Sicher im Internet surfen

Cookies sind verführerisch, da sie einige Funktionen haben, die für die Funktion einer Seite notwendig sein können. Mit einem Cookie kannst du beispielsweise bei einem Kauf im Internet deinen Warenkorb wieder öffnen, wenn dein Browserfenster unerwartet geschlossen wurde. Oder du bleibst in deinen Konten angemeldet, nachdem du den Browser schließt und das nächste mal wieder öffnest. Aber wie Kekse können Cookies (engl.: Kekse) vergiftet sein. Das bedeutet, sie verwenden diese nützlichen Funktionen gegen dich, verfolgen deine Aktivitäten im Netz, Services sind plötzlich nicht mehr kostenfrei. Online-Zeitungen z.B. erkennen dich oft am Cookie wieder und wollen beim zweiten Besuch plötzlich Geld für das Lesen eines Artikels. Online-Anbieter:innen können durch Cookies z.B. wiederum sehen, dass du einen Gegenstand schon öfter kaufen wolltest und erhöhen den Preis. Es gibt viele Beispiele. Stell dir die Technologie eines Cookies wie einen Spion vor, der dir im schlimmsten Fall ständig hinterherläuft und damit herausfindet, was du wann wo machst oder kaufst, was für Hobbys du hast und wo du wohnst. Im echten Leben wäre dir das sicher nicht recht! Seit der Einführung der Datenschutzverordnung im Mai 2018 müssen Webseiten, die Cookies setzen, um Erlaubnis fragen – und zwar um deine ausdrückliche Zustimmung. Sicher hast du dich schon manchmal von den Bannern beim Betreten einer Seite genervt gefühlt und einfach auf „Akzeptieren“ gedrückt. Dich zu nerven ist Absicht, denn die meisten Seiten funktionieren einwandfrei nur mit den technisch notwendigen Cookies. Technisch notwendige Cookies haben nur die Funktion, die Webseite richtig darzustellen. Alle anderen Cookies werden in der Regel verwendet, um dein Verhalten zu analysieren und dich über verschiedene Internetseiten hinweg zu verfolgen. Natürlich solltest du immer alle Cookies ablehnen. Das kann aber manchmal echt mühselig sein! Zum Glück gibt es Browser, wie Firefox, die dich dabei unterstützen. Damit werden alle Cookies automatisch mit einem unsichtbaren „Zaun“ eingegrenzt und Cookie-Spione sogar ganz blockiert.

Momentan geschieht die Verfolgung, also das Tracking, mit Cookies oder Fingerprinting. Tracking-Cookies sind die häufigste Art von Tracking. Ein Werbeunternehmen setzt dabei einen Cookie in deinem Browser und weist diesem Cookie eine lange, einzigartige Zahl zu. Gehst du auf eine andere Seite, auf der ein Codeschnipsel des gleichen Werbeunternehmens eingebunden ist, kann dieses Werbeunternehmen den Cookie auslesen und erkennt dich anhand deiner Zahl wieder. Weil sehr viele Websites Codeschnipsel von Google oder Facebook eingebunden haben, können diese Unternehmen dich auf diese Art und Weise sehr gut auf deinem Weg durch das Internet beobachten. Du selbst kannst die eingebundenen Tracker mit dem Browser-Plug-in Lightbeam beobachten. Nachdem du es installiert hast, kannst du auf das Plug-in klicken und dir anzeigen lassen, wie viele Tracker deine Daten abgreifen, wenn du Webseites aufrufst. Diese Art von Tracking kann man relativ einfach vermeiden, indem man die Cookies von Trackingseiten nicht zulässt und bei den Cookiebannern, die um Zustimmung fragen, auf „alle ablehnen“ klickt. Eine weitere Trackingtechnologie ist Javascript. Javascript ist so häufig im Einsatz, dass du es nicht einfach blockieren kannst. Banken oder Online-Shops nutzen es häufig. Javascript ist ein Programm Code und sorgt für viele - auch nette - Funktionen wie Bezahlvorgänge, Warenkörbe und ähnliches auf Webseites. Mit einem Cookie oder Fingerprint kann man sehen, wie lange sich jemand auf einer Seite aufhält, man kann Events nachverfolgen, also mitlesen, auf welchen Button du klickst. Dadurch erfährt man viel Persönliches über dich - beispielweise zeigt ein Button "Ja" oder "Nein" an und schon weiß man, wie du zu einer Sache stehst. Um Sicherheitstlücken in Javascript selbst abzuwehren gibt es für Firefox ein Plugin. Und wenn du wirklich nerdmässiges Internet einmal ausprobieren möchtest findest du hier eine Anleitung, wie man Javascript im Firefox ausschalten kann.

Google ist aktuell die mit Abstand meistgenutzte Suchmaschine der Welt. Was Google allerdings nicht preisgibt ist, wie die Ergebnisse zustande kommen. Das heißt, die Suchergebnisse basieren auf einer Annahme, was deine Absicht bei der Suche ist – oder wovon man möchte, dass du es findest. Suchst du Information oder suchst du Kaufhinweise? So kann es sein, dass du beispielsweise einfach nur wissen willst, wie viele Einwohner:innen eine Stadt hat. Gibst du nur den Namen der Stadt ins Suchfeld ein, ist das erste Ergebnis vielleicht „Hotels in der Stadt“. Außerdem gibt es noch einen wichtigen Unterschied zwischen den Suchmaschinen: Google wird dir andere Ergebnisse anzeigen, als Bing, die Suchmaschine von Microsoft. Es ist also wichtig, dass du immer genau weißt, was du suchst, wie du suchst und wo du suchst, um gute Ergebnisse zu bekommen. Wenn du in unserem Beispiel der Einwohner:innen den Namen der Stadt und „Einwohnerzahl“ als Suchbegriffe verwendest, bekommst du wahrscheinlich weniger Hotels und mehr Wikipedia-Einträge angezeigt. Der Vergleich macht dich sicher: Wenn du das Gefühl hast, deine Anfrage ist nicht gut beantwortet worden, vergleiche die Ergebnisse verschiedener Suchmaschinen.

HTTPS ist der sehr weit verbreitete Standard für Verschlüsselung im Internet. HTTP steht für Hypertext Transfer Protocol. Um das Surfen sicherer zu machen, wurde aus HTTP HTTPS (Hypertext Transfer Protocol Secure - eigentlich steht das "S" in HTTPS nicht für Secure, aber so kannst du es dir gut merken, dass es sich bei HTTPS um die sichere Variante von HTTP handelt). Diese Verschlüsselung führt dazu, dass dein Netzwerkverkehr am Weg zum Server einer Internetseite verschlüsselt ist, also z.B. von Fremden im gleichen Netzwerk nicht eingesehen werden kann. Damit dein Browser eine verschlüsselte Verbindung mit dem Server einer Internetseite aufbauen kann, muss die Website gegenüber deinem Browser erst noch ihre Identität bestätigen – das tut sie, indem sie ihm ihr Zertifikat zeigt, eine Art Ausweis. Ist dieses Zertifikat gültig, überlegen sich dein Browser und die Website gemeinsam einen geheimen Schlüssel und können dann verschlüsselt kommunizieren. Das Zertifikat einer Website kannst du dir selbst ansehen und überprüfen: Klicke in Firefox auf das kleine Schloss neben der Adresszeile → weitere Informationen → Zertifikat anzeigen. Hier kannst du sehen, wer das Zertifikat ausgestellt hat bzw. wer den „digitalen Ausweis“ der Website „abgestempelt hat“. Ist das Schloss durchgestrichen, konnte keine verschlüsselte Verbindung hergestellt werden. In diesem Fall solltest du keine sensiblen Daten wie Passwörter auf der Website eingeben, weil sie unverschlüsselt und damit ungeschützt übertragen werden würden! Mittlerweile hat nahezu jede Website eine HTTPS-Verschlüsselung. Deshalb ist es sehr unwahrscheinlich, dass du bei legitimen Internetseiten auf dieses Problem stößt. Bei Warnungen im Browser, die melden "dass keine sichere Verbindung hergestellt werden konnte“, solltest du ebenfalls sehr vorsichtig sein. Hier kann es sein, dass eine böswillige Person versucht hat, den „Ausweis“ der Internetseite zu fälschen. Auch in diesem Fall solltest du keine sensiblen Daten wie Passwörter in die Website eingeben. Falls dir derartige Fehlermeldungen angezeigt werden, hilft es meistens, mit deinem Handy einen Wifi-Hotspot aufzumachen und über dein Handy die Seite aufzurufen: Jetzt ist niemand außer dir in deinem WLAN-Netz und könnte deinen Internetverkehr manipulieren. So sollte der Fehler entweder verschwinden oder die HTTPS-Verschlüsselung der Website ist falsch eingestellt.

Das DNS (Domain Name System) kannst du dir wie ein Telefonbuch für das Internet vorstellen. Jedes Mal, wenn dein Browser eine URL (engl.: Uniform Resource Locator) ansteuert, beispielsweise Test.org, benutzt dein Browser einen sogenannten DNS-Server, um herauszufinden, unter welcher IP-Adresse der Server von Test.org erreichbar ist. Falls du keine Vorkehrungen triffst, kann dein Internetanbieter sehen, welche Domains du besuchst - also die Namen der Webseiten. Wenn du das nicht willst, solltest du ein vertrauenswürdiges VPN oder Tor benutzen. Solange du in keiner besonderen Situation bist, ist der DNS-Server von deinem Internetanbieter vermutlich in Ordnung. Wenn du nicht den DNS-Server deines Internetanbieters verwenden möchtest, kannst du auch auf einen Server von Projekten ausweichen, die aus der Netz-Community kommen. So ein Server aus der Community ist z.B. der von Freifunk München, die sich auch um freien Internetzugang für alle bemühen, daher der Name. Du kannst auch alternative DNS-Anbieter nutzen um Tracker, schädliche Webseiten und Werbung geräte- oder netzwerkübergreifend zu blockieren. Du musst dafür nicht einmal eine App installieren – der DNS-Server lässt sich direkt in den Einstellungen deines Geräts ändern. Folgende DNS-Anbieter sind privatsphärefreundlich, bieten verschlüsseltes DNS kostenlos an und blockieren Tracker und Werbung: Mullvad & Control D.

Wenn du jedoch einfach deinen physischen Standort verschleiern möchtest, um beispielsweise eine IP-Adresse aus einem anderen Land zu haben oder um eine sichere Verbindung zu einem Firmenrechner aufzubauen, benötigst du ein VPN.

Bei einer normalen Internetverbindung sieht dein Internetprovider, zu welchen Webseiten und den dahinter liegenden Servern dein Endgerät Verbindungen aufbaut. Außerdem können Tracker anhand deiner IP-Adresse feststellen, in welchem Land und an welchem Ort du dich befindest - sogar relativ genau. Wenn du das nicht möchtest, kannst du ein VPN benutzen. Jetzt baut dein Endgerät einen verschlüsselten Tunnel zu dem VPN-Server auf, den du dir ausgesucht hast. Das hat aber nicht nur Vorteile: Jetzt sieht zwar dein Internetprovider deinen Internetverkehr nicht mehr, dafür aber der VPN-Server. Das solltest du also nur tun, wenn du einen guten Grund hast, dem VPN-Anbieter mehr zu vertrauen als deinem Internetprovider. Das kann zum Beispiel dann sinnvoll sein, wenn du gerade in einem Land bist, in dem es eine starke Internetüberwachung gibt oder du von unterwegs auf dein Firmennetzwerk zugreifen möchtest. Es könnte auch sein, dass dein Internet-Anbieter den Verlauf deiner besuchten Webseiten verkauft. Bedenke jedoch: Viele VPN-Anbieter sind zwielichtige Unternehmen und verdienen ihr Geld indem sie deinen Browserverlauf an Datenhandelsplattformen weiterverkaufen.

Besser ist es, wenn ein VPN-Anbieter seinen Sitz in der EU hat. Damit ist sichergestellt, dass es Gesetze gibt, die deine Daten schützen. Auf der anderen Seite müssen in der EU Anweisungen von europäischen und amerikanischen Regierungen (teilweise) befolgt werden. Das kann für die Anonymität von Nachteil sein. Aber es gibt auch in der EU Anbieter, die versuchen, einen privatsphärefreundlichen Weg zu gehen. Wichtig ist, dass dein VPN-Anbieter den Internetverkehr nicht protokolliert - die ganze Anonymität im VPN hilft nichts, wenn später in sogenannten „Logfiles“ nachgelesen werden kann, von welcher IP-Adresse aus wann welche Seiten aufgerufen wurden. Solltest du ein VPN benutzen, nutze am besten Anbieter, die dafür bekannt sind, privatsphärefreundlich mit deinen Daten umzugehen. Überlege auch gut, wie du den VPN-Zugang bezahlst, denn Bankdaten geben sehr viel Information preis. Besser sind wirklich anonyme Zahlungsarten wie Guthabenkarten oder Bargeld per Post zu senden. Wenn du nur gelegentlich deinen physischen Standort wechseln möchtest, um z.B. Videos zu sehen, die über sogenanntes „Geoblocking“ in deinem Land nicht erreichbar sind, dann kannst du auch auf ein kostenloses VPN zurückgreifen. Bedenke aber immer, dass der VPN Betreiber weiß, mit welchen Webseiten du Daten austauscht. Kostenlose VPN Angebote mögen verlockend klingen, finanzieren sich jedoch in der Regel über den Verkauf von Nutzer:innendaten. Hier gilt die Regel: Filme gucken – Ja! Wichtige oder persönliche Daten austauschen – Nein!