Mein Gespräch mit Interview-Radio zum Thema „Service-Sicherheit und Spuren im Internet“

Ich hatte vor einigen Tagen Besuch von „Interview-Radio“ und wurde zum Thema „Service-Sicherheit und Spuren im Internet“ befragt. Daraus hat der Sender, der derzeit nur unter DAB+ ausgestrahlt wird, eine vierteilige Interview-Serie geschnitten. Diese Interview Serie wird die nächste Zeit in unregelmässigen Abständen wiederholt gesendet.

Der Sender hat mir freundlicherweise erlaubt, diese auch hier zum Download zur Verfügung zu stellen.

Wo und wie wir im Internet Spuren hinterlassen:

Kommerzielle Trackingfirmen:

Nutzer Profile aus Daten im Internet bilden:

Wie Firmen mit Nutzer Profilen im Internet Geld verdienen:

Browser Plugins, die im Hintergrund mehr machen als dem Nutzer Recht ist

Wie einfach sich Tracking-Daten, die angeblich anonym erfasst werden, „konkreten Personen zuordnen lassen und wie umfangreich sie intime Details aus dem Leben der Nutzer preisgeben.“ wissen wir spätestens, seit dies eine NDR Sendung in einem „Selbstversuch“ veröffentlichte: http://www.ndr.de/nachrichten/netzwelt/Nackt-im-Netz-Millionen-Nutzer-ausgespaeht,nacktimnetz100.html

Eine der Daten-Sammler waren in deren Beispiel das Browser-Plugin WoT (Web-of-Trust). Dieses Plugin überprüfte nicht nur aufgerufene Server auf ihre Vertrauenswürdigkeit, es sammelte komplette Seitenaufrufe mit samt ihren Parametern und gab diese Daten jedem weiter, der dafür bezahlte.

Bei meinen Recherchen bin ich immer wieder auf solche unerwartete Datensammler gestossen. Unter anderem ist mir jetzt das Browser Plugin „Erweiterter Cookie Manager“ unangenehm aufgefallen. Dieses Plugin, das ich regelmässig in Firefox nutze um die Cookies zu verwalten, baut immer wenn ich es aufrufe, eine Verbindung zu Facebook auf (zu https://www.facebook.com/cookiemanager/).

Das besonders bedenklich daran ist, dass dabei ein Facebook-Cookie, an Facebook übertragen wird. Falls ich zuvor in Facebook eingeloggt war, wird dabei sogar meine Facebook-Id mit übergeben. D.H. Facebook weiss jetzt, dass ich dieses Plugin gerade nutze. Es findet somit eine de-anonymisierung statt.

Hier im TrutzBox-Status kann man nicht nur den Facebook Aufruf sehen, sondern man sieht auch, welche Daten an Facebook übergeben werden:

Da fragt man sich doch, wieso werden hier bei der Nutzung eines Plugins meine Facebook-Daten mitsamt der Information, dass ich gerade dieses Plugin benutze an Facebook übermittelt.

Ich würde mir zumindest wünschen, dass ich zuvor über diesen „Vorgang“ um Erlaubnis gebeten würde.

 

Ergänzung vom 17.7.17

Es gibt einen sehr aufschlussreichen Artikel, der das Tracking-Verhalten von Browser-Plugins analysiert:
Extended Tracking Powers: Measuring the Privacy Diffusion Enabled by Browser Extensions„:

 

Eine interessante Erkenntnis aus dem Artikel ist, dass auch Browser-Extensions, die der Sicherheit dienen wollen, unnötigerweise Daten an Tracker-Firmen liefern. Ganz vorne dabei ist ein Plugin der Firma Avast.

Firefox Klar: Kostenloser Content-Blocker von Mozilla. Schützt „Klar“ wirklich die Privatsphäre?

Laut https://support.mozilla.org/de/kb/was-ist-firefox-klar dient die neue iPhone App dem „.. Schutz Ihrer Privatsphäre..„, stellt „einen Browser mit eingebautem Schutz vor Aktivitätenverfolgung zur Verfügung und ermöglicht auch das Blockieren von Inhalten.“ Wie gut schützt die App wirklich die Privatsphäre?

Ich habe „Firefox Klar“ auf meinem iPhone installiert und erstaunliches festgestellt. „Firefox Klar“ analysiert meine Browser-Aktivitäten und schickt diese Daten in Echtzeit dann auch noch an die Marketing-Firma Adjust GmbH (adjust.com). Dabei schreibt Mozilla doch „Wann immer Sie privat, werbefrei und vor Verfolgung (Tracking) geschützt surfen wollen, ist Firefox Klar für Sie da.„. Wie kann es dann sein, dass diese App meine Browser-Aktivitäten protokolliert und dann auch noch an einen Dritten weitergibt?

Wer ist diese Firma adjust? Auf adjust.com stellt sich das Unternehmen als Tracking-Unternehmen vor:

„adjust is the business intelligence platform mobile app marketers love: we combine attribution for advertising sources with advanced in-app analytics and store statistics for unbeatable marketing insights.“

Und ein Kunde schreibt dort: „With adjust, we can track and measure whatever we want in real time. It’s a fully flexible solution that gives us insight beyond just click and install: we can investigate all our downstream events and optimize towards our goals.

Ob und an welche ihrer über 700 Werbe-Partner die Firma Adjust diese Daten weiter gibt, wird nicht verraten. Aber in der Liste ihrer Partner findet man alles was Rang und Namen in der Tracking-Industrie hat: https://www.adjust.com/integrated_partners/.

Da möchte ich mich vor Tracking schützen, vertraue Mozilla, installiere Firefox Klar und dann werden Aktivitäten analysiert und dieser Tracking-Firma überlassen.

Wenn ich mein iPhone im Transparent-Mode an das TrutzBox-Netzwerk anschließe, zeigt mir die TrutzBox im Status-Menü den Aufruf des Adjust-Servers: Aber nicht nur Adjust bekommt meine Daten. Jede mit dem Firefox Klar Browser aufgerufene Web-Seite bekommt über den http-Header „User-Agent“ die Information, dass ich Firefox Klar benutze, mich also schützen möchte. Aber glücklicher Weise kann das die TrutzBox verhindern.

Darf Mozilla denn einfach so mein Nutzerverhalten protokollieren und an die Firma Adjust weitergeben? Ich bin kein Jurist, aber dass Mozilla diese Daten erfasst und ohne meine Vorab-Zustimmung weiter gibt, halte ich zumindest für fragwürdig. Ganz zu schweigen von diesem „Schutz Ihrer Privatsphäre“ Werbeversprechen. Warum fragen sie mich nicht vorab, ob sie die weiter geben dürfen?

Aber eines muss man Mozilla dann doch zu Gute halten. Wenn man lange genug auf den Mozilla Seiten sucht, findet man den allgemeinen Hinweis, dass Mozilla auf Mobil-Geräten wohl immer Nutzungsdaten an die Adjust GmbH übermittelt: https://support.mozilla.org/de/kb/anonyme-nutzungsdaten-zu-firefox-auf-mobilgeraten-

Dort ist auch beschrieben, wie man diese Übermittlung ausschalten kann. Aber selbst wenn man diese ausschaltet, wird über den http-Header natürlich weiterhin die Information, dass ich Firefox Klar benutze, an alle angesteuerten Server übermittelt.

Fazit: falls Sie Firefox Klar nutzen möchten, immer erst mal die standardmäßig eingeschaltete Übermittlung der Tracking-Daten (Menüpunkt „Benutzungsdaten senden“) ausschalten.

Nachtrag vom 14.7.17

Weniger Werbung, mehr Privatsphäre: Firefox Klar jetzt auch für Android

Mozilla hat mittlerweile auch eine Android-Version bereit gestellt. Dabei schreibt Mozilla, dass sie „…auf die Einbindung der Drittanbieter-Lösung Adjust verzichtet haben.“ 

Weiter schreiben sie: „Zu diesem Schritt haben wir uns aufgrund des Feedbacks entschieden, das wir im Nachgang des Launchs von Klar für iOS insbesondere von unseren deutschsprachigen Nutzern erhalten haben und wir freuen uns, hierauf an dieser Stelle einzugehen. Auch aus der iOS-Version von Klar werden wir Adjust entfernen.“

Ich konnte für die iOS Version wirklich feststellen, dass ein Tracking durch Adjust nicht mehr statt findet. Die Android Version habe ich nicht getestet.

Hermann Sauer