Fast alle Webseiten sammeln Daten über ihre Besucher, und zusätzlich verfolgen Partnerseiten das Surfverhalten und nutzen es zu Werbezwecken. Wir stellen Firefox-Add-ons vor, die das Tracking durch Drittanbieter aufdecken und verhindern.

Über 700 Ergebnisse liefert die Suche nach Privacy (deutsch “Privatsphäre, Datenschutz”) im Firefox-Add-on-Manager, darunter Erweiterungen, welche die Verbindung zu sozialen Netzen kontrollieren, die Google-Suche absichern oder auf eine alternative Suchmaschine ausweichen. Add-ons, die Ihre Privatsphäre beim Surfen schützen, stehen vor einer besonderen Herausforderung: Sie sollen genau die Cookies und Tracking-Aktivitäten blockieren, die zum Erzeugen von Benutzerprofilen oder zu Werbezwecken dienen – egal, ob jemand gerade eine Suchmaschine befragt, auf Facebook oder Twitter postet oder bei eBay einkauft. Gute Erweiterungen machen das Tracken also in erster Linie sichtbar. Im zweiten Schritt unterscheiden sie reines Werbe-Tracking von funktionalem Tracking, und im dritten Schritt stellen sie den Anwender vor die Wahl, welches Tracking er zulassen möchte und welches nicht.

Dieser Workshop stellt die Firefox-Erweiterungen Privacy Badger [1], RequestPolicy Continued [5] und Lightbeam [6] ausführlich vor, denn diese Add-ons haben uns im Test überzeugt. Wir haben uns einige weitere angeschaut, können diese aber nicht uneingeschränkt empfehlen (siehe Kasten Zweifelhaft: Ghostery, WOT und Blur). Getestet haben wir unter Ubuntu und OpenSuse mit der bei Redaktionsschluss aktuellen Firefox-Version 33.

Privacy Badger

Diese Erweiterung stammt aus der Feder der amerikanischen Stiftung Electronic Frontier Foundation (EFF). Der Privacy Badger [1] debütierte im Mai 2014 als Alphaversion 0.1. Inzwischen hat sich das Plug-in gemausert, und die aktuelle Version 0.2.3 vom 16. Oktober 2014 hat den Status Beta. Privacy Badger hat sich mit einem weiteren Add-on vereint, das nicht länger weiterentwickelt wird: Zusammen mit ShareMeNot von der Universität Washington verhindert die Erweiterung Tracking durch Werbenetzwerke, beispielsweise über Facebook-, Twitter- und Google+-Buttons auf Webseiten. Über den Add-on-Manager in Firefox erhalten Sie derzeit noch Version 0.1.4 [2]; die ShareMeNot-Funktion ist hier noch nicht implementiert. Es empfiehlt sich daher, die neueste Version direkt über die Privacy-Badger-Projektseite [3] zu installieren. Ein Neustart des Browsers ist nicht erforderlich.

Das Tool nistet sich als rotes Sechseck in der Symbolleiste ein. Wenn Sie auf das Icon klicken, sehen Sie eine Liste der Domains, die beim Laden der Webseite im Hintergrund werkeln (Abbildung 1). Zunächst erscheinen die Einträge in Grün, das heißt, ein Drittanbieter hat noch nicht versucht, Sie über die Domaingrenzen hinaus zu verfolgen. Nach kurzer Zeit gerät die Sache jedoch in Bewegung (Abbildung 2). Rot markierte Seiten hält das Add-on grundsätzlich davon ab, Inhalte zu laden, weil sie nach Meinung von Privacy Badger lediglich Werbezwecken dienen. Gelb bedeutet hingegen, ein Drittanbieter verfolgt Sie zwar und übermittelt auch ständig etwas auf die aufgerufenen Webseiten, doch das scheint für das Funktionieren der Webseite notwendig zu sein. Dabei kann es sich z. B. um Karten, Bilder oder Inhalte aus sozialen Netzwerken handeln.

Abbildung 1: Privacy Badger sucht auf jeder aufgerufenen Seite nach Inhalten, die Drittanbieter bereitstellen. Am Anfang stuft das Add-on alles als harmlos ein und markiert die Einträge grün.

Abbildung 2: Sobald Privacy Badger Tracking-Aktivitäten identifiziert hat, blockiert er die entsprechenden Domains.

Privacy Badger lernt also dazu und unterscheidet sich damit von vielen anderen Add-ons, die auf Listen von Trackern setzen, die jemand von Hand pflegt. Die EFF-Browsererweiterung startet bei Null, und während Sie auf die Reise durchs Web gehen, registriert sie alle Domains, von denen eine besuchte Webseite Daten lädt. Sind diese nach einem bestimmten Muster aufgebaut, das Tracking-Funktionen nahelegt, und erkennt Privacy Badger eine solche Domain auf einer anderen Seite wieder, ist es wahrscheinlich, dass sie Benutzerverhalten aufzeichnet. Die logische Konsequenz ist, dass das Add-on von nun an verhindert, dass der Browser von solchen Domains aus weitere Inhalte lädt.

Unkompliziert

Ein Klick auf das Privacy-Badger-Icon offenbart neben der erwähnten Liste auch Links zur den englischen Frequently Asked Questions (FAQ) auf der Projektseite selbst. Das kleine Zahnrad im Dialogfenster oben rechts enthält Funktionen, die das Add-on auf der aktuellen Seite (Disable on current page) oder auf allen Webseiten (Unblock all trackers) deaktivieren (Abbildung 3). Letzteres versetzt sämtliche Schieberegler in ihren grünen Ausgangszustand, und erst wenn Sie weitersurfen, wandern diese wieder in den gelben oder roten Bereich. Zusätzlich ist es möglich, gezielt einzelnen Adressen erneuten Zugriff zu gewähren, beispielsweise wenn Sie einen Social-Media-Button nutzen möchten, den der Bagder deaktiviert hat (Abbildung 4). Dazu setzen Sie den Schieberegler mit der Maus von Rot nach Grün zurück. Dass Sie von Hand eingegriffen haben, erkennen Sie am kleinen Pfeil rechts neben dem Regler.

Abbildung 3: Das Add-on hat minimale Einstellungsmöglichkeiten. Entweder deaktivieren Sie es für einzelne Webseiten (“Disable on current page”) oder starten ganz von vorne (“Unblock all trackers”).

Abbildung 4: Privacy Badger hat den Facebook-Button durch ein eigenes Symbol ersetzt und abgeschaltet.

Wenn Sie Zeit und Lust haben, können Sie mit dem Add-on also kleine Studien betreiben, welche Tracker auf welchen Seiten aktiv sind und wo die Aktivitäten ihren Ursprung haben. Mit etwas Übung identifizieren Sie so auch gezielt Werbedomains. Obwohl Privacy Badger kein Anzeigenblocker sein möchte, unterdrückt das Add-on in der Praxis Anzeigen, sobald es entsprechende Auslieferungsserver blockt. Das können Sie gut daran erkennen, dass auf einmal auffällige weiße Flächen auf Webseiten auftauchen. Auch wenn Sie eine Funktion wie etwa Social-Media-Buttons vermissen, hilft ein Blick in die Liste der gefundenen Services im Badger-Fenster. Eventuell ist hier ein wenig Detektivarbeit nötig. Rufen Sie dazu einfach die URLs im Browser auf.

RequestPolicy Continued

Dieses Add-on ist eine Weiterentwicklung von RequestPolicy [4], von dem es seit Juli 2013 keine neuen Versionen mehr gibt. Das Original stammt aus der Feder von Justin Samuel, der aus Zeitgründen nicht mehr an der Erweiterung arbeitet. Inzwischen hat die Community übernommen und veröffentlicht auf der Projektseite [5] eine Betaversion (v1.0.beta8.1). Über den Link Download installieren Sie das Add-on und starten danach Firefox neu. Am oberen Rand nistet sich eine kleine graue Flagge ein, die rot wird, wenn das Add-on Anfragen von Drittanbietern blockiert. Ein Klick auf das Symbol öffnet ein Menü, das alle Domains auflistet. Erlaubte Anfragen sind in Grün gekennzeichnet, geblockte in Rot. Per Klick auf einen roten Eintrag schalten Sie einen Anbieter wieder frei. Wenn Sie auf eine grün gekennzeichnete Domain gehen, entscheiden Sie, ob Sie Anfragen von dieser Adresse temporär oder immer verbieten oder erlauben möchten (Abbildung 5).

Abbildung 5: RequestPolicy Continued ermöglicht es, Drittanbieter-Anfragen temporär oder immer zu gestatten bzw. zu verbieten.

In der Voreinstellung blockiert das Add-on Anfragen, die Inhalte weiterer Seiten referenzieren. Dazu gehören Bilder, JavaScript-Dateien, Stylesheets usw. RequestPolicy Continued unterbindet ebenfalls Weiterleitungen von der aktuellen zu einer weiteren Seite. Diese so genannten Redirects laden eine ganz andere Webseite als die über die URL angeforderte.

Einige Browser, darunter Mozilla Firefox und Google Chrome, unterstützen die Prefetch-Technik. Dabei versucht der Webbrowser zu erraten, welche Seiten Sie als Nächstes besuchen werden, und lädt deren Inhalte im Hintergrund. Einerseits kommen Sie so in den Genuss schneller geladener Seiten, andererseits hinterlassen Sie dabei auch Spuren auf Seiten, die Sie eventuell gar nicht besuchen möchten. RequestPolicy Continued unterbindet das Prefetching daher generell.

Gut ausgerichtet

Über das Menü des Add-ons erreichen Sie ganz links einen Eintrag, der RequestPolicy Continued abschaltet (Disable blocking). Einstellungen und auch Manage Policies bringen Sie zum Konfigurationsdialog. Hier richten Sie unter anderem ein, in welcher Reihenfolge die Erweiterung die Einträge sortiert. In der Voreinstellung stehen Drittanbieter mit den meisten Anfragen oben. In den Advanced Preferences ist darüber hinaus definiert, dass nach der Deinstallation des Add-ons die Standardeinstellungen des Browsers wiederhergestellt werden – das ist benutzerfreundlich.

Etwas komplexer ist die Verwaltung der Richtlinien (englisch “policies”). Blättern Sie im Dialog ganz nach unten, um die aktuellen Einstellungen einzusehen. Auch hier sind blockierte Drittanbieter wieder rot eingefärbt, und erlaubte erscheinen in Grün (Abbildung 6). Der Link Learn more about rules führt zu einem englischen Artikel, der ganz genau den Aufbau der RequestPolicy-Continued-Regeln erklärt. Das Thema ist allerdings recht komplex und fortgeschrittenen Anwendern vorbehalten.

Abbildung 6: Über die Einstellungen und den Punkt “Manage Policies” richten Sie neue Regeln zum Blockieren von Drittanbietern ein. Weiter unten stehen die derzeitigen Einstellungen (“Active Rules”).

Klicken Sie im Menü des Add-ons auf den Eintrag Anfragenchronik, um am unteren Browserrand einen Verlauf einzublenden (Abbildung 7). Die Einträge sind chronologisch sortiert und gelten jeweils für die aktuell geöffnete Seite. Hellgrün hinterlegte Adressen hat RequestPolicy Continued gestattet, hellrote blockiert. Neben dem Zeitstempel sehen Sie in der Liste sehr deutlich die Quelle und das Ziel – das macht es leicht, selbst weiterzuforschen. Per Rechtsklick auf eine URL öffnen Sie ein Kontextmenü und navigieren direkt zur Adresse oder kopieren sie in die Zwischenablage. Über das kleine rote Kreuz rechts oben blenden Sie die Chronik wieder aus.

Abbildung 7: Die Anfragenchronik blendet für die aktuell geöffnete Webseite einen zeitlichen Verlauf der Drittanbieter-Kontakte ein. Rot hinterlegte Einträge hat das Add-on blockiert.

Lightbeam

Dass Datenschutz auch Spaß machen kann und darüber hinaus schön aussieht, beweist dieses Add-on: Lightbeam [6], das Mozilla im Februar 2012 unter dem Namen Collusion vorgestellt hat, verfolgt einen anderen Ansatz als Privacy Badger und RequestPolicy Continued. Das Add-on visualisiert die Interaktionen zwischen besuchten Seiten und den verbundenen Drittanbietern und erzeugt dazu ansprechende Graphen. Der Hersteller hat sich im September 2012 mit der kanadischen Emily Carr University of Art + Design [7] zusammengetan. Seit Herbst 2013 hört Collusion auf den Namen Lightbeam. Im Add-on-Manager finden Sie die aktuelle Version 1.1.0; nach der Installation ist kein Firefox-Neustart erforderlich.

Lightbeam nistet sich ebenfalls als Icon in der Symbolleiste ein. Ein Klick darauf öffnet einen eigenen Reiter im Browser. In der linken Leiste schalten Sie zwischen Graphen- und Listenansicht um, rechts blenden Sie eine englische Kurzhilfe und Informationen ein, und in der Mitte sehen Sie die grafische Aufbereitung der gesammelten Daten (Abbildung 8). Mit dem Mausrad vergrößern oder verkleinern Sie das Gebilde. Am oberen Rand zeigt das Add-on an, seit wann es Seitenaufrufe protokolliert, wie viele Seiten Sie seitdem besucht haben und wie viele Drittanbieter involviert sind. Lightbeam visualisiert die Verbindungen in Echtzeit und macht sehr anschaulich, wie die verschiedenen Seiten und Tracker zusammenhängen.

Abbildung 8: Lightbeam protokolliert alle augerufenen Webseiten und visualisiert in Echtzeit, welche Drittanbieter mit diesen in Verbindung stehen.

Die Zahl der Querverbindungen wächst schnell – sobald der Graph zu groß wird, wird er spürbar schwerfällig (Abbildung 9). Aus diesem Grund zeigt Lightbeam maximal Daten der letzten Woche an. Optional betrachten Sie eine tägliche Übersicht (Daily), die letzte Seite (Recent Site) oder die letzten zehn Webseiten (Last 10 Sites). Am unteren Rand finden Sie darüber hinaus Filterfunktionen, die in der Visualisierung einzelne Objekte ausblenden. Visited Sites deaktiviert die Ansicht für besuchte Webseiten (Kugelsymbol), Third Party Sites die Drittanbieter (Dreiecke), Connections die Verbindungen (weiße Linien) und Cookies die Cookie-Verbindungen (lila Linien).

Abbildung 9: Lightbeam wächst schnell. Hinein- und Herauszoomen sowie das Markieren einzelner Einträge werden bei einer solchen Größe zunehmend träge.

Barriere

Lightbeam bietet Ihnen außerdem Funktionen, um Seiten zu blockieren. Das bewirkt, dass der Browser keine Inhalte mehr von diesen lädt. Hier gilt es, gut aufzupassen: Haben Sie einen Service identifiziert, der nur zu Tracking- oder Auswertungszwecken existiert, ist die Sperre sinnvoll. Handelt es sich jedoch um einen Drittanbieter, dessen Inhalte zur Funktionalität einer anderen Seite beitragen, dann sollten Sie gut abwägen.

Per Mausklick auf ein Dreieck oder eine Kugel in Lightbeam blenden Sie auf der rechten Seite Informationen ein (Abbildung 10). Dort finden Sie auch eine Schaltfläche Block Site bzw. Unblock Site (für bereits gesperrte Seiten). Die Sperrung einer Seite bezieht auch immer deren Subdomains mit ein: Blockieren Sie also example.com, sind Adressen wie mail.example.com oder news.example.com immer mit betroffen.

Abbildung 10: Nach etwas Recherche stellte sich “quality-channel.de” als Anzeigenlieferant heraus. Das Blockieren verhindert künftig die Werbung von dieser Adresse.

Die Listenansicht bietet Zugriff auf alle gesammelten Daten. Lightbeam unterscheidet deutlich zwischen von Ihnen aufgerufenen Seiten (Visited) und Drittanbietern (Third Party). Adressen, die das Add-on nicht zuordnen kann, erscheinen als Unknown. Aktivieren Sie in der Liste eine oder mehrere Adressen per Checkbox, können Sie über die Schaltflächen am unteren Rand Seiten blockieren (Block Site), verstecken (Hide Site) oder besonders hervorheben (Watch Site). Die Markierungen in Rot oder Blau funktionierten jedoch nur auf einem Testrechner beim Wechsel zur Graphansicht. Abzüge in der B-Note gibt es außerdem für die Reset-Funktion auf der linken Seite: Die vorher geblockten Seiten waren weiter gesperrt und erst nach dem Neustart des Browsers wieder erreichbar.

In der linken Leiste finden Sie darüber hinaus die Funktion Save Data, welche die von Lightbeam gesammelten Daten anonymisiert und im Klartext in einer JSON-Datei auf der Festplatte ablegt. Wenn Sie möchten, können Sie diese im Texteditor betrachten oder an die Lightbeam-Macher weiterleiten. Laut eigenen Aussagen entwickelt Mozilla eine Datenbank, die Lightbeam-Verbindungen von Erst- und Drittanbietern erfasst, um Beziehungen im Internet zu untersuchen. Anders als bei Ghostery haben Sie die volle Kontrolle über die eigenen Daten. Sie können die Daten vorher einsehen und verschicken diese dann von Hand an die Entwickler und nicht automatisch aus dem Browser heraus.

Gut getarnt?

Obwohl Privacy Badger und RequestPolicy Continued sich derzeit noch im Betastatus befinden, haben sie uns auf ganzer Linie überzeugt. Sie erledigen die Arbeit zuverlässig, sind unaufdringlich und schnell konfiguriert, wobei RequestPolicy Continued ein paar mehr Einstellungen erlaubt als Privacy Badger. Pluspunkte erhält RequestPolicy Continued außerdem für die Anfragenchronik, die Sie am unteren Fensterrand einblenden können.

Lightbeam ist in erster Linie ein Add-on zum Beobachten und Lernen. Wir finden, dass es sich prima dazu eignet, einen Überblick über die Zusammenhänge von Webseiten und Trackern zu erhalten. Außerdem unterstützt es Sie dabei, die anderen Erweiterungen zu testen – blockieren Privacy Badger und RequestPolicy Continued wirklich das, was sie versprechen? Auch wenn Lightbeam selbst Seiten blocken kann, finden wir es dafür zu sperrig. Läuft das Add-on eine Weile, werden die Graphen einfach zu groß und verlangsamen den Browser.