Loggt man sich mit dem Browser in einer Sozialen Netzwerk Seite (SNS) wie Facebook, Google Plus oder Twitter ein, verrät man diesem seine Identität. Das ist OK, weil man sicher als Nutzer eines SNS bewusst dafür Entscheidet dies zu tun.
Was eher überraschend ist: mit dem Login auf in dem SNS, wird man auch bei dem Aufruf von vielen anderen Webseiten identifiziert.
Wie funktioniert das?
Die Anbieter der SNS haben Instrumente geschaffen um klassische Webseiten mit sozialen Medien einzubinden. Diese findet man auf zahlreichen Webseiten in Form von „+1“ „Like“ oder „Tweet“ Buttons.
Wenn wir eine Webseite mit einem solchen Button aufgerufen, stellt der Browser eine Verbindung zu dem SNS um den Button zu laden. Dabei werden die Cookies des Browsers und einige andere Informationen an das SNS übermittelt. So weiß z.B. Facebook, welchen Artikel ich bei Spiegel-Online lese. Durch das laden eines solchen Buttons wird beliebiger Programmcode des SNS auf der Webseite ausgeführt. Das kann Analysefunktionen beinhalten,
- wie lange ich eine Webseite betrachtet habe,
- wann ich wohin gescrollt habe,
- Mausbewegungen,
- Markierungen,
- Tastatureingaben.
Daraus lässt sich sehr genau schließen, welche Inhalte den Nutzer interessieren, was seine Vorlieben sind etc.. Das wahllose Öffnen von Webseiten und Artikeln als Ablenkungsmanöver hilft hier nicht, da sich über Maus und Scrollbewegungen sehr genau nachvollziehen lässt, welcher Teil eines Artikels gelesen wurde.
Darüber hinaus sind auch jegliche Manipulationen an den Inhalten der Webseite denkbar.
Inhalte von dritten, wie Buttons von SNS stellen also ein massives Risiko für die Privatsphäre da. Es geht sogar noch weiter. Sie bedrohen die Integrität und Authentizität der Inhalte.
Manipulationen sind aus SNS-Anbieter Sicht einfach. Er versendet einfach bei einer anfrage durch einen Browser einen anderen Programmcode (Javascript), und der Browser führt diesen aus. Der Webseitenbetreiber, der den SNS-Button eingebunden hat, bekommt von diesen Änderungen nichts mit. Aus Nutzersicht ist es theoretisch zwar möglich Änderungen zu erkennen, in der Praxis bleibt dies aber IT-Profis mit zu viel Freizeit vorbehalten.
Der SNS-Anbieter kann also bei jedem Aufruf einer Webseite anderen Code mitsenden, abhängig davon, wer aufruft und was er aufruft.
Gegenmaßnahmen
Es gibt eine ganze Reihe von Maßnahmen, um dem Browser gegen Ausspähungen abzuschirmen. Alle diese Maßnahmen haben eines Gemeinsam: Mehr Sicherheit und Datenschutz bedeutet fast immer weniger Komfort und Benutzbarkeit. Die Maßnahmen unterscheiden sich in Sachen Sicherheitsgewinn, und Benutztbarkeitsverlust. Es gibt durchaus Maßnahmen, die die Sicherheit deutlich erhöhen, und die Benutzbarkeit nur wenig einschränken.
1. Den Browser aufrüsten.
Die meisten dieser Maßnahmen verbessern den Datenschutz im Browser im allgemeinen. Dieser Abschnitt konzentriert sich auf den Mozilla Firefox, weil er wesentlich einfacher Datenschutz freundlich zu konfigurieren ist, als Chrom[ium] und Opera. Apple Safari und Microsoft Internet Explorer wurden nicht betrachtet, weil sie auf dem Computer des Autors nicht funktionieren. Anzumerken ist hier, dass der Internet Explorer in seinen neuen Versionen deutliche Fortschritte in Sachen Datenschutzfreundlichkeit gemacht (DNT etc.).
1.1. Daten bei schließen des Browsers löschen – Bordmittel sinnvoll einsetzen
Der Browser sammelt bei einer Surfsession viele Informationen. Darunter sind Cookies, Offline Webseiten Daten, Historie, Zwischengespeicherte Daten, Aktive Logins und Formulardaten.
Im Firefox
geht dies unter Einstellungen → Datenschutz:
- →[x] Websites mitteilen, meine Aktivitäten nicht zu verfolgen
- →[x] Cookies akzeptieren
- →Behalten, bis „Firefox geschlossen wird“
- →[x] Die Chronik löschen, wenn Firefox geschlossen wird [Einstellungen]
Unter [Einstellungen] findet sich ein weiteres Fenster, dass wie folgt konfiguriert werden sollte.
Auf Passwörter und Webseiteneinstellungen können die Webseiten nicht direkt zugreifen, daher ist es kein Problem aus diese zu speichern. Wenn Passwörter gespeichert werden, ist es wichtig den Rechner zu Sperren, wenn man nicht vor ihm Sitzt.
Chrome[ium] hat KEINE Funktion die Surfe Historie automatisch beim schließen zu löschen.
1.2 Erweiterung: Ghostery
Ghostery ist in der Lage SNS-Buttons zu deaktivieren.
Download: https://addons.mozilla.org/firefox/addon/ghostery/
Nach der Installation startet ein Assistent. Ich empfehle folgende Einstellung:
- Ghostrank: NEIN
- Warnfeld: JA
- Tracker → Alles auswählen
- Cookies → Alles auswählen
2. Dedizierte Social Media Browser
Das wohl effektivste Mittel um die Sozialen Medien aus dem Normalen Surfen heraus zu halten ist ein extra Browser nur für Soziale Netzwerke. Ich empfehle hier den Firefox für das Normale Web, da er sich über diverse Erweiterungen gut abschotten lässt und den Chrome[ium] Browser für Soziale Netzwerke. Chrome[ium] ist für SNS eher geeignet da er mit Google-Diensten schon sehr eng verheiratetet ist. Diese Nähe ist nur mit viel Aufwand auszutreiben, daher sollte man es gleich bleiben lassen – im Zweifelsfall ändert sich beim nächsten Update eh wieder alles.
So ruft man SNS nur noch mit dem Chrom[ium]-Browser auf. Die Cookies, und andere Identifikatoren mit denen man über die SNS identifiziert wird, sammeln sich im Chrom[ium]-Browser. Der Firefox weiß jedoch nichts von diesen Cookies, wenn man mit ihm Spiegel Online aufruft und übermittelt sie folglich auch nicht. Es wird erheblich schwerer – jedoch nicht unmöglich – einen einzelnen Nutzer zu verfolgen. Der Verkettende Element des Browsers ist ausgeschaltet.
2.1 Social Media Browser Konfigurieren
In diesem Beispiel für eine Konfiguration zum SNS-Browser wird der Chrome[ium]-Browser verwendet. Der Browser wird mit einer Datenschutzfreundlichen Suchmaschine ausgestattet, weil dies einfacher ist, als die Suchfunktion zu deaktivieren. Außerdem wird er so konfiguriert, dass Inhalte nur noch von ausgewählten SNS geladen werden. Führt ein Link von einem SNS auf eine Seite außerhalb des SNS, so wird die Seite nur noch im Textmodus geladen. Alle aktiven Komponenten der Webseite werden, wie Plugins, Programcode usw. aber auch Trackingpixel von Drittanbietern werden ignoriert.
Möchte man einen Link aus einer SNS-Seite extern aufrufen, muss man die denk Link über die Zwischenablage kopieren und in den Normalen Browser einfügen.
2.1.1 Datenschutzfreundliche Suchmaschine Auswählen:
Startingpage liefert die Google Suchergebnisse, ohne das Google weiß, wer gesucht hat. Die Seite wird von ixQuick betrieben und wurde vom EuroPrise Gütesiegel (ULD), zertifiziert. Das Siegel wurde von dem Europäischen Datenschutzbeauftragten Peter Hustinx verliehen.
https://startpage.com/deu/download-startpage-plugin.html
Auf den „HTTPS“ Button klicken um Startingpage als Suchmaschine zu installieren.
Menu → Einstellungen:
- „Suchen“
- [Suchemaschinen verwalten]
- Hier im unteren Fenster unter „Andere Suchmaschinen“ Startingpage als Standard festlegen.
2.1.2 Damit die SNS-Seite schnell geladen werden, können sie alle gleichzeitig als Startseite eingerichtet werden:
- „Beim Start“
- [x] Bestimmte Seite oder Seiten öffnen
- Unter dem Punkt „Seiten festlegen“ Kann man alle Sozialen Netzwerke, die man regelmäßig nutzt als Startseiten in extra Tabs anlegen, sodass diese beim Start des SMS-Browsers automatisch aufgerufen werden.
2.1.3 Browser so modifizieren, dass nur noch Inhalte von Sozialen Netzwerken geladen werden:
Menu → Einstellungen:
- Ganz unten: „Erweiterte Einstellungen“ klicken. Daraufhin wird das Konfigurationsfenster deutlich länger.
- „Datenschutz“
- [Inhaltseinstellungen]
- „Cookies“
- [o] Speicherung von Daten für alle Websites blockieren
- [x] Drittanbieter-Cookies und Websitedaten blockieren
- [Ausnahmen verwalten] →
- Hier die SNS-Seiten eintragen, auf denen man sich einloggen möchte.
- Beispiel:
- https://[*.]t.co:443 (Twitter)
- https://[*.]facebook.com:443
- https://[*.]joindiaspora.com:443
- https://[*.]google.com:443
- https://[*.]google.de:443
- https://[*.]youtube.com:443
- https://[*.]twitter.com:443
- „Bilder“
- [o] Keine Bilder Anzeigen
- Auf [Ausnahmen Verwalten] klicken.
- Hier die SNS-Seiten eintragen, auf denen man sich einloggen möchte. Zum Beispiel:
- https://[*.]t.co:443 (Twitter)
- https://[*.]facebook.com:443
- https://[*.]joindiaspora.com:443
- https://[*.]google.com:443
- https://[*.]google.de:443
- https://[*.]youtube.com:443
- https://[*.]twitter.com:443
- „Javascript“
- [o] Ausführung von Javascript für keine Website zulassen
- Auf [Ausnahmen Verwalten] klicken.
- Hier die SNS-Seiten eintragen, auf denen man sich einloggen möchte. Zum Beispiel:
- https://[*.]t.co:443 (Twitter)
- https://[*.]facebook.com:443
- https://[*.]joindiaspora.com:443
- https://[*.]google.com:443
- https://[*.]google.de:443
- https://[*.]youtube.com:443
- https://[*.]twitter.com:443
- „Handler“
- [o] Verarbeitung von Protokollen für keine Website zulassen.
- „Plug-ins“
- [o] Standartmäßig blockieren
- Auf [Ausnahmen Verwalten] klicken. – Dies ist nicht nötig, kann aber dazu führen, dass z.B. Videos in Facebook nicht abgespielt werden können.
- Hier die SNS-Seiten eintragen, auf denen man sich einloggen möchte. Zum Beispiel:
- https://[*.]facebook.com:443
- https://[*.]joindiaspora.com:443
- https://[*.]google.com:443
- https://[*.]google.de:443
- https://[*.]youtube.com:443
- https://[*.]twitter.com:443
- „Standort“
- Abrufen des physischen Standorts für keine Website zulassen.
- Unter Datenschutz alle Haken entfernen, bis auf:
- [x] Mit Browserzugriffen eine „Do Not Track“-Anforderung senden
