Browser-Datenschutz in 2020 ist ein kompliziertes Unterfangen

Browser-Datenschutz: Respektiert Ihr moderner 2020 Browser Ihre Privatsphäre und gibt demnach keine persönlichen Informationen ohne Ihre Einwilligung an unbekannte Dritte weiter? Die kurze, doch leider wahre Antwort lautet: Nein. Die längere Antwort würde lauten: Es kommt darauf an. Sicher ist auf jeden Fall, dass die ganze Situation etwas verwirrend ist, auch für Personen mit technischem Background. Ich habe daher etwas zu dem Thema recherchiert und möchte die Ergebnisse nun gerne mit Ihnen teilen. 

Beobachtung 1: Datenschutz stellt heutzutage ein Problem dar

Angelegenheiten, die den Datenschutz betreffen, sind heutzutage Teil unseres Alltags. Ebenso gehört es zu unserer Routine, Cookie-Einwilligungen wegzuklicken – meiner Meinung nach nicht unbedingt die beste User-Experience. Die DSGVO (Datenschutz-Grundverordnung) hat neue Business-Modelle entwickelt, darunter die Consent Management Platforms, weshalb die Unterstützung der DSGVO-Prinzipien für größere SaaS-Anbieter heute unbedingt notwendig ist. Tatsächlich können Datenschutz-Angelegenheiten 2020 als Mainstream bezeichnet werden. 

Doch wie bewältigt Ihr Haupt-Tool – der Browser – den Datenschutz Ihrer sämtlichen Erfahrungen im Internet? Und wie sieht das ganze auf Ihrem Handy aus, wo viele Apps lediglich eine dünne Schicht rund um die sogenannten Webviews bilden, die wiederum selbst ebenso Browser sind? Kurz ausgedrückt: Es ist und war schon immer eine Katastrophe. 

Respektieren Browser Ihre Privatsphäre?

Beobachtung 2: Browser-Anbieter ergreifen Maßnahmen 

Browser-Anbieter haben entschieden, Gegenmaßnahmen zu ergreifen, um zu verhindern, dass Informationen ungewollt veröffentlicht werden. Um einige Beispiele zu nennen: 2017 führte Apple die Intelligent Tracking Prevention ein, die zum Safari-Browser hinzugefügt wurde und Drittanbieter-Cookies, die für Cross-Site Tracking verwendet wurden, blockierte. Neben der Ad-Tech-Szene zeigten sich viele weitere, deren Remarketing-Maßnahmen grundsätzlich auf Drittanbieter-Cookies basieren, alles andere als begeistert. Darüber hinaus wurde Fingerprint-Defense angekündigt, was den Missbrauch persönlicher Informationen verhindern sollte – theoretisch ein guter Ansatzpunkt, doch noch keine ideale Lösung. Wenn Sie mehr über diese Entwicklung erfahren möchten, empfehle ich Ihnen, diesen in der Financial Times publizierten Artikel zu lesen.  

2019 veröffentlichte Google seine neue Datenschutz-Strategie, zu der Sie hier mehr finden können. Genau wie Apple führten sie eine verbesserte Fingerprinting-Defense ein. Doch was die Cookies betraf, schlug Google eine alternative Vorgehensweise vor: intensivere Kontrolle von Drittanbieter-Cookies. Dies war keine große Überraschung, weil das Interesse an Cross-Site-Tracking-Daten bei Google wesentlich höher ist als bei Apple. 

Im Vergleich dazu bietet der Firefox-Browser von Mozilla eine hohe Kontrolle über Features, die den Datenschutz betreffen – eine genaue Erklärung dazu finden Sie in diesem Blogpost. Das ist vermutlich einer der Gründe, warum der Tor-Browser auf einer abgespeckten und angepassten Version von Firefox basiert.

Beobachtung 3: Drittanbieter-Cookies sind (gelegentlich) schlecht

Manch ein technischer Nutzer wird seit Februar 2020 eine neue Warnmeldung in der Entwickler-Konsole des Google Chrome Browsers bemerkt haben, die folgendermaßen lautet:  

Warnmeldung in der Chrome Entwickler-Konsole

Grund dafür ist, dass Google Chrome 80 bereits einen neuen, standardisierten Vorschlag für eine genauere Kontrolle von Drittanbieter-Cookies eingeführt hat. In meinem oberen Beispiel zu DoubleClick – ironischerweise eine Google-Company – würden Drittanbieter-Cookies von zukünftigen Versionen des Google-Browsers geblockt werden. Dementsprechend wird dies, denke ich, bald geändert werden. 

Jener SameSite-Antrag – Klassifizierung der Cookies, standardmäßig sicher – ist im Vergleich zum Blocking-Ansatz von Apple milder. Beide Methoden sind dazu fähig, einen bekannten Angriff namens CSRF zu verhindern. 

Beobachtung 4: Die dunkle Macht von Browser-Fingerprinting

Nun kommen wir zu jener Sache, mit der wir uns alle beschäftigen sollten: Browser-Fingerprinting. Dies ist kein neues Phänomen, sondern war schon immer da und wurde sicher schon immer genutzt. Ohne dass es jemand bemerkt, geschweige denn Zustimmung dafür gegeben hätte.  

Es dauert wohl einige Zeit, Browser-Fingerprinting zu erklären. Als Ansatzpunkt kann ich folgenden Blogpost der Washington Post empfehlen. Die grundsätzliche Idee ist es, alle Informationen, die Ihr Browser freilegt, zu kombinieren (normalerweise für gute Zwecke, wie installierte Fonts, Batterie-Status etc.), etwas Mengenlehre anzuwenden und einen einzigartigen Wert für Ihr Browser-Umfeld – und darüber hinaus für Sie selbst – zu kalkulieren. 

Dies ist der Grund, warum jeder Browser-Anbieter Fingerprinting-Defense als zukünftige Strategie vorschlägt, um Datenschutz zu gewährleisten. Doch ist die Umsetzung davon leicht durchzuführen? Auf keinen Fall, denn es ist alles andere als trivial. In diesem Tor Project Blogpost können Sie Näheres zum aktuellen Recherche-Stand sowie den bestehenden Problemen erfahren, die zuvor gelöst werden müssen.  

Wenn Sie Testing-Sites, wie beispielsweise dieses Open Source Project, besuchen, können Sie mehr über Ihre (Online-)Einzigartigkeit erfahren. Vergessen Sie nicht, es sowohl auf Ihrem Handy als auch auf Ihrem Desktop-Browser auszuprobieren. 

Browser-Fingerprinting macht Ihr Profil einzigartig

Fazit

Wie schon der Titel dieses Blogs verrät, ist Datenschutz für Browser ein kompliziertes Unterfangen. Die erwähnten Datenschutz-Gefährdungen existieren nicht erst seit kurzem, vielmehr beschäftigen wir uns mit Drittanbieter-Cookies schon seit 25 Jahren. Außerdem betrifft es nicht nur Web-Browser, sondern auch Ihr Handy, da Apps zu einem beträchtlichen Anteil Gebrauch von integrierten Handy-Browsern machen. Browser-Anbieter widmen sich den aktuell größten Problemen, doch der Prozess ist relativ langsam, da erst neue Standards etabliert werden müssen. Darüber hinaus stehen ganze Geschäfts-Kategorien auf dem Spiel, da es Unternehmen gibt, die Benutzerprofile verkaufen und tracken. 

Es ist also heute schwierig, die eigene Privatsphäre zu schützen, auch für technisch versierte Personen. Drittanbieter-Cookies sind gelegentlich sinnvoll, und sie können zumindest gelöscht oder blockiert werden. Nichtsdestotrotz stellt Browser-Fingerprinting ein echtes Problem dar. Wenn Sie also Beschwerden über Drittanbieter-Cookies hören, erklären Sie doch das Prinzip von Fingerprinting und führen Sie einige Demo-Seiten jener dunklen Macht vor.  

Alles in Allem lege ich es Ihnen ans Herz, Ihre persönliche Privatsphäre ernst zu nehmen und sich laufend Informationen dazu einzuholen. Das wichtigste ist, dass Sie sich nicht darauf verlassen, dass Ihre Privatsphäre im Internet respektiert wird, egal ob beim Durchsuchen Ihres Browsers oder bei der Verwendung scheinbar unschuldiger Apps auf Ihrem Handy oder anderen Geräten.