Neue Browser: Blockade gegen Spionage-Tools

Im neuen Internet Explorer 9, den Microsoft gestern veröffentlicht hat, spielt eine Funktion eine zentrale Rolle: Über „Tracking Protection“ ist es nun möglich, Werkzeuge, die das Nutzerverhalten protokollieren, auf Webseiten gezielt zu blockieren. So lässt sich etwa Google Analytics ebenso sperren, wie Zählpixel, Social-Media Plug-Ins oder Javascripts. Durch das Abdrehen dieser in Webseiten eingebetteten Funktionen kann das Surf-Verhalten nicht verfolgt werden. Auch sogenannte Tracking Cookies - Dateien, die Seiten und Werbe-Netzwerke auf dem Computer hinterlassen - können untersagt werden.

Der Haken an Microsofts Datenschutz-Funktion: Zu Beginn sind keine Sperr-Listen aktiv. Der Nutzer muss selbst tätig werden, wobei hier mehrere Wege offen stehen (siehe Gallerie unten). Der einfache Weg ist, sich von Datenschutz-Organisationen Listen kostenlos herunterzuladen und zu abonnieren. Microsoft selbst bietet auf der „IE9-Test-Drive“-Seite vier Quellen für Sperrlisten an, alle aus dem englischsprachigen Raum.

Schutz-Liste aus Österreich
Damit österreichische Surfer in IE9 besser geschützt sind, wird nun der Verband für Konsumenteninformation (VKI) in Kürze eine Sperrliste anbieten. „Es wird in den nächsten 14 Tagen soweit sein. Dann werden wir die Liste auf unserer Homepage veröffentlichen“, sagt Paul Srna, Experte des VKI, gegenüber der futurezone. Der Konsumentenschützer koordiniert das Projekt und evaluiert, was in die Liste aufgenommen wird. Parallel untersuche man bestehende Listen, um Redundanzen zu vermeiden. Einbezogen wird das Fachwissen der Redaktion sowie Beschwerden, die bei der Rechtsabteilung eintreffen. „Auf die Liste kommen jene schwarzen Schafe, die uns in Österreich bekannt sind“, sagt Srna. Die fertige Liste solle dann anderen Organisationen, etwa SaferInternet.at, zur Verfügung gestellt werden. Gespräche diesbezüglich sind am Laufen.

Auch der auf Datenschutz spezialisierte Verein Quintessenz findet die Tracking-Listen grundsätzlich interessant. Pläne, selbst eine zu erstellen, gäbe es aktuell keine, man werde sich die Funktion jedoch genau ansehen, so Christian Jeitler gegenüber der futurezone. Der Verein habe bereits öfters über Anti-Tracking-Plug-Ins informiert, in den kommenden Linux-Wochen wird auch ein Mozillia-Entwickler dazusprechen. Der Verein habe punkto Tracking-Schutz eine entsprechend hohe Kompetenz.

Datenschützer Hans Zeger, Obmann der ARGE Daten, findet die Sperrlisten ebenfalls interessant, glaubt jedoch nicht, dass das Publizieren einer Liste möglich sei. Laut Zeger sei der Wartungsaufwand erheblich, wenn der Filter aktuell und vollständig sein soll. Die ARGE Daten wird daher alleine keine Liste betreiben können. Eine länderübergreifende Kooperation, etwa im Zuge eines EU-Projekts, würde sich stattdessen anbieten.

Filter für lokale Werkzeuge
VKI-Experte Srna sieht seine Liste vor allem als Ergänzung zu bestehenden Angeboten internationaler Datenschutz-Organisationen. Die VKI-Liste soll sich vor allem auf Lokales beschränken, wobei Srna betont, dass nur jene auf der Liste landen, die böse Intentionen verfolgen. Etablierte Werbenetze wolle man nicht sperren.Grundsätzlich findet der Experte den Listen-Vorstoß von Microsoft eine gute Idee, die es zu unterstützen gilt. Allerdings betont er, dass die Funktion die Datenschutz-Problematik keinesfalls löse. „Nur weil es eine Liste gibt, ist nicht alles auf einmal wunderbar“, so Srna. Aufklärung sei immer noch die wichtigste Methode, Nutzer zu unterrichten. Nur so würden sie sich Gedanken über den Umgang mit Daten im Internet machen. Er bezweifelt auch, dass die Listen langfristig Erfolg haben werden. Durch die Integration in Browser werde aber zumindest ein Bewusstsein geschaffen.

Listen selbst bearbeiten
Da Sperr-Listen zwecks ständiger Synchronisation auf Web-Servern liegen müssen, ist es für Private schwierig, selbst erstellte Listen einfach zu tauschen. Wer Freunden und Bekannten Listen zur Verfügung stellen will, muss die Textdatei mit den Befehlen auf einer Webseite hinterlegen. Wer keine hat, dem rät Microsoft, die Liste in einem öffentlichen Verzeichnis von SkyDrive zu speichern.

Wer keine Listen abonnieren will, kann auch selbst tätig werden. In der „persönlichen Liste“ werden alle Web-Spione protokolliert, mit denen der Nutzer im Zuge des Surfens in Kontakt kommt. Wer also ein, zwei Tage intensiv im Netz unterwegs ist, sollte spätestens dann eine fundierte Liste aller Daten-Dienste haben. Darauf aufbauend, kann der Nutzer dann auf der Liste jene Services verbieten, die ihm nicht genehm sind oder das automatische Blocken einstellen. Es ist auch möglich, die persönliche Liste sowie jene von Drittanbietern parallel zu nutzen.

Schutz-Befehl auch im Header
Zusätzlich zu den Schutz-Listen unterstützt der neuen IE9 auch den „Do-not-Track“-Header-Befehl (beide Systematiken wurden bei W3C eingereicht). Sobald eine Liste im Einsatz ist, wird auch der Header-Befehl aktiv. Diese Option, die auch in Firefox 4 zum Einsatz kommt, teilt Webseiten beim Ansurfen automatisch mit, dass eine Überwachung nicht erwünscht ist. Der Vorteil dieser Methode: Der Nutzer muss keine Listen anlegen oder verwalten, also nicht aktiv eingreifen. Der Browser übernimmt den Schutz.

Der Nachteil: Bislang ist keine Webseite verpflichtet, der Bitte um Privatsphäre nachzukommen. Ob der Header-Befehl beachtet wird, obliegt den Betreibern der Seite – bislang hat sich keine Firma öffentlich dazu bekannt. Auch muss die Webseite den neuen Befehl verstehen können, was nicht selbstverständlich ist. Allerdings könnten Entscheide der US-Handelskommission oder der EU-Kommission und nachfolgende Gesetze hier für mehr Druck sorgen. Die Header-Methode gilt bei politischen Vorstößen zu Tracking-Schutz als aussichtsreichstes Werkzeug. Dies wird etwa wieder in einem aktuellen Bericht der Washington Post betont.

Im Vergleich zur Konkurrenz
In einem ersten Test hat die Sperr-Funktion des IE9 passabel funktioniert. Webseiten bleiben trotz rigider Sperrung lesbar und in der Funktion nicht eingeschränkt. Im Gegensatz zu Firefox 4 (RC) wirkt die IE9-Lösung kompletter. Alle spionierenden Dienste sind einseh- und konfigurierbar. Bei FF4 hingegen kann man bislang nur die - gut versteckte - Option auswählen, nicht verfolgt werden zu wollen. Was bei der Auswahl im Hintergrund abläuft, ist nicht ersichtlich. Chrome wiederum verlangt vom Nutzer, Plug-Ins zu installieren, die etwa Werbung und Google Analytics blocken. Im Menü und den Datenschutz-Einstellungen wird darauf allerdings nicht verwiesen. Apples Safari schließlich ist der einzige Browser, der standardmäßig einen Schutzmechanismus aktiviert hat. Das automatisierte Blocken von Drittanbieter-Cookies ist vorbildlich und dürfte auch gut funktionieren. Laut einer aktuellen Werbemarkt-Studie, die Techrunch vorliegt, sind Safari-Nutzer (Computer und Mobilgeräte) gegenüber Tracking gut geschützt - wobei die aktuellen Browser-Versionen (FF4, IE9) und deren Schutzfunktionen noch nicht berücksichtigt werden konnten.

Zusätzlich zu den Schutz-Listen unterstützt der neuen IE9 auch den "Do-not-Track"-Header-Befehl (beide Systematiken wurden bei W3C eingereicht). Sobald eine Liste aktiviert ist, wird auch der der Header-Befehl aktiv. Diese Option, die auch in Firefox 4 zum Einsatz kommt, teilt Webseiten beim Ansurfen automatisch mit, dass eine Überwachung nicht erwünscht ist. Der Vorteil dieser Methode: Der Nutzer muss keine Listen anlegen oder verwalten, also nicht aktiv eingreifen. Der Browser übernimmt den Schutz. Der Nachteil: Bislang ist keine Webseite verpflichtet, der Bitte um Privatsphäre nachzukommen. Ob der Header-Befehl beachtet wird, obliegt den Betreibern der Seite - bislang hat sich keine Firma öffentlich dazu bekannt. Auch muss die Webseite den neuen Befehl verstehen können, was nicht selbstverständlich ist. Allerdings könnten Entscheide der US-Handelskommission oder der EU-Kommission und nachfolgende Gesetze hier für mehr Druck sorgen. Die Header-Methode gilt bei politischen Vorstößen zu Tracking-Schutz als aussichtsreichstes Werkzeug.

Mehr zum Thema

• Internet Explorer wird konkurrenzfähig
• „Firefox 4 gehorcht nur dem User“
• Neuer Schutz gegen Browser-Spionage
• US-Handelsaufsicht für Datenschutz im Web
• EU will Werbung im Internet an den Kragen
• Das ewige Cookie