Dazu analysiert es aber sehr ausführlich das Surfverhalten des Anwenders. Ähnliches gilt für die Suchvorschläge, die an gleicher Stelle abgeschaltet werden können.
Wenn du die Datenweitergabe durch Edge halbwegs unterbinden willst, musst du also zahlreiche Funktionen deaktivieren. Und selbst dann ist nicht eindeutig klar, welche Daten weiterhin übermittelt und verarbeitet werden. Warum dann nicht gleich einen sicheren Browser wie Cliqz verwenden? Wir speichern keinerlei persönliche Daten auf unseren Servern, mit denen einzelne Nutzer identifizierbar sind. Mithilfe des in unseren Desktop-Browser integrierten Transparenz-Cockpits kannst du jederzeit überprüfen, welche Daten der Cliqz Browser an uns sendet und was mit ihnen geschieht. Gebe dazu einfach „about:transparency“ in die Browserzeile ein. Zusätzlich verhindert die eingebaute Anti-Tracking-Technologie ohne Konfigurationsaufwand, dass Tracker alle deine Aktivitäten im Web aufzeichnen. Mit der ebenfalls integrierten Schnellsuche lässt sich zudem das Web durchsuchen, ohne persönliche Datenspuren zu hinterlassen. Für vollständige Transparenz sorgt, dass alle zentralen Cliqz-Funktionen Open Source und für jedermann auf GitHub einsehbar sind.
Datenskandal um Browser-Add-ons: Politik fordert Aufklärung
Der aufgedeckte Datenskandal rund um das Browser-Add-on Web of Trust (WOT) scheint nun die Politik zum Handeln zu zwingen. Nachdem im Rahmen der NDR-Recherchen für das ARD-Magazin Panorama auch Datensätze ranghoher Politiker auftauchten, will sich jetzt der Bundestag mit dem Thema befassen. Statt weiter auf die Politik zu warten, solltest du umgehend selbst handeln, um deine Privatsphäre im Netz zu schützen.
Bei der nächsten Sitzung des Digitalausschusses des Parlaments am kommenden Mittwoch soll das Innenministerium auf Wunsch von Union und SPD die Abgeordneten über die Sachlage im Fall WOT aufklären. “Das Innenministerium muss darlegen, ob hier eine Rechtslücke oder lediglich ein Durchsetzungsproblem besteht“, sagte Lars Klingbeil, netzpolitischer Sprecher des SPD-Bundestagsfraktion, gegenüber Spiegel Online. „Wir müssen die zuständigen Behörden personell so ausstatten, dass sie Verdachtsmomenten und Hinweisen schnell nachgehen können. Wir brauchen hier eine Antwort des Innenministeriums auf die Frage, ob dies zur Zeit gewährleistet ist.”
Klingbeil ist übrigens einer der Parlamentarier, dessen Name in einem kostenlosen Probedatensatz enthalten war, die der NDR über eine Scheinfirma von einem Zwischenhändler bezogen hatte. Dieser Datensatz umfasste alle im August aufgerufenen Webseiten von rund drei Millionen Nutzern und insgesamt mehr als drei Milliarden Einträge zu zehn Milliarden Webadressen, anhand derer sich das Privat- und Arbeitsleben der Betroffenen minutiös nachzeichnen lässt. „Man wird damit durchaus erpressbar“, erklärte Valerie Wilms, Bundestagsabgeordnete der Grünen aus Pinneberg in Schleswig-Holstein, gegenüber Panorama. Ihre gehandelten Browserdaten eröffneten unter anderem Einblicke in ihre Reiseverläufe, ihre Steuerdaten und ihre politische Arbeit.
Die Grünen wollen jetzt von der Bundestagsverwaltung wissen, „wie viele Abgeordnete in welchem Umfang betroffen sind und welche Schutzmaßnahmen“ angedacht sind. In ihrem von Spiegel Online zitierten Schreiben an Bundestagsvizepräsidentin Petra Pau (Die Linke) verlangen die Grünen zudem eine Antwort darauf, wie die Verwaltung Abgeordnete künftig gegen den Datenhandel zu schützen gedenkt.
War die Politik zu naiv?
Kritiker merken in diesem Zusammenhang an, warum die Politik erst jetzt reagiert. Schließlich ist die Datensammelwut vieler Unternehmen schon lange bekannt. Neben Großkonzernen wie Google und Facebook, die Nutzerdaten auch seiten- und geräteübergreifend sammeln und zu detaillierten Profilen zusammenführen, gibt es zahlreiche kleinere Player, die offensichtlich einen regen Handel mit unzureichend anonymisierten Daten treiben. Web of Trust dürfte da nur ein Beispiel von vielen sein. Eine genaue Überprüfung wie bei WOT ist aber schwierig und müsste manuell für jedes verdächtige Add-on erfolgen, um verlässliche Aussagen zu treffen.
In Folge des Datenskandals haben Mozilla und Google die WOT-Erweiterung mittlerweile aus ihren Add-on-Marktplätzen für Firefox respektive Chrome entfernt. Daraufhin äußerte sich erstmals der WOT-Anbieter selbst: „Wenn es Fälle gab, in denen Informationen nicht anonymisiert und geschützt wurden, werden wir das natürlich prüfen und wenn notwendig Maßnahmen treffen, um einen angemessenen Schutz unserer Nutzer sicherzustellen“, erklärte ein Sprecher gegenüber der Deutschen Presse-Agentur. Ob sie solchen Aussagen vertrauen, müssen Anwender letztlich selbst entscheiden.
Offenbar herrscht in der Politik beim Thema Datenhandel eine gewisse Blauäugigkeit. Das räumt auch der SPD-Abgeordnete Klingbeil ein: „Ich habe nicht gewusst, dass solche Sachen identifizierbar sind. Vielleicht ist man da naiv an der Stelle, aber da braucht man auf jeden Fall Aufklärung darüber, welche Daten eigentlich erhoben werden und was mit den Daten dann passiert.“ Wenn sich herausstelle, dass man den Firmen nicht einfach vertrauen könne, müssten Gesetze her, sagte er Panorama. Diese gibt es jedoch teilweise schon, etwa in Form des Bundesdatenschutzgesetzes. Es untersagt die Verarbeitung personenbezogener Informationen ohne Zustimmung des Nutzers. Oft agieren die Datensammler und Datenhändler aber vom Ausland aus und umgehen somit deutsches Recht.
Wer sich schützen will, muss selbst handeln
Aktuell scheinen jedenfalls die nötige Transparenz und ausreichende Kontrollinstanzen zu fehlen. Ob sich dies in absehbarer Zeit ändert, ist fraglich. Daher solltest du selbst die Initiative ergreifen, um deine Privatsphäre im Netz bestmöglich zu schützen.
Den wirksamsten Schutz vor Nachverfolgung bieten Browser wie Cliqz mit integrierter Anti-Tracking-Technologie. Sie verhindert von Vornherein, dass Tracker alle Aktivitäten im Web aufzeichnen und Einzelpersonen identifizieren können. Auf diese Weise sind Tracker-Betreiber nicht in der Lage, persönliche Profile zu erstellen. Die Anti-Tracking-Funktion des Cliqz-Browsers funktioniert ohne Konfigurationsaufwand. Zudem blockiert Cliqz die Installation von Add-ons, um zu verhindern, dass sich unsichere Erweiterungen etwa beim Besuch bestimmter Webseiten auf den Rechner schleichen. Denn oft bekommen Nutzer gar nicht mit, wenn sich ein Add-on im Hintergrund installiert. Cliqz ist somit aktuell der einzige Browser, der sowohl vor Tracking als auch vor unsicheren Add-ons schützt.
Panorama enthüllt: Browser-Erweiterungen spähen Millionen Nutzer aus
Das ARD-Magazin Panorama hat aufgedeckt, dass Datenhändler teilweise höchst vertrauliche Informationen von Millionen Internetnutzern verkaufen. Die Daten werden häufig von Browser-Erweiterungen gesammelt, die eigentlich einen ganz anderen Zweck erfüllen sollen. Auslöser der Recherchen war die Cliqz-Studie „Tracking the Trackers“.
Wie die Panorama-Recherchen zeigen, können Erweiterungen prinzipiell im selben Umfang Daten sammeln wie der Browser selbst. Das schließt Webseiten-Besuche, Suchmaschinenanfragen sowie Online-Einkäufe und -Transaktionen ein. Du solltest dich also immer fragen, ob du jeder Erweiterung genauso vertrauen kannst wie dem Browser selbst.
Beliebtes Browser-Add-on WOT sammelt massenhaft persönliche Daten
Panorama fiel vor allem das Add-on „Web of Trust“ (WOT) auf, das laut seinem finnischen Entwickler weit über 100 Millionen Mal heruntergeladen wurde. Es soll Nutzer eigentlich per Ampelsystem darauf hinweisen, ob sie einer Website vertrauen können oder nicht. Im Hintergrund protokolliert die Erweiterung laut den Recherchen des ARD-Magazins jedoch das Surfverhalten der Nutzer und sendet die Daten an einen Server im Ausland. Dort werde ein Profil erstellt, bei dem Datum, Uhrzeit, Ort und angesteuerte Webadresse gemeinsam mit einer Nutzerkennung abgespeichert würden. Diese Daten gingen dann an Zwischenhändler, die sie auf dem freien Markt verkauften.
Nach Angaben von WOT werden die Daten vor der Weitergabe an Dritte anonymisiert, wodurch sie keinem einzelnen Anwender zuzuordnen seien. Die Panorama-Reporter konnten aber dennoch anhand der Daten sehr leicht einzelne Nutzer persönlich identifizieren, etwa anhand von E-Mail-Adressen, Anmeldenamen oder anderen Bestandteilen der aufgezeichneten URLs. Dies ließ unter anderem Rückschlüsse auf Krankheiten, sexuelle Vorlieben oder Drogenkonsum einzelner Nutzer zu.
Das WOT-Add-on ist laut dem Panorama-Bericht kein Einzelfall. Es existierten zahlreiche andere Browser-Erweiterungen, die ungefragt Informationen zum Surfverhalten sammelten, welche dann bei Datenhändlern landeten.
Wie kann ich mich schützen?
Am besten schützt du dich vor spionierenden Erweiterungen, indem du generell auf Add-ons verzichtest. Oft bekommen Nutzer aber gar nicht mit, wenn sich eine Erweiterung im Hintergrund installiert. Manchmal werden Add-ons etwa zusammen mit einer anderen Software aufgespielt, die der Anwender heruntergeladen hat. So kann beispielsweise plötzlich eine Toolbar im Browser auftauchen, wenn man bei der Installation eines anderen Programms nicht darauf geachtet hat, ein Häkchen zu entfernen. Darüber hinaus schleichen sich manche Add-ons (beim Besuch bestimmter Webseiten, über Malware) heimlich auf deinen Rechner, deren einziger Zweck es ist, Daten abzugreifen.
Aus diesen Gründen unterstützt unser Cliqz Browser – anders als die meisten Konkurrenzprodukte – keine Erweiterungen. Auch wenn wahrscheinlich viele Browser-Add-ons unbedenklich sind, existiert doch ein nicht zu unterschätzendes Risiko für deine Sicherheit und Privatsphäre. Es ist technisch zu komplex, häufig sogar unmöglich, „gute“ von „schlechten“ Add-ons zu unterscheiden. Eine eingehende manuelle Überprüfung der Datensicherheit jedes einzelnen Add-ons ist meist ebenfalls nicht möglich.
Wir nehmen den Schutz von Nutzerdaten sehr ernst und sorgen mit unserer Privacy-by-Design-Architektur sowie sehr großem technischen Aufwand dafür, dass wir selbst keinerlei Daten auf unseren Servern speichern, anhand derer Nutzer identifiziert werden können. Unsere Anti-Tracking-Technologie verhindert zudem die Übermittlung solcher Daten an Tracker, die heutzutage leider in die meisten Webseiten eingebunden sind. Aus unserer Sicht ist es daher nur konsequent, unsere Nutzer auch vor „neugierigen“ Add-ons zu schützen, deren Geschäftsmodell allzu oft auf dem Verkauf von Daten beruht. Dabei bleibt oftmals völlig im Dunkeln, welche Daten an wen veräußert werden. Wer auf Nummer sicher gehen will, sollte also einen Browser nutzen, der erst gar keine Add-ons zulässt – so wie Cliqz.
Techblog: Woher Facebook genau weiß, was dir gefällt
Tracker verfolgen im Netz nahezu alle unsere Schritte, meist ohne unser Wissen oder unsere Einwilligung. Wie Online Tracking im Allgemeinen funktioniert und in welchem Umfang es stattfindet, erläutert der erste Teil einer von Cliqz durchgeführten Untersuchung. Sie richtet sich insbesondere an Technikinteressierte, die mehr über die Tricks der Tracker-Betreiber erfahren möchten. Daher belassen wir den Text im englischen Original.
How Facebook knows exactly what turns you on
We have developed our anti-tracking system to combat a culture of user data collection which, we believe, has gone too far. These systems operate hidden from the user, who just see advertising following them around the Internet, however permission to collect data about them was never asked, and the opportunity to opt-out rarely offered – violating the EU data protection laws. Site operators add these scripts to their pages because they trust these companies, and either do not know the consequences, or the convenience, utility or monetary reward of the service is enough for them to turn a blind eye. It is therefore left to the browser to protect the user from this assault on their privacy.
The modern web is built around advertising. A multi-billion dollar industry ($42bn in 2013 in the US and about 6bn in 2015 in Germany) primarily concerned with one question: How to make the most money by serving exactly the right ad, at the right time, to the right user.
Web pages are extremely complicated constructions, often meshing together multiple software tools and services from different providers, from analytics and social sharing widgets, to dynamic advertising and content recommendation engines. Consider an average news site with social media sharing buttons. More often than not, these are created by linking to scripts from Facebook, Google, Twitter, etc., which then inject the required content into the page. These third parties may then in turn load other required services into the page.
In isolation, this seems mainly harmless. Services are being provided to the website owners to better integrate third-party services such as social networks, add extra widgets such as comment sections and related content, and improve the website’s monetisation through targeted advertising.
However, the implementation of these services often cause a privacy side-effect: they allow third-parties to track your web-browsing across the web, and in some cases even link this history to you personally. When a user visits a new site the third parties included in the page can then look up the browsing history they have collected for this user, and then generate a personalised response based on this information. This is akin to being given a personalised newspaper where the adverts have been selected based on which articles you have read previously, in both this and other newspapers, any magazine articles you might have read, where you shop and what items you were looking for, where you bank and more. Our data shows that largest of these tracking third party services can be seen on almost half of all pages you might visit, and many others share and trade user data amongst each other in order to build a comprehensive user browsing history.
Luckily, as the web is an open system, we can see what these companies are up to, and equip the browser with the capability of foiling their attempts to send tracking data.
This post is the first part of a two-part series. In the second part we will describe how our Anti-tracking system works. This part acts as a background to that, describing the how and why behind online tracking. The methodology and data we present here is based on our published work on Anti-tracking, which we presented at WWW2016.
How online tracking works
The mechanism behind online user tracking is simple enough. First, one must be a third party to many page loads across the web. Our data shows that almost 30% of web sites require 10 or more different service providers to fully load their content, and dynamic advertising alone can bring this many different companies into the page. Secondly, the request a third party receives when loaded into a page should contain some kind of user identifier (uid) for the client visiting the page, as well as the address of the first party page visited (usually provided by the Referer [sic] header). Collecting together the first-party pages seen for each uid will then yield the browsing histories of all the users seen.
A simple list of visited web pages may not seem like a significant privacy violation to some, however further analysis can yield much more information than one might expect. Trackers can collect users’ browser and operating system, which can be used for price discrimination, and rough geographical location can be checked using IP geolocation. One can also find private urls in the history to determine membership of certain services, such as some online banking portals which contain trackers. Another example is the twitter analytics dashboard (e.g. analytics.twitter.com/user/sammacbeth/home). This url is only accessible when logged in as a specific user, and when accessed the browser will transmit this user name in the url to the trackers in this page (in testing, these included Google, Microsoft and tellapart.com), thus enabling these services to add a user’s twitter handle to the previously collecting browsing history. Private urls, such as this, are particularly dangerous, because they often contain Personal Identifiable Information (PII) which puts a real identify on the other urls that are being collected in that session (See http://www.slideshare.net/jmpujol/data-collection-without-privacy-sideeffects-at-big2016-www-2016 for an example.).
UID Generation Techniques
The uid that trackers need in order to attribute page loads to specific users can be generated in several different ways:
- Cookies – This is the simplest and most common method for generating uids. Cookies are a web standard for sharing state between a client and server over the stateless HTTP protocol. It is an important part of the web, which enables sites to keep track of your login and/or preferences between visits. Cookies work as follows: When a client makes a request to a server, in the response the server can set a header Set-Cookie with a value of its choosing. The client will, from then on, send this value in headers for any subsequent requests for this domain, and thus the server will know which user it was who sent the request.
- Network fingerprint – This method uses the properties of the network from which the request comes from as an identifier, usually the IP address. This varies in effectiveness based on whether users have unique IPs or not.
- Client fingerprint – Here, code is run in the client browser to try and build a unique identifier from data accessed in Javascript, Flash and other APIs, for example installed fonts, browser plugin versions, screen resolution, browser version and more. Techniques such as canvas fingerprinting are further able to fingerprint the specific hardware configuration of the user’s computer. Together this can generate a unique fingerprint which is stateless, and endures even when private data is cleared, and private tabs are used.
Once generated, these uids must be transmitted to the tracker with information about the page the user is visiting. Again there are three primary methods:
- HTTP Headers – This is metadata send along with a request with information for the server. This is where Cookies are transmitted, but also other data can be sent here. Our data shows that 45% of requests to third parties on web pages seen by our users contain a cookie header.
- URL Path – Arbitrary data can be sent in the URL path requested from the server. This is commonly in the form of a query or parameter string — key/value pairs separated by & or ; characters at the end of the query. 52% of third party requests have some kind of query string, and 1.5% a parameter string.
- Post data – This is data sent from the client as part of the main body of the request. We see this kind of request in 0.05% of cases.
Case Study 1: Facebook cookie tracking
Facebook use cookies to link your web-browsing behaviour to your Facebook account. Facebook widgets are embedded in various sites around the web, and will send the address of the page you are viewing along with your Facebook cookie, enabling Facebook to build a list of sites you have visited. Our data shows that Facebook’s widget reaches 25% of pages loaded by our users – this means that Facebook could collect 25% of an average user’s browsing history.
We can see this tracking in action by inspecting requests in the web browser. First, if we visit the Facebook home page, we can see a cookie called datr being set:
Now, upon visiting a site which has a Facebook widget, in this case bild.de, we can see a request to facebook.com. As third-party cookies are enabled in the browser (the default setting in all major browsers), we will send the cookie we got on the previous page along with the request. The Referer header of this request will also contain the site I am visiting: www.bild.de.
As I continue to browse the web, this process will repeat, and Facebook will collect a series of requests with this datr cookie and the pages I was viewing.
Finally, if I now log into my Facebook account, we see that the datr cookie remains, and now alongside a cookie with my Facebook user ID. This means that Facebook can now attribute all the pages I have viewed with my personal Facebook account.
This mechanism allows Facebook to collect your browsing habits across the web, in order to tailor adverts and recommendations within their site. Our measurements show that this tracking covers around 25% of pages visited by our users.
Facebook were banned last year from using this tracking on European users who had not logged into their site, however this was recently overturned, so this practice continues.
Case Study 2: Moatads fingerprinting
Moat is an analytics and advertising provider. They are present on many popular news sites, where their JavaScript is loaded into the page, and then a tracking pixel is sent back to their servers. We can observe this behaviour by opening two different sites in our web browser and inspecting the requests to moatads.com:
Here we can see many parameters are sent in the request, and many values match across both requests. However, we cannot know for sure if these represent uids, or just other values used legitimately for the service. However, the qn value is suspicious, as a long cryptic value which remains the same when visiting different sites.
We now try opening the same sites in a different browser:
Again, pixels are generated with various parameters set in the request URL. Some are the same as we saw in the first test, for example the qq parameter. However, looking at the qn value we see that it is again the same on both web pages, but different to the value we saw on Mac. We can hypothesise that this is a fingerprint of this browser which functions as a uid, however we would need more examples from more unique browsers to properly test this.
Finally, we test the qn in a private tab in the first browser. As shown below, we see that the same fingerprint is generated. Therefore, Moat are able to also tag page views in private tabs with the same uid as in a normal window, suggesting that they can bypass this protection for their tracking purposes.
Where are the trackers?
These two case studies have shown the technical means with which companies can collect the pages you visit, and group them by a particular user, be that against a specific facebook profile or just a hash value which uniquely identifies one’s computer. Having established that third parties may snoop on some pages you visit on the web (with the first party’s permission), the question is how far does this tracking reach, and how much of our browsing habits can these third parties collect?
We presented our data on the online tracking seen by 200,000 users over a two week period at the WWW2016 conference in April, which analysed over 13 million page loads by our users. A large study of 1 million sites has also been done by researchers at Princeton with similar findings to ours, although the study is not based on real user traffic but rather on data collected by instrumented browsers that download and scan for trackers top sites on the Web. We present some updated results from our on-going browser telemetry, during August 2016, and containing over 140 million page loads over 1.8 million unique domains. Multiple visits to the same site and/or page are counted multiple times, thus the data set weighs more popular pages more strongly, and represents the tracking observed by an average user of our browser.
The first result we observe from our data, is that a small collection of third parties are are installed in a huge number of visited pages. From a list of 2000 domains, representing the top tracking domains, we see that 96% of page loads include a request to a third party in this list. Over 80% of these page loads (and 78% of the total) contain some kind of tracking attempt. Thus, a user browsing the web with no tracking protection could be tracked on 78% of the pages they visit.
We can further look at how much of an average user’s browsing history each third-party company might be able to tracking. We analyse the ‘reach’ – the proportion of total page loads in the data set seen – by domains associated with particular companies or products. The figure below shows the top companies in terms of total reach, and for each we indicate the types of behaviour seen on each page. ‘Safe’ means that no tracking behaviour was seen, just that a request was made to the domain; ‘cookie’ and ‘qs’ mean that there was an attempt to transmit a uid with one of these methods, and ‘both’ means that both methods were used.
The figures show that the big players – and particularly Google, with their products taking the top three places – have significant reach across the web. Some specific company behaviours can also be observed, for example Google Analytics does not use cookies, using a weaker kind of fingerprint. Also, Amazon, offer CDN services on their cloudfront.net and amazonaws.com domains, thus a high proportion of their reach is safe.
The other feature of the tracking landscape is the long tail of tracking companies. There are 27 companies/services with over 5% reach, 110 with over 1%, then 450 over 0.1%. This 0.1% still corresponds to over 140,000 pages seen on this data set.
Finally, we can look at how many trackers are seen on each page load. The figure below shows how many distinct tracking domains were contacted for page loads in the dataset. We see that over 10% of pages have over 20 different trackers in them, and the vast majority of page loads have multiple trackers. Therefore, not only are users tracked across most of the web, after there are many companies who are able to generate comprehensive user profiles.
Conclusion
In this post we’ve given a general description of how online tracking works, and looked at the extent of tracker companies’ reach across the web. In the next post we will look at how we can stop this tracking, and give an in depth description of how our Cliqz Anti-tracking technology works to prevent tracking without an adverse effect on user experience.
Cliqz Study - How Facebook knows exactly what turns you on
Digitale Assistenten – Lauschangriff im Wohnzimmer
Auf Smartphones sind digitale Assistenten wie Googles Now, Apples Siri und Microsofts Cortana schon länger vertreten, im nächsten Schritt sollen sie nach dem Willen der Hersteller auch die Wohnzimmer erobern. Mit Google Home und Amazon Echo sind bereits zwei solcher sprachgesteuerten Assistenzsysteme erhältlich, die laut Werbeaussagen den Alltag der Nutzer erleichtern sollen. Vor allem eröffnen die Geräte den Anbietern jedoch eine neue Dimension der Datensammelei.
Bei den stationären digitalen Assistenten handelt es sich im Grunde um Lautsprecherboxen, die zugleich mit Fernfeldmikrofonen und Spracherkennung ausgestattet sind. Vollständig aktiviert werden sie durch Signalwörter wie „Alexa“ oder „Ok Google“. Um diese erkennen zu können, müssen sie aber ständig in den Raum hinein lauschen. Ob und was dabei möglicherweise aufgezeichnet wird, lässt sich nicht sicher sagen.
„Als Datenschützerin sehe ich intelligente Sprachassistenten, die mit einem Mikrofon permanent ihre Umgebung ‚belauschen‘, kritisch“, sagte die Bundesdatenschutzbeauftragte Andrea Voßhoff schon im Mai dem Magazin Wirtschaftswoche. Bedenklich sei vor allem, dass in der Regel nicht hinreichend transparent sei, wie die dabei erfassten Informationen genutzt und gespeichert würden. Sie rate dazu, „den Komfortgewinn durch die Nutzung des Sprachassistenten gegen eine – jedenfalls theoretische – Rund-um-die-Uhr-Überwachung der Privatsphäre abzuwägen.”
Mehrheit der Verbraucher lehnt Sprachassistenten ab
Eine gesunde Skepsis herrscht offenbar auch bei der Mehrheit der Verbraucher vor. Laut einer aktuellen Umfrage im Auftrag des IT-Branchenverbands Bitkom will nur rund jeder Zehnte einen stationären Sprachassistenten tatsächlich nutzen. 39 Prozent können sich den Einsatz abseits vom Smartphone zumindest vorstellen, etwa um Haushaltsgeräte zu steuern oder Informationen von Suchmaschinen abzurufen. Die Mehrheit hat aber keinerlei Interesse an einem Sprachassistenten im Wohnzimmer. Knapp drei Viertel davon begründen ihre Abneigung damit, dass sie keine Daten an Unternehmen übermitteln wollen. Für 16 Prozent kommt eine digitale Sprachsteuerung generell nicht in Frage. Viele fürchten um die Sicherheit ihrer Daten gegenüber Dritten. 61 Prozent haben Angst, dass Hacker die Geräte manipulieren und mithören könnten.
Die Datensammelei der Anbieter selbst dürfte aber die weitaus größere Gefahr für die Privatsphäre der Nutzer darstellen. Google und Co sind nämlich stets daran interessiert, möglichst viel über dich zu erfahren, um ein vollständiges persönliches Profil zu erstellen. Wenn sie dein Surfverhalten, deine Interessen und Vorlieben kennen, können sie ihre Services sowie Werbung perfekt auf dich zuschneiden. Je genauer Werbung deine Bedürfnisse trifft, desto effektiver ist sie, und umso mehr Geld lässt sich damit verdienen. Dabei sind die Anzeigen selbst nicht das größte Problem, sondern die dafür gesammelten Daten. Sie liegen auf den Servern der US-Hersteller und sind damit nicht vor dem Zugriff durch Dritte geschützt. Beispielsweise können sich US-Behörden wie der Auslandsgeheimdienst National Security Agency (NSA) mittels Gerichtsbeschluss Zugang verschaffen.
Datenverarbeitung in der Cloud birgt Gefahren
Herzstück von Google Home ist der neue Google Assistent, der Quasi-Nachfolger von Google Now. Er nutzt maschinelles Lernen und Künstliche Intelligenz, um sich mit der Zeit auf die Gewohnheiten sowie Verhaltensmuster des Anwenders einzustellen und somit Aufgaben wunschgemäß zu erledigen. Amazon setzt bei Echo auf seine entsprechende Lösung Alexa. Beide Systeme verarbeiten die Sprachbefehle nicht lokal, sondern auf Servern in der Cloud. Wenn du also via Heimassistent beispielsweise das Licht in deinem Wohnzimmer einschalten oder Musik abspielen willst, geht der Befehl einmal um die Welt, statt nur einige Meter zum Lichtschalter oder zur Stereoanlage.
Was dabei genau übertragen und dauerhaft gespeichert wird, ist meist genauso unklar wie die Antwort auf die wichtige Frage, mit wem die Daten geteilt werden. Spracheingaben liefern zudem oft wesentlich mehr Informationen als zunächst gedacht. Nutzer sollten sich daher im Klaren darüber sein, dass Dritte eventuell mitlesen beziehungsweise mithören. Wie immer gilt es, zwischen den Vorteilen technischer Neuerungen und dem Schutz deiner Privatsphäre abzuwägen. Denn letztlich entscheidest du als Verbraucher mit deinem Nutzungs- und Kaufverhalten, welche Technik – mit allen ihren Vor- und Nachteilen – sich durchsetzt und welche nicht.
Cliqz-Studie zeigt Gefahren von Tracking
Aktuell sorgen neue Erkenntnisse über Internet-Tracking und dem weltweiten Handel mit Daten für reichlich Wirbel. NDR-Recherchen bringen zutage, welche höchst privaten Informationen über Einzelpersonen in den Datensätzen stecken, die täglich millionenfach an Betreiber von Tracking-Technologien gehen. Im Beitrag wird darüber hinaus zu sehen sein, wie mit den Daten deutscher Nutzer im Ausland ein schwunghafter Handel betrieben wird. Die Recherchen kamen nicht zuletzt durch die Studie “Tracking the Trackers” ins Rollen.
Tracking ist im Internet weit verbreitet. Um die Risiken der Datensammelei für die Privatsphäre zu untersuchen, hat Cliqz die deutschlandweite Studie „Tracking the Trackers“ mit 200.000 Nutzern durchgeführt. Analysiert wurden 21 Millionen Aufrufe (Page Loads) von 5 Millionen Webseiten auf 350.000 verschiedenen Domains. Das erschreckende Ergebnis: Bei über drei Vierteln der Webseiten-Aufrufe erheben Tracker – beabsichtigt oder nicht – unsichere Daten. Als unsicher sind solche Daten einzustufen, anhand derer einzelne Nutzer identifiziert und durch das Web verfolgt werden könnten. Der mit Abstand größte Betreiber von Trackern ist der Studie zufolge Google. Bei etwa 40 Prozent der Webseiten-Aufrufe wurden unsichere Daten an den Internetkonzern übertragen.
Auf 84 Prozent der von uns getesteten Seiten war im Hintergrund mindestens ein Tracker aktiv. Diese kleinen Programme messen das Surfverhalten des Nutzers, beispielsweise welchen Browser er nutzt, welche Auflösung sein Bildschirm hat oder von welcher Website und – falls möglich – mit welchem Suchbegriff er gerade auf die Seite gekommen ist. Im Idealfall dienen diese Informationen lediglich zur Analyse für statistische oder Werbezwecke. Jedoch verwenden rund die Hälfte der untersuchten Websites nicht nur einen Tracker zur Analyse und einen für die Werbung, sondern gleich zehn oder mehr.
Warum ist Tracking ein Risiko für die Privatsphäre?
Besucht der Nutzer nun nacheinander mehrere Webseiten, in die Tracker desselben Betreibers eingebunden sind, kann dieser ein detailliertes Profil erstellen. Beispielsweise kann er sehen, welche Online-Shops und Nachrichtenseiten der Nutzer besucht hat, aber auch welche Erotik-Seiten, Websites mit Informationen zu Suchtkrankheiten oder zum Thema Privatinsolvenz. In den Datenbanken der Tracker sind höchst vertrauliche Informationen gespeichert, die nicht nur Rückschlüsse auf die finanzielle Situation, Interessen und Kaufabsichten erlauben, sondern etwa auch auf die sexuelle Orientierung, Gesundheit oder die politische und religiöse Einstellung. Meldet sich der Nutzer anschließend beispielsweise an seinem persönlichen Konto bei dem beliebten Dienst about.me an, können ihm die zutiefst privaten Informationen aus vorherigen Seitenbesuchen zugeordnet werden. In den Daten steckt also ein immanentes Privatsphärerisiko.
Internetnutzer sind noch nicht einmal beim Online Banking vor Tracking sicher, wie eine weitere Untersuchung von Cliqz zeigt.
Was Google, Facebook, Amazon, Criteo und die zahlreichen anderen Tracking-Betreiber mit den gesammelten Daten anstellen, ist unklar. Oft im Dunkeln bleibt auch, wer Zugriff auf die Daten hat, mit welchen Geschäftspartnern sie diese Daten teilen und wofür sie die Daten konkret nutzen. Der US-Geheimdienst NSA oder auch die US-Justizbehörden können US-Anbieter verpflichten, Informationen über deutsche Nutzer herauszugeben. Und Hacker könnten sich im Auftrag von Kriminellen oder ausländischer Regime Zugriff auf Tracking-Daten verschaffen. Es besteht also zumindest das Risiko von Datenlecks und der Ausspähung einzelner Personen.
Wer mehr über die Praxis der Tracking-Betreiber und die davon ausgehenden Gefahren wissen möchte, findet zusätzliche Informationen in der vollständigen Cliqz-Studie „Tracking the Trackers“.
Was weiß Google über mich? Praktisch alles!
Seit diesem Sommer verknüpft Google zu Werbezwecken Webaktivitäten mit personenbezogenen Daten. Dadurch kann es ein vollständiges persönliches Profil von dir erstellen. Wenn dir deine Privatsphäre wichtig ist, solltest du deine Zustimmung verweigern.
Mit der jüngsten Änderung seiner Datenschutzerklärung im Sommer hat Google sich das Recht eingeräumt, durch sein Werbenetzwerk Doubleclick gesammelte Tracking-Daten zu Webaktivitäten der Nutzer mit personenbezogenen Daten zu verknüpfen. Für neu angelegte Google-Konten ist diese Option standardmäßig aktiviert. Bestandskunden sollen der Zusammenführung der Daten per Opt-in zustimmen. Zu diesem Zweck fragt Google seit Ende Juni etwas schwammig nach, ob sie „neue Funktionen für ihren Google-Account“ erhalten wollen. Sicherlich haben viele Nutzer diese Frage bejaht, ohne zu wissen, was genau dahintersteckt.
Google geht es bei der Verknüpfung der Webaktivitäten mit persönlichen Daten vor allem darum, stärker auf den Nutzer zugeschnittene Werbung anzuzeigen. Zugleich kann es die Aktivitäten des Anwenders nun über verschiedene Geräte hinweg verfolgen und erhält so ein noch genaueres Bild von seinem Browserverlauf. Erteilst du Google deine Zustimmung, wissen seine Tracker immer genau, wer du bist und was du tust – unabhängig vom verwendeten Gerät. Das erlaubt es Google letztlich, ein vollständiges persönliches Profil von dir zu erstellen, inklusive Namen, Suchanfragen, E-Mail-Konversationen und besuchten Websites. Indem es deinen Namen mit E-Mail-Inhalten und Surfgewohnheiten verknüpft, könnte es so theoretisch minutengenau auf dich zugeschnittene Werbung einblenden.
Google reißt Grenzen der Anonymität im Web ein
In Googles Datenschutzerklärung verbergen sich die für den Nutzer folgenreichen Änderungen hinter der relativ harmlosen Formulierung: „Je nach Ihren Kontoeinstellungen werden Ihre Aktivitäten auf anderen Websites und in Apps gegebenenfalls mit Ihren personenbezogenen Daten verknüpft, um die Dienste von Google und von Google eingeblendete Werbung zu verbessern.“ Dafür hat Google den vorherigen Passus gestrichen, in dem es hieß: „Wir verknüpfen keine Informationen von Doubleclick-Cookies mit personenbezogenen Daten, es sei denn, Sie haben uns diesbezüglich Ihre ausdrückliche Einwilligung gegeben.“ In einer Anmerkung führt es etwas detaillierter aus: „Viele Websites und Apps arbeiten bei der Verbesserung ihrer Inhalte und Dienste mit Google zusammen. Beispielsweise können Websites unsere Werbedienste wie AdSense oder Analysetools wie Google Analytics verwenden. Diese Produkte geben Daten über Ihre Aktivitäten an Google weiter. Je nach Ihren Kontoeinstellungen und den verwendeten Produkten können diese Daten mit Ihren personenbezogenen Daten verknüpft werden, zum Beispiel wenn ein Partner Google Analytics in Verbindung mit unseren Werbediensten verwendet.“
Mit der geänderten Datenschutzerklärung hat sich Google von dem zur Übernahme von Doubleclick im Jahr 2007 von Gründer Sergey Brin formulierten Grundsatz verabschiedet, dass Datenschutz bei der Entwicklung neuartiger Anzeigenprodukte oberste Priorität genieße. In den vergangenen Jahren hatte der Internetkonzern Doubleclicks riesige Datenbank über Browsing-Aktivitäten standardmäßig von Namen und anderen über seine Dienste gesammelten Daten getrennt, mit denen ein Nutzer eindeutig identifizierbar ist. Bis Ende Juni lieferte Doubleclick Anzeigen basierend auf deinem Surfverhalten aus, ohne zu wissen, wer du bist oder was du mit anderen Konten oder Geräten gemacht hast. Diese Grenze hat Google inzwischen eingerissen. Die Zusammenführung der Webaktivitäten mit personenbezogenen Daten macht es seinen Nutzern unmöglich, sich auch nur halbwegs anonym im Internet zu bewegen.
Andere Großkonzerne sind nicht besser
Mit dem Schritt folgt Google dem Vorbild von Facebook und anderen Datensammlern. Sie verknüpfen ihre Tracking-Daten zunehmend mit Informationen, die eine Identifizierung des Anwenders erlauben. So hatte die Facebook-Tochter WhatsApp Ende August angekündigt, künftig persönliche Daten wie die Telefonnummern der Nutzer an den Mutterkonzern weiterzureichen. Daraufhin erließ der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, Ende September eine Verwaltungsanordnung, die es Facebook untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Zudem verpflichtet sie das Unternehmen, bereits durch WhatsApp übermittelte Daten zu löschen. Facebook zeigt sich davon jedoch unbeeindruckt und hat vor Gericht Widerspruch gegen die Verwaltungsanordnung eingelegt.
Microsoft sammelt ebenfalls reichlich Daten über seine Nutzer, sei es mittels seiner Suchmaschine Bing, seiner Betriebssysteme, seines persönlichen Assistenten Cortana oder anderer Dienste und Anwendungen. Dazu zählen laut Datenschutzbestimmung beispielsweise Name und Kontaktdaten, Anmeldeinformationen, E-Mail-Inhalte sowie Standort, Zahlungs-, Nutzungs- und demografische Daten. Auch Microsoft verknüpft die aus verschiedenen Quellen stammenden Informationen miteinander, um nach eigenen Angaben das Nutzererlebnis zu verbessern und passende Werbung anzuzeigen. Zudem gibt es personenbezogene Daten gegebenenfalls an Partner weiter. Es betont aber, dass die Anwender selbst bestimmen könnten, welche Daten erhoben würden. „Wenn Sie aufgefordert werden, persönliche Daten zur Verfügung zu stellen, können Sie dies ablehnen“, heißt es in Microsofts Datenschutzerklärung. Das führe jedoch eventuell dazu, dass einige Produkte oder Funktionen nicht nutzbar sind. Den Empfang personalisierter Werbung können Nutzer auf einer Opt-out-Seite von Microsoft ablehnen.
Wie wahre ich meine Anonymität im Web?
Wie Facebook und Microsoft begründet auch Google sein Vorgehen damit, Werbung und Dienste besser auf den jeweiligen Nutzer zuschneiden zu können. Google-Sprecherin Andrea Faville erklärte dazu gegenüber Pro Publica: „Wir haben unser Anzeigensystem und die zugehörigen Nutzereinstellungen aktualisiert, um der Art gerecht zu werden, wie die Leute Google heute nutzen: über viele verschiedene Geräte hinweg.“ Auf diese Weise trage man der „Smartphone-Revolution“ Rechnung.
Indem du Google deine Einwilligung gibst, erlaubst du ihm praktisch, alle Informationen, die es über dich gesammelt hat, für seine Zwecke zu verwenden. Wenn du dir erst nachträglich darüber bewusst wirst, kannst du deine Einwilligung immerhin jederzeit widerrufen. Wähle dazu auf Googles „Mein Konto“-Seite den Punkt Aktivitätseinstellungen aus. Dort musst du anschließend das Häkchen bei „Chrome-Browserverlauf und Daten Ihrer Nutzung von Websites und Apps erfassen, die Google-Dienste verwenden“ entfernen. Die Option „Verlauf verwalten“ bietet außerdem die Möglichkeit, frühere Suchanfragen, den Browserverlauf und sonstige Aktivitäten in deinem Konto zu löschen. Inwieweit die Daten aber auch tatsächlich von Googles Servern gelöscht werden, lässt sich nicht mit Sicherheit sagen.
Daher ist es natürlich besser, von vornherein zu verhindern, dass überhaupt personenbezogene Daten gesammelt und auf einem Server gespeichert werden. Dabei hilft dir die von Cliqz entwickelte Anti-Tracking-Technologie. Sie verhindert, dass Tracker auch seitenübergreifend alle deine Aktivitäten im Web aufzeichnen. Unser Anti-Tracking unterbindet die Übertragung unsicherer Daten, anhand derer einzelne Nutzer identifizierbar sind, und schützt so deine Privatsphäre. Sollte es dadurch auf einigen Seiten zu Funktionsstörungen kommen, kannst du das Anti-Tracking zu Testzwecken vorübergehend abschalten.
Cliqz speichert zudem keinerlei persönliche Daten auf seinen Servern. Mithilfe des in unseren Desktop-Browser integrierten Transparenz-Cockpits kannst du jederzeit überprüfen, welche Daten dein Browser an uns sendet und was mit ihnen geschieht. Gebe dazu einfach „about:transparency“ in die Browserzeile ein. Darüber hinaus sind der Cliqz Browser und alle integrierten Funktionen Open Source: Der Softwarecode ist für jedermann auf GitHub einsehbar.
Mit jedem Social Media Log-in hinterlässt du einen Fingerabdruck
Das von Robin Linus entwickelte Online-Tool Your Social Media Fingerprint zeigt dir an, bei welchen Plattformen und Diensten du gerade eingeloggt bist, ohne es vielleicht zu wissen. Tracker nutzen die Daten, um dich zu verfolgen.
Wer mal eben zwischendurch eine E-Mail beantwortet, einen Facebook-Post schreibt, ein Youtube-Video sucht oder bei Amazon einkauft, meldet sich im Lauf eines Tages bei zahlreichen Diensten an. Das Ausloggen vergessen viele Nutzer aber anschließend und sind somit oft seiten- oder sogar geräteübergreifend verfolgbar. Das von Robin Linus programmierte Online-Tool Your Social Media Fingerprint zeigt dir an, bei welchen Plattformen und Diensten du aktuell angemeldet bist. Um den Trackern die Datensammelei zumindest zu erschweren, solltest du dich nach dem Besuch einer Website von deinem Konto wieder abmelden.
Viele Website-Betreiber setzen Tracking-Cookies ein, um dich bei der Anmeldung auf einer Seite zu identifizieren und dein Online-Verhalten zu protokollieren. Die gesammelten Informationen dienen den Anbietern zufolge meist dazu, personalisierte Werbung anzuzeigen oder die eigenen Dienste besser auf den jeweiligen Nutzer zuzuschneiden.
Your Social Media Fingerprint listet alle Dienste oder Plattformen auf, an denen du gerade aktiv angemeldet bist. Zu den berücksichtigten Services gehören etwa Dropbox, Facebook, Flickr, Google+, Gmail, Paypal, Pinterest, Skype, Spotify, Twitter und Youtube. Im Cliqz-Browser musst du zunächst das integrierte Anti-Tracking ausschalten, um alle Dienste angezeigt zu bekommen, bei denen du aktuell eingeloggt bist. Klicke dazu auf das Control Center (Q-Menü rechts neben der Browserzeile) und stelle den Schalter bei Anti-Tracking von „AN“ auf „AUS“. Danach kannst du die Website aktualisieren und alle angemeldeten Dienste sehen. Bitte vergiss danach nicht, das Anti-Tracking wieder einzuschalten.
Um den Anmeldestatus zu erkennen, prüft Your Social Media Fingerprint sogenannte URL-Redirects. Es ruft bei den verschiedenen Diensten Deeplinks auf, die nur zum Ziel führen, wenn du eingeloggt bist. Bist du nicht angemeldet, erfolgt in der Regel eine Umleitung von der angesteuerten Unterseite zur Log-in-Seite. Diese Redirects erkennt das Tool von Robin Linus und leitet daraus den Anmeldestatus ab. Dazu muss lediglich JavaScript im Browser aktiviert sein.
Wie du dich schützen kannst
Mit derselben Methode kann im Grunde jede beliebige Website erkennen, wo ein Besucher gerade angemeldet ist. Dies erlaubt konkrete Rückschlüsse auf sein Surfverhalten und seine Interessen. Deshalb solltest du dich immer sofort wieder von deinem Konto abmelden, wenn du einen Dienst genutzt hast.
Wie Linus anmerkt, ist schon seit Jahren bekannt, dass der Anmeldestatus bei aktiviertem JavaScript sehr leicht überprüfbar ist und sich auch für böswillige Zwecke ausnutzen lässt. Dritte könnten den Exploit beispielsweise für Deanonymisierung, Clickjacking oder Phishing missbrauchen.
Um dich zu schützen, solltest du im Browser zunächst Cookies von Drittanbietern blockieren. Oder du verwendest Plug-ins wie Ghostery, Privacy Badger oder uMatrix. Ganz einfach und ohne Konfigurationsaufwand geht es mit unserem Cliqz Browser. Hier ist Anti-Tracking bereits eingebaut, so dass du keine zusätzliche Software installieren musst. Cliqz Anti-Tracking verhindert, dass dich Tracker persönlich identifizieren können, erlaubt jedoch zugleich Funktionen wie in Webseiten eingebundene Videos oder Schaltflächen zum Teilen von Inhalten.
Anti-Tracking mit Cliqz – sicher ist sicher
Cliqz verhindert zuverlässig, dass du im Web von Trackern identifiziert und verfolgt wirst. Sollte es auf manchen Seiten zu Problemen kommen, kannst du einen kurzen Funktionstest durchführen und uns Feedback geben.
Unsere Anti-Tracking-Technologie verhindert die Übertragung unsicherer Daten und schützt so deine Privatsphäre. Dabei gehen wir auf Nummer sicher und blockieren lieber einmal zu viel als zu wenig.
In seltenen Fällen kann es vorkommen, dass aufgrund der blockierten Datenübermittlung Services oder Funktionen einer Website nicht mehr ordnungsgemäß funktionieren. Sollte dies bei dir der Fall sein, kannst du zu Testzwecken versuchen, Anti-Tracking vorübergehend für die betroffene Webseite auszuschalten. Dazu musst du lediglich im Control Center (Q-Menü rechts neben der Eingabezeile) unter Anti-Tracking den Schalter von „An“ auf „Aus“ stellen. Daraufhin wechselt die Farbe von grün zu gelb und es erscheinen die Hinweise „Deaktiviert für diese Website“ sowie „Deine Daten sind nicht geschützt“. Anschließend kannst du ausprobieren, ob die Website bei deaktiviertem Anti-Tracking wieder wie gewohnt funktioniert.
Aber Achtung: Bei ausgeschaltetem Tracking-Schutz erhalten die Tracker auf der jeweiligen Webseite Daten, mit deren Hilfe sie dich eventuell identifizieren können. Daher lautet unsere dringende Empfehlung, das Anti-Tracking sofort nach dem Funktionstest wieder einzuschalten. Dazu musst du nur den Schalter im Control Center wieder umlegen, woraufhin die Farbe zurück von gelb auf grün wechselt. Zusätzlich werden die Hinweise „Persönliche Daten wurden entfernt“ und „Deine Daten sind geschützt“ angezeigt.
Dein Feedback ist uns wichtig
Keinesfalls solltest du das Tracking dauerhaft ausgeschaltet lassen! Selbst dann nicht, wenn bestimmte Website-Funktionen oder -Dienste gestört sind. Der bessere und sicherere Weg ist es, unseren Support umgehend über das Ergebnis deines Funktionstests zu informieren, damit wir möglicherweise irrtümlich blockierte Sites vom Tracking-Schutz ausnehmen können. Du erreichst uns am besten über unser Support-Formular. Alternativ kannst du uns auch einfach via Facebook eine Nachricht zukommen lassen. Auf unserer Support-Seite findest du außerdem ausführliche Fragen-und-Antwort-Sammlungen zu unseren Produkten.
Indem du uns Feedback gibst, trägst du dazu bei, Cliqz stetig zu verbessern und das Internet für alle Nutzer sicherer zu machen. Wir bemühen uns, gemeldete Fehler und Probleme schnellstmöglich zu evaluieren und zu beheben.
Hintergrund: Einer der großen Vorteile von Cliqz ist neben der intelligenten Schnellsuche die Sicherheitsarchitektur mit Anti-Phishing und Anti-Tracking. Damit bist du vor neugierigen Blicken der Tracker geschützt, die auch seitenübergreifend alle deine Aktivitäten im Web aufzeichnen wollen. Laut unserer Studie „Tracking the Trackers“ erheben Tracker – beabsichtigt oder nicht – bei über drei Viertel der Webseitenaufrufe unsichere Daten. Darunter verstehen wir Daten, mit denen Tracker-Betreiber einzelne Nutzer identifizieren und durchs Web verfolgen können. Wie sie diese Informationen weiterverwenden, bleibt meist unklar.
Die unterschätzten Gefahren von Tracking
Dass Sie nicht anonym durchs Internet surfen, ist Ihnen wahrscheinlich bewusst. Dass sich kostenlose Internet-Dienste meist über Werbung finanzieren und dafür Daten von Ihnen sammeln, akzeptieren Sie bestimmt auch mehr oder weniger zähneknirschend. So läuft das Internet eben.
Aber haben Sie sich einmal Gedanken darüber gemacht, in welchem Ausmaß und völlig unbemerkt Werbeplattformen mittlerweile in ihre Privatsphäre eindringen? In unserer Studie „Tracking the Trackers“ haben wir genau das getan. Und eins vorweg: Die Ergebnisse sind gelinde gesagt erschreckend.
84 Prozent der von uns getesteten Seiten hatten im Hintergrund mindestens einen Tracker laufen. Das sind kleine Programme, die ihr Verhalten messen, etwa, welchen Browser Sie benutzen, welche Auflösung Ihr Bildschirm hat oder von welcher Webseite und – wenn möglich – mit welchem Suchbegriff Sie gerade auf die Webseite gekommen sind.
84 Prozent sind dabei erst einmal gar nicht so erstaunlich. Erstens sind darunter viele News-Seiten, deren Geschäft eben aus dem Verkauf von Werbung besteht, zweitens nutzen fast alle kommerziell betriebenen Webseiten einen Analysetracker wie Google Analytics, um zu zählen, wie viele und welche Besucher auf ihre Seite kommen.
Erschreckend wird die Studie, wenn wir sehen, dass rund die Hälfte der Webseiten nicht nur einen Tracker zur Analyse und einen für die Werbung besitzen, sondern gleich zehn und mehr. Nicht selten sehen dutzende Firmen also direkt bei Ihrem Webseiten-Besuch, was Sie da gerade machen. Stellen Sie sich das ruhig einmal wie unzählige Köpfe vor, die Ihnen über die Schulter schauen, während Sie Unterwäsche shoppen, Filme ansehen, Nachrichten lesen, soziale Netzwerke nutzen, und sogar, wenn Sie Bankgeschäfte tätigen.
In der „echten Welt“ würden wir dies vollkommen Fremden niemals erlauben. Im Web lassen die meisten von uns aber genau das zu. Einige aus Fatalismus – „Im Internet gibt es keine Privatsphäre, da kann ich eh nichts tun“. Andere unterschätzen die Risiken durch Tracking dramatisch. Der Satz „Sollen sie mir doch zusehen, ich habe nichts zu verbergen“ begegnet uns erschreckend oft.
Der Spion, der mich nicht kümmert
Wenn es um staatliche Überwachung geht, ist die Sensibilität in der Bevölkerung dagegen hoch, Stichwort Vorratsdatenspeicherung. Der NSA-Skandal hielt die Republik sogar wochenlang in Atem. Aber über die unzähligen, kaum kontrollierten Privatunternehmen im In- und Ausland, die Daten abgreifen, regt sich niemand so wirklich auf. Dabei tun diese nichts Anderes als Spione: Sie schöpfen Daten ab und legen Dossiers über Personen an. Einige Tracking-Firmen tauschen munter Daten untereinander aus, um das Bild über Sie zu vervollständigen. Andere machen keinen Hehl daraus, die abgeschöpften Daten zu verkaufen – der Handel mit den Daten ist leider völlig legal.
Ganz konkrete Risiken
Bei etwa drei Vierteln aller Webseiten-Aufrufe werden Daten getrackt, anhand derer individuelle Nutzer erkannt und ihre Aktivitäten verfolgt werden könnten. Warum ist das so bedenklich? Angenommen, ein Nutzer besucht nacheinander mehrere Webseiten, in die Tracker desselben Betreibers eingebunden sind. Das können Online-Shops und Nachrichten sein, aber auch Erotik-Seiten, Seiten mit Informationen zu Suchtkrankheiten oder zum Thema Privatinsolvenz wie auch Foren, auf denen sich politische Aktivisten austauschen und so weiter. So speichern die Datenbanken der Tracker höchst private Informationen, die nicht nur Rückschlüsse auf die finanzielle Situation, Interessen und Kaufabsichten, sondern etwa auch auf die sexuelle Orientierung, Gesundheit oder die politische und religiöse Einstellung erlauben.
Loggt sich der Nutzer dann zum Beispiel auf einer auf seine individuelle Person ausgerichteten Seite wie about.me ein, können ihm die zutiefst intimen Informationen aus vorherigen Seitenbesuchen direkt zugeordnet werden. Wir wissen nicht was Google, Facebook, Amazon, Criteo und die unzähligen anderen Tracking-Betreiber mit den Daten machen. Wer Zugriff auf die Daten hat, mit welchen Geschäftspartnern sie diese Daten teilen und wofür sie die Daten konkret nutzen, bleibt oft im Dunkeln. Der US-Geheimdienst NSA oder auch die US-Justizbehörden können US-Anbieter verpflichten, Daten über deutsche Nutzer herauszugeben. Hacker könnten sich im Auftrag von Kriminellen oder ausländischer Regime Zugriff auf Tracking-Daten verschaffen.
In unserer Studie unterscheiden wir deswegen zwischen zwei Arten von Informationen, die Tracker über Sie im Web sammeln: sichere und unsichere.
Als sicher definieren wir alles, was rein statistischen Zwecken dient und Ihre Anonymität bewahrt. Die Betreiber von Focus Online müssen zählen, wie viele einen Artikel gelesen haben, wenn sie Werbekunden die Reichweite ihrer Artikel schmackhaft machen wollen. Und Werbetreibende wollen wissen, wie oft ihre Anzeige neben dem Artikel angeklickt wurde. Ginge es nur um solche rein statischen Betrachtungen, wäre Tracking völlig unbedenklich. So wie es völlig in Ordnung ist, wenn ein Einzelhändler zählt, wie viele Kunden den Laden besuchen und wie viele davon ein Sonderangebot einkaufen.
Unsicher werden Daten dann, wenn Sie damit persönlich identifizierbar sind. Würden Sie in der realen Welt einem Verkäufer erlauben, Ihnen ein Schild mit ihrem Namen und Daten über Ihre Einkäufe auf den Rücken zu heften und in jedem weiteren Geschäft fügt ein Verkäufer weitere Informationen dieser Liste hinzu – eine Liste, mit der jedermann ohne große Mühe auf Ihre Interessen und Vorlieben sowie Ihre finanzielle Situation schließen kann?
Im Web läuft das zum Beispiel so ab: Der Tracker Bluekai ist etwa auf der Reiseseite kayak.de und der News-Seite Huffington Post installiert. Der Sinn ist simpel: Suchen Sie auf Kayak nach einem Hotel auf Mallorca, merkt sich der Tracker das und spielt bei Ihrem nächsten Besuch auf der HuffPo eben Mallorca-Werbung aus.
Allerdings: Der Tracker registriert, von welcher Seite aus Sie auf Kayak oder die HuffPo gelangt sind. Und er ist noch auf 4.000 weiteren von Deutschen besuchten Webseiten installiert. Durch eine Identifikationsnummer, die der Tracker Ihnen zuordnet, kann er weite Teile Ihrer Browser-Historie nachvollziehen – das Missbrauchspotenzial eines so umfassenden Datensatzes über einen Nutzer ist groß und für den eigentlichen Zweck dieser Werbeform – Re-Targeting – komplett unnötig.
Der Tracker Nummer 1: Google
Dabei ist Bluekai hierzulande noch ein sehr kleiner Tracker. Unsere Analyse von fünf Millionen Webseiten zeigt etwa, dass Google Sie über seine Tracker über rund 62 Prozent des gesamten Internets verfolgt (42 Prozent, wenn wir alle Seiten mit ausschließlich sicherem Tracking ausschließen), Facebook trackt Sie über rund 20 Prozent und Amazon bereits über rund zehn Prozent. Besonders bedenklich: die drei hier genannten Internet-Giganten sammeln noch auf ganz andere Weise Daten über Sie: mit ihren Browsern, Suchmaschinen, digitalen Assistenten, Betriebssystemen, Apps, sozialen Netzwerken und Kommunikationsdiensten. Immerhin haben Sie aber hier die Wahl, diese Services zu nutzen oder auch nicht.
Gegen Tracking durch Dritte beim Besuch von Webseiten helfen dagegen nur technische Lösungen – Ghostery, Ad Block Plus und Disconnect zum Beispiel. Auch unserer Browser Cliqz besitzt eine integrierte Anti-Tracking-Funktion. Das Besondere: Sie blockiert Tracking nicht vollständig.
Stattdessen analysiert sie, welche Infos Tracker über Sie sammeln. Alles, was als unsicher eingestuft wird – also, was Sie persönlich identifizierbar macht – überschreibt unser Tool mit zufälligen Buchstaben- und Zahlenfolgen. So schützt Cliqz ihre Privatsphäre und Anonymität gegenüber Dritten. Der Vorteil: „Trackende“ Funktionen wie beispielsweise in Websites eingebundene Videos oder Schaltflächen zum Teilen von Inhalten funktionieren weiterhin. Und Werbetreibende erhalten weiterhin legitime statistische Daten, aber keine Daten mehr über Sie als Person.
Ich hoffe, ich konnte Ihnen zeigen, dass Tracking keineswegs harmlos ist und dass es einfache Mittel gibt, sich dagegen zu schützen. Jetzt sind Sie am Zug.
Cliqz Anti-Tracking
Mit der Integration von Suchmaschine und Browser haben wir bereits die Web-Navigation neu erfunden: direkte Schnellsuche statt wie bisher Suchen über gesonderte Webseiten.
Und wir haben mit dem Human Web eine völlig neuartige Technologie entwickelt, das Web auf eine datenschutzkonforme Weise zu indexieren. So haben wir die einzige unabhängige deutsche Suchmaschine aufgebaut. Wir haben schon viel erreicht. Mit Anti-Tracking machen wir heute den nächsten großen Schritt hin zu unserem Ziel, ein neues Web zu schaffen.
Auf den allermeisten Webseiten sind Tracker zu finden, die Daten über Nutzer sammeln. Nun ist es nicht immer so, dass diese Informationen mit bösartigen Absichten gesammelt werden. In den allermeisten Fällen werden die Informationen einfach dazu genutzt, dem Nutzer gezielte Werbung zu zeigen. Dennoch: Die Daten sind nun auf irgendwelchen Datenbanken irgendwo in der Welt gespeichert. Und kaum jemandem ist bewusst, welches immanente Risiko für die Privatsphäre mit der weitreichenden Speicherung von Tracking-Daten einhergeht.
Eine ganz konkrete Gefahr für die Privatsphäre
Wir haben im September 2015 eine groß angelegte Studie durchgeführt und die Risiken von Tracking für die Privatsphäre untersucht. Analysiert wurden 21 Millionen Aufrufe (Page Loads) von 5 Millionen Webseiten auf 350.000 verschiedenen Domains.
Die Ergebnisse haben uns selbst ziemlich schockiert! Bei ca. drei Vierteln aller Webseiten-Aufrufe gehen Daten an Tracker, anhand derer – beabsichtigt oder nicht – individuelle Nutzer erkannt und ihre Aktivitäten verfolgt werden können. Warum ist das so bedenklich? Angenommen, ein Nutzer besucht nacheinander mehrere Webseiten, in die Tracker desselben Betreibers eingebunden sind. Das können Online Shops und Nachrichtenseiten sein, aber auch Erotik-Seiten oder auch Foren, auf denen sich politische Aktivisten austauschen. So erhalten Tracker Informationen, die nicht nur Rückschlüsse auf die finanzielle Situation, Interessen und Kaufabsichten, sondern z.B. auch auf die sexuelle Orientierung, Gesundheit oder die politische und religiöse Einstellung erlauben. Loggt sich der Nutzer dann z.B. auf seine persönliche Seite bei Twitter ein, können ihm die zutiefst intimen Informationen aus vorherigen Seitenbesuchen zugeordnet werden.
Es fehlt an Transparenz
Wir wissen nicht, was Google, Facebook, Amazon, Criteo und die unzähligen anderen Tracking-Betreiber mit den Daten machen. Wer Zugriff auf die Daten hat, mit welchen Geschäftspartnern sie diese Daten teilen und wofür sie die Daten konkret nutzen, bleibt oft im Dunkeln. US-Geheimdienste und Justizbehörden können amerikanische Anbieter verpflichten, Daten über deutsche Nutzer herauszugeben. Hacker könnten sich Zugriff auf Tracking-Daten verschaffen. Es gibt auch Firmen, die solche Daten verkaufen. Die Akteure der Internetbranche dürfen das Risiko der Ausspähung einzelner Menschen nicht länger ignorieren!
Cliqz schützt die Nutzer vor Tracking. Privates bleibt privat.
Wir haben es uns zur Aufgabe gemacht, das weltweit etablierte Verfahren des Sammelns unsicherer Tracking-Daten zu beenden. In den Cliqz Browser für Windows und Mac ist Anti-Tracking schon eingebaut. Damit ist Anti-Tracking auch für technisch weniger versierte Nutzer zugänglich. Die von Cliqz selbst entwickelte Technologie erkennt „unsichere“ Daten und verändert sie vor der Übermittlung an den Tracker so, dass keine Rückschlüsse auf einzelne Personen mehr möglich sind. Wir geben dem Nutzer die Kontrolle über seine Daten und schaffen Transparenz. Je mehr Menschen Cliqz nutzen, desto größer der Einfluss auf die Branche. Uns ist bewusst, dass noch ganzes Stück Weg vor uns liegt, bis die Akteure in der Internet-Industrie ihre Tracking-Praxis überdenken. Aber der Anfang ist gemacht.
Den Cliqz Browser für Windows und Mac mit integriertem Anti-Tracking kannst du hier herunterladen.