Der Spion in meinem Browser
Ist es ok, wenn Werbetreibende Ihr vollständiges Surfverhalten auswerten können? Inklusive aller Suchbegriffe, übersetzten Texte, aufgerufenen Webseiten (ja, auch die nicht jugendfreien sind gemeint) und angeklickten Facebook-Profile? Dann können Sie hier an der Stelle aufhören zu lesen. Denn Ihrem Wunsch kommen Lieferanten von kostenfreien Browser-Erweiterungen (Extensions) bereits nach. Alle anderen Webnutzer sollten rasch einen Blick auf die installierten Extensions werfen. Finden sich darunter beispielsweise Web of Trust oder Ghostery, dann ist Ihr Surfverhalten der jüngeren Zeit in Gänze von Werbern analysiert worden. Geliefert wurde es von den Extensions. Im Fall von Web of Trust mindestens seit einigen Monate, eventuell sogar schon seit April 2015.
Das jedenfalls ist das Ergebnis einer Anfang November veröffentlichten Recherche, zu der sich die NDR-TV-Sendungen Zapp und Panorama mit der Redaktion von mobilsicher.de zusammen tat. Über eine Scheinfirma bezog eine NDR-Reporterin von einem Datenhändler einen kostenlosen Probedatensatz, bestehend aus Nutzerprofilen von drei Millionen deutschen Webnutzern. Angeblich kann der Verkäufer gut das zwanzigfache an Daten liefern. Wie die Analyse der Web-of-Trust-Erweiterung durch mobilsicher.de ergab, stammt ein Großteil der Daten ausgerechnet von einer Extension, die ihren Nutzern an sich Auskunft geben soll über die Vertrauenswürdigkeit von Webseiten. Dass die Extension darüber hinaus sämtliche Seitenaufrufe des Browsers mitschnitt und nach Hause telefonierte, darüber hätten an sich die Nutzungs- und Datenschutzbestimmungen Auskunft geben sollen. Doch, ups, das habe Web of Trust (WOT) zumindest im Fall der 900.000mal installierten Firefox-Version seiner Erweiterung leider, leider vergessen mit in seit Juli 2016 geltenden die Bestimmungen aufzunehmen. Die Funktion zum Mitschnitt findet sich schon seit April 2015 im Code der Erweiterung. Eventuell wäre also auch Juli 2016 mehr als ein Jahr zu spät aus Sicht der ausspionierten Anwender.
Welche Lehre kann man als Webnutzer nun daraus ziehen? Um es hart zu sagen: Nur der Verzicht auf Browser-Erweiterungen schützt vor dieser Form der Überwachung. Denn selbst wenn man sich die Mühe machte, die Nutzungsbedingungen – geschrieben von Juristen für Juristen – zu lesen: Es hätte im Fall von WOT nichts genutzt. Dazu kommt, dass die Entwickler im Fall der Firefox-Version auch das Team beim Browser-Hersteller Mozilla täuschten, das neue Erweiterungen beziehungsweise Updates von vorhandenen Extensions auf deren Unschuld hin prüfen soll. WOT machte in den Datenschutzbestimmungen einfach falsche Angaben, so dass die Prüfer in die Irre geführt wurden. Für Anwender ist es somit vollkommen unmöglich, vor der Installation einer Erweiterung zu prüfen, ob diese mehr macht, als sie es auf den ersten Blick soll. Einzig eine Analyse des – oftmals verschleierten – JavaScript-Quellcodes der Extension brächte Aufschluss.
Bedeutet das, dass alle kostenfreien Chrome- und Firefox-Erweiterungen bösartige Funktionen verstecken? Natürlich nicht. Der Großteil aller Extensions dürfte harmlos sein. Nachdem es derzeit aber keinen verlässlichen, nutzerfreundlichen Weg gibt, diese Unterscheidung zu treffen, bleibt nur ein rigoroser Verzicht. Erst wenn die Browser-Hersteller entsprechende Regelungen durchsetzen, die es Erweiterungsentwicklern verbieten, Funktionen zu verstecken, können sich Nutzer wieder beruhigt mit Extensions befassen. Bis dahin gilt: Einsatz auf eigene Gefahr.
Übrigens: Nicht nur Erweiterungen versuchen, möglichst umfassende Anwenderprofile zu erstellen. Auch Werbenetzwerke tun dies. Beim Aussperren beziehungsweise Blenden dieser Netzwerke helfen Werkzeuge wie unser VPN-Netzwerk Freedome. Ist der Client auf einem Endgerät aktiv, entfernt er alle Cookies von Werbenetzwerken und verhindert so das Nachverfolgen von Nutzern beziehungsweise Browsern. Außerdem unterbindet Freedome http-Datenverkehr von und zu bekannten „Tracking-Domains“. Legitime Cookies der jeweils aufgerufenen Seite, die beispielsweise die erneute Passworteingabe verhindern, lässt der Schutzdienst aber natürlich durch.
Darüber hinaus können Webnutzer noch weitere Schritte gehen, um sich vor unerwünschtem Nachverfolgen zu schützen. Die Redaktion von mobilsicher.de hat hierzu einige Tipps zusammen getragen. Auf dass den windigen Geschäftemachern alsbald das verkäufliche Material ausgeht.
Kategorien