Am 7. Februar 2017 ist Safer Internet Day: Wer im Internet unterwegs ist, will, dass die eigenen Daten geschützt und die Privatsphäre gewahrt bleibt. Verschlüsselung spielt da eine wichtige Rolle. Mit einem nützlichen Add-On lässt sich das Surfen im Web besser absichern.
Die Erweiterung heißt HTTPS Everywhere und lässt sich in Firefox, Chrome und im Opera-Browser nutzen. Sie sorgt dafür, dass beim Besuch einer nicht verschlüsselten Webseite automatisch gecheckt wird, ob eine HTTPS-Version verfügbar ist. Falls ja, erfolgt eine sofortige Weiterleitung dorthin.
HTTPS Everywhere macht das, was die Anbieter selbst tun sollten. Denn heute spielt es eine große Rolle, ob man sich im Web sicher fühlen kann oder nicht – besonders, wenn man in öffentlichen WLANs unterwegs ist.
Zwar ist der Protest über die Lauschaktionen von Prism, FBI und Co. in den USA nicht ganz so groß wie bei uns in Deutschland, doch immerhin: Es gibt auch in den USA durchaus Widerstand – und der nimmt sogar zu. Jetzt haben sich 19 Organisationen unter Federführung der „Electronic Frontier Foundation“ (EFF) zusammengetan und gemeinsam in San Francisco eine Klage gegen das Prism-Programm eingereicht. Die Bürgerrechtler und Kirchenverbände wollen die Einstellung des NSA-Spähprogramms erreichen.
Der US-Geheimdienst soll mit dem Spähprogramm die in der Verfassung verbrieften Rechte der US-Bürger verletzt haben. Ziel ist eine einstweilige Verfügung gegen die NSA, das US-Justizministerium, die Bundespolizei FBI und alle Direktoren dieser Behörden. Allein die Klage wird schon dafür sorgen, dass sich die großangelegte Lauschaktion nicht unter den Teppich kehren lässt.
Die Electronic Frontier Foundation (EFF) ist ein amerikanischer Verein, der sich Gedanken um den Datenschutz im digitalen Zeitalter macht – gibt es in den USA sonst ja nicht so oft.
Jetzt hat sich die EFF zum Beispiel die Frage gestellt, wie indiskret moderne Browser eigentlich sind, welche Daten sie preisgeben und ob daraus ein Profil erstellt werden kann. Konkret: Ob es möglich ist, einen Internetbenutzer allein anhand der Konfiguration seines Browsers wiederzuerkennen.
Die Antwort lautet: Ja. in den meisten Fällen ist das durchaus möglich, denn acht von zehn Browsern hinterlassen eine Art digitalen Fingerabdruck beim Surfen.
Aber der Reihe nach. Drei Monate lang hat die EFF geforscht und untersucht, welche Daten die gängigen Browser eigentlich an Webseiten übermitteln, wenn sie eine Webseite aufrufen. Der Ergebnisbericht ist besorgniserregend. Da passiert eine Menge im Hintergrund, ohne dass wir als Internetbenutzer davon etwas mitbekämen. Der Browser verrät dem Server der Webseite zum Beispiel, welcher Browser er ist, welche Version, welches Betriebssystem verwendet wird (und welche Version), im Zweifel aber auch, welche Plugins und Zusatzprogramme installiert sind, welche Bildschirmauflösung zum Einsatz kommt und vieles andere mehr.
Durchaus sinnvoll und nützlich, denn so kann der Webserver entscheiden, wie die Webseite aussieht. Da jeder Browser anders ist, kann es erforderlich sein, spezielle Varianten einer Webseite auszuliefern, auch die Bildschirmauflösung ist interessant, denn auf einem großen Bildschirm kann eine Webseite anders aussehen als auf einem Smartphone. Das dürfte jedem einleuchten.
Jetzt hat die EFF aber herausgefunden, dass derart viele Daten übertragen werden, dass nur wenige Benutzer exakt dieselben Daten übertragen – und dann spricht man von einem digitalen Fingerabdruck, da sich auf diese Weise eine Unterscheidung der Benutzer erreichen lässt – und natürlich auch ein „Wiedererkennen“, wenn der Benutzer irgendwann wieder kommt.
Was sie Sache besonders heikel macht: Das klappt auch über die Grenzen einer Webseite hinaus. Tauschen sich zwei (oder mehr) Webserver untereinander aus, ist nicht nur ein Widererkennen möglich, sondern natürlich auch, ein Profil anzufertigen.
Auf diese Weise lässt sich nicht nur theoretisch ein einzelner Internetbenutzer mit relativ hoher Wahrscheinlichkeit identifizieren und bei seiner Surftour beobachten. Das ist keineswegs Theorie: Die EFF weist darauf hin, dass bereits mehrere Firmen entsprechende Lösungen für Webseitenbetreiber anbieten, um solche Daten zu sammeln und auszuwerten – ob diese nun Cookies verwenden (dann ist es ohnehin recht einfach) oder eben nicht.
Natürlich gibt die EFF auch Tipps, wie man sich als Datensurfer eine Tarnkappe aufsetzen kann. So empfehlen die Experen, keinen seltenen Browser zu benutzen, denn so ist man einfacher zu erkennen. Außerdem solle man JavaScript deaktivieren, da sich dadurch die Zahl der an den Webserver übertragenen Daten massiv verringert. Schließlich solle man noch den Anonymisierungsdienst „Tor“ benutzen.
Alles gut und schön – aber nicht besonders praxistauglich. Denn wer JavaScript deaktiviert, kann schlichtweg viele Webseiten nicht nutzen – oder muss auf eine Menge Komfort verzichten. Und der Anonymisierungsdienst Tor ist zwar zweifellos eine sinnvolle Sache, wenn man anonym im Web unterwegs sein will, bremst das Surftempo aber enorm aus. Je mehr Leute ihn benutzen, umso langsamer wird das Ganze.
Auch wenn die Tipps zum gewünschten Ergebnis führen – sie dürften die User ganz schön frusten.
Sinnvoller ist es zweiffelos, die Hersteller von Browsern aufzufordern, sich Gedanken darüber zu machen, wie zumindest im Tarnkappenodus (ergo Privatmodus) der Browser möglichst wenige Daten übermittelt werden, damit Webserver keine Rückschlüsse auf den Datensurfer ziehen können. In einem ausführlichen Dosser der EFF (PDF) steht sehr detailreich erklärt, wie sich das erreichen lässt.
Mal sehen, ob sich die Browser-Anbieter bewegen. Es wäre wünschenswert.
