Sicher durchs Web, Datenschnüffler ade!

Auf Grund der jüngsten Berichte über die Abhörprogramme PRISM und TEMPORA möchte ich hier einen kleinen Ratgeber zusammenstellen, was man tun kann um sicher im Web unterwegs zu sein. Der Ratgeber ist in zwei Teile aufgeteilt: Zuerst geht es darum, wie man den eigenen Datenverkehr vor dem Abhören/Ausspionieren schützen kann. Danach beschäftigen wir uns mit Methoden, beim Surfen möglichst anonym und von nerviger Werbung verschont zu bleiben.

Datenverkehr schützen
Zuerst etwas technischer Hintergrund: Wenn man mit einem normalen Browser (Firefox, Chrome, Internet Explorer, Safari etc) im Internet surft werden die besuchten Webseiten meist über das HTTP-Protokoll übertragen (zu erkennen am „http://“ am Anfang der URL). Gleiches gilt auch für eMailprogramme (Outlook, Thunderbird etc), bei denen SSL/TLS ausgeschaltet ist.  Hier erfolgt keine Verschlüsselung zwischen Server und Client (Nutzer), stattdessen werden die Daten im Klartext übertragen, so dass sie von einem dritten, der Zugriff auf das Übertragungsnetz hat (so wie bei PRISM) einfach mitlesen kann. Gleiches gilt auch, wenn man z.B. in einem fremden WLAN unterwegs ist: Der Betreiber des WLANs könnte den kompletten Datenverkehr, also besuchte Webseiten, Chatnachrichten, Passwörter, Emails einfach unbemerkt mitlesen.

Verschlüsselter  HTTPS
Die einfachste Maßnahme ist es demnach, möglichst alle Daten mittels verschlüsselter Protokolle auszutauschen. Statt HTTP also HTTPS, und beim eMailabruf das SSL oder TLS Protokoll zu aktivieren. Wie das geht wird im Folgenden am Beispiel vom Mozilla Firefox gezeigt. Momentan würde ich jedem nahelegen, diesen Browser zu verwenden, da er quelloffen, sicher und durch Plugins stark anpassbar ist. Außerdem ist er nicht auf die Agenda eines Großkonzerns angewiesen ist, wie bei den anderen weitverbreiteten Browsern der Fall (Chrome – Google, Internet Explorer – Microsoft, Safari – Apple).
https-everywhereZunächst installieren wir das HTTPS Everywhere Plugin (momentan nur verfügbar für Firefox und Chrome). Ein Klick auf „Installieren“ und dann Firefox neu starten – fertig. Das Plugin ist nun aktiv und versucht ab sofort, sämtliche Verbindungen verschlüsselt zu übertragen, sofern der Webserver dies unterstützt. Gibt man jetzt z.B. „google.de“ in die Adressleiste ein, wird automatisch eine Verbindung mit „https://www.google.de“ hergestellt, und deine Suchanfrage kann jetzt nicht mehr abgehört werden.
Ist man an einem fremden Rechner ohne entsprechendes Plugin im Netz unterwegs, sollte man sich angewöhnen, das „s“ in der URL zu ergänzen, zumindest auf kritischen Seiten wie z.B. beim Aufrufen der Webmailoberfläche. Oft wird beim Einloggen auch eine Checkbox „sicher einloggen“ angeboten, die das https-Protokoll für einen aktiviert.

Emailabruf verschlüsseln mit SSL/TLS
Wenn du zum Abrufen von eMails ein Prgramm wie z.B. Thunderbird oder Outlook verwendest, solltest du unbedingt darauf achten dass alle Konten über das SSL/TLS Protokoll abgerufen werden. Bei Thunderbird kann man dies im Menü unter „Extras – Konteneinstellungen“ überprüfen. Die Konfiguration der POP3/IMAP/SMTP Server musst du bei deinem Emailanbierter nachschauen. Für die gängigsten Anbieter hat Thunderbird die Einstellungen bereits gespeichert. Weitere Listen gibt es hier: [1], [2], [3]

Cookies reduzieren – Ausnahmeliste
Nun bist besser vorm Abhören geschützt, die besuchten Webseiten können aber immer noch persönliche Daten von uns an dritte weitergeben – etwa welche Seiten du gerade besuchst, Suchanfragen usw. Dies geschiet in der Regel durch das Setzen von Cookies, einem kleinen, lokal auf deinem Gerät gespeicherten Datensatz. Cookies können durchaus nützlich sei, so merken sich damit Webseiten, ob du gerade eingeloggt bist. Die weitaus größte Menge an Cookies wird jedoch verwendet, um dein Surfverhalten zu protokollieren, also welche Seiten du besucht hast, nach was du im Internet suchst usw. Dies geschiet Seitenübergreifend und über lange Zeiträume hinweg – kann jedoch ganz einfach unterbunden werden, und zwar mit einem weiteren Plugin für Firefox: Self-Destructing Cookies (Installation wie oben beschrieben). Das Plugin sorgt dafür, dass unerwünschte Cookies direkt nach dem Besuch einer Webseite wieder gelöscht werden. Nützliche Cookies von vertrauenswürdigen Webseiten können mit einem Klick „gewhitelistet“ werden, also auf eine Ausnahmeliste gesetzt werden. Dies sollte man ab sofort auf allen zukünftig besuchten Seiten tun, auf denen man sich mit Benutzername/Passwort einloggt.

Werbung entfernen – Adblocker
Werbung auf Webseiten ist nicht nur nervig, sie stellt auch einen Eingriff auf die Privatsphäre dar, da die Werbefirmen mit oben genannten Methoden das persönliche Surfverhalten analysieren und personenbezogene Werbung anzeigen. Socialmediadienste wie Facebook und Google+ erreichen mit ihren auf sämtlichen Webseiten verwendeten „Like“-Buttons übrigens das gleiche! Mit dem Plugin Adblock Plus (Firefox, Chrome, Opera, Android) wird das meiste davon einfach herausgefiltert – ganz nebenbei spart man damit auch noch Bandbreite! Die Firmenpolitik von Adblock Plus ist etwas fraglich, da Firmen dafür bezahlen können, dass ihre Anzeigen nicht blockiert werden („Acceptable Ads“), daher empfehle ich jedem nach der Installation, diese abzuschalten (in Firefox: Menü „Extras – Add-ons – Erweiterungen – Adblock Plus – Einstellungen – Filtereinstellungen – Einige nicht aufdringliche Werbung zulassen“). Neben der standardmäßig ausgewählten Easylist empfehle ich noch, Fanboys Tracking List zu abbonieren, diese unterbindet Zurückverfolgung und Statistikerstellung durch Drittseiten. Wer darüber hinaus von den zahllosen „Like“ Buttons verschiedenster SocialMediadienste, die mittlerweile auf so ziemlich jeder Webseite zu finden sind, genervt ist, dem empfehle ich diese beiden Filterlisten: SocialMediaBlock (abonnieren), sowie Fanboys Annoyance Block List abonnieren. Facebook und co. lassen sich natürlich trotz aktivem Filter weiter nutzen.

Javascript selektiv deaktivieren
Javascript, eine Scriptsprache die auf vielen Webseiten eingesetzt wird um Vorgänge zu vereinfachen (z.B. Datumsauswahl aus einem automatisch angezeigten Kalender) kann von schädlichen Seiten auch unbemerkt missbräuchlich verwendet werden. Die bekanntesten Methoden sind Cross-Site Scripting (XSS), (Skripte von schädlichen Seiten ausführen) sowie unbemerktes Aufrufen fremder Webseiten (Clickjacking). Gegen beides kann das Firefox-Plugin Noscript Abhilfe schaffen, in dem JavaScript standardmäßig deaktiviert ist, und dann mittels einem Klick auf vertrauenswürdigen Seiten wieder angeschaltet werden kann. Da die meiste Werbung auch über JavaScript eingebunden wird, macht NoScript die Benutzung eines zusätzlichen Werbeblockers nahezu überflüssig. Obwohl auch dieses Plugin sehr praktisch ist, sei angemerkt dass die Nutzung etwas aufwendiger ist: Besucht man eine neue Seite, kann es sein dass bestimmte Funktionen nicht aktiv sind bis man Skripte explizit erlaubt. Manchmal ist es auch notwendig, Skripte von externen Seiten zu aktivieren, daher empfehle ich das Plugin nur erfahrenen Nutzern.

Google goodbye – Suchmaschine wechseln
Google hat durch seine Vormachtstellung als Anbieter einer Großzahl von vielgenutzten Diensten (Suche, GMail/Kalender/Adressbuch, Talk, Maps, Google+, Youtube etc.) ein leichtes, unfassende Profile seiner Nutzer zu erstellen und diese zu vermarkten. Seit der Änderungen der Datenschutzbestimmungen am 01.03.2012 fasst Google alle gesammelten Daten zentral zusammen (siehe Chip Online: Letzte Chance: Google Webprotokoll jetzt löschen). Hier gibt übrigens ausführlich Auskunft darüber was Google so alles über einen weiß. Falls noch nicht geschehen, kann man hierbei gleich mal das Webprotokoll löschen und deaktivieren, in dem jegliche bisher aufgerufenen Suchanfragen gespeichert sind.
Um seine Privatsphäre zu schützen, sollte man auf möglichst viele der Googledienste verzichten bzw. Alternativen suchen. Wer auf Suchergebnisse von Google nicht verzichten möchte, kann auf die Suchmaschine startpage.com ausweichen. Diese sucht für „im Auftrag“ bei Google und liefert die gefundenen, nicht personalisierten Ergebnisse zurück, ohne dass Google Informationen (z.B. Google Account, IP Adresse, Cookies etc) über den Nutzer erhält. Die Suchmaschine lässt sich denkbar einfach in alle gängigen Browser integrieren. Wer möchte, kann sie sogar als Standardsuchmaschine verwenden. In Firefox ruft man dazu die Konfigurationsseite about:config auf, klickt die Warnung weg und sucht dann nach „keyword.URL“. Den vorhandenen Eintrag (wahrscheinlich „http://www.google.de/search?q=“) ersetzt man nun einfach durch einen der beiden Einträge:

https://startpage.com/do/search?language=deutsch&cat=web&query=
https://startpage.com/do/search?prf=daf27eecef70ecff68c85ca212a4ca28&query=

Der erste Eintrag sucht mit den Startpage-Standardeinstellungen, beim zweiten Eintrag ist der „Familienfilter“ deaktiviert (empfohlen).

Wer auf Google Suchergebnisse vollständig verzichten kann, sollte sich die Suchmaschine DuckDuckGo mal näher ansehen. Es gibt hierfür auch ein Firefox-Plugin.

Das wärs fürs Erste! Ich hoffe ich habe dien Interesse für mehr Privatsphäre geweckt – Nun heißt es selbst aktiv werden und Freunde und Bekannte informieren.

Eine Anleitung, wie man auf Google Kalender, Aufgaben und Kontakte mittels OwnCloud erfolgreich verzichten kann, folgt demnächst. Außerdem setzte ich mich mit dem Thema „Cloudspeicher verschlüsseln“ außeinander.

Hallo Welt!

Dies ist der erste Eintrag in mein neues Blog, in dem ich vorerst über sicheres Surfen, sichere Kommunikation im Internet, Panoramafotographie und Android-Gadgets berichten werde.

Viel Spass beim Lesen

Christian