Sicher im Internet surfen

Cookies sind verführerisch, da sie einige Funktionen haben, die für die Funktion einer Seite notwendig sein können. Mit einem Cookie kannst du beispielsweise bei einem Kauf im Internet deinen Warenkorb wieder öffnen, wenn dein Browserfenster unerwartet geschlossen wurde. Oder du findest einen Suchverlauf wieder mit der einen tollen Webseite, die du dir merken wolltest. Aber wie Kekse können Cookies (engl.: Kekse) vergiftet sein. Das bedeutet, sie verwenden diese nützlichen Funktionen gegen dich, verfolgen deine Aktivitäten im Netz, Services sind plötzlich nicht mehr kostenfrei. Online-Zeitungen z.B. erkennen dich oft am Cookie wieder und wollen beim zweiten Besuch plötzlich Geld für das Lesen eines Artikels. Online-Anbieter können durch Cookies z.B. wiederum sehen, dass du einen Gegenstand schon öfter kaufen wolltest und erhöhen den Preis. Es gibt viele Beispiele. Stell dir die Technologie eines Cookies wie eine Person vor, die dir im schlimmsten Fall ständig hinterherläuft und damit herausfindet, was du wann wo machst oder kaufst, was für Hobbys du hast und wo du wohnst. Im echten Leben wäre dir das sicher nicht recht! Seit der Einführung der DSGVO im Mai 2018 müssen Webseiten, die Cookies setzen, um Erlaubnis fragen – und zwar um deine ausdrückliche Zustimmung. Sicher hast du dich schon manchmal von den Bannern beim Betreten einer Seite genervt gefühlt und einfach auf „Akzeptieren“ gedrückt. Dich zu nerven ist Absicht, denn die meisten Seiten funktionieren einwandfrei nur mit den technisch notwendigen Cookies. Technisch notwendige Cookies haben nur die Funktion, die Webseite richtig darzustellen. Alle anderen Cookies haben andere Funktionen, z. B. die, dich wiederzuerkennen. Das muss nicht immer schlecht sein und du kannst dich ganz leicht davor schützen. Du musst einfach nur ein bisschen besser hinsehen und nicht alle Cookies akzeptieren, auch wenn es manchmal nervt. Schau dir genau an, welche Cookies du wirklich benötigst und welche nicht. Und du kannst nichts kaputt machen: Wenn du einmal zu viel blockiert hast, kannst du die Seite einfach wieder neu laden. Denk immer daran, die Strategie der Datensammler:innen ist, dich dazu zu bringen, möglichst viele Cookies zuzulassen. Bleib stark!

Momentan geschieht die Verfolgung, also das Tracking, mit Cookies oder Fingerprinting. Tracking-Cookies sind die häufigste Art von Tracking. Ein Werbeunternehmen setzt dabei einen Cookie in deinem Browser und weist diesem Cookie eine lange, einzigartige Zahl zu. Gehst du auf eine andere Seite, auf der ein Codeschnipsel des gleichen Werbeunternehmens eingebunden ist, kann dieses Werbeunternehmen den Cookie auslesen und erkennt dich anhand deiner Zahl wieder. Weil sehr viele Websites Codeschnipsel von Google oder Facebook eingebunden haben, können diese Unternehmen dich auf diese Art und Weise sehr gut auf deinem Weg durch das Internet beobachten. Du selbst kannst die eingebundenen Tracker mit dem Browser-Plug-in Lightbeam beobachten. Nachdem du es installiert hast, kannst du auf das Plug-in klicken und dir anzeigen lassen, wie viele Tracker deine Daten abgreifen, wenn du Webseites aufrufst. Diese Art von Tracking kann man relativ einfach vermeiden, indem man die Cookies von Trackingseiten nicht zulässt und bei den Cookiebannern, die um Zustimmung fragen, auf „alle ablehnen“ klickt. Eine weitere Trackingtechnologie ist Javascript. Javascript ist so häufig im Einsatz, dass du es nicht einfach blockieren kannst. Banken oder Online-Shops nutzen es häufig. Javascipt ist ein Programm Code und sorgt für viele - auch nette - Funktionen wie Bezahlvorgänge, Warenkörbe und ähnliches auf Webseites. Mit einem Cookie oder Fingerprint kann man sehen, wie lange sich jemand auf einer Seite aufhält, man kann Events nachverfolgen, also mitlesen, auf welchen Button du klickst. Dadurch erfährt man viel Persönliches über dich - beispielweise zeigt ein Button "Ja" oder "Nein" an und schon weiß man, wie du zu einer Sache stehst. Um Sicherheitstlücken in Javascript selbst abzuwehren gibt es für Firefox ein Plugin. Und wenn du wirklich nerdmässiges Internet einmal ausprobieren möchtest findest du hier eine Anleitung, wie man Javascript im Firefox ausschalten kann.

Wenn du den Firefox-Browser am Mobiltelefon nutzt, kannst du beim iPhone in den Einstellungen → Firefox → „Cross-Sitetracking erlauben“ ausschalten. Hier kannst du auch einstellen, unter welchen Voraussetzungen Firefox deinen Standort verwenden darf. Bei Android findest du das unter Firefox → Einstellungen → Privatsphäre und Sicherheit → „Enhanced Tracking Protection“. Die Android Version von Firefox fragt standardmäßig immer nach, wenn sie deinen Standort verwenden möchte. Fragt sie nicht nach, verwendet sie ihn auch nicht.

Die beiden alternativen Suchmaschinen Startpage und Duckduckgo bieten jeweils auch ein eigenes Anti-Tracking an (Startpage Privacy Protection und Duckduckgo Privacy Essentials Extension). Diese sind allerdings größtenteils Kopien des Privacy Badger Plugins. Als Zusatzfunktion errechnen sie für jede Webseite einen „Privacy-Score“, der sich im Wesentlichen aus der Anzahl der Tracker auf einer Seite zusammensetzt. Nebenbei stellen sie jeweils Duckduckgo oder Startpage als Standardsuchmaschine ein. Wenn dir der Privacy-Score wichtig ist, kannst du die Plugins von Startpage oder Duckduckgo benutzen, wenn nicht, kannst du auch einfach das „Original“ verwenden, den Privacy Badger der EFF (Electronic Frontier Foundation, einer gemeinnützigen Organisation).

Google ist aktuell die mit Abstand meistgenutzte Suchmaschine der Welt. Was Google allerdings nicht preisgibt ist, wie die Ergebnisse zustande kommen. Das heißt, die Suchergebnisse basieren auf einer Annahme, was deine Absicht bei der Suche ist – oder wovon man möchte, dass du es findest. Suchst du Information oder suchst du Kaufhinweise? So kann es sein, dass du beispielsweise einfach nur wissen willst, wie viele Einwohner:innen eine Stadt hat. Gibst du nur den Namen der Stadt ins Suchfeld ein, ist das erste Ergebnis vielleicht „Hotels in der Stadt“. Außerdem gibt es noch einen wichtigen Unterschied zwischen den Suchmaschinen: Google wird dir andere Ergebnisse anzeigen, als Bing, die Suchmaschine von Microsoft. Es ist also wichtig, dass du immer genau weißt, was du suchst, wie du suchst und wo du suchst, um gute Ergebnisse zu bekommen. Wenn du in unserem Beispiel der Einwohner:innen den Namen der Stadt und „Einwohnerzahl“ als Suchbegriffe verwendest, bekommst du wahrscheinlich weniger Hotels und mehr Wikipedia-Einträge angezeigt. Der Vergleich macht dich sicher: Wenn du das Gefühl hast, deine Anfrage ist nicht gut beantwortet worden, vergleiche die Ergebnisse verschiedener Suchmaschinen.

HTTPS ist der sehr weit verbreitete Standard für Verschlüsselung im Internet. HTTP steht für Hypertext Transfer Protocol. Um das Surfen sicherer zu machen, wurde aus HTTP HTTPS (Hypertext Transfer Protocol Secure - eigentlich steht das "S" in HTTPS nicht für Secure, aber so kannst du es dir gut merken, dass es sich bei HTTPS um die sichere Variante von HTTP handelt). Diese Verschlüsselung führt dazu, dass dein Netzwerkverkehr am Weg zum Server einer Internetseite verschlüsselt ist, also z.B. von Fremden im gleichen Netzwerk nicht eingesehen werden kann. Damit dein Browser eine verschlüsselte Verbindung mit dem Server einer Internetseite aufbauen kann, muss die Website gegenüber deinem Browser erst noch ihre Identität bestätigen – das tut sie, indem sie ihm ihr Zertifikat zeigt, eine Art Ausweis. Ist dieses Zertifikat gültig, überlegen sich dein Browser und die Website gemeinsam einen geheimen Schlüssel und können dann verschlüsselt kommunizieren. Das Zertifikat einer Website kannst du dir selbst ansehen und überprüfen: Klicke in Firefox auf das kleine Schloss neben der Adresszeile → weitere Informationen → Zertifikat anzeigen. Hier kannst du sehen, wer das Zertifikat ausgestellt hat bzw. wer den „digitalen Ausweis“ der Website „abgestempelt hat“. Ist das Schloss durchgestrichen, konnte keine verschlüsselte Verbindung hergestellt werden. In diesem Fall solltest du keine sensiblen Daten wie Passwörter auf der Website eingeben, weil sie unverschlüsselt und damit ungeschützt übertragen werden würden! Mittlerweile hat nahezu jede Website eine HTTPS-Verschlüsselung. Deshalb ist es sehr unwahrscheinlich, dass du bei legitimen Internetseiten auf dieses Problem stößt. Bei Warnungen im Browser, die melden "dass keine sichere Verbindung hergestellt werden konnte“, solltest du ebenfalls sehr vorsichtig sein. Hier kann es sein, dass eine böswillige Person versucht hat, den „Ausweis“ der Internetseite zu fälschen. Auch in diesem Fall solltest du keine sensiblen Daten wie Passwörter in die Website eingeben. Falls dir derartige Fehlermeldungen angezeigt werden, hilft es meistens, mit deinem Handy einen Wifi-Hotspot aufzumachen und über dein Handy die Seite aufzurufen: Jetzt ist niemand außer dir in deinem WLAN-Netz und könnte deinen Internetverkehr manipulieren. So sollte der Fehler entweder verschwinden oder die HTTPS-Verschlüsselung der Website ist falsch eingestellt.

Wenn du nichts tust, dann weiß dein/e Internetprovider:in welche Domains du ansteuerst. Jedes Mal, wenn dein Browser eine URL (engl.: Uniform Resource Locator) ansteuert, beispielsweise Test.org, benutzt dein Browser einen sogenannten DNS-Server, um herauszufinden, unter welcher IP-Adresse der Server von Test.org erreichbar ist. Wenn du das nicht willst, kannst du einen anderen DNS-Server benutzen. Natürlich kannst du auch den DNS Server von Google benutzen: Dann kennt zwar dein/e Internetprovider:in deinen Browserverlauf nicht mehr, aber dafür eben Google. Du siehst: Eine perfekte Lösung gibt es nicht. Solange du also keine besondere Situation hast, ist der DNS-Server von deiner Internet-Anbieter:in vermutlich in Ordnung. Wenn du nicht den DNS-Server deines/r Internetanbieter:in verwenden möchtest, kannst du auch auf einen Server von Projekten ausweichen, die aus der Netz-Community kommen. So ein Server aus der Community ist z.B. der von Freifunk München, die sich auch um freien Internetzugang für alle bemühen, daher der Name. Wenn du jedoch einfach deinen physischen Standort verschleiern möchtest, um beispielsweise eine IP- Adresse aus einem anderen Land zu haben oder um eine sichere Verbindung zu einem Firmenrechner aufzubauen, benötigst du ein VPN.

Bei einer normalen Internetverbindung sieht dein/e Internetprovider:in auch, zu welchen Servern dein Endgerät Verbindungen aufbaut. Außerdem können Tracker anhand deiner IP-Adresse feststellen, in welchem Land und an welchem Ort du dich befindest - sogar relativ genau. Wenn du das nicht möchtest, kannst du ein VPN benutzen. Jetzt baut dein Endgerät einen verschlüsselten Tunnel zu dem VPN-Server auf, den du dir ausgesucht hast. Das hat aber nicht nur Vorteile: Jetzt sieht zwar dein/e Internetprovider:in deinen Internetverkehr nicht mehr, dafür aber der VPN-Server. Das solltest du also nur tun, wenn du einen guten Grund hast, dem/der VPN-Anbieter:in mehr zu vertrauen als deinem/deiner Internetprovider:in. Das kann zum Beispiel dann sinnvoll sein, wenn du gerade in einem Land, in dem es eine starke Internetüberwachung gibt,  Urlaub machst. Bedenke: Auch viele VPN-Anbieter:innen sind zwielichtige Unternehmen. Sie könnten ein Interesse daran haben, deinen Browserverlauf an Datenhandelsplattformen weiterzuverkaufen.

Besser ist es, wenn ein/e VPN-Anbieter:in seinen/ihren Sitz in der EU hat. Damit ist sichergestellt, dass es Gesetze gibt, die deine Daten schützen. Auf der anderen Seite müssen in der EU Anweisungen von europäischen und amerikanischen Regierungen (teilweise) befolgt werden. Das kann für die Anonymität von Nachteil sein. Aber es gibt auch in der EU Anbieter:innen, die versuchen, einen privatsphärefreundlichen Weg zu gehen. Wichtig ist, dass dein/e VPN-Anbieter:in den Internetverkehr nicht protokolliert - die ganze Anonymität im VPN hilft nichts, wenn später in sogenannten „Logfiles“ nachgelesen werden kann, von welcher IP-Adresse aus wann welche Seiten aufgerufen wurden. Solltest du VPN benutzen, nutze am besten Anbieter:innen, die dafür bekannt ist, privatsphärefreundlich mit den Daten umzugehen. Überlege auch gut, wie du den VPN-Zugang bezahlst, denn Bankdaten geben sehr viel Information preis. Besser sind wirklich anonyme Zahlungsarten wie Guthabenkarten. Wenn du nur gelegentlich deinen physischen Standort wechseln möchtest, um z.B. Videos zu sehen, die über sogenanntes „Geoblocking“ in deinem Land nicht erreichbar sind, dann kannst du auch auf ein kostenloses VPN zurückgreifen. Bedenke aber immer, dass der/die VPN Betreiber:in weiß, mit welchem Server du Daten austauscht. Hier gilt die Regel: Filme gucken – Ja! Wichtige Daten austauschen – Nein!