© Yuri Arcurs, Fotolia

Alle großen Webbrowser beteuern, ihre Benutzer auch vor Datenkraken und der Werbe-Industrie zu schützen. Versprechen und Realität klaffen jedoch mitunter recht weit auseinander, wie diese Bitparade zeigt.

Webbrowser sind in der Regel recht auskunftsfreudig. Einer aufgerufenen Webseite teilen sie unter anderem mit, wie sie heißen und welche Site ihr Nutzer zuletzt besucht hat. Außerdem hinterlegen Webanwendungen Cookies und holen mittels Javascript weitere Informationen über das System ein – der Surfer wird transparent. Auf dem Prüfstand dieser Bitparade stehen daher die Anonymisierungsfunktionen der Browser Chrome [1], Epiphany [2], Firefox [3] und Konqueror [4]. Opera [5] blieb außen vor, weil er sich zum Testzeitpunkt in einer Umbruchphase befand (siehe Kasten “Opera und Opera Next”).

Die Kandidaten sollten zeigen, ob sie Cookies löschen oder sie nur an die Seiten zurückgeben, von denen sie stammen. Auch der im Rahmen von HTML 5 eingeführte Webstorage [6] kommt immer mehr in Mode: Sichere Browser müssen ihn löschen können. Auch sollten sie anbieten Javascript, Webfonts, den Zugriff auf das Geolocation-API [7] zum Abfragen der Standorte sowie Java und Flash zu deaktivieren.

Auch wenn die meisten Seiten sie ignorieren, sollten Browser Do-not-track-Information senden. Nützlich ist zudem eine eingebaute Blockade von Werbebannern und Popups. Das Übermitteln des Referrers und der Browserkennung muss abschaltbar sein und beim Beenden sollten die Programme alle beim Surfen angefallenen Daten löschen (Cookies, Chronik und so weiter).

Auf dem Testrechner lief Open Suse 12.3 (64 Bit). Die Tester beschränkten sich auf die über die Menüs zugänglichen Einstellungen und Funktionen.

Chrome

Der Webbrowser der Google Inc. ist seit September 2008 verfügbar. Unter dem Namen Chromium [11] stellt die Firma einen Großteil des Quelltextes von Google Chrome [1] unter der BSD-Lizenz als quelloffenes Projekt bereit. Für Chrome selbst untersagt der Hersteller das Kopieren und Ändern der Binärversion.

Im Test trat Google Chrome 27.0.1453.93 an und forderte direkt nach dem Start den Anwender dazu auf, sich mit einem Benutzerkonto bei Google anzumelden. Über dieses und somit die Google-Server synchronisiert der Browser unter anderem den Verlauf und die Lesezeichen mit anderen Chrome-Installationen.

Auch sonst gibt sich Chrome gesprächig: Bei einem Tippfehler in der Internetadresse schickt das Programm die URL an die Google-Server, die dann wiederum Alternativvorschläge zurückliefern. Auch die eingegebenen Suchbegriffe in der Adresszeile wandern zu Google, und die Suchmaschine schlägt passende Fundstellen vor (Abbildung 1).

Abbildung 1: Über die Instant-Suche ruft Chrome die Suchergebnisse schon ab, während der Benutzer sie noch eintippt.

Nachdem der Browser eine Seite geladen hat, ermittelt er automatisch die IP-Adressen der enthaltenen Links, um die Arbeitsgeschwindigkeit beim Anfordern neuer Seiten zu beschleunigen. Gleichzeitig versucht Chrome Seiten im Voraus zu laden. Das als Pre-Rendering bezeichnete Verfahren ruft folglich eigenmächtig Webinhalte ab. Anwender deaktivieren es in den Einstellungen, wo es etwas missverständlich mit »Netzwerkaktionen voraussehen« benannt ist.

Der eingebaute Phishing- und Malware-Schutz greift auf eine lokal gespeicherte Blacklist zu. Ist die URL darin verzeichnet, schickt Chrome sie zur weiteren Prüfung an Google. Auch diese Funktion ist in der Voreinstellung aktiv. In der Verlaufsansicht löscht ein Knopf außer der Chronik auch alle Formulardaten, den Cache sowie die Daten aller Erweiterungen und Anwendungen, die der Benutzer über Chromes Webstore heruntergeladen hat. Dazu zählt auch der von Gmail lokal genutzte Speicher.

Chrome entfernt nicht nur Cookies, sondern auch die Informationen im Webstorage und die Daten, die Erweiterungen über das NPAPI-Clear-Site-Data-API [12] abgelegt haben. Leider ist es unmöglich, Daten einzelner Bereiche zu behalten.

Soll und Haben

Nutzerstatistiken und Absturzberichte sendet Chrome erst an Google, nachdem der Anwender dies abgenickt hat. Explizit aktivieren muss er auch die Do-not-track-Meldung sowie die Rechtschreibprüfung. Letztere schickt den zu korrigierenden Text an einen Google-Webdienst. Als Alternative gibt es eine Rechtschreibprüfung, die auf ein lokales Wörterbuch zurückgreift.

In der Voreinstellung speichert Chrome Passwörter sowie Formulareingaben – und legt diese Daten auch gleich in der Google-Cloud für eine spätere Synchronisation ab. Nur die Synchronisation abschalten dürfen Nutzer nicht. Sobald sie sich anmelden, wandern alle Daten in das eigene Google-Konto.

Chrome nimmt sämtliche Cookies entgegen. In den Einstellungen weist der Anwender den Browser an, Cookies von Dritten zu blockieren oder sie komplett abzuweisen. Auf Wunsch löscht das Programm die Cookies beim Beenden und legt Ausnahmen für einzelne Webseiten fest. Die Cookie-Verwaltung zeigt gespeicherte Informationen an und entfernt einzelne oder direkt alle Cookies auf einmal (siehe Abbildung 2).

Abbildung 2: Die Cookie-Verwaltung in Chrome beschränkt sich auf das Nötigste und entfernt entweder einzelne oder direkt alle Cookies.

Javascript und Popups blockt Chrome erst auf Wunsch. In beiden Fällen dürfen Anwender Ausnahmen für bestimmte Seiten festlegen. Der Browser verrät den Standort, erlaubt den Zugriff auf Mikrofon und Webcam und zeigt eingehende Benachrichtigungen auf dem Desktop an. Von letztgenannter Funktion macht etwa der Google-Kalender Gebrauch. In der Voreinstellung müssen Nutzer all dies immer erst explizit bestätigen, können es in den Einstellungen aber auch komplett deaktivieren. Prinzipiell bietet Chrome dort auch an, Ausnahmeregeln zu hinterlegen. Der Dialog bot im Test aber keine passenden Schaltflächen an.

Der private Modus heißt beim Google-Browser Inkognito. Er verzichtet auf das Anlegen einer Chronik. Außerdem löscht er Cookies und die Daten im Webstorage nach dem Schließen des letzten Inkognito-Fensters. Zuvor nimmt Chrome sie jedoch an und macht sie in allen Inkognito-Fenstern verfügbar. Außerdem übermittelt der Browser auch in dieser Betriebsart weiterhin Daten an Google – ein Inkognito sieht anders aus.

Erweiterungen laufen abgeschottet in einer Sandbox mit eingeschränkten Rechten. Möchte ein Addon daraus ausbrechen und verlangt etwa persönliche Daten des Surfers, fragt es nach. In den Einstellungen unterbindet der Anwender dieses Verhalten oder definiert Sonderregeln für einzelne Seiten. Zudem dürfen Nutzer in den Einstellungen auf eine Click-to-play-Variante umschalten. Der Browser fragt dann jeweils um Erlaubnis, sobald er eine Erweiterung benötigt.

Der Chrome Webstore [13] hält zahlreiche Addons bereit, die sich dem anonymen Surfen verschrieben haben. So blendet Adblock Plus beispielsweise Werbung aus, Noscript schaltet aktive Inhalte ab, Do Not Track Me blockiert Cookies und andere Tracking-Elemente.

Epiphany

Epiphany [2] liegt inzwischen in Version 3.8 vor. Da den meisten Distributionen derzeit Gnome 3.6 beiliegt, schauten sich die Tester diese weiter verbreitete Release an. Der Standardbrowser des Gnome-Desktops legt immer eine Chronik an und bereinigt diese beim Beenden nicht automatisch. Das Verwaltungsfenster für die Chronik bietet außerdem nur an, die komplette Aufzeichnung zu entfernen; das gezielte Löschen von Einträgen ist nicht möglich.

Cookies akzeptiert der Gnome-Browser entweder immer oder liefert sie nur an die aufgerufene Seite zurück oder lehnt sie grundsätzlich ab. Ausnahmeregeln für einzelne Seiten sind nicht möglich. Epiphany bietet eine rudimentäre Cookie-Verwaltung, in der Nutzer die vorhandenen Cookies ansehen und einzeln entfernen können. Hier finden sie auch den zunächst unscheinbaren Knopf »Leeren« , über den sie nicht nur alle Cookies, sondern auch gespeicherte Passwörter, die komplette Chronik und alle temporären Dateien entfernen.

Auch der Rest der Konfiguration ist überschaubar. Anwender können alle Erweiterungen deaktivieren, Popups unterdrücken, Javascript komplett abschalten und die Do-not-track-Funktion aktivieren (Abbildung 3). Auf dem Testsystem war keine der mitgelieferten Erweiterungen aktiviert. Um sie ein- oder auszuschalten, wechseln Nutzer in die recht spartanische Erweiterungsverwaltung.

Abbildung 3: der Gnome-Browser Epiphany arbeitet nach dem Motto “Weniger ist mehr”.

Nach einer Funktion, um ein Addon zu deinstallieren oder neue hinzuzufügen, sucht man vergeblich. Immerhin enthält Epiphany einen Werbefilter, der alle URLs blockiert, die auf einer schwarzen Liste stehen. In der Voreinstellung ist das die von Mozilla gepflegte Blacklist, Anwender dürfen jedoch weitere Verzeichnisse hinzufügen. Möchte Epiphany auf das Geolocation-API zugreifen, bittet das Programm vorher um Erlaubnis; dauerhaft abschalten können Anwender die Standortermittlung aber nicht. (Im Test schlug die Erkennung jedoch reproduzierbar fehl.) Nach dem Start zeigt der Gnome-Browser immer die zuletzt geöffneten Webseiten an. Auch dieses Verhalten darf der Benutzer nicht unterbinden.

Damit ist Epiphanys Funktionsumfang bereits vollständig erschöpft. Anwender dürfen keine Ausnahmeregeln für Javascript definieren, Einfluss auf den Webstorage nehmen oder einen privaten Modus starten.

Firefox

Firefox [3] erfreut sich seit Jahren wachsender Beliebtheit. Der Browser des Mozilla-Projekts ist einer der meistgenutzten Browser. Im Test trat Version 21 an. Firefox löscht per Mausklick die Chronik, Cookies, den Cache, aktive Logins, alle eingegebenen Suchbegriffe und Formulardaten sowie die Offline-Website-Daten und die Website-Einstellungen. Was sich hinter den letzten beiden Begriffen verbirgt, erklärt auch die Dokumentation nur unzureichend: Offline-Website-Daten sind Dateien, die eine Website ablegt, und die Website-Einstellungen umfassen einige vom Anwender hinterlegte Ausnahmeregeln.

Den Webstorage dürfen Anwender weder löschen noch einsehen – zumindest nicht von Hand. Wenn sie Firefox allerdings anweisen, alle Daten beim Beenden zu eliminieren, umfasst dies auch die Inhalte im Webstorage. Apropos Webstorage: Der steht Webanwendungen grundsätzlich immer zur Verfügung – und die Firefox-Nutzer erfahren noch nicht einmal, welche Seiten welche Daten darin abgelegt haben.

Cookies akzeptiert Firefox in der Voreinstellung von allen Websites, auf Wunsch aber auch nur von der originalen Seite oder überhaupt nicht. Alternativ kann der Browser vor der Annahme eines Cookies nachfragen, was mit ihm geschehen soll, und für einzelne Seiten dürfen Nutzer Aufnahmeregeln festlegen. In der gut versteckten Cookie-Verwaltung darf der Anwender die Cookies dann einsehen sowie einzeln oder gebündelt für eine Domain löschen.

Der Mozilla-Browser lädt alle Bilder und führt auch Javascript aus. Popups blockiert er hingegen von sich aus. In den Einstellungen passen Anwender das Verhalten an und richten Ausnahmen ein. Zusätzlich bietet das Programm über »Extras | Seiteninformationen« ein Feintuning an (siehe Abbildung 4). In diesem Dialog verbieten es Nutzer der geöffneten Seite, Grafiken zu laden, Popups zu öffnen, Cookies zu speichern und Themes zu installieren.

Abbildung 4: Über diesen Dialog erlaubt Firefox die Einrichtung für einzelne Webseiten. Eine Reglementierung des Webstorage fehlt jedoch in der Liste.

Das Fenster regelt auch die Standortabfrage, den Zugriff auf den Offlinespeicher (nicht aber den Webstorage) und das Umschalten in den Vollbildmodus. Der Zugriff auf das Geolocation-API ist ausschließlich über diesen Dialog möglich, eine allgemeine Einrichtung fehlt.

Ausgekundschaftet

Während der Anwender einen Begriff ins Suchfeld rechts oben eintippt, nimmt Firefox Kontakt zur ausgewählten Suchmaschine auf und holt Vorschläge ein. Von Haus aus kennt der Browser Google, Bing und Yahoo, weitere Engines binden Nutzer per Mausklick ein. Die Einstellungen zur Suchmaschine gelten allerdings nur für das Suchfeld. Tippt der Anwender seinen Begriff in die Adressleiste, sucht Firefox unverrückbar mit Google.

In den Einstellungen dürfen Nutzer das Einbinden von Webfonts verbieten. Im Bereich »Datenschutz« des Konfigurationsdialogs legen sie fest, ob und wann der Browser Do-not-track-Nachrichten an Seiten schickt, wann und wie er eine Chronik erzeugt, ob er sich eingetippte Suchbegriffe und Formulardaten merkt und ob er Cookies speichert (Abbildung 5). Auf Wunsch surft der Firefox-Anwender immer im privaten Modus. In diesem legt der Browser keine Chronik an, speichert keine Formulareingaben und verwirft beim Schließen der privaten Fenster die zugehörigen Cookies sowie die Webstorage-Daten.

Abbildung 5: Der Reiter »Datenschutz« versammelt die Einstellungen zur Verfolgung, zu Chronik und Adressleiste.

Firefox synchronisiert auf Wunsch die Einstellungen, Lesezeichen und die privaten Daten über die Mozilla-Cloud mit anderen Browserinstanzen. Anders als bei Chrome schalten Anwender das Feature explizit ein und können darüber hinaus einen eigenen Server als Datenspeicher einrichten [14]. Mozilla entpuppt sich an anderer Stelle als Datensammler: Widerspricht der Anwender nicht ausdrücklich, funkt Firefox an den Hersteller Absturz- und Statusberichte, die auch Statistiken zur Gesamtlaufzeit und zur Anzahl der installierten Addons enthalten.

Außerdem kann Firefox Telemetriedaten an Mozilla schicken, etwa Informationen über Prozessor, Speicher und IP-Adresse. Glücklicherweise ist diese Funktion in der Voreinstellung deaktiviert. Der Browser weist zudem beim ersten Start auf seine Sammelwut hin und bietet es zugleich an, die entsprechenden Einstellungen zu korrigieren.

Firefox warnt vor dem Zugriff auf Seiten mit Phishing oder Malware und orientiert sich dabei an der Mozilla-Blacklist. Im Gegensatz zu Epiphany ist es hier nicht möglich, die Liste zu ergänzen oder eine eigene hinzuzufügen. Anonymisierungs-Addons gibt es wie Sand am Meer – kein anderer Browser hat so viele Erweiterungen im Angebot.

Konqueror

Zur KDE Software Collection gehört auch der Webbrowser Konqueror [4], der dem Testrechner in Version 4.10 beilag. Über das Menü »Extras« deaktivieren Nutzer schnell Javascript, Java, das Speichern von Cookies und das Laden von Bildern. Auch die Erweiterungen – bei Konqueror Module genannt – schalten sie hier ein und aus und wechseln bei Bedarf schnell mal die Browserkennung.

Vergleichbares erreichen andere Browser, wenn überhaupt, nur über Addons. Konqueror bringt das von Haus aus mit und gibt sich wahlweise gegenüber allen oder der gerade angesteuerten Seite mit einem falschen Namen aus. In den Einstellungen dürfen Anwender die Kennung sogar komplett abschalten, aber keine eigene definieren (Abbildung 6).

Abbildung 6: Konqueror bietet an, die Browserkennung zu ändern. Über diesen Dialog aktivieren Anwender das Feature auch gezielt für einzelne Webseiten oder ganze Domains.

Über das »Extras« -Menü surfen Nutzer außerdem schnell über einen eingerichteten Proxy und deaktivieren den Browsercache. Die einzelnen Funktionen können sie hier nur komplett ein- oder ausschalten. Zum Feintuning wechseln sie in die Programmeinstellungen.

Eine Ausnahme bildet der Cache, für den über »Extras | Zwischenspeicher-Regelung« die drei Optionen »Zwischenspeicher aktuell halten« , »möglichst den Zwischenspeicher verwenden« und »Offline-Browsing-Modus« verfügbar sind.

Konqueror nennt die Chronik »Verlaufsspeicher« und blendet sie optional am linken Bildschirmrand ein. Über die rechte Maustaste entfernen Nutzer wahlweise einzelne Einträge oder gleich die ganze Chronik. In den Grundeinstellungen legen sie fest, wie viele Adressen der Browser in der Chronik ablegt und nach wie vielen Tagen er ältere Einträge vergisst. In der Voreinstellung merkt sich das KDE-Programm für jede URL, wie oft der Anwender sie besucht hat sowie das Datum des ersten und des letzten Aufrufs. Dies Verhalten unterbinden Nutzer in den Einstellungen.

Grenzen setzen

Die Entwickler haben dem Browser eine Ausfüllhilfe für Formulare verpasst, sie speichert in der Voreinstellung zehn Werte. Diese Funktion deaktivieren Nutzer im Konfigurationsdialog auf Wunsch komplett. Dort weisen sie Konqueror auch an, Do-not-track-Nachrichten zu versenden. Auf Wunsch zieht der KDE-Browser einen Rahmen um nicht vollständig geladene Bilder, verhindert das automatische Neuladen von Seiten sowie die Umleitung zu anderen Websites. Ein Werbefilter blockiert URLs, die auf einer schwarzen Liste stehen. Eine solche Liste pflegt der Nutzer entweder selbst oder bezieht sie aus dem Netz.

Cookies nimmt Konqueror nur vom ausstellenden Server an, kann sie aber auch komplett abweisen, den Anwender fragen und die Cookies beim Beenden löschen. Session-Cookies blockt er separat, für ausgewählte Seiten sind Ausnahmen erlaubt. Die Cookie-Verwaltung gruppiert die gespeicherten Daten übersichtlich nach Domainnamen, ein Suchfeld hilft beim schnellen Aufspüren eines Kandidaten. Ein Klick genügt, um alle Daten über ein Cookie einzusehen; löschen darf der Nutzer allerdings nur einzelne oder gleich alle.

Javascript deaktivieren Benutzer entweder global oder gezielt für einzelne Websites, beim Öffnen von Popups fragt Konqueror auf Wunsch um Erlaubnis. Als einziger Browser im Test aktiviert das KDE-Programm Java von vornherein. Ausnahmen für einzelne Sites sind möglich. Sofern das Ausführen einer Java-Anwendung gestattet ist, schaltet der Browser einen Sicherheitsmanager ein, der zumindest einen direkten Zugriff auf das System verhindern soll. Zudem würgt Konqueror Java-Applikationen ab, die zu lange laufen – die Zeitspanne gibt wiederum der Nutzer vor.

In der recht rudimentären Modulverwaltung schalten die Anwender Erweiterungen an und aus und richten Sonderregeln ein. Im laufenden Betrieb wechselt Konqueror außerdem zwischen KHTML- und Webkit-Engine, und die Rechtschreibprüfung setzt ausschließlich auf lokale Wörterbücher. Den Webstorage kann der Browser nicht löschen, Webfonts lädt er grundsätzlich, ein Geolocation-API fehlt ganz, einen privaten Modus vermissten die Tester ebenfalls.

Verfolgungswahn

Der Auslieferungszustand aller Testkandidaten ist erschreckend. Um zumindest einigermaßen anonym surfen zu können, müssen sich Anwender erst durch mehr oder weniger übersichtliche Einrichtungsdialoge durcharbeiten. Selbst wenn sie alle Einschränkungen definiert haben, geben die Browser weiterhin zahlreiche Informationen bereitwillig preis. Der private Modus hat zudem bei keinem Programm den Namen verdient: In der Regel löschen die Browser beim Beenden schlicht alle Daten. Zudem verklausulieren die Browser tatsächliche Techniken oder benennen sie um.

Als besonders geschwätzig entpuppte sich Chrome. Es ist schwierig, ihm die Telefonate nach Hause auszutreiben. Epiphany hinkt der Konkurrenz sowieso hinterher, mit den wenigen Konfigurationsoptionen können Anwender ihn kaum mundtot machen. Firefox bietet zwar deutlich mehr in den Einstellungsdialogen, punktet dort aber nicht mit Übersichtlichkeit. Auf der Habenseite stehen Tausende von Addons bereit, die den Browser abschotten. Konqueror fehlen insbesondre Einstellmöglichkeiten für neuere Webtechniken wie den Webstorage.

Anwender, die anonym surfen möchten, sollten daher zu Firefox greifen und einige Zeit aufwenden, um ihn mit Bordmitteln einzurichten und mit Anonymisierungs-Addons zu bestücken.