Wie kann ich prüfen ob eine Webseite meine Daten zu Dritten sendet

Ich erhalte viele Anfragen von Benutzern, die sich beim surfen im Internet bezüglich Ihrer Privatsphäre große Sorgen machen. Um zu verstehen was Tracking ist, wie es funktioniert und warum jeder etwas zu verbergen hat, wird im folgenden dargelegt.

Was ist Tracking und warum will man nicht getrackt werden.

Generell gibt es mehrere Formen von Tracking, alle laufen darauf hinaus, ein Profil von Ihnen zu erstellen und möglichst genau zu wissen, was Sie tun, mit wem Sie kommunizieren und vieles mehr.

Tracking unterscheidet sich auch in der Form des verwendeten Gerätes. Am schlimmsten ist das Tracking mittels Programmen am Smartphone oder Tablet mittels von Werbeleute App genannter Software, welche mit Ihren Berechtigungen am Gerät, meist auch im Hintergrund, laufen. Eine App ist generell Software, ein Programm, dass auf Ihrem Gerät alles machen kann, dass Sie mit Ihren Berechtigungen auch können. Sehr gefährlich, insbesondere für reine Anwender ohne IT Spezialwissen.

Smartphone und Tablet

Vielfach wollen diese Programme (Apps) Zugriff auf:

  • Ihr Adressbuch (sehr gefährlich, denn das Senden von Adressen an Drittanbieter verstößt gegen die Datenschutzgrundverordnung und kann Ihnen eine Menge Probleme, im schlimmsten Fall Klagen und hohe Schadensersatzforderungen einbringen. Oder haben Sie von jedem Ihrer Kontakte die schriftliche Einwilligung seine Adresse an andere zu verteilen?)

  • Ihren Kalender (extrem gefährlich da hier massive Profildaten erhoben werden können, inkl. Meta Daten über Kommunikationspartner bei Kalendereinladungen in beide Richtungen)

  • Ihre GPS Daten (eines der gefährlichsten Dingen, denn damit erhalten Dritte ein exaktes Bewegungsprofil und können auch ein Matching mit anderen Personen, welche sich aktuell an diesem Standort befinden durchführen. Diese Daten wollen Sie in keinem Fall weitergeben, denn dumm in ein Raster gefallen könnte sich Ihr Leben in Sekundenschnelle dramatisch verändern. Nur weil Sie an einem Standort waren, wo jemand anderer auch ist.)

  • Ihre SMS (Wenn diese Daten öffentlich wären, würden Sie diese auf einer Postkarte versenden,)

  • Ihre E-Mails und je nach Gerät kommt die App dann auch an die Zugangsdaten Ihres Mailservers und kann die Daten auch direkt, ohne Ihr Zutun abrufen und lesen. Auch wenn Sie nichts zu verbergen haben, Ihre Kommunikationspartner könnten Ihnen die Veröffentlichung des E-Mail Verkehrs durchaus übel nehmen. Klagen und Schadenersatz nicht ausgeschlossen.

  • Ihre Messenger Kommunikation. Mit diesen Kommunikationsdaten wurden schon Jobs verloren, Ehen geschieden und vieles mehr. Bedenken Sie, dass eine App eventuell Zugriff auf End-to-End verschlüsselte Daten hat, da die App am Gerät die Daten eventuell auch dechiffriert sieht.

  • Microfon und Kamera. Das übelste, denn wenn hier ein Zugriff besteht führen Sie eine eventuell filmende, alles hörende Wanze mit sich und Sie wissen noch nicht einmal ob irgendwo im Netz jemand live zusieht oder mithört. Es ist mir unverständlich warum Smartphones und Tablets noch immer bei Besprechungen erlaubt sind. Ein kompromittiertes Gerät reicht aus um z.B. durch Verlust eines Auftrages einen riesigen Schaden zu verursachen. Die Möglichkeiten sind vielfältig und es gibt Szenarien für jedermann.

Damit sind Ihre Daten im Falle eines Hacks des Drittanbieters der die Daten erhält bereits weitgehend der Öffentlichkeit preisgegeben. Wenn Sie das nicht glauben und jetzt denken - „Der lebt in einer anderen Welt“ - dann nehmen Sie sich etwas Zeit und lesen Sie am besten per RSS Newsfeed:

• https://www.bleepingcomputer.com/ 
• https://www.heise.de/security/ 

Es gibt einiges mehr, insbesondere wenn jemand tiefer in die Materie eintaucht, aber mit oben genannten ist das notwendige Tages-Minimumwissen für alle Anwender ohne Spezialwissen im Kurzüberblick abgedeckt. Millionen von gestohlenen Datensätzen, oftmals durch laienhafte Security bei kleinen und großen Unternehmen leicht zu ergattern, sind Online auch von renommierten Firmen verfügbar. Aktuell ist gerade ein Data Breach mit Daten eines großen Kreditkartenunternehmens im Umlauf der aufgrund der Datenmenge durchaus interessant werden könnte.

Um nur ein Beispiel zu nennen, welches in den USA reihenweise Existenzen zerstört hat, sei der Equifax Hack genannt. Eine in den USA sehr wichtige Kredit Auskunftei, denen 143 Millionen Datensätze amerikanischer Bürger gestohlen wurden. Die folgen für Einzelne sind im Detail noch immer nicht ganz abzuschätzen, aber hier wurden Existenzen, Firmen und mehr vernichtet. Einfach nach „Equifax Hack“ suchen und lesen um zu verstehen, wir kritisch die Situation ist und warum jeder etwas zu verbergen hat.

Bei Smartphones und Tablet existiert zusätzlich das Problem, dass wenn eine Mobilfunkverbindung existiert und Benutzer mit einem Standard-Betriebsystem arbeiten, keine Firwall den ausgehenden Datenverkehr blockiert. D.h. das senden von Daten zum Datensilo geht im Normalfall immer und jede App kann, ohne dass normale Benutzer den Traffic prüfen oder blockieren kann, über das mobile Netz Daten senden. Niemand weiß welche Daten übertragen werden. Profis testen Apps auf solche Übertragungen und können Apps dadurch etwas besser bewerten.

In Summe sollten keine Apps installiert werden, sonder immer nur die Webanwendung verwendet werden. Kombiniert mit einem guten Browser ala Firefox und einigen Addons, lässt sich so am Smartphone oder Tablet das Laden von Drittanbietern zum Tracking recht gut verhindern und wenn der Browser geschlossen wird, läuft keine Datensammel-Anwendung im Hintergrund. Mit der Verwendung des Browsers ist man am Smartphone oder Tablet in etwas auf der selben Ebene wie weiter utnen für Desktop Arbeitsplätze geschildert.

Wenn es unbedingt eine App sein muss, dann verlangen Sie vom Anbieter eine APP aus einem Open Soure App Store, ala F-Droid für Android und LineageOS. Open Source Anwendungen werden meist von vielen Entwicklern geprüft und damit wird das Risiko maximal minimiert.

Sollte der Anbieter keine Open Source App anbieten, verlangen Sie genaue Angaben über die verwendeten Entwicklungstools. Eines der Hauptprobleme bei Apps ist, dass man oft schnell und billig, ohne Fokus auf die Sicherheit, die App auf den Markt bringen will. Vielfach wird die App mit sogenannten Tools und Frameworks erstellt, welche das Programmieren erleichtern, jedoch wenn ein sicherheitsrelevantes Update des Tools ansteht, die App unbedingt neu compiliert und upgedatet werden muss. Wenn der Anbieter diese Updates nicht beachtet, ist Ihr Gerät oftmals verloren!

Um nur ein Beispiel zu nennen:

Sollte Ihr Anbieter angeben, dass er z.B. mit Ionic seine Apps entwickelt, können Sie auf eine CVE Webseite bezüglich der Sicherheitsrelevanten Einträge (CVE) suchen:

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ionic

Die Liste zeigt die bekannten CVE an und so kann man mit dem Anbieter abklären, ob alle Patches in der App eingebracht sind. Für Benutzer nicht ganz einfach, aber wenn mehrere Anwender in dieser Richtung agieren, werden App Anbieter in Zukunft anders agieren.

Anbieter die die Privatsphäre Ihrer Benutzer schützen bieten Webseiten, welche mit dem Browser alle Features bieten. Damit ist es ein leichtes eventuelle Datenübermittlungen an Dritte zu finden, zu blockieren und durch Beenden des Browsers auch jede Aktivität einzustellen. Das ist die beste Methode, denn hier ist der Browser als Schutzschild zwischen anbieter und Benutzer.

Benachrichtigungen kann man sich auch als E-Mail oder Riot.IM Messenger Nachricht zustellen lassen. Dazu braucht es keine App, welche das persönliche Risiko dramatisch erhöht.

Tracking mit dem Browser des Dektop PC‘s

Hier wird es nun viel einfacher festzustellen, wem die Privatsphäre der Benutzer nichts wert ist, bzw. wer Daten sammelt. Und wohlgemerkt, es spricht nichts dagegen auf dem Hausinternen Server, zu die Webseite analysieren. Aber es dürften keine Daten an Dritte, insbesondere nicht außerhalb der EU, gesendet werden.

Es gibt Software wie Matomo, welche wir bei CTS zur Feststellung von Einbruchs und Hackversuchen auch verwenden, die Webseiten für verschiedene Zwecke analysieren kann. Im Fall dieser Webseite zum Monitoring von Einbruchs und Hackversuchen. Aber all dieses Software muss aus dem selben Servernetz geladen werden und keine Daten weitergeben. Eine Einführung zum Tracking findet sich im Wikipedia:

  • https://de.wikipedia.org/wiki/Web_Analytics und im Prinzip läuft alles auf die selbe Methode hinaus:

  • Sie geben im Browser www.zumbeispiel.com ein

  • Ihre Browser lädt vom Server www.zumbeispiel.com die Seite

  • Der Anbieter versteckt aber auf der Seite Ladevorgänge die den Browser Daten von anderen Servern laden lassen. Dazu gehören Fonts, Scripts und bei Web Anbietern die zu schwache Server betreiben um den Traffic zu bewältigen, das Laden der Daten von sogenannten CDN‘s. Vergessen Sie alle Ausreden, mit einem gut installierten Server mit ausreichend Resourcen kann alles von eigenen Servern geladen werden und man benötigt keine Daten von Drittanbietern!

  • Das Problem ist, dass jedes Laden von anderen Servern dort einen Logeintrag und andere Spuren hinterlässt und dieser Drittanbieter dann weiß auf welcher Seite Sie ich befinden, was Sie dort machen, etc. Mit JavaScript werden Drittserver teilweise erst bei Ausführung geladen um Blocker auszuschalten. Wenn der Datensammler global agiert, hat er ein komplette Bild Ihrer Person und Ihres Verhaltens.

Verwenden Sie wenn möglich den Tor Browser zum Surfen, diese anonymisiert Ihre IP Adresse und gitb auch keine Daten weiter. Der Tor Browser ist die erste Wahl, wenn Sie zum Beispiel nach Krankheiten, Krediten und anderen Problem, welche nicht öffentlich aufscheinen sollen suchen. Damit schützen Sie sich und stellen keine Verbindung zwischen Ihnen und der kritischen Suche her. Ein Profil mit Suchen nach Krankheiten oder auch nur nach Jobs, kann in den falschen Händen Ihr Leben durchaus in andere Bahnen lenken.

Sollten Sie nicht in der Lage sein Software zu installieren, dann verwenden Sie zumindest den Firefox Browser und installieren die Plugins meine Blog Eintrages:

Damit sind Sie schon sehr gut geschützt und der Aufbau eines Profils über Sie wird massiv erschwert.

Tracker und anderes anzeigen:

Die Plugins uMatrix und uBlock zeigen sehr gut, woher gewisse Seiten Daten laden und damit auch wohin diese Seite Daten sendet. Installieren Sie uBlock und uMatrix und lassen Sie sich anzeigen, wohin Ihre Daten gesendet werden. In den meisten Fällen sehr unschön und es gibt Seiten die Daten an 50 Drittserver senden, nur wenn Sie einmal hinsurfen.

Senden Sie doch dem Geschäftsführers der Webseite Ihres Vertrauens eine E-Mail mit der Frage, wie er das vertreten kann. Der unten angeführte Screenshot ist von einer hier abonnierten Zeitung, welche dieses E-Mail jetzt auch bekommt, denn Daten an so viele Drittanbieter zu senden ist fragwürdig, in keinem Fall seriös und unter Umständen laut DSGVO strafbar.

Und Nein, es sind keine Schnuddelseiten, welche Daten missbrauchen, vielfach sind es sogenannte seriöse Anbieter die hier an der Grenze der Legalität agieren.

Abstrafen sollte so etwas der Benutzer und diese Seiten einfach meiden. Es gibt immer Alternativen!

Ich habe den Namen der Zeitung ausgeblendet, aber schauen Sie sich mit uMatrix udn uBlock an, wem Ihre Privatsphäre vollkommen egal ist! Sie werden sich wundern!

Viel Spaß beim surfen!